120 88 7MB
German Pages 1216 [1218] Year 2014
Conrad/Grützmacher (Hrsg.) Recht der Daten und Datenbanken im Unternehmen
Recht der Daten und Datenbanken im Unternehmen herausgegeben von
Isabell Conrad Rechtsanwältin München und
Dr. Malte Grützmacher, LL.M. Rechtsanwalt, FA IT-Recht Hamburg
Bearbeiter siehe nächste Seite
2014
Bearbeiter Ludwig Antoine Rechtsanwalt, München
Prof. Klaus Gennen Rechtsanwalt, FA IT-Recht, FA ArbR, Köln
Dr. Astrid Auer-Reinsdorff Rechtsanwältin, FAin IT-Recht, Berlin/Lissabon
Dr. Malte Grützmacher, LL.M. Rechtsanwalt, FA IT-Recht, Hamburg
Prof. Dr. Michael Bartsch Rechtsanwalt, Karlsruhe
Dr. Oliver Habel, Rechtsanwalt, München Prof. Niko Härting, Rechtsanwalt, Berlin
Dr. Christiane Bierekoven Rechtsanwältin, FAin IT-Recht, Nürnberg Elke Bischof Rechtsanwältin, FAin IT-Recht, München Prof. Dr. Alfred Büllesbach, Gerlingen Isabell Conrad Rechtsanwältin, München Dr. Axel Czarnetzki, LL.M. Rechtsanwalt, FA IT-Recht, München Dr. Alexander Duisberg Rechtsanwalt, München Dr. Eugen Ehmann Regierungsvizepräsident, Vorra Prof. Dr. Stefan Ernst, Rechtsanwalt, Freiburg Dr. Sonja Fechtner, LL.M. Rechtsanwältin, München Thorsten Feldmann, LL.M. Rechtsanwalt, FA Urheber- und Medienrecht, Berlin
Matthias Hartmann Rechtsanwalt, FA IT-Recht, Berlin Ines M. Hassemer Rechtsanwältin, FAin StrafR, München Prof. Dr. Michael Hassemer TU Kaiserslautern Dominik Hausen Rechtsanwalt, München Thomas Heymann Rechtsanwalt, Frankfurt/M. Prof. Dr. Thomas Hoeren Universität Münster Dr.-Ing. Peter Hoppen, Dipl.-Inform. ö.b.u.v. IT-Sachverständiger, Brühl Julian Höppner, LL.M. Rechtsanwalt, FA IT-Recht, Berlin Dr. Bernhard Hörl Rechtsanwalt, FA IT-Recht, Stuttgart Peter Huppertz, LL.M. Rechtsanwalt, FA IT-Recht, Düsseldorf
Alexander Filip Bayerisches Landesamt für Datenschutzaufsicht, Ansbach
Michael Intveen Rechtsanwalt, FA IT-Recht, Düsseldorf
Prof. Dr. Nikolaus Forgó Leibniz Universität Hannover
Dr. Michael Karger Rechtsanwalt, FA IT-Recht, FA VerwR, München
Dr. Axel Funk, Rechtsanwalt, Stuttgart
Christian R. Kast Rechtsanwalt, FA IT-Recht, München
Prof. Dr. Hans-Ullrich Gallwas Universität München
Dr. Frank Koch, Rechtsanwalt, München
Bearbeiter Prof. Dr. Michael Kort Universität Augsburg
Markus Rössel, LL.M. Rechtsanwalt, Köln
JProf. Dr. Timoleon Kosmides, LL.M. Eur. Universitäten Thessaloniki/München Max-Planck-Institut für Immaterialgüter- und Wettbewerbsrecht
Birgit Roth-Neuschild Rechtsanwältin, FAin IT-Recht, Karlsruhe
Thomas Kranig Präsident BayLDA, Ansbach Dr. Thomas Lapp Rechtsanwalt, Mediator, Frankfurt/M. Prof. Dr. Michael Lehmann, Dipl.-Kfm. Universität München Dr.-Ing. Joachim Lenzer ö.b.u.v. IT-Sachverständiger, Eckental Prof. Dr. Axel Metzger, LL.M. Leibniz Universität Hannover Dr. Stephan T. Meyer, LL.M. Rechtsanwalt, München Dr. Flemming Moos Rechtsanwalt, FA IT-Recht, Hamburg Dr. Hans-Werner Moritz Rechtsanwalt, München
Dr. Frank Sarre, Dipl.-Inform. ö.b.u.v. IT-Sachverständiger, München Dr. Bernd Schiffer, M.A. Rechtsanwalt, Steuerberater, München Markus Schmidt, Dipl.-Inform. ö.b.u.v. IT-Sachverständiger, München Prof. Dr. Jochen Schneider Rechtsanwalt, München Prof. Dr. Ulrich Schroth Universität München Dr. Stefan Schuppert, LL.M. Rechtsanwalt, München Prof. Dr. Fabian Schuster Rechtsanwalt, FA IT-Recht, Düsseldorf Adi Seffer Rechtsanwalt, Frankfurt/M. Dr. Robert Selk, LL.M. Rechtsanwalt, FA IT-Recht, München
Wolfgang Müller Rechtsanwalt, FA IT-Recht, FA Bau- und Architektenrecht, Dortmund
Tanja Senftner Rechtsanwältin, München
Jan Pohle Rechtsanwalt, Köln
Prof. Dr. Gerald Spindler Universität Göttingen
Michael Pruß, Dipl.-Inform. M.Sc. ö.b.u.v. IT-Sachverständiger, Augsburg
Dr. Oliver Stiemerling, Dipl.-Inform. ö.b.u.v. IT-Sachverständiger, Köln
Dr. Helmut Redeker, Dipl.-Inform. Rechtsanwalt, FA IT-Recht, FA VerwR, Bonn
Dr. Siegfried Streitz, Dipl.-Inform. ö.b.u.v. IT-Sachverständiger, Brühl
Prof. Dr. Michael Reitsam Steuerberater, München
Andreas Witte Rechtsanwalt, FA IT-Recht, München
Barbara Röder Rechtanwältin, München
Michaela Witzel, LL.M. (Fordham-University) Rechtsanwältin, München
Jochen Schneider zum 70. Geburtstag
Vorwort und Widmung für Jochen Schneider zum 70. Geburtstag Daten und Datenbanken im Unternehmen bestimmen nicht nur unser Alltagsleben und das Wirtschaftsgeschehen im 21. Jahrhundert. Daten und Datenbanken im Unternehmen bestimmen seit jeher auch das Berufsleben von Jochen Schneider. Als Mitarbeiter des größten deutschen Technologiekonzerns tauchte er schon früh in diese Welt ein, lange bevor der PC, lange bevor das Internet und erst recht lange bevor Web 2.0 und Cloud in aller Munde waren. Datenverarbeitung war zu dieser Zeit nur in Teilen elektronisch, die Lochkarte war noch das Maß der Dinge. Rechtsinformatik begann sich zu dieser Zeit allmählich zu entwickeln und das vielschichtige IT-Recht, wie wir es heute kennen, wurde erst viel später populär. Heute entwickelt sich das IT-Recht rasant. Bereits 1984 gründete Jochen Schneider zusammen mit Ludwig Antoine eine Wirtschaftskanzlei mit Schwerpunkt im IT-Recht. Wie weit Jochen Schneider – als Pionier dieses Rechtsgebietes – seiner Zeit voraus war und wie nahe dem Titel dieses Buches, erfährt, wer in der juristischen Datenbank juris eine Recherche nach dem Autor Jochen Schneider durchführt und – als personenbezogene Daten – über 90 Fachbeiträge des Jubilars aus dem Bereich des IT-Rechts zu Tage fördert (wobei die Zahl nicht einmal abschließend sein dürfte). Als erste Veröffentlichung von Jochen Schneider wird dort der Beitrag „Grunddaten der Verwaltung und ihre Organisation in Datenbanken, Gesetzesplanung – Beiträge der Rechtsinformatik 1972, 139–161 (EDV und Recht, Bd 4)“ angezeigt. Dass Datenbanken sein Metier sind, weiß, wer – wie der Mitherausgeber – in den 90er Jahren die Vorlesungsveranstaltung „Einführung in die Rechtsinformatik mit praktischen Übungen zu juris“ an der Ludwig-Maximilian-Universität München besucht hat. Heute verwendet fast niemand mehr den Begriff „EDV“. Doch Jochen Schneider ist und war jahrzehntelang an einer sprichwörtlich wenig technikaffinen Fakultät derjenige, der die Studenten (zu denen beide Herausgeber gehörten) in Vorlesungen und Seminaren für das hochmoderne EDV-Recht begeisterte. Dass er dafür und für sein sonstiges Schaffen aus gutem Grund als Professor bestellt wurde, hat weder seinem visionären Umgang mit dem IT-Recht noch seinem Humor geschadet. Wer juris heute nutzt, findet dort neben zahlreichen Beiträgen für CR (Computer und Recht) und ITRB (Der IT-Rechts-Berater) – zwei Zeitschriften, die Jochen Schneider als (Mit-)Herausgeber wie kein zweiter maßgeblich begleitet und beeinflusst hat – auch sein Meisterwerk, das mittlerweile in 4. Auflage erschienene „Handbuch des EDV-Rechts“. Dieses Handbuch spiegelt seine IT-rechtliche Universalität und Modernität, zeigt aber auch die Größe, Kraft und Unermüdlichkeit des Anwalts IX
Vorwort und Widmung fr Jochen Schneider zum 70. Geburtstag
Jochen Schneider. Jochen Schneider steht eben nicht nur für § 651 BGB und Softwareverträge. Er steht ebenso für IT-Urheberrecht und für einen modernen Datenschutz. Sein Handbuch des EDV-Rechts ist eine Fundgrube des IT-Rechts, die online durch die digitale Stichwortsuche viel gewinnt – auch insoweit ist das Schaffen von Jochen Schneider sehr modern. Die Datenbank juris verrät viel über den Wissenschaftler wie auch den Praktiker Schneider. Dieses Buch – Recht der Daten und Datenbanken im Unternehmen – verrät viel über den Menschen Jochen Schneider. Es ist mehr als nur eine Festschrift, es will Lehrbuch und Handbuch sein – der systematische Ansatz sowie die praxisgerechte Problembehandlung stehen im Vordergrund, was auch dem Jubilar entspricht. Selten dürfte es in Deutschland gelungen sein, eine so große Anzahl bekannter und vielbeschäftigter Wissenschaftler und Praktiker in sehr kurzer Zeit dafür zu gewinnen, ein Fachbuch zu schreiben. Die wenigen, die absagen mussten, haben dieses mit größtem Bedauern getan. Jochen Schneider polarisiert nicht, er verbindet. Die in seinen Kanzleiräumen gegründete „Deutsche Gesellschaft für Informationstechnik und Recht“ ist später in der Deutschen Gesellschaft für Recht und Informatik (DGRI) aufgegangen, deren erstem Vorstand und später dann deren Beirat Jochen Schneider angehörte. Zudem war er maßgeblich beteiligt an der Gründung der „DAVIT Arbeitsgemeinschaft Informationstechnologie“ und deren Einsatz für die Einführung eines Fachanwaltstitels für das ITRecht. Die „Kölner Tage zum IT-Recht“ wären ohne die Lichtgestalt des IT-Rechts aus München nicht, was sie sind. Hier trifft man sich, hier trifft man Jochen Schneider, diesen von allen fachlich wie menschlich so geschätzten Kollegen und Wissenschaftler. Jochen Schneider steht nicht nur für Exzellenz, sondern auch für einen feinsinnigen, freundlichen, niemals bösartigen Witz. Daten und Datenbanken im Unternehmen – eine Festschrift für Jochen Schneider würde sein allumfassendes Wirken nur unangemessen einfangen, wenn sie nicht auch dem Justiziar und Anwalt – eben dem Praktiker – gerecht würde. „Quick & dirty“ sind seine Sache nicht, wohl aber Kreativität und Unkonformität in der anwaltlichen Problemlösung. Wer Jochen Schneider gegenüber äußert „so ist es in der Praxis aber nicht“ erhält, wie die Mitherausgeberin zu berichten weiß, gerne die Antwort „umso schlimmer“! Wer sich mit dem Thema Daten und Datenbanken intensiver auseinander setzt, wird zu dem Schluss kommen, dass es noch viel schlimmer ist. Viele Rechtsfragen, die Unternehmen in der Praxis treffen, sind unklar oder gar ungeklärt. Verschiedenste Rechtsmaterien greifen ineinander, sind aber zu Lasten des Normadressaten inkonsistent. Anders als im Be-
X
Vorwort und Widmung fr Jochen Schneider zum 70. Geburtstag
reich der Computerprogramme gibt es nur wenige Bücher, die sich mit den Rechtsproblemen – mal nicht mit dem Fokus auf den Code, sondern mit dem Fokus auf die Daten – rechtsgebietsübergreifend auseinandersetzen. Hier etwas Licht in das Dunkel zu bringen – dem Praktiker etwas Nützliches an die Hand zu geben und gleichzeitig Jochen Schneider zu ehren – ist das Anliegen des Buches! München/Hamburg, im Februar 2014
Die Herausgeber
XI
Inhaltsverzeichnis Seite
Vorwort . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . IX Abkürzungsverzeichnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . XIX Literaturverzeichnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . XXIX
Teil 1 Einleitung § 1 Data Is Law (Conrad/Grützmacher) . . . . . . . . . . . . . . . . . . . .
1
Teil 2 Wirtschaftliche und technische Grundlagen § 2 Datenmodellierung und Datenspeicherung (Hoppen) . . . . . § 3 Typische Herausforderungen bei einer Altdatenübernahme (Sarre) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . § 4 Transition und Re-Transition (Streitz) . . . . . . . . . . . . . . . . § 5 Grundlagen der Datenauswertung (Stiemerling) . . . . . . . . . § 6 Aktuelle Herausforderungen: Unstructured, Real-Time und Big Data (Stiemerling) . . . . . . . . . . . . . . . . . . . . . . . . . § 7 Dokumentenmanagementsysteme (Schmidt) . . . . . . . . . . . § 8 (Langzeit-)Archivierung von Daten (Pruß) . . . . . . . . . . . . . . § 9 Cloud Computing: Prinzipien und Anwendungen (Lenzer) . § 10 Cloud Computing als Outsourcing 2.0 (Seffer) . . . . . . . . . .
..
7
.. .. ..
24 43 62
. . . . .
. . . . .
71 79 97 116 128
.
133
.
143
.
155
.
182
Teil 3 Daten als rechtliches Schutzgut, Verfügungsbefugnis an Daten, Herausgabeansprüche § 11 Abgrenzung der Schutzgüter im Zusammenhang mit Daten (Lehmann) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . § 12 Rechte an Geschäftsprozessdaten und an der darauf basierenden Parametrisierung von ERP-Software (Huppertz) § 13 Schutz des Betriebs- und Geschäftsgeheimnisses (mit Schwerpunkt auf Daten und Datenbanken) (Gennen) . . § 14 Auslagerung von IT-Leistungen und § 203 StGB (Conrad/Witzel) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
XIII
Inhaltsverzeichnis
§ 15 Schutz von Datenbanken und Datenbankwerken (Auer-Reinsdorff) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . § 16 Abgrenzung von Datenbank und Datenbankinhalt (Witte) . § 17 Nutzergenerierte Inhalte zwischen Urheberrecht und Datenbankschutz (M. Hassemer) . . . . . . . . . . . . . . . . . . . . § 18 Urheberrechtsschutz von Datenmodellen, Dateiformaten und Schnittstellen (Metzger) . . . . . . . . . . . . . . . . . . . . . . . . § 19 DRM-Schutz von Datenbanken (Meyer) . . . . . . . . . . . . . . . § 20 Kartellrechtliche Grenzen des Schutzes von Datenbanken (Grützmacher) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . § 21 Der internationale Schutz von Datenbanken im Urheberrecht, insbesondere in der Cloud (Spindler) . . . . . . § 22 Daten als Rechtsgut nach § 823 Abs. 1 BGB (Bartsch) . . . . . § 23 Der strafrechtliche Schutz von Daten durch § 303a StGB und seine Auswirkungen auf ein Datenverkehrsrecht (Hoeren) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . § 24 Materiell-rechtliche und prozessuale Aspekte bei Ansprüchen auf Herausgabe von Daten (Müller) . . . . . . . . . § 25 Daten und Herausgabeansprüche in der Insolvenz (Czarnetzki/Röder) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
.. ..
205 229
..
234
.. ..
245 254
..
269
.. ..
282 297
..
303
..
313
..
332
Teil 4 Einschränkung der Verfügungsbefugnisse über Daten, Grundzüge des Datenschutzrechts im nicht-öffentlichen Bereich § 26 Schranken der Informationsfreiheit durch informationelle „Rechte anderer“ oder das „informationelle Drittverhältnis“ (Gallwas) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . § 27 Erhebung und Verarbeitung von Bewerber- und Arbeitnehmerdaten (Kort) . . . . . . . . . . . . . . . . . . . . . . . . . . . . § 28 Digitale Bilddaten in Form von Mitarbeiterfotos in Unternehmen (Ehmann) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . § 29 Vermischung von privaten und dienstlichen Daten als Herausforderung für Datenschutz und Datensicherheit (Kranig) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . § 30 Kundendaten in CRM und Data Warehouse (Selk) . . . . . . . . . § 31 Geodaten in Abgrenzung zu personenbezogenen Daten (Moritz) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . § 32 Nutzungsprofile von Internetnutzern (Härting) . . . . . . . . . . .
XIV
347 368 391
411 428 475 482
Inhaltsverzeichnis
§ 33 Grenzen der Weitergabe der Namen von Autoren bei Blogs, Gästebuchbeiträgen und Äußerungen in Bewertungsportalen (Ernst) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . § 34 Schutz des Einzelnen vor Scoring-Bewertungen (Lapp) . . . . . . § 35 Grundsätze der Auftragsdatenverarbeitung (Habel) . . . . . . . . § 36 Haftung für Datenschutzverstöße nach BDSG – Probleme des § 7 und europarechtliche Vorgaben (Kosmides) .
491 503 520 534
Teil 5 Vertragstypen, Vertragsgestaltung bei Daten und Datenbanken im Software-Projekt § 37 Der Datenbankerstellungsvertrag (Funk) . . . . . . . . . . . . . § 38 Vereinbarungen über die Migration von Daten (Bischof) . . § 39 Verträge über Datenschnittstellen und die Nutzung von Datenformaten (Grützmacher) . . . . . . . . . . . . . . . . . . . . . § 40 Datenspeicherungs- und Haltungsverträge bei Nutzung von Cloud-Services (Bierekoven) . . . . . . . . . . . . . . . . . . . . § 41 Standardbedingungen von Cloud-Anbietern, insbesondere Daten und Exit-Klauseln (Duisberg) . . . . . . . . . . . . . . . . .
... ...
555 574
...
596
...
616
...
633
Teil 6 Nutzung von Daten und Datenbanken; Nutzungs-, Lizenz- und Vertriebsverträge § 42 Verträge zur Nutzung und Lizenzierung von Datenbanken (Koch) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . § 43 Verträge über den Vertrieb von Datenbankwerken, Datenbanken und Daten (Witzel) . . . . . . . . . . . . . . . . . . . . . .
647 676
Teil 7 Verträge über die Weitergabe und Verarbeitung von Daten § 44 Auftragsdatenverarbeitung vs. Datenübermittlung – Folgen der Einordnung als Übermittlung (Roth-Neuschild) . . § 45 Selbstregulierung im Datenschutz und verbindliche Unternehmensregelungen (BCR) (Büllesbach) . . . . . . . . . . . . § 46 Verbindliche Konzernregelungen für Auftragsdatenverarbeiter (Processor BCR) (Conrad/Filip) . . . . . . . . . . . . . . . . . . . . . . . . § 47 Verträge zur Weitergabe von Beschäftigtendaten im Konzern (Moos) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
695 713 734 767 XV
Inhaltsverzeichnis
§ 48 Verträge zum Datenhandel (Feldmann/Höppner) . . . . . . . . . § 49 Inkassoverträge und die Überlassung von Daten an Inkassodienste (Pohle) . . . . . . . . . . . . . . . . . . . . . . . . . . . § 50 Vertragliche Regelungen und rechtliche Anforderungen bei Callcenter-Diensten (Antoine/Fechtner/Hausen) . . . . . . . . . § 51 Kundendaten und die Transition bei Outsourcing-Verträgen (Heymann) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
.
786
.
804
.
819
.
845
Teil 8 Verträge über Datenverbindung und -anbindung, Verträge über den Austausch und Abgleich von Daten § 52 Verträge über Datennetze (WAN & VPN) (Schuster) . . . . . . . . § 53 EDI-Vereinbarungen über den elektronischen Datenaustausch (Hausen) . . . . . . . . . . . . . . . . . . . . . . . . . . . . § 54 Vereinbarungen zum e-Invoicing (Intveen) . . . . . . . . . . . . . . .
867 880 895
Teil 9 Haftung für die Richtigkeit, Verfügbarkeit und Aktualität von Daten; forensische Aspekte § 55 § 56 § 57 § 58 § 59
Haftung für Datenlieferung und -pflege (Redeker) . . . . . Datenverlust und Haftungsklauseln (Hartmann) . . . . . Daten als Produkt, Produkthaftung (Bartsch) . . . . . . . . Umfang des Schadensersatzes im Deliktsrecht (Hörl) . . Haftung für die Richtigkeit öffentlicher Verzeichnisse, Haftung für Rankings, Produktbewertungen (Rössel) . .
. . . .
. . . .
. . . .
. . . .
. . . .
915 927 939 951
.....
958
Teil 10 Ordnungsmäßigkeit und Sicherheit von Datenverarbeitung § 60 Aufbewahrung und Archivierung von Daten (Reitsam/Seonbuchner) . . . . . . . . . . . . . . . . . . . . . . . . § 61 Erstellung eines internen Verfahrensverzeichnisses (Senftner) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . § 62 Meldepflichten (Schuppert) . . . . . . . . . . . . . . . . . . . . . § 63 Mediation im Datenschutzrecht? (Schiffer) . . . . . . . . . § 64 Grundzüge des Informationssicherheitsrechts (Forgó)
XVI
...... . . . .
. . . .
. . . .
. . . .
. . . .
977
. 997 . 1023 . 1042 . 1053
Inhaltsverzeichnis
§ 65 Datenvermeidung und Entnetzung als datenschutzrechtliche Sicherheitskonzepte: Zurück in die informationstechnologische Steinzeit? (Karger) . . . . . . . . § 66 Verschlüsselung (Kast) . . . . . . . . . . . . . . . . . . . . . . . . . . . § 67 Der unbefugte Zugriff auf gesicherte Daten und Datenbanken unter näherer Betrachtung des § 202a StGB (I. Hassemer) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . § 68 Die strafrechtliche Beurteilung des Ankaufs von nach ausländischem Recht rechtswidrig erlangten Informationen, insbesondere der Ankauf von Steuer-CDs aus der Schweiz (Schroth) . . . . . . . . . . . . . . . . . . . . . . . . .
. . . 1061 . . . 1074
. . . 1097
. . . 1108
Teil 11 Ausblick § 69 Datenschutzprinzipien für eine EU-DatenschutzGrundverordnung (Conrad/Schneider) . . . . . . . . . . . . . . . . . . 1119 Sachregister . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1151
XVII
Abkürzungsverzeichnis a.A. a.a.O. ABl. Abs. Abschn. ACD ACM a.E. AEO AES AEUV
AktG Alt. Anm. AnwBl AO AO-StB AP API ArbG Art. ASP AÜG Aufl. AuR AWV Az.
anderer Ansicht am angegebenen Ort Amtsblatt Absatz Abschnitt Automatic-Call-Distribution Association for Computer Machinery am Ende Authorised Economic Operator Advanced Encryption Standard Vertrag über die Arbeitsweise der Europäischen Union alte Fassung Zeitschrift für Medien- und Kommunikationsrecht Amtsgericht; Aktiengesellschaft Allgemeine Geschäftsbedingungen Allgemeines Gleichbehandlungsgesetz The International Association for the Protection of Intellectual Property Aktiengesetz Alternative Anmerkung Anwaltsblatt Abgabenordnung AO-Steuer-Berater (Zeitschrift) Arbeitsrechtliche Praxis Application Programming Interfaces Arbeitsgericht Artikel Application Service Providing Arbeitnehmerüberlassungsgesetz Auflage Arbeit und Recht (Zeitschrift) Arbeitsgemeinschaft für wirtschaftliche Verwaltung Aktenzeichen
B2B B2C BaaS BAG BayObLG BB BCR BDSG
Business-to-business Business-to-customer Business as a Service Bundesarbeitsgericht Bayerisches Oberstes Landesgericht Betriebs-Berater (Zeitschrift) Binding Corporate Rules Bundesdatenschutzgesetz
a.F. AfP AG AGB AGG AIPPI
XIX
Abkrzungsverzeichnis
BeckRS Beschl. BetrVG BfDI BFH BFH/NV BG BGB BGBl. BGH BGHSt BGHZ BITKOM BLOBs BMELV BMF BMWi BORA BPaaS BPersVG BPO BRAO BSG BSI BSIG BSM BStBl. bspw. BT-Drucks. BTYP Buchst. BVerfG BVerfGE BYOD bzgl. BZRG bzw.
XX
Beck-Rechtsprechung Beschluss Betriebsverfassungsgesetz Bundesbeauftragter für Datenschutz und die Informationsfreiheit Bundesfinanzhof Sammlung der Entscheidungen des Bundesfinanzhofs, die nicht in der amtlichen Sammlung veröffentlicht sind Bundesgericht Bürgerliches Gesetzbuch Bundesgesetzblatt Bundesgerichtshof Entscheidungen des Bundesgerichtshofs in Strafsachen Entscheidungen des Bundesgerichtshofs in Zivilsachen Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e.V. Binary Large Objects Bundesministerium für Ernährung, Landwirtschaft und Verbraucherschutz Bundesministerium der Finanzen Bundesministerium für Wirtschaft und Energie Berufsordnung der Rechtsanwälte Business Process as a Service Bundespersonalvertretungsgesetz Business Process Outsourcing Bundesrechtsanwaltsordnung Bundessozialgericht Bundesamt für Sicherheit in der Informationstechnik Gesetz über das Bundesamt für Sicherheit in der Informationstechnik Business Service Management Bundessteuerblatt beispielsweise Bundestagsdrucksache BT Yellow Pages Buchstabe Bundesverfassungsgericht Sammlung der Entscheidungen des BVerfG Bring Your Own Device bezüglich Bundeszentralregistergesetz beziehungsweise
Abkrzungsverzeichnis
CaaS CAD CCZ CI CMO COLD CPU CR CRM CRi CSV
Communication as a Service computer-aided design Corporate Compliance Zeitschrift Coded Information; Computerrecht Intern (Zeitschrift) Current Mode of Operation Computer Output on LaserDisk central processing unit Computer und Recht (Zeitschrift) Costumer Relationship Management Computer Law Review International (Zeitschrift) Comma-separated values (Dateiformat)
DaaS DANA DAV DB DBMS DDL DGVZ d.h. DMA DMCA DMS DRM DSGVO-E DSRL DStR DStZ DuD DVBl.
Desktop as a Service Datenschutz Nachrichten (Zeitschrift) Deutscher Anwalt Verein Der Betrieb (Zeitschrift) Datenbankmanagementsysteme Data Definition Language Deutsche Gerichtsvollzieher Zeitung das heißt Direct Memory Access Digital Millenium Copyright Act Dokumentenmanagementsystem Digital Rights Management Entwurf einer Datenschutzgrundverordnung Datenschutzrichtlinie Deutsches Steuerrecht (Zeitschrift) Deutsche Steuer-Zeitung (Zeitschrift) Datenschutz und Datensicherheit (Zeitschrift) Deutsches Verwaltungsblatt (Zeitschrift)
ECM EDI EDV EFG EG EGBGB EGG
Enterprise Content Management Electronic Data Interchange Elektronische Datenverarbeitung Entscheidungen der Finanzgerichte (Zeitschrift) Europäische Gemeinschaft Einführungsgesetz zum Bürgerlichen Gesetzbuch Gesetz über rechtliche Rahmenbedingungen des elektronischen Geschäftsverkehrs Vertrag zur Gründung der Europäischen Gemeinschaft European Network and Information Security Agency Enterprise Ressource Planning Enterprise Service Bus Einkommensteuergesetz et cetera
EGV ENISA ERP ESB EStG etc.
XXI
Abkrzungsverzeichnis
EU EuGH EuZW e.V. EVB-IT EWG EWR EWS
Europäische Union Gerichtshof der Europäischen Union Europäische Zeitschrift für Wirtschaftsrecht eingetragener Verein Ergänzende Vertragsbedingungen für die Beschaffung von Informationstechnik Europäische Wirtschaftsgemeinschaft Europäischer Wirtschaftsraum Europäisches Wirtschafts- und Steuerrecht (Zeitschrift)
f., ff. FAQs FG FGO FMO Fn. FS FTP
folgende, fortfolgende Frequently Asked Questions Finanzgericht Finanzgerichtsordnung Future Mode of Operation Fußnote Festschrift File Transfer Protocol
GA GATT GDD
Goltdammers Archiv für Strafrecht (Zeitschrift) Allgemeines Zoll- und Handelsabkommen Gesellschaft für Datenschutz und Datensicherheit e.V. Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen Verordnungsentwurf zum Gemeinsamen Europäischen Kaufrecht gemäß Gendiagnostikgesetz Geodatenzugangsgesetz Gewerbeordnung Grundgesetz gegebenenfalls Gesellschaft mit beschränkter Haftung GmbH-Gesetz GmbH-Rundschau (Zeitschrift) Grundsätze ordnungsmäßiger Buchführung Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme GNU General Public License Zeitschrift für Gemeinschaftsprivatrecht Geräte- und Produktsicherheitsgesetz Zeitschrift der Deutschen Vereinigung für Gewerblichen Rechtsschutz und Urheberrecht Gewerblicher Rechtsschutz und Urheberrecht International (Zeitschrift)
GDPdU GEKVO-E gem. GenDG GeoZG GewO GG ggf. GmbH GmbHG GmbHR GoB GoBS GPL GPR GPSG GRUR GRUR Int.
XXII
Abkrzungsverzeichnis
GRUR-Prax GVO GWB GWR HaaS Halbs. HGB HIPAA HITECH h.M. HMD HRRS Hrsg. HTML IaaS ICA IDEA i.d.R. i.E. i.e.S. IKS ILM INF InsO InstGE InTer IP IPrax i.S.d. IStR i.S.v. ITIL ITRB IuKDG i.V.m. JIPITEC
Gewerblicher Rechtsschutz und Urheberrecht, Praxis im Immaterialgüter- und Wettbewerbsrecht (Zeitschrift) Gruppenfreistellungsverordnung Gesetz gegen Wettbewerbsbeschränkungen Gesellschafts- und Wirtschaftsrecht (Zeitschrift) Hosting as a Service Halbsatz Handelsgesetzbuch Health Insurance Portability and Acountability Act Health Information Technology for Economic and Clinical Health herrschende Meinung Praxis der Wirtschaftsinformatik (Zeitschrift) Höchstrichterliche Rechtsprechung im Strafrecht (Zeitschrift) Herausgeber Hypertext Markup Language Infrastructure as a Service Integrated Communication Adapter Interactive Data Extraction and Analysis; International Data Encryption Algorithm in der Regel im Ergebnis im engeren Sinne Internes Kontrollsystem Information Lifecycle Management Information über Steuer und Wirtschaft (Zeitschrift) Insolvenzordnung Entscheidungen der Instanzgerichte zum Recht des geistigen Eigentums Zeitschrift zum Innovations- und Technikrecht Internet Protocol Praxis des Internationalen Privat- und Verfahrensrechts (Zeitschrift) im Sinne des/der Internationales Steuerrecht (Zeitschrift) im Sinne von IT Infrastructure Library Der IT-Rechts-Berater (Zeitschrift) Informations- und Kommunikationsdienste-Gesetz in Verbindung mit Journal of Intellectual Property, Information Technology and Electronic Commerce Law XXIII
Abkrzungsverzeichnis
K&R Kap. KG KIS KOM krit. KSchG KUG KWG LAN LfSt LG LIBE lit. LMedienG LÜP m. Anm. MDB MDM MDR MedG MedienG MedR MittdtschPatAnw
Kommunikation & Recht (Zeitschrift) Kapitel Kammergericht; Kommanditgesellschaft Krankenhausinformationssystem Dokument der EG-Kommission kritisch Kündigungsschutzgesetz Gesetz betreffend das Urheberrecht an Werken der bildenden Künste und der Photographie Kreditwesengesetz Local Area Network Bayerisches Landesamt für Steuern Landgericht Ausschuss für bürgerliche Freiheiten, Justiz und Inneres litera Landesmediengesetz Leistungsübergabepunkte
MMC MMR MPLS Mrd. MR MR-Int m.w.N.
mit Anmerkung Microsoft DataBase Mobile-Device-Management Monatsschrift für Deutsches Recht (Zeitschrift) Mediationsgesetz Mediengesetz Medizinrecht (Zeitschrift) Mitteilungen der Deutschen Patentanwälte (Zeitschrift) Monopolies and Mergers Commission MultiMedia und Recht (Zeitschrift) Multiprotocol Label Switching Milliarde Medien und Recht (Zeitschrift) Medien und Recht International (Zeitschrift) mit weiteren Nachweisen
NAS NCI NCSL n.F. NINJAs NIST NJOZ NJW NJW-Cor Nr.
Network Attached Storage Non-Coded Information National Conference of State Legislatures neue Fassung No Income, No Job or Assets National Institute of Standards and Technology Neue Juristische Online Zeitschrift Neue Juristische Wochenschrift NJW-Computerreport (Zeitschrift) Nummer
XXIV
Abkrzungsverzeichnis
NSA NStZ n.v. NVwZ NWB NZA NZBau
National Security Agency Neue Zeitschrift für Strafrecht nicht veröffentlicht Neue Zeitschrift für Verwaltungsrecht Steuer- und Wirtschaftsrecht (Zeitschrift) Neue Zeitschrift für Arbeitsrecht Neue Zeitschrift für Baurecht und Vergaberecht
o.Ä. ODBC ODMA OFD ÖOGH o.g. OHG OLG
oder Ähnliches Open Database Connectivity Open Document Management Alliance Oberfinanzdirektion Österreichischer Oberster Gerichtshof oben genannte/n/r Offene Handelsgesellschaft Oberlandesgericht
PaaS PBCR PersR PIS PK-DML ProdHG
Platform as Service Processor Binding Corporate Rules Der Personalrat (Zeitschrift) Personalinformationssystem Prüfkriterien Dokumenten Management Lösungen Produkthaftungsgesetz
QoS
Quality of Service
RabelsZ
RDV RegR RFID RFC RG RGZ RIW RL RPC Rs. RStV RTMPE RW Rz.
Rabels Zeitschrift für ausländisches und internationales Privatrecht Revidierte Berner Übereinkunft zum Schutz von Werken der Literatur und Kunst Recht der Datenverarbeitung (Zeitschrift) Registraturrichtlinie radio-frequency identification Remote-Function-Calls Reichsgericht Entscheidungen des Reichsgerichts in Zivilsachen Recht der internationalen Wirtschaft (Zeitschrift) Richtlinie Remote-Procedure-Calls Rechtssache Rundfunkstaatsvertrag Real Time Messaging Protocol Rechtswissenschaft (Zeitschrift) Randzahl
s./S. s.a.
siehe; Seite siehe auch
RBÜ
XXV
Abkrzungsverzeichnis
SaaS SAM SAN SEO SEQUEL SGB SigG SLAs Slg. s.o. sog. SOX SpuRt SQL SSD SSH SSL StBerG StBW StGB StPO str. StV s.u. SZ
Software as a Service Storage-Area-Management Storage Area Network Suchmaschinenoptimierer Structured English Query Language Sozialgesetzbuch Signaturgesetz Service Level Agreements Sammlung siehe oben so genannte/r Sarbanes-Oxley-Act Zeitschrift für Sport und Recht Structured Query Language Solid State Drive Secure Shell Secure Socket Layer (Codierungssystem) Steuerberatungsgesetz Steuerberater Woche (Zeitschrift) Strafgesetzbuch Strafprozessordnung streitig Strafverteidiger (Zeitschrift) siehe unten Süddeutsche Zeitung
TCP/IP TDDSG TKG TKP TLS TMG TRIPS TT-GVO Tz.
Transmission Control Protocol/Internet Protocol Teledienstdatenschutzgesetz Telekommunikationsgesetz Tausenderkontaktpreis Transport Layer Security (Codierungssystem) Telemediengesetz Übereinkommen über handelsbezogene Aspekte der Rechte am geistigen Eigentum Gruppenfreistellungsverordnung Technologietransfer Teilziffer
u.a. UFITA UGC UIG UrhG UStG usw. u.U. u.v.m. UWG
unter anderem Archiv für Urheber- und Medienrecht (Zeitschrift) User Generated Content Umweltinformationsgesetz Urheberrechtsgesetz Umsatzsteuergesetz und so weiter unter Umständen und vieles mehr Gesetz gegen den unlauteren Wettbewerb
XXVI
Abkrzungsverzeichnis
v. v.a. Var. VDA VeR VersR VerwArch VG VGH vgl. VM VO VOB VOI VPN VuR
vom vor allem Variante Verband der Automobilindustrie Verband elektronische Rechnungen Zeitschrift für Versicherungsrecht Verwaltungsarchiv (Zeitschrift) Verwaltungsgericht Verwaltungsgerichtshof vergleiche Virtuelle Maschine Verordnung Vergabe- und Vertragsordnung für Bauleistungen Verband Organisations- und Informationssysteme e.V. Virtual Private Network Verbraucher und Recht (Zeitschrift)
WAN WCT WEP WIPO WM WORM WP WRP WSDL WUA
Wide Area Network WIPO-Urheberrechtsvertrag Wired Equivalent Privacy World Intellectual Property Organization Wertpapier-Mitteilungen (Zeitschrift für Wirtschaftsund Bankrecht) Write Once Read Many Workingpaper Wettbewerb in Recht und Praxis (Zeitschrift) Web Services Description Language Welturheberrechtsabkommen
XaaS XML
Everything as a Service Extensible Markup Language
z.B. ZD ZGE Ziff. ZinsO ZIS ZPO ZRP ZStW ZUM ZVertriebsR ZWeR
zum Beispiel Zeitschrift für Datenschutz Zeitschrift für Geistiges Eigentum Ziffer Zeitschrift für das gesamte Insolvenzrecht Zeitschrift für Internationale Strafrechtsdogmatik Zivilprozessordnung Zeitschrift für Rechtspolitik Zeitschrift für die gesamte Strafrechtswissenschaft Zeitschrift für Urheber- und Medienrecht Zeitschrift für Vertriebsrecht Zeitschrift für Wettbewerbsrecht
XXVII
Literaturverzeichnis Adams, Ökonomische Analyse der Gefährdungs- und Verschuldenshaftung, 1985 Adams, Ökonomische Theorie des Rechts. Konzepte und Anwendungen, 2. Aufl. 2004 Andres/Leithaus, Insolvenzordnung, 2. Aufl. 2011 Ann/Loschelder/Grosch, Praxishandbuch Know-how-Schutz, 2010 Armbrust u.a., Above the Clouds: A Berkeley View of Cloud Computing, 2009 Auer-Reinsdorff/Conrad (Hrsg.), Beck’sches Mandatshandbuch IT-Recht, 2011 Bahr, Recht des Adresshandels, 2011 Balzert, Lehrbuch der Objektmodellierung – Analyse und Entwurf mit der UML2, 2004 Balzert, Lehrbuch der Softwaretechnik – Basiskonzepte und Requirements Engineering, 2009 Bamberger/Roth (Hrsg.), Kommentar zum Bürgerlichen Gesetzbuch, Band 2: §§ 611–1296, Allgemeines Gleichbehandlungsgesetz, Erbbaurechtsgesetz, Wohnungseigentümergesetz, 3. Aufl. 2012 Bartenbach, Patentlizenz- und Know-how-Vertrag, 7. Aufl. 2013 Bauer, User Generated Content, 2011 Bauer/Diller, Wettbewerbsverbote, 6. Aufl. 2012 Baumbach/Lauterbach/Albers/Hartmann, Zivilprozessordnung, 71. Aufl. 2013 Beckhusen, Der Datenumgang innerhalb des Kreditinformationssystems der SCHUFA. Unter besonderer Berücksichtigung des Scoring-Verfahrens ASS und der Betroffenenrechte, 2004 Beck’scher Online-Kommentar Datenschutzrecht, hrsg. v. Wolff/Brink, siehe auch dort Beck’scher Online-Kommentar BGB, hrsg. v. Bamberger/Roth, siehe auch dort Beck’scher Online-Kommentar ZPO, hrsg. v. Vorwerk/Wolf Beck’scher TKG-Kommentar siehe Geppert/Schütz Beck’sches Mandatshandbuch IT-Recht siehe Auer-Reinsdorff/Conrad Bedner, Cloud-Computing, Technik, Sicherheit und rechtliche Gestaltung, 2013 Berberich, Virtuelles Eigentum, 2010 Bergmann/Möhrle/Herb, Datenschutzrecht, Handkommentar zum BDSG, Loseblatt
XXIX
Literaturverzeichnis
Bertram/Brinkmann/Kessler/Müller, Haufe HGB Bilanz Kommentar, 2013 Bhadani, Cloud Computing and Virtualization, 2011 Bittner/Schietinger/Weinkopf, Zwischen Kosteneffizienz und Servicequalität, 2002 Bizer/Lutterbeck/Rieß (Hrsg.), Umbruch von Regelungssystemen in der Informationsgesellschaft, Freundesgabe für Alfred Büllesbach, 2002 Blunk, Zur Verwertbarkeit von Datenbeständen in der Insolvenz, 2006 Bohnen, Die BDSG Novellen 2009/2010: Kritische Bestandsaufnahme und weiterer Reformbedarf, 2011 Borges/Schwenk, Daten- und Identitätsschutz in Cloud-Computing, E-Government und E-Commerce, 2012 Böse/Flieger, Call Center Mittelpunkt der Kundenkommunikation, 1999 Brands, Verschlüsselung, Signaturen, Angriffsmethoden, 2012 Braun, Insolvenzordnung, 5. Aufl. 2012 Braun/Kunze/Nimis/Tai, Cloud Computing, 2. Aufl. 2009 Bräutigam (Hrsg.), IT-Outsourcing, 2. Aufl. 2009 Bräutigam (Hrsg.), IT-Outsourcing und Cloud-Computing, 3. Aufl. 2013 Buchner, Informationelle Selbstbestimmung im Privatrecht, 2006 Büllesbach, Transnationalität und Datenschutz. Verbindlichkeit von Unternehmensregelungen (Reihe: Frankfurter Studien zum Datenschutz, Band 34), 2008 Büllesbach/Dreier, Wem gehört die Information im 21. Jahrhundert?, 2004 Büllesbach/Gijrath/PouHet/Prins (Eds), Concise European IT-Law, second Edition 2010 Bydlinski, Juristische Methodenlehre und Rechtsbegriff, 2. Aufl. 1991 Dammann/Simitis, EG-Datenschutzrichtlinie: Kommentar, 1997 Date, An Introduction to Database Systems, 8. Aufl. 2003 Däubler, Gläserne Belegschaften?, 5. Aufl. 2010 Däubler/Klebe/Wedde/Weichert, Bundesdatenschutzgesetz: Kompaktkommentar, 3. Aufl. 2010 Dauner-Lieb/Langen, BGB – Schuldrecht, 2. Aufl. 2012 Deutsch, Allgemeines Haftungsrecht, 2. Aufl. 1996 Dietrich, Die Individualvollstreckung, 1976 Dreier/Schulze, Urheberrechtsgesetz, Urheberrechtswahrnehmungsgesetz, Kunsturhebergesetz – Kommentar, 4. Aufl. 2013 Dreier/Spiecker genannt Döhmann, Die systematische Aufnahme des Straßenbildes, 2010 Dreyer/Kotthoff/Meckel, Urheberrecht, 3. Aufl. 2013
XXX
Literaturverzeichnis
Ehmann (Hrsg.), Lexikon für das IT-Recht 2013/2014, 4. Aufl. 2013 Ehmann/Helfrich, EG-Datenschutzrichtlinie: Kurzkommentar, 1999 Erbs/Kohlhaas (Hrsg.), Strafrechtliche Nebengesetze, 2009 Erdmann/Rojahn/Sosnitza (Hrsg.), Handbuch des Fachanwalts Gewerblicher Rechtsschutz, 2. Aufl. 2011 Erfurter Kommentar zum Arbeitsrecht siehe Müller-Glöge/Preis/ Schmidt Erman, Bürgerliches Gesetzbuch, Handkommentar mit AGG, EGBGB (Auszug), ErbbauRG, HausratsVO, LPartG, ProdHaftG, UKlaG, VAHRG und WEG in 2 Bänden, 13. Aufl. 2011 Ernst (Hrsg.), Hacker, Cracker & Computerviren, 2004 Esser/Schmidt, Schuldrecht AT, Band I/2, 8. Aufl. 2000 Esser/Weyers, Schuldrecht BT, Band II/2, 8. Aufl. 2000 Fikentscher/Heinemann, Schuldrecht, 10. Aufl. 2006 Fischer, Strafgesetzbuch und Nebengesetze, Kommentar, 60. Aufl. 2013 Fitting/Engels/Schmidt/Trebinger/Linsenmaier, Betriebsverfassungsgesetz: BetrVG, 26. Aufl. 2012 Franzen, Privatrechtsangleichung durch die Europäische Gemeinschaft, 1999 Fröhle, Web Advertising, Nutzerprofile und Teledienstedatenschutz, 2003 Fromm/Nordemann, Urheberrecht, 10. Aufl. 2008 Gallwas, Der Staat, 1979 Gallwas, Grundrechte, 2. Aufl. 1995 Gaster, Der Rechtsschutz von Datenbanken, 1999 Geppert/Schütz, Beck’scher TKG-Kommentar, 4. Aufl. 2013 Gerke/Brunst, Praxishandbuch Internetstrafrecht, 2009 Gloy/Loschelder/Erdmann, Wettbewerbsrecht, 4. Aufl. 2010 Gola, Datenschutz am Arbeitsplatz, 4. Aufl. 2012 Gola, Datenschutz im Call Center, 2. Aufl. 2006 Gola, Datenschutz und Multimedia am Arbeitsplatz, 3. Aufl. 2010. Gola/Schomerus (Hrsg.), BDSG Bundesdatenschutzgesetz, Kommentar, 11. Aufl. 2012 Gola/Wronka, Handbuch zum Arbeitnehmerdatenschutz, 5. Aufl. 2010 Götzer/Schmale/Maier/Komke, Dokumentenmanagement, 2008 Grabitz/Hilf/Nettesheim, Das Recht der Europäischen Union, Band IV, Loseblatt Graf von Westphalen/Thüsing, Vertragsrecht und AGB-Klauselwerke, Loseblatt Graf von Westphalen/Langheid/Streitz, Der Jahr-2000-Fehler, 1999 XXXI
Literaturverzeichnis
Graf, Strafprozessordnung, 2. Aufl. 2012 Graf/Jäger/Wittig, Wirtschafts- und Steuerstrafrecht, 2011 Grobys, Die Überwachung von Arbeitnehmern in Call Centern, 2007 Grützmacher, Urheber-, Leistungs- und Sui-generis-Schutz von Datenbanken, 1999 Haft/Schlieffen, Handbuch Mediation, 2. Aufl. 2009 Hannich (Hrsg.), Karlsruher Kommentar zur StPO, 6. Aufl. 2008 Harte-Bavendamm/Henning-Bodewig, UWG, 2. Aufl. 2009 Härting, Internetrecht, 5. Aufl. 2014 Hasselblatt (Hrsg.), Münchner Anwaltshandbuch Gewerblicher Rechtsschutz, 3. Aufl. 2009 Hefermehl/Köhler/Bornkamm, Wettbewerbsrecht, 25. Aufl. 2007 Heidel/Hüßtege/Mansel/Noack, Bürgerliches Gesetzbuch, Band 1: Allgemeiner Teil und EGBGB, 2. Aufl. 2011 Hengst, Der strafrechtliche Schutz des Rechts am eigenen Bild (§ 201a StGB), 2012 Henssler/Willemsen/Kalb (Hrsg.), Arbeitsrecht Kommentar, 5. Aufl. 2012 Herrmann, Richtlinienumsetzung durch die Rechtsprechung, 2003 Hess (Hrsg.), Software as a Service: Strategische Perspektiven und praktische Bedeutung, 2008 Heun, Handbuch Telekommunikationsrecht, 2. Aufl. 2007 Hilgendorf/Valerius, Computer- und Internetstrafrecht, 2. Aufl. 2012 Hintemann/Kriesel, Bitkom – Leitfaden zum elektronischen Datenzugriff der Finanzverwaltung, 3. Aufl. 2006 Hochmann, Elektronische Signatur: Technische Darstellung, rechtliche Entwicklung und praktischer Einsatz, 2001 Hoeren/Sieber/Holznagel, Handbuch Multimedia-Recht, Loseblatt Höffe, Wirtschaftsbürger/Staatsbürger/Weltbürger, Politische Ethik im Zeitalter der Globalisierung, 2004 Hoffmann/Leible (Hrsg.), Vernetztes Rechnen – Softwarepatente – Web 2.0, 2008 Hoffmann-Becking/Rawert (Hrsg.), Beck’sches Formularbuch Bürgerliches, Handels- und Wirtschaftsrecht, 11. Aufl. 2013 Hoss, Callcenter aus der Perspektive des Datenschutzes, 2012 Hubmann, Das Persönlichkeitsrecht, 2. Aufl. 1967 Immenga/Mestmäcker, Wettbewerbsrecht: GWB, Bd. 2., 4. Aufl. 2007 Jaeger, Insolvenzordnung, 2004 Jaeger/Metzger, Open Source Software: Rechtliche Rahmenbedingungen der Freien Software, 3. Aufl. 2011 XXXII
Literaturverzeichnis
Jansen, Einführung in die Netzwerkanalyse, 3. Aufl. 2006 Joecks/Miebach (Hrsg.), Münchener Kommentar zum Strafgesetzbuch, 2. Aufl. 2012 Kampffmeyer/Merkel, Dokumentenmanagement. Grundlagen und Zukunft, 2. Aufl. 1999 Karg, Datenschutzrechtliche Rahmenbedingungen, Geodaten, 2008 Karlsruher Kommentar zur Strafprozessordnung siehe Hannich Kaufmann/Hassemer/Neumann (Hrsg.), Einführung in die Rechtsphilosophie und Rechtstheorie der Gegenwart, 8. Aufl. 2011 Kautz, Schadensersatz im europäischen Datenschutzrecht: Die Umsetzung von Art. 23 der EG-Datenschutzrichtlinie in Großbritannien und Deutschland, 2006 Kemper/Eickler, Datenbanksysteme. Eine Einführung, 7. Aufl. 2009 Kilian/Heussen (Hrsg.), Computerrechts-Handbuch, Informationstechnologie in der Rechts- und Wirtschaftspraxis, Loseblatt Kindhäuser/Neumann/Paeffgen (Hrsg.), Strafgesetzbuch, 4. Aufl. 2013 Kirchhof/Stürner/Eidenmüller (Hrsg.), Münchener Kommentar zur Insolvenzordnung, 3. Aufl. 2013 Klamert, Die richtlinienkonforme Auslegung nationalen Rechts, 2001 Kloepfer, Informationsrecht, 2002 Koch, IT-Projektrecht, 2007 Koch, Zivilprozesspraxis in EDV-Sachen, RWS-Skript, 1988 Köhler/Bornkamm, Gesetz gegen den unlauteren Wettbewerb, 31. Aufl. 2013 Kosmides, Providing-Verträge: Systematik und Methodologie der Bestimmung von Rechtsnatur und Rechtsfolgen, 2009 Kosmides, Zivilrechtliche Haftung für Datenschutzverstöße: Eine Studie zu Art. 23 EG-Datenschutzrichtlinie und Art. 23 griechisches Datenschutzgesetz unter Berücksichtigung des deutschen Rechts, 2009 Kötz, Ziele des Haftungsrechts, in: Festschrift für E. Steindorff zum 70. Geburtstag, 1990, S. 643 Kötz/Wagner, Deliktsrecht, 11. Aufl. 2011 Krüger/Rauscher (Hrsg.), Münchener Kommentar zur Zivilprozessordnung, 4. Aufl. 2012 Kühl, Strafrecht Allgemeiner Teil, 6. Aufl. 2008 Lackner/Kühl, StGB, 26. Aufl. 2007 Lange/Schiemann, Schadensersatz, 3. Aufl. 2003 Larenz, Methodenlehre der Rechtswissenschaft, 6. Aufl. 1991 Larenz, Schuldrecht AT, Band I, 14. Aufl. 1987 Larenz/Canaris, Schuldrecht BT, Band II/2, 13. Aufl. 1994
XXXIII
Literaturverzeichnis
Laufhütte/Rissing-van Saan/Tiedemann, Leipziger Kommentar, Band 6, 12. Aufl. 2009, Band 10, 12. Aufl. 2011 Lehmann (Hrsg.), Electronic Business in Europa: Internationales, europäisches und deutsches Online-Recht, 2002 Lehmann, Rechtsschutz und Verwertung von Computerprogrammen, 2. Aufl. 1993 Lehmann/Meents (Hrsg.), Handbuch des Fachanwalts Informationstechnologierecht, 2. Aufl. 2011 Leible/Lehmann/Zech, Unkörperliche Güter im Zivilrecht, 2011 Leipziger Kommentar zum StGB siehe Laufhütte/Rissing-van Saan/Tiedemann Leistner, Der Rechtsschutz von Datenbanken im deutschen und europäischen Recht, 2000 Lessig, Code and Other Laws of Cyberspace, 1999 Leupold/Glossner (Hrsg.), Münchener Anwaltshandbuch IT-Recht, 2. Aufl. 2011 Liggesmeyer, Software-Qualität, Testen, Analysieren und Verifizieren von Software, 2. Aufl. 2009 Lochmann, Vom Wesen der Information. Eine allgemeinverständliche Betrachtung über Information in der Gesellschaft, in der Natur und in der Informationstheorie, 2004 Loewenheim, Handbuch des Urheberrechts, 2. Aufl. 2010 Löffler, Presserecht, 5. Aufl. 2006 Lorenz (Hrsg.), Karlsruher Forum 2010: Haftung und Versicherung im ITBereich, 2011 Löwe-Rosenberg, StPO, 26. Aufl. 2008 Machtan, Bismarcks Tod und Deutschlands Tränen. Reportage einer Tragödie, 1998 Malek, Strafsachen im Internet, 2005 v. Mangoldt/Klein/Starck, GG, Band 1, 6. Aufl. 2010 Marly, Praxishandbuch Softwarerecht, 5. Aufl. 2009 Martinek/Semler/Habermeier/Flohr, Vertriebsrecht, 3. Aufl. 2010 Mayer-Schönberger/Cukier, Big Data, 2013 Menezes/Oorschot/Vanstone, Handbook of Applied Cryptography, 1996 Menzler-Trott/Hahnel (Hrsg.), Call Center Evolution, 2002 Mestmäcker/Schulze, Kommentar zum deutschen Urheberrecht, Loseblatt Meyer-Goßner, StPO, 55. Aufl. 2012 Mitnick, Die Kunst des Einbruchs Risikofaktor IT, 2008 Moll (Hrsg.), Münchener Anwaltshandbuch Arbeitsrecht, 3. Aufl. 2012 Moos (Hrsg.), Datennutzungs- und Datenschutzverträge, 2014 XXXIV
Literaturverzeichnis
Moritz/Dreier (Hrsg.), Rechts-Handbuch zum E-Commerce, 2. Aufl. 2005 Müller, Das Verhältnis der Herausgabe- zur Handlungsvollstreckung, 1978 Müller/Bohne, Providerverträge, 2005 Müller-Glöge/Preis/Schmidt, Erfurter Kommentar zum Arbeitsrecht, 13. Aufl. 2013 Münchener Anwaltshandbuch Arbeitsrecht siehe Moll Münchener Anwaltshandbuch IT-Recht siehe Leupold/Glossner Münchener Kommentar zum Bürgerlichen Gesetzbuch siehe Rixecker/ Säcker/Oetker Münchener Kommentar zum Strafgesetzbuch siehe Joecks/Miebach Münchener Kommentar zur Insolvenzordnung siehe Kirchhof/Stürner/ Eidenmüller Münchener Kommentar zur Zivilprozessordnung siehe Krüger/Rauscher Müthlein/Heck, Outsourcing und Datenschutz, 3. Aufl. 2006 Nerlich/Römermann, Insolvenzordnung, Loseblatt Ohst, Computerprogramm und Datenbank, Definition und Abgrenzung im Urheberrecht, 2004 Pahlke/Koenig, Abgabenordnung, 2004 Palandt, Bürgerliches Gesetzbuch, 72. Aufl. 2013 Petersen, Civilprozessordnung, 5. Aufl. 1906 Pick, Data Migration – Concepts & Challenges, White Paper, 2001 Piper/Ohly/Sosnitza, Gesetz gegen den unlauteren Wettbewerb: UWG, 5. Aufl. 2010 Plath (Hrsg.), Bundesdatenschutzgesetz – Kommentar zum BDSG sowie den datenschutzrechtlichen Regelungen des TMG und des TKG, 2013 Prütting/Gehrlein, Zivilprozessordnung, 2010 Putzo, Zivilprozessordnung, 34. Aufl. 2013 Redeker (Hrsg.), Handbuch der IT-Verträge, Loseblatt Redeker, IT-Recht, 5. Aufl. 2012 Rhoton, Cloud Computing Explained, 2. Aufl. 2009 Richardi, Betriebsverfassungsgesetz, 13. Aufl. 2012 Richters/Wodtke, Schutz von Betriebs- und Geschäftsgeheimnissen, 2004 Riesenhuber (Hrsg.), Europäische Methodenlehre, Handbuch für Ausbildung und Praxis, 2. Aufl. 2010 Rixecker/Säcker/Oetker (Hrsg.), Münchener Kommentar zum Bürgerlichen Gesetzbuch, Band 1: Allgemeiner Teil, §§ 1–240, ProstG, AGG, 6. Aufl. 2012; Band 2: Schuldrecht Allgemeiner Teil, §§ 241–432, XXXV
Literaturverzeichnis
6. Aufl. 2012; Band 5: Schuldrecht Besonderer Teil III §§ 705–853, Partnerschaftsgesellschaftsgesetz, Produkthaftungsgesetz, 6. Aufl. 2013; Band 11: IPR, IntWR, Art. 25–248 EGBGB, 5. Aufl. 2010 Roßnagel (Hrsg.), Handbuch Datenschutzrecht: die neuen Grundlagen für Wirtschaft und Verwaltung, 2003 Roßnagel/Banzhaf/Grimm, Datenschutz im Electronic Commerce, 2003 Roßnagel/Pfitzmann/Garstka, Modernisierung des Datenschutzrechtes, Gutachten im Auftrag des Bundesministeriums des Inneren, 2001 Roxin, Strafrecht Allgemeiner Teil I, 4. Aufl. 2006 Saenger, Zivilprozessordnung, 4. Aufl. 2012 Schaar, Datenschutz im Internet, 2002 Schack, Urheber- und Urhebervertragsrecht, 5. Aufl. 2010 Schäfer/Ott, Lehrbuch der ökonomischen Analyse des Zivilrechts, 4. Aufl. 2005 Schaffland/Wiltfang, Bundesdatenschutzgesetz (BDSG), Ergänzbarer Kommentar nebst einschlägigen Rechtsvorschriften, 2013 Scheja, Datenschutzrechtliche Zulässigkeit einer weltweiten Kundendatenbank, 2006 Schneider, Handbuch des EDV-Rechts, 4. Aufl. 2009 Schneider/Graf von Westphalen (Hrsg.), Softwareerstellungsverträge, 2. Aufl. 2013 Schönberger, Postmortaler Persönlichkeitsschutz, 2011 Schönke/Schröder, Strafgesetzbuch Kommentar, 28. Aufl. 2010 Schricker/Loewenheim, Urheberrecht Kommentar, 4. Aufl. 2010 Schuster, Vertragshandbuch Telemedia, 2001 Schüttler, Dokumentenmanagement. Von den Grundlagen zum effizienten Einsatz im Unternehmen, 2012 Schütze/Weipert (Hrsg.), Münchener Vertragshandbuch, Bd. 3, 6. Aufl. 2009 Schwartmann, Praxishandbuch Medien-, IT- und Urheberrecht, 2. Aufl. 2011 Schwarz, Kommentar zur Abgabenordnung (AO), Loseblatt Sehirali, Schutz des Know-how nach türkischem, deutschem und europäischem Recht, 2003 Sharma/Nakamura, Wireless Data Services, 2003 Simitis (Hrsg.), Bundesdatenschutzgesetz, 7. Aufl. 2011 Solove, Understanding Privacy, 2009 Spindler, Vertragsrecht der Internet-Provider, 2. Aufl. 2004 Spindler/Schmitz/Geis, TDG – Teledienstegesetz, Teledienstedatenschutzgesetz, Signaturgesetz, 2004 Spindler/Schuster, Recht der elektronischen Medien, 2. Aufl. 2011 XXXVI
Literaturverzeichnis
Spinner, Die Wissensordnung, Ein Leitkonzept für die dritte Grundordnung des Informationszeitalters, 1994 Stahlknecht/Hasenkamp, Einführung in die Wirtschaftsinformatik, 11. Aufl. 2005 Staudinger, BGB, Buch 1, Allgemeiner Teil, 14. Aufl. 2012 Steinbicker, Zur Theorie der Informationsgesellschaft: Ein Vergleich der Ansätze von Peter Drucker, Daniel Bell und Manuel Castells, 2. Aufl. 2011 Steinbrecher/Müll-Schnurr, Dokumentenmanagement-Projekte zu Erfolg führen, 2008 Steinhauer, Bildregeln. Studien zum juristischen Bilderstreit, 2009 Stuckmann/Koch, Zivilprozessordnung, 7. Aufl. 1900 Taeger/Gabel (Hrsg.), Kommentar zum BDSG und zu den Datenschutzvorschriften des TKG und TMG, 2. Aufl. 2013 Taeger/Wiebe, Inside the Cloud – Neue Herausforderungen für das Informationsrecht: Tagungsband Herbstakademie 2009, 2009 Thalhofer (Hrsg.), Handbuch IT-Litigation, 2012 Thüsing, Arbeitnehmerdatenschutz und Compliance, 2010 Tinnefeld/Buchner/Petri, Einführung in das Datenschutzrecht: Datenschutz und Informationsfreiheit in europäischer Sicht, 5. Aufl. 2012 Uhlenbruck, Insolvenzordnung, 13. Aufl. 2010 Ullmann, juris PraxisKommentar UWG: Gesetz gegen den unlauteren Wettbewerb, 2. Aufl. 2009 Ulmer/Brandner/Hensen, AGB-Recht, 11. Aufl. 2011 Unseld, Die Kommerzialisierung personenbezogener Daten, 2010 Vorwerk/Wolf, Beck’scher Online-Kommentar ZPO Walter (Hrsg.), Europäisches Urheberrecht, 2001 Wandtke/Bullinger, Praxiskommentar zum Urheberrecht, 3. Aufl. 2009 Weber, Das Recht auf Informationszugang, 2005 Westermann, Handbuch Know-how-Schutz, 2007 Wiebe/Leupold, Recht der elektronischen Datenbanken, 2004 Wienecke/Koke, Call Center Praxis, 1997 Wiese/Krauß, Beck’sche Online-Formulare Vertragsrecht, 25. Aufl. 2013 Willinger/Gradl/Densborn/Roth, Datenmigration in SAP, 3. Aufl. 2012 Wittig, Wirtschaftsstrafrecht, 2011 Wolff/Brink (Hrsg.), Datenschutzrecht in Bund und Ländern, 2013 Wybitul, Handbuch Datenschutz im Unternehmen, 2011 Zech, Information als Schutzgegenstand, 2012 Zöller, Zivilprozessordnung, 30. Aufl. 2014 XXXVII
Teil 1 Einleitung §1 Data Is Law In seinen weltbekannten Veröffentlichungen „Code and Other Laws of 1 Cyberspace“ und „Code Is Law – On Liberty in Cyberspace“ prognostizierte Lawrence Lessig bereits zur Jahrtausendwende, dass sich der „Cyberspace“ von einem Ort, der die Anonymität, die Meinungsfreiheit und die individuelle Kontrolle schützt, zu einem Platz ändern würde, der die Anonymität schwieriger, die Meinungsäußerung weniger frei und die individuelle Kontrolle zu einem Fachgebiet für individuelle Experten machen würde1. In Zeiten von Big Data, NSA und mit Blick auf Daten und Datenbestände zunehmenden Bedrohungsszenarien, die sich für das Individuum ebenso wie für Unternehmen ergeben, wissen wir, dass diese Prognose alles andere als unzutreffend war. Lessig äußerte sich zweifelnd gegenüber einem unregulierten Schaffen 2 der Programmierer und der Softwareindustrie. „Code Is Law“ – die Softwareindustrie als Ersatzgesetzgeber sah er schon damals als große Gefahr, Selbstregulierung nicht als Alternative an: „Our choice is not between ‘regulation’ and ‘no regulation.’ The code regulates. It implements values, or not. It enables freedoms, or disables them. It protects privacy, or promotes monitoring. People choose how the code does these things. People write the code. Thus the choice is not whether people will decide how cyberspace regulates. People – coders – will. The only choice is whether we collectively will have a role in their choice – and thus in determining how these values regulate – or whether collectively we will allow the coders to select our values for us.“2
Mit anderen Worten sah Lessig die heute mehr denn je akute Gefahr, 3 dass sich Techniktrends verselbständigen, ohne reguliert zu werden. Oder kurz: Was software-technisch machbar ist, wird gemacht. Vor diesem Risiko hatte schon eine andere Harvard-Professorin gewarnt, nämlich Shoshana Zuboff. In ihrem Buch „In the Age of the Smart Machine – The Future of Work and Power“ formulierte sie drei Thesen, die heute auch „Zuboff’s Laws“ genannt werden: „1. Everything that can be automated will be automated. 2. Everything that can be informated will be informated.
1 Lessig, Code and Other Laws of Cyberspace, 1999, passim; Lessig, Havard Magazine, January/February 2000 (http://harvardmagazine.com/2000/01/code-is-lawhtml). 2 Lessig, Havard Magazine, January/February 2000 (http://harvardmagazine.com/ 2000/01/code-is-law-html). Conrad/Grtzmacher
1
§1
Data Is Law
3. Every digital application that can be used for surveillance and control will be used for surveillance and control.“1
4
Wie sich zeigt, sind diese Thesen aktueller denn je oder frei nach Shoshana Zuboff: „A new social logic is taking shape: It’s all about surveillance. The individual is used as a mere provider of data. It’s time to break the arrogance of Silicon Valley.“2
5
Führt man sich diese Aussagen vor Augen, darf man aber nicht vergessen, dass dieses die kritischen Stimmen amerikanischer Wissenschaftler sind. Denn so treffend die Analysen von Zuboff und Lessig im Grundsatz sind, so sehr waren und sind doch zumindest der europäische und der deutsche Gesetzgeber darum bemüht, mit den technischen Entwicklungen halbwegs Schritt zu halten. Allerdings ist dies in den letzten Jahren zusehends zu einer Herausforderung geworden. Das gilt in beider Hinsicht, dem Bemühen – man denke nur an die geplante Datenschutzgrundverordnung – wie den Schwierigkeiten in besonderem Maße für das Datenschutzrecht3.
6
In Zeiten von Big Data, NSA, der Gefahr des Kontrollverlustes über ganze Industrieanlagen4 aufgrund einiger weniger Daten fragt sich, ob es nicht statt „Code Is Law“ besser „Data Is Law“ heißen müsste. Denn nicht erst der Code nimmt Einfluss auf den Lauf der Dinge und die Grundfreiheiten. Es ist vielmehr schon das pure Datum. Das gilt nicht nur im Hinblick auf den Schutz von Daten und Datenbanken, sondern ebenso im Hinblick auf den Zugang zu diesen. So lässt sich „Data Is Law“ natürlich auch als „Wissen ist Macht“ interpretieren. Beispielsweise ist für viele Big-DataAnwendungen ein Zugang zu Daten öffentlicher Stellen von großer Bedeutung – etwa im Bereich der Verkehrstelematik behördliche Daten über genehmigungspflichtige Baustellen, Straßensperrungen, Lichtzeichenanlagen etc. Kartendatenmaterial ist seit langem wirtschaftlich relevant und der Zugang und die Verwendung immer wieder Gegenstand von urheberrechtlichen und kartellrechtlichen Streitigkeiten. Auch der Aufbau von Datenbanken mit öffentlichen Meldedaten durch Private (sog. Schattenmeldeämter) ist kein neues Phänomen5. Das Interesse an Echtzeitauswertungen von Staudaten ist groß und damit auch das am Zugang zu Da1 Zuboff, „The Surveillance Paradigm“, „Be the friction – Our Response to the New Lords of the Ring“, 25.6.2013 (http://www.faz.net/aktuell/feuilleton/thesurveillance-paradigm-be-the-friction-our-response-to-the-new-lords-of-the-ring12241996.html). 2 Zuboff, „The Surveillance Paradigm“, „Be the friction – Our Response to the New Lords of the Ring“, 25.6.2013 (http://www.faz.net/aktuell/feuilleton/thesurveillance-paradigm-be-the-friction-our-response-to-the-new-lords-of-the-ring12241996.html). 3 Dazu grundlegend Schneider/Härting, ZD 2012, 199 ff.; Härting/Schneider, CRi 2013, 19 ff., sowie Conrad/Schneider, S. 69. Daten-bezogenes Recht und Daten-bezogene Vorschriften sind nicht mehr jung. Das erste Datenschutzgesetz (das hessische) stammt, aus den 70er Jahren. Dennoch herrscht auch nach wie vor eine große – und zunehmende – Unklarheit im Hinblick auf die Terminologie und den Synchronisierungsbedarf. 4 S. auch den Stuxnet-Vorfall (http://de.wikipedia.org/wiki/Stuxnet). 5 Abel, RDV 2008,195.
2
Conrad/Grtzmacher
§1
Data Is Law
tenerhebungssystemen am Straßenrand1. Ob und wie lange die Mautdaten (noch) zweckgebunden ausgewertet werden, wird sich zeigen. Im Bereich der Telekommunikation hat der Gesetzgeber früh erkannt, dass der Zugang zu bestimmten Teilnehmerdaten elementar ist (siehe § 47 TKG). In vielen anderen Bereichen ist der Zugang zu Datenbanken nicht gesetzlich normiert. Gerade im Zusammenhang mit Daten und Datenbanken gibt es einige ökonomische Gründe, warum sich Informationsasymmetrien und De-facto-Standards und im Ergebnis Monopole bilden2. Die Anforderungen des BGH an den Zwangslizenzeinwand, der den Zugang zu den Daten schaffen und Wettbewerb fördern soll, sind streng. Teilweise wird diskutiert, ob dies europarechtskonform ist3. Daten beherrschen unser Leben und vor allem das Wirtschaftsleben derart 7 stark, dass – wie angedeutet – zumindest in Europa und Deutschland niemand mehr fürchten muss, es mangele hier an Regelungen. Vielmehr zeigt eine nähere Analyse, dass es eine Flut von Regelungen über den Umgang mit Daten gibt. Hier einen gewissen Überblick zu schaffen, ist ein Anliegen dieses Buches. Schon ein Blick in das Inhaltsverzeichnis zeigt, dass Daten und Datenbanken im Unternehmen von einer Vielzahl von Rechtsmaterien reguliert werden. Aus der Sicht des Unternehmens geht es darum, sich die Rechte an diesem Rohstoff des 21. Jahrhunderts zu sichern, die Eigentumsrechte und eigentumsähnlichen Positionen aus diversen Blickwinkeln zu betrachten und zu nutzen, um gleichzeitig zu erkennen, wo die Grenzen der Verfügungsbefugnis über diese Daten liegen. Hier kann das Einzeldatum genauso schützenswert sein (etwa als Betriebsgeheimnis oder systemkritischer Betriebszustand eines IT-Systems) wie konfliktträchtig (etwa bei der Preisgabe hochsensibler Daten Dritter). Die verschiedenen Ebenen zu überblicken, ist für Unternehmen heute 8 elementar. Denn ohne diesen Überblick laufen Unternehmen Gefahr, rechtsbrüchig zu werden: So kann es etwa zu Konflikten zwischen den Schutzrechten an Daten aus §§ 4, 87a UrhG einerseits kommen4 und dem Datenschutz auf der anderen Seite, wenn beispielsweise ein Unternehmen (Auftraggeber) seinen Webshop-Betrieb auslagert, weil der Auftraggeber im Alltag nicht mit Fernabsatz- und Verbrauchergeschäft belastet sein will. Erhebt und verarbeitet der Outsourcing-Anbieter die Kundendaten mit eigenen IT-Systemen, ist z.B. je nach Vergütungsmodell denkbar, dass der Outsourcing-Anbieter Hersteller der entstehenden Datenbank(en) ist, jedoch in datenschutzrechtlicher Hinsicht evtl. der Auftraggeber als Telemedienanbieter im Impressum des Webshops und als 1 S. auch Simon, Mehrwertdienste in der Verkehrstelematik und der Zugang zu Informationen und Datensammlungen, 2009, S. 22. 2 Grützmacher, § 20. 3 Körber, Standardessentielle Patente, FRAND-Verpflichtungen und Kartellrecht, 2013. 4 Im Übrigen auch schon unter diesen. Hier fällt z.B. die Rechtsinhaberschaft auseinander (s. dazu M. Hassemer, § 17) und die Schranken sind nicht ausreichend harmonisiert (s. dazu Koch, § 42). Conrad/Grtzmacher
3
§1
Data Is Law
Verkäufer in den Shop-AGB vorgesehen und somit datenschutzrechtlich die verantwortliche Stelle ist. 9
Ein Unternehmer muss z.B. auch erkennen, dass er personenbezogene Daten nach dem Datenschutz zwar innerhalb kürzester Zeit zu löschen hat, er nach dem HGB und der AO aber gerade zu deren Aufbewahrung verpflichtet ist1. Ein weiteres bekanntes Beispiel der Vielschichtigkeit und Komplexität der Normen zeigt sich im Bereich der Kundendaten und CRM-Systeme, wenn es darum geht, die Schnittmenge der datenschutzrechtlichen Erlaubnistatbestände und der des § 7 UWG herauszuarbeiten2. Weiter führen die Eigentumsrechte an Daten mitunter auch zu monopolähnlichen, nur durch das Kartellrecht zu mildernden Abhängigkeiten3. Ja selbst das Recht der Datensicherheit und der Datenschutz können in Konflikt geraten, etwa wenn es um die Frage der Protokollierung von Logdaten geht4.
10
Nicht zu übersehen ist auch, dass es Lücken in der Gesetzgebung gibt, dies nicht nur im Datenschutzrecht, sondern insbesondere auch bei der Frage, in welchem Umfang Daten im konkreten Einzelfall Sachen gleichzustellen sind. Wann ist ein Datum als solches deliktisch geschützt5, wie ist es als Gegenstand des Datenverkehrsrechts zu behandeln6? Und wie weit reicht die „Verfügungsmacht“ über die bei einem insolventen Provider „lagernden“ Daten7?
11
Neben diesen Normenkonflikten und normativen Lücken zeichnet sich das Recht der Daten und Datenbanken im Unternehmen durch eine überlagernde Vertragspraxis aus. Auch hier können Recht bzw. Gesetz und Vertrag kollidieren oder eben auch Lücken schließen. Jedenfalls trägt diese Ebene nicht dazu bei, dass die Daten und Datenbanken betreffende Materie für den Rechtsanwender leichter zu durchdringen wäre. Die eher schuldrechtliche Frage der „Data Ownership“ kann von der urheberrechtlichen und der datenschutzrechtlichen Beurteilung nicht gänzlich abgekoppelt werden.
12
Die Einheit der Rechtsordnung ist ein rechtsstaatliches Gebot. Das bedeutet nicht, dass die Begriffsdeutung in jedem Gesetz gleich sein muss. Die inzwischen abgelöste DIN-Norm 443008 unterscheidet für den Bereich der Informatik zwischen Zeichen, Daten und Informationen. Danach bestehen Daten aus Zeichen; Informationen werden Daten erst durch „bekannte oder unterstellte Abmachungen“, wodurch die reinen Zeichenfolgen 1 2 3 4 5 6 7 8
4
S. dazu Reitsam/Seonbuchner, § 60. S. dazu Feldmann/Höppner, § 48. Dazu Grützmacher, § 20. Dazu Forgo, § 64. Dazu Bartsch, §§ 22 und 57. Dazu Hoeren, § 23. Dazu Czarnetzki/Röder, § 25. Die ISO/IEC 2382-1 definiert Daten u.a. als „reinterpretable“ Darstellung von Informationen. Conrad/Grtzmacher
§1
Data Is Law
(Daten) Träger von Kenntnissen werden. Nach dieser Definition stehen die Daten eher im Lager der Informationstechnologie und der IT-Projekte, während die Information in die Nähe des Immaterialgüterrechts rückt. Die Definition im Strafrecht scheint sich an diese eher technische Definition anzulehnen. Nach § 202a Abs. 2 StGB (Ausspähen von Daten) sind Daten nur solche, die „nicht unmittelbar wahrnehmbar gespeichert sind oder übermittelt werden“. Das Datenschutzrecht setzt dagegen Daten und Informationen gleich. Einzig relevant im Datenschutzrecht ist die Unterscheidung personenbeziehbar oder nicht personenbeziehbar. Das Grundgesetz kennt – anders als die EU-Grundrechtecharta – kein Grundrecht auf Schutz personenbezogener Daten, sondern ein Recht auf informationelle Selbstbestimmung. Hinzu kommt seit 2008 ein Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme. Ob die Abkoppelung des formellen Datenschutzrechts vom Begriff der Information letztlich klug war, wird zunehmend bezweifelt1. Denn die Entwicklung von Big-Data-Anwendungen deutet an, dass die alten Differenzierungen personenbeziehbar/nicht personenbeziehbar – im Datenschutzrecht und im Bereich der IT und Informatik strukturierte/unstrukturierte Daten – mehr und mehr verschwimmen und damit tendenziell bedeutungslos werden. Zunehmend ist zu beobachten, dass gerade auch der europäische Gesetzgeber Normen im Hinblick auf Daten erlässt, die – betrachtet man unterschiedliche Rechtsgebiete – inkonsistent sind. Die verschiedenen Rechtsgebiete, die beim Thema Daten berührt sein können, sind einerseits Spezialmaterie und gleichzeitig so vielschichtig und reich an Querverbindungen, dass auch der EU-Kommission die Synchronisierung der Rechtsmaterien schwerfällt. Hinzu kommt, dass sich die unterschiedlichen Rechtsmaterien teilweise in einem naturgemäßen Spannungsverhältnis befinden (wie Datenschutz und IT-Sicherheit). Das gilt nicht nur, aber gerade auch für die Konzern-Compliance und die Pflichten von Konzernobergesellschaften. Während das Gesellschafts- und Datenschutzrecht grds. verlangt, dass jede Gesellschaft wie eine Insel behandelt wird, haften u.U. bei Kartellverstößen2 oder bei Verstößen gegen datenschutzrechtliche Binding Corporate Rules3 verbundene (EU-)Unternehmen, insbesondere die Muttergesellschaft. Die notwendige Konsequenz einer solchen Haftung wären unternehmensübergreifende Kontroll- und Überwachungsbefugnisse, die den Konzernen jedoch weitgehend untersagt sind, weil die Kontrolle regelmäßig mit der Auswertung personenbezogener Daten einhergeht. Speziell was den Umgang mit Daten betrifft, wäre zwingend erforderlich, insbesondere die Anforderungen des (IT-, TK-, Telemedien-)Vertragsrechts, Urheber-, Datenschutz- und Sicherheitsrechts, Gesellschafts-, Kartell-, Insolvenz- und Versicherungsrechts zu 1 S. Conrad/Schneider, § 69 Abschnitt III. 2 Conrad, MMR 2013, 413 auch zu Inkonsistenz zwischen der kartellrechtlichen TT-GVO und der urheberrechtlichen Computerrechtrichtlinie; zu kartellrechtlichen Aspekten bei der Datenhaltung s. Grützmacher, § 20. 3 Allgemein zu BCR s. Büllesbach, § 45; speziell zu BCR für Auftragsdatenverarbeiter s. Conrad/Filip, § 46. Conrad/Grtzmacher
5
§1
Data Is Law
synchronisieren. Denn wenn die Normadressaten bei Einhaltung verschiedener Normen grundlegenden Widersprüchen gegenüber stehen, die sogar an Compliance hindern, ist Nachbesserung erforderlich. 13
In Deutschland wird seit langem beklagt, dass das Insolvenzrecht die Rolle der Software und – zunehmend wichtiger der Daten – in der Insolvenz zu wenig berücksichtigt1. Insoweit sind geplante Novellen der InsO bislang versandet2.
14
In vielen Branchen ist die Versicherung von vertraglichen Risiken ein probates Mittel. Nur im IT-Bereich wächst erst allmählich ein Markt von spezifischen IT-Versicherungen. Es ist keineswegs selbstverständlich, dass die allgemeine (Berufs-)Haftpflicht IT-Risiken und Verlust oder Missbrauch der betrieblichen Daten mitumfasst. In einigen Policen sind solche Risiken sogar ausgeschlossen. Allgemein liegt der Fokus der Unternehmen, was das Thema Internes Kontrollsystem (IKS) und Risikomanagementsystem betrifft, zu wenig auf dem Schutz ihrer Daten. Dabei ist es Allgemeinwissen in den IT-Abteilungen, dass Daten von innen und außen bedroht werden3. Das liegt einerseits an einer selektiven Risikowahrnehmung, die ausblendet, dass mehr als die Hälfte der ausscheidenden Mitarbeiter unbefugt Daten mitnehmen und (leider) die Fälle zunehmen, in denen Mitarbeiter in fester Anstellung Datenhehlerei betreiben4.
15
Nicht nur der Gesetzgeber muss also Inkonsistenzen beseitigen, was das Recht der Daten und Datenbanken betrifft. Auch die Unternehmen müssen ihr betriebliches Datenrisikomanagement als einheitliches System begreifen und ausgestalten, was aufgrund des Facettenreichtums der Materie sehr anspruchsvoll ist. Bis die Inkonsistenzen beseitigt und die Lücken in der Gesetzgebung auch nur halbwegs geschlossen sind, werden im Zweifel noch Jahre oder gar Jahrzehnte vergehen. Fraglich ist, ob diese Aufgabe in Ansehung der sich ständig weiterentwickelnden Technologie überhaupt zu bewältigen ist5. Bis dieses geschehen ist, wird es wohl richtigerweise auch heißen müssen: „Data Is Law“. 1 S. Czarnetzki/Röder, § 25. 2 Am 18.7.2012 hat das Bundeskabinett einen „Gesetzesentwurf zur Verkürzung des Restschuldbefreiungsverfahrens und zur Stärkung der Gläubigerrechte“ beschlossen. Die Regelung der Insolvenzfestigkeit von Lizenzen (so noch BTDrucks. 16/7416, dort § 108a InsO-E), die u.a. von der IT-rechtlichen Praxis im Grundsatz erhofft worden war, ist gänzlich aus dem beschlossenen Gesetzesentwurf herausgefallen. Für die „insolvenzfeste“ Gestaltung von IT-Verträgen kommt es also weiterhin v.a. auf die einschlägige Rechtsprechung (und die Hartleibigkeit des Insolvenzverwalters) an – was unter Rechtssicherheitsgesichtspunkten als äußerst unbefriedigend angesehen wird. 3 Zum Geheimnisschutz s. Gennen, § 13. 4 S. dazu auch I. Hassemer, § 67. 5 Erforderlich wäre der ganz große Wurf, also ein Regelwerk größtmöglicher Abstraktion. Spinner hat hier mit seinem Werk „Die Wissensordnung, Ein Leitkonzept für die dritte Grundordnung des Informationszeitalters“, Opladen 1994 aus Sicht der Philosophie, Wissenschaftslehre und Wissenschaftssoziologie einen ersten Grundstein gelegt.
6
Conrad/Grtzmacher
Teil 2 Wirtschaftliche und technische Grundlagen §2 Datenmodellierung und Datenspeicherung Rz. I. Daten und Datenbankmanagementsysteme . . . . . . . . . . . . . . . . . 1. Relationale Datenbanken . . . . . . . 2. Objektorientierte Datenbanken . . II. Datenbank-Schemata und Datenmodellierung . . . . . . . . . . . . 1. Konzeptionelle, logische und physische Datenmodelle . . . . . . . 2. Objekte eines Datenmodells in einer relationalen Datenbank. . . . a) Tabellen und Relationen . . . . . b) Datenformate . . . . . . . . . . . . . . 3. Data vs. Code – aktive Objekte in Datenbanken . . . . . . . . . . . . . . . a) Funktionen, Prozeduren und Module . . . . . . . . . . . . . . . . b) Trigger . . . . . . . . . . . . . . . . . . . . 4. Geistig-schöpferische Aspekte bei der Datenmodellierung . . . . . .
1 4 6 8 9 16 16 29 31 32 36 39
Rz. a) Merkmal „geistig“ . . . . . . . . . . 41 b) Merkmal „Schöpfung“ . . . . . . . 43 III. Datenspeicherung . . . . . . . . . . . . . 1. Speicherung von Daten in Datenbankmanagementsystemen . . . . . 2. Technische Schutzmöglichkeiten . . . . . . . . . . . . . . . . . . . . . . . a) Verschlüsselung auf Betriebssystem- und Tablespace-Ebene b) Verschlüsselung auf der Transportebene . . . . . . . . . . . . . c) Zugriffsberechtigungen auf Schema- und Tabellenebene . . d) Zuschnitt der Berechtigung durch Datenbanksichten . . . . . e) Verschlüsselung und Verschleierung auf Feldebene . . . . f) Auditing/Protokollierung von Zugriffen. . . . . . . . . . . . . . .
48 48 51 52 54 55 57 59 60
I. Daten und Datenbankmanagementsysteme In Software manifestieren sich die Prozesse eines Unternehmens. Daten 1 beschreiben die Strukturen eines Unternehmens, die Zustände, die Vergangenheit und in großem Maße auch die Zukunftsplanung. Daten sind deswegen ein ganz wesentlicher Teil der Substanz eines Unternehmens. Daten sind in ihren Strukturen deutlich stabiler als Prozesse und Softwarestrukturen. Sie repräsentieren in abstrahierter Form physische und juristische Objekte der realen Welt – Personen, Produkte, Zustände, Verträge, Belege etc. Das Vorhalten und der Umgang mit Daten unterliegen vielfältigen Vor- 2 schriften, insbesondere zur Ordnungsmäßigkeit und Datensicherheit, von denen nicht zuletzt auch in diesem Buch die Rede ist. Daten sind in vielen Fällen in hohem Maße schützenswert, wenngleich solcher Schutz aufgrund des freien Umgangs mit Daten in weltweiten Netzwerken – „Information at Your Fingertips“ ist längst Realität geworden – technisch und juristisch immer schwieriger wird.
Hoppen
7
§2 3
Datenmodellierung und Datenspeicherung
Daten können in klar strukturierter und in mehr oder weniger unstrukturierter Form verwaltet werden. Gerade unstrukturierte Daten, oder Daten, deren Struktur nicht a priori feststeht, sondern erst im Laufe der weiteren Datenverarbeitung ermittelt wird, tragen in einem hohen Maße zum allseits festzustellenden starken Wachstum von Datenbeständen bei. Wenngleich es heute technische Ansätze gibt, auch mit unstrukturierten Daten umzugehen und darin Muster zu erkennen1, werden Unternehmensdaten heute überwiegend in wohlstrukturierter – modellierter – Form in sog. Datenbankmanagementsystemen verwaltet. Datenbankmanagementsysteme2 (DBMS) sind technische Softwaresysteme, mit denen Daten gespeichert werden. Datenbanken sind die mit solchen DBMS verwalteten Sammlungen von Datenbeständen aus einem Anwendungskontext. In einem DBMS können durchaus mehrere, vollkommen unabhängige, Datenbanken verwaltet werden. Von einem Datenbanksystem spricht man, wann man die konkrete Datenbank im Zusammenspiel mit dem sie verwaltenden Datenbankmanagementsystem meint. 1. Relationale Datenbanken
4
Die sog. relationale Datenbank ist heute der Stand der Technik und das Mittel der Wahl, um Unternehmensdaten effizient vorzuhalten und einer Verarbeitung zuzuführen. In einer relationalen Datenbank werden Datensätze in sog. Tabellen gespeichert. Die einzelnen Datenfelder eines Datensatzes entsprechen den Spalten einer Tabelle. Alle Datensätze einer Tabelle unterliegen der gleichen Struktur3, d.h. dem gleichen Spaltenaufbau.
5
Bedeutende kommerzielle Anbieter von relationalen DBMS (RDBMS) mit unterschiedlichem Verbreitungsgrad in den verschiedenen Systemumgebungen sind Oracle mit seiner Oracle-Datenbank und MySQL4, Microsoft mit SQL-Server, IBM mit den Datenbanksystemen DB2 und Informix, Sybase mit seinem Adaptive Server sowie SAP mit MySQL MaxDB und seiner neuen In-Memory-Datenbank Hana. Allen Datenbanken ist gemeinsam, dass sie über die Datenbanksprache SQL (structured query language) angesprochen werden, die bereits in den 70er-Jahren bei IBM auf den Grundlagen der Arbeiten von Codd entstand. Die Kernele-
1 Vgl. den Beitrag zur Real-Time-Auswertung und Big Data unter Stiemerling, § 6 Rz. 20 ff. 2 S. weiterführend Heide Balzert, Lehrbuch der Objektmodellierung – Analyse und Entwurf mit der UML2, S. 378 ff. 3 Anders als das bspw. in älteren Konzepten von Datenhaltungssystemen mit unterschiedlichen Satzarten der Fall war. 4 MySQL als das führende Open-Source-Datenbankmanagementsystem wurde zunächst durch Sun übernommen und fiel dann im Zuge der Sun-Akquisition an Oracle.
8
Hoppen
§2
I. Daten und Datenbankmanagementsysteme
mente der Sprache1 wurden seit 1986 zunächst vom American National Standards Institute (ANSI) und später von der ISO in mehreren fortgeschriebenen Entwicklungsstufen standardisiert, zuletzt 2011 in der aus mehreren Teilen bestehenden Norm ISO/IEC 9075. Jeder Hersteller hat die Kernsprache um eigene Sprachelemente ergänzt, mit denen in der Regel herstellerspezifische Funktionalitäten, die über den genormten Standard hinausgehen, angesprochen werden können. Einige Funktionen, die heute eigentlich von jedem der marktgängigen Produkte angeboten werden (gespeicherte Prozeduren, Funktionen, Trigger)2, sind in der Praxis uneinheitlich implementiert, obwohl hier eine einheitliche Ausgestaltung durchaus denkbar wäre und in der genannten Norm thematisiert wird. 2. Objektorientierte Datenbanken Moderne Softwareanwendungen werden objektorientiert erstellt. Ohne 6 hier in die Tiefe gehen zu können, sei nur angemerkt, dass es zum Wesen eines objektorientierten Softwareentwurfs gehört, Interessensgegenstände – meistens Objekte der realen Welt – als Softwareobjekte zu beschreiben, die über bestimmte Zustände (Eigenschaften, Attribute) und Verhaltensmerkmale (Methoden) verfügen. Datenstrukturen und Funktionalitäten auf diesen Daten werden integriert, der Zugriff auf die Objekteigenschaften erfolgt gekapselt und mit Methoden, die die erforderlichen fachlichen Funktionen bereitstellen. Ein Grundprinzip der objektorientierten Programmierung ist zudem die Möglichkeit, Attribute und Methoden einer generellen Objektklasse auch spezialisierten Objektklassen zu vererben. Nur mit diesen Prinzipien sind die komplexen Funktionalitäten heutiger Softwaresysteme überhaupt realisierbar. Dieses Modell wird in allen gängigen objektorientierten Programmiersprachen unterstützt und ist deutlich jünger als das Modell der relationalen Datenbanken. Die dauerhafte Speicherung von solchen Softwareobjekten aus dem Hauptspeicher in eine Datenbank (sog. Persistenz) erfordert dabei eine Umsetzung der Objektattribute auf Tabellenfeldern und Generierung von entsprechenden Datenbankbefehlen bei Änderungen von Objekten. Da Objekte einer objektorientierten Programmiersprache nicht zwingend einheitlich strukturiert sein müssen – anders als Tabellen einer relationalen Datenbank – ist die Abbildung solcher Softwareobjekte auf eine relationale Datenbank nicht trivial und war in der programmtechnischen Umsetzung bisweilen mühsam3. Deswegen gab und gibt es 1 Bspw. aber bei weitem nicht abschließend: Befehle zur Anlage von Speicherstrukturen (CREATE TABLE) und zum Einfügen (INSERT), Ändern (UPDATE), Abfragen (SELECT) und Löschen (DELETE) von Daten. 2 S. hierzu weiter unten Rz. 31 ff. 3 Zu den Unterschieden objektorientierter und relationaler Datenhaltung und der zwischen den beiden Welten erforderlichen objektrelationalen Abbildung vgl. weitergehend Heide Balzert, Lehrbuch der Objektmodellierung – Analyse und Entwurf mit der UML2, S. 390 ff. und Helmut Balzert, Lehrbuch der Softwaretechnik – Basiskonzepte und Requirements Engineering, S. 200 f. Hoppen
9
§2
Datenmodellierung und Datenspeicherung
Ansätze, objektorientierte Datenbankmanagementsysteme (ODBMS) zu entwickeln, die unmittelbar an die Speicherstrukturen objektorientiert programmierter Software angebunden werden können und die Prinzipien der Objektorientierung in sich fortführen1. Im Vergleich zu relationalen Datenbankmanagementsystemen haben sich jedoch bisher keine bedeutenden Produkte am Markt etabliert, allenfalls Nischenprodukte. Es ist eher festzustellen, dass in den letzten Jahren die Stellung der relationalen DBMS im Zusammenspiel mit objektorientierter Software gefestigt wurde. Diese Systeme verfügen zwischenzeitlich über (allerdings nur selten genutzte) objektorientierte Möglichkeiten. Zudem gibt es gute Persistenz-Frameworks für fast alle Programmiersprachen, die die Schnittstelle zu objektorientierter Software realisieren und den dafür erforderlichen Quellcode teilweise automatisch generieren. 7
Deswegen konzentriert sich dieser Beitrag auf relationale DBMS.
II. Datenbank-Schemata und Datenmodellierung 8
Bevor Daten in einem Datenbankmanagementsystem abgespeichert werden können, sind die Strukturen festzulegen, in denen gespeichert wird. Der ingenieurmäßige Vorgang, in dem solche Strukturen festgelegt werden, wird in der Informatik Datenmodellierung genannt und verläuft in mehreren Schritten vom Abstrakten zum Konkreten. 1. Konzeptionelle, logische und physische Datenmodelle
9
Bei der Datenmodellierung geht es darum, eine technische Repräsentation zu finden, die für eine effiziente Datenverarbeitung im Sinne der Aufgabenstellung möglichst geeignet ist. Die Beurteilungskriterien sind dabei vielfältig, es geht i.d.R. um Vermeidung von Redundanzen (die gleiche Information soll nicht doppelt gespeichert werden, damit sich eine zentrale Änderung an einer Stelle in allen fachlichen Kontexten auswirkt), klare verständliche, gut handhabbare und wartbare Strukturen, fachlich konsistente Datenzustände, performante Zugriffspfade, effiziente Ressourcen-Nutzung, Verteilung von Daten bei sehr großen Datenbeständen, Versionierung und Protokollierung von geänderten Datensätzen. Hierzu wird typischer Weise aus der fachlichen Aufgabenstellung heraus zunächst abstrakt analysiert, welche Objekte der Realität denn überhaupt datenmäßig gespeichert und verarbeitet werden müssen, mit welchen Attributen diese Objekte im Sinne der fachlichen Aufgabenstellung zu beschreiben sind und wie diese Objekte untereinander in Beziehung stehen. So entsteht ein konzeptionelles Datenmodell. Die Modellierung erfolgt sehr häufig grafisch in einer leicht verständlichen Form, die mit dem Auftraggeber bzw. den zukünftigen Anwendern gut abge1 Atkinson/Bancilhon/DeWitt/Dittrich/Maier/Zdonik, The object-oriented Database System Manifesto.
10
Hoppen
§2
II. Datenbank-Schemata und Datenmodellierung
stimmt werden kann. Die einzelnen zu speichernden Objekte werden als Boxen dargestellt (z.B. Person und Vertrag), die Informationselemente, die zu den Objekten gespeichert werden, werden in der Box aufgelistet und benannt (z.B. Name, Adresse und Geburtsdatum bei Person, Datum, Vertragsgegenstand und Betrag bei Vertrag). Die Beziehungen zwischen den Objekten werden durch Verbindungslinien zwischen den Objekten dargestellt und können mit einem bezeichnenden Text, in der Regel einem Verb, näher erläutert werden (im Beispiel zeigt eine mit „hat Kaufvertrag unterzeichnet“ bezeichnete Verbindung auf, dass eine Person einen Vertrag schließen kann; in der Verbindung können Kardinalitäten festgelegt werden, bspw. können einer Person beliebig viele Verträge zugeordnet sein, einem Vertrag aber vielleicht nur genau eine Person, vielleicht aber auch, je nach fachlicher Aufgabenstellung, mehrere). Die beschriebenen Objekte werden in der Modellierung Entitäten (engl. entities) genannt, die Beziehungen zwischen den Objekten Relationen (engl. relations). Das entstandene Modell nennt sich Entity-Relationship-Modell (E/R-Modell), eine grafische Darstellung wird als E/R-Diagramm bezeichnet1. Im nächsten Schritt entsteht das logische Datenmodell. Hier werden not- 10 wendige Realisierungsdetails festgelegt, die für die Betrachtung in einem konzeptionellen Datenmodell noch unerheblich sind oder vom Wichtigen ablenken würden. Dazu gehören die Ausdifferenzierung der zu speichernden Objektattribute (Datenfelder) und die Umsetzung der Objektrelationen in Tabellenform. Im o.g. Beispiel wäre bspw. festzulegen, wie der Name gespeichert wird, als einzelnes Textfeld oder differenziert nach Titel, Vor- und Nachname, welche Felder Text, welche Felder numerische Werte und welche Felder Datumsangaben speichern sollen, welche Wertebereiche die möglichen Einträge umfassen dürfen (Textlänge, minimale/maximale Beträge, darf ein Feld leer (Null) bleiben?). Wenn ein Objektattribut mehrere Werte aufnehmen kann (multidimensionale Datenstrukturen, bspw. Adresse bei Person), ist eine Untertabelle zu bilden, in der die Werte in jeweils mehreren Datensätzen gespeichert werden können. Es ist in dieser Phase auch festzulegen, wie ein Datenobjekt später überhaupt von der Software identifiziert werden soll (bspw. die Person über ihren Namen oder über eine Nummer, der Vertrag über eine Vertragsnummer) und wie diese Identifizierungsmerkmale gebildet werden. Bestehen zwischen Objekttypen n:m-Beziehungen (bspw. mehrere Personen können jeweils mehrere Verträge schließen), sind diese über eigene Datenbanktabellen abzubilden. Schließlich ist – sofern schon erkennbar – festzulegen, über welche Suchbegriffe überwiegend auf die Daten zugegriffen werden wird, damit entsprechende Suchindizes in der Datenbank definiert werden können. Bei der Bildung des logischen Datenmodells findet die sog. Normalisie- 11 rung statt. Hierunter ist ein Verfahren der Informatik zu verstehen, des1 S. weiterführend Helmut Balzert, Lehrbuch der Softwaretechnik – Basiskonzepte und Requirements Engineering, S. 199 ff. (207 f.). Hoppen
11
§2
Datenmodellierung und Datenspeicherung
sen Ziel es ist, fachlich-inhaltlich identische Informationen nur einmal zu speichern, auch wenn sie Bestandteil mehrerer Datensätze sind. Bei der Normalisierung werden solche Redundanzen nach einer eigenen wissenschaftlichen Theorie mit mehreren sog. Normalformen beseitigt. Ungünstige Normalisierung kann sowohl zu fachlichen Unzulänglichkeiten der Anwendung als auch zu Performanz-Problemen führen. Bspw. kann bei falscher Modellierung die Änderung einer Kundenadresse auch rückwirkend auf alte Belege „durchschlagen“. Hier ist das richtige Maß zu finden. 12
Die Arbeiten in dieser Phase richten sich prinzipiell bereits an den technischen Möglichkeiten des Datenbankmanagementsystems aus. Aufgrund der weitgehenden Übereinstimmungen und konzeptionell gemeinsamen Basis praktisch aller relationalen Datenbanken sind diese Arbeiten aber noch weitgehend unabhängig von dem konkret eingesetzten Produkt.
13
Schließlich wird das physische Datenmodell gebildet. Alle erforderlichen technischen Detailfragen sind bereits vollständig in dem logischen Datenmodell geklärt und werden in ein oder mehrere Skripte in der Syntax des eingesetzten DBMS gebracht (sog. DDL1-Skripte), die dort ausgeführt werden können und im Ergebnis zur Anlage einer konkreten einsatzfähigen Datenbank mit den spezifizierten Ausprägungen führen. In dieser Phase werden ggf. noch abstrakte Feldbezeichnungen in technische Bezeichner umgesetzt, wie sie endgültig in der Datenbank verwendet werden sollen (z.B. „Vorname“ umsetzen in „strVORNAME“) und ergänzend Indizes zur Optimierung des Datenzugriffs gesetzt. Zudem wird spezifiziert, wie sich die Datenbank-Objekte auf eines oder mehrere sog. Datenbank-Schemata2 verteilen.
14
Die vorstehend beschriebenen Phasen der Entwicklung eines Datenmodells werden in der Praxis teilweise überlappend ausgeführt. Fachlichinhaltlich müssen alle beschriebenen Tätigkeiten vollzogen werden. Es gibt viele Software-Werkzeuge, die den Entwickler bei der Bildung des Datenmodells auf den verschiedenen Abstraktionsebenen unterstützen und aus den erhobenen abstrakten Informationen (konzeptionelles und logisches Datenmodell) automatisch das physische Datenmodell generieren können, auch in mehreren Fassungen für unterschiedliche DBMS.
15
Wenn das physische Datenmodell mit dem standardisierten Funktionsund Sprachumfang von SQL definiert wird, können auch herstellerunabhängige Skripte erstellt werden, die von allen Datenbankmanagementsystemen verstanden werden. In der Praxis bedeutet diese Unabhängigkeit aber den Verzicht auf viele leistungsfähige Funktionsmerkmale einer zeitgemäßen Datenbank. Tatsächlich werden unter Vermarktungsgesichtspunkten vor dem Hintergrund der Datenbankunabhängigkeit 1 DDL: data definiton language. 2 Ein Datenbank-Schema ist in der Regel die gröbste Einheit in der Berechtigungssteuerung.
12
Hoppen
§2
II. Datenbank-Schemata und Datenmodellierung
viele Softwaresysteme entwickelt, die die Datenbank nur rein zum Speichern von Daten in Tabellen verwenden und sich auf Standard-SQL beschränken. Funktionalitäten, die eigentlich – und technisch sehr sinnvoll – bereits auf der Datenbankebene abgebildet werden können, werden dann in die Datenbank-Zugriffsschichten der Anwendung verlagert. In der heute fast durchgängig praktizierten objektorientierten Softwareentwicklung werden hierbei Objektklassen des Quellcodes zum Speichern der Daten in der Datenbank (sog. Persistenz-Schicht) generiert, häufig auch werkzeugunterstützt. Das Datenmodell wird dadurch datenbankunabhängig. 2. Objekte eines Datenmodells in einer relationalen Datenbank a) Tabellen und Relationen In einer relationalen Datenbank werden alle Daten in sog. Tabellen (ta- 16 bles) gespeichert. Jede Tabelle umfasst eine oder (in der Regel) mehrere Spalten (columns), die die Datenstruktur der in der Tabelle zu speichernden Daten definieren. Alle Datensätze (rows), die in einer Tabelle gespeichert sind, haben somit den gleichen Aufbau. Ein DDL-Befehl in SQL zum Anlegen der Personen-Tabelle aus dem bis- 17 her verwendeten Beispiel lautet z.B.: CREATE TA BLE PERSONEN ( PERSONEN_ID DECIMAL(8,0) NOT NULL, VORNAME CHARACTER(50), NACHNAME CHARACTER(50), GEBURTSTAG DATE, EMAIL CHARACTER(100), CONSTRAINT PK_PERSONEN PRIMARY KEY (PERSONEN_ID));
In der Regel (aber nicht zwingend erforderlich), wird ein sog. Primär- 18 schlüssel (primary key) definiert, über den jeder Datensatz eindeutig identifiziert werden kann (im Beispiel dient hierzu das Feld PERSONEN_ID, definiert über die Constraint-Klausel am Ende des Befehls). Der Verweis auf einen Datensatz von Datensätzen anderer Tabellen ge- 19 schieht dann dadurch, dass der Primärschlüssel des referenzierten Datensatzes in der jeweils anderen Tabelle in einem sog. Fremdschlüssel-Feld (foreign key) gespeichert wird. In dem einfachen Beispiel aus diesem Beitrag kann eine Vertrags-Tabelle bspw. mit CREATE TABLE VERTRAEGE ( VERTRAGS_ID DECIMAL(8,0) NOT NULL, DATUM DATE, VERTRAGSGEGENSTAND CHARACTER((2000), BETRAG DECIMAL(8,2), VERTRAGSPARTNER_ID DECIMAL(8,0),
Hoppen
13
§2
Datenmodellierung und Datenspeicherung
CONSTRAINT PK_VERTRAEGE PRIMARY KEY (VETRAGS_ID), CONSTRAINT FK_VERTRAEGE_PERSONEN FOREIGN KEY (VERTRAGSPARTNER_ID) REFERENCES PERSONEN (PERSONEN_ID));
angelegt werden. In dem Feld VERTRAGSPARTNER_ID wird dann die PERSONEN_ID des jeweiligen Vertragspartners gespeichert. 20
Mit der Klausel CONSTRAINT FK_VERTRAEGE_PERSONEN FOREIGN KEY (VERTRAGSPARTNER_ID) REFERENCES PERSONEN (PERSONEN_ID) wird dem Datenbankmanagementsystem mitgeteilt, dass VERTRAGSPARTNER_ID ein Fremdschlüssel ist und in diesem Feld nur gültige PERSONEN_IDs aus der Tabelle PERSONEN eingetragen werden
dürfen. 21
Auf der Ebene der Relationen kann bestimmt werden, wie sich bestimmte Änderungen auf abhängige Datensätze auswirken sollen. Bspw. kann festgelegt werden, dass eine Person nur dann aus der Datenbank gelöscht werden kann, wenn ihr kein Vertrag zugeordnet wurde. Alternativ könnte auch festgelegt werden, dass bei Löschen einer Person alle zugeordneten Verträge zwingend mit zu löschen sind.
22
Werden Daten häufig in bestimmter Reihenfolge benötigt oder nach bestimmten Feldern sortiert, können Indizes zum gezielten Zugriff angelegt werden: CREATE INDEX K1_PERSONEN ON PERSONEN (NACHNAME, VORNAME);
23
Der Zugriff auf die in diesen Strukturen gespeicherten Daten geschieht über den SELECT-Befehl von SQL. Bspw. erzeugt SELECT NACHNAME, VORNAME, GEBURTSDATUM FROM PERSONEN WHERE GEBURTSDATUM =‚23.11.1943
eine Liste der am 23.11.1943 geborenen Personen – soweit sie in der Datenbank gespeichert sind. 24
Die Inhalte mehrerer Tabellen können in einer solchen Abfrage über Fremdschlüssel verknüpft werden. Bspw. lassen sich alle einzelnen Verträge mit den Namen der Vertragspartner mit folgender Abfrage auflisten, sortiert nach Nachname und Vertragsvolumen: SELECT NACHNAME, VORNAME, VERTRAGSGEGENSTAND, BETRAG FROM VERTRAEGE, PERSONEN WHERE VERTRAEGE.VERTRAGSPARTNER_ID = PERSONEN.PERSONEN_ID ORDER BY NACHNAME, BETRAG
25
Eine Liste der größten Vertragspartner, jeweils mit dem Gesamt-Vertragsvolumen über alle Verträge und absteigend sortiert nach Vertragsvolumen erhält man mit:
14
Hoppen
§2
II. Datenbank-Schemata und Datenmodellierung SELECT NACHNAME, VORNAME, SUM(BETRAG) FROM VERTRAEGE, PERSONEN WHERE VERTRAEGE.VERTRAGSPARTNER_ID = PERSONEN.PERSONEN_ID ORDER BY SUM(BETRAG) DESC
Wird eine solche Abfrage regelmäßig benötigt, kann sie in der Datenbank 26 als sog. View definiert werden, der dann einfach über einen SELECT-Befehl angesprochen werden kann, im Beispiel etwa SELECT * FROM UEBERSICHT_VERTRAGSVOLUMEN.
Diese sehr einfachen Beispiele sollen nur grob die Möglichkeiten anrei- 27 ßen. Mit SQL lassen sich außerordentlich komplexe Abfragen formulieren, die auch sehr große Datenbestände effizient auswerten können. In der SQL-Abfrage wird dabei nur definiert, was ausgegeben werden soll. Wie dies am besten erfolgen soll, wird nicht weiter programmiert, sondern von dem Datenbankmanagementsystem automatisch bestimmt, und zwar nach komplexen Algorithmen unter Berücksichtigung der verfügbaren Indizes, Zugriffsstatistiken und anderer Informationen. Gleiches gilt für Änderungen an Datenbeständen. Mit einfachen Befeh- 28 len können umfangreiche Änderungen veranlasst werden, ohne dass im Einzelnen programmiert wird, wie auf die zu ändernden Daten zugegriffen wird. Bspw. können – quasi als Geburtstagsgeschenk – alle Verträge einer am 23.11.1943 geborenen Person mit folgendem Befehl auf kostenfrei gestellt werden: UPDATE VERTRAEGE SET BETRAG = 0 WHERE VERTRAGSPARTNER_ID IN (SELECT PERSONEN_ID FROM PERSONEN WHERE GEBURTSDATUM =‚23.11.1943 AND NACHNAME = ‚Schneider)
b) Datenformate Die einzelnen Felder (Spalten, columns) einer Tabelle können Daten in 29 verschiedenen Datenformaten enthalten. Bei der Definition der Tabelle im Datenbank-Schema wird das Format festgelegt. Typische und standardisierte Datenformate sind Textfolgen (CHARACTER), Datums- oder Zeitangaben (DATE, TIME) oder Zahlenwerte in verschiedenen Varianten als Ganzzahl (INTEGER, SMALLINT), Festkommazahl (DECIMAL) oder Gleitkommazahlen (REAL)1. Die meisten DBMS bieten eine ganze Reihe weiterer Datentypen an, da- 30 runter auch Felder zum Speichern sehr langer Texte (die einer Volltextindizierung unterzogen werden können) oder beliebiger binärer Daten wie Office-Dateien, PDF-Dateien, Bild-, Musik- oder Filmdateien.
1 In dem weiter oben genannten Beispiel zu CREATE TABLE werden solche Datenformate verwendet. Hoppen
15
§2
Datenmodellierung und Datenspeicherung
3. Data vs. Code – aktive Objekte in Datenbanken 31
Aktuell am Markt angebotene DBMS ermöglichen durchgängig die Programmierung von Code, der auf dem Datenbankmanagementsystem ausgeführt werden kann und Operationen auf den gespeicherten Daten durchführt. Hier kommen unterschiedliche, traditionell herstellerspezifische Programmiersprachen zum Einsatz, die Entwicklung geht aber dahin, dass mehrere Programmiersprachen unterstützt werden, und sich tendenziell ähnlichere Architekturen, bspw. unter Verwendung der Sprache Java, entwickeln. Der Vorteil von Programmcode im DBMS ist, dass er sehr nah an den Daten arbeiten kann, in der Regel mit entsprechender Performanz. Außerdem lässt sich die Ausführung von solchem Code zwingend an bestimmte Ereignisse in der Datenbank koppeln (sog. Trigger, s.u. Rz. 36 ff.). a) Funktionen, Prozeduren und Module
32
Funktionen sind Programme, denen als Parameter Werte übergeben werden und die ihrerseits einen Wert liefern. Solche Funktionen können in gängigen DBMS definiert und dann in Abfragen verwendet werden. Bspw. könnte eine einfache Funktion zur Währungsumrechnung CONVERT_TO_USDOLLAR definiert werden und dann in dem Beispiel aus diesem Beitrag zur Ausgabe der Vertragsvolumina in US-Dollar verwendet werden: SELECT DATUM, VERTRAGSGEGENSTAND, CONVERT_TO_USDOLLAR(BETRAG) AS BETRAG_USDOLLAR FROM VERTRAEGE
33
Es ist damit möglich, Daten in einer Form von der Datenbank abzurufen, in der sie überhaupt nicht originär gespeichert wurden. Die mit solchen Funktionen implementierte Funktionalität kann natürlich auch auf Anwendungsebene realisiert werden. Der Vorteil einer Datenbankfunktion ist, dass diese zentral allen Programmen, die Daten abrufen, zur Verfügung steht. Tatsächlich erfolgt die Implementierung solcher Funktionen in einer Programmiersprache, die über alle Sprachkonstrukte traditioneller Programmiersprachen, die zur Anwendungsentwicklung verwendet werden, verfügt (bspw. bei Oracle in der Sprache PL/SQL).
34
Im Beispiel könnte die Funktion CONVERT_TO_USDOLLAR wie folgt definiert werden: CREATE FUNCTION CONVERT_TO_USDOLLAR (PAR_EUR_BETRAG in NUMBER) RETURN NUMBER AS KURS NUMBER; BEGIN SELECT KURSZUEUR INTO KURS FROM AKTUELLE_KURSE WHERE WAEHRG = ‚USD; RETURN (ROUND(PAR_EUR_BETRAG/KURS,2)); END;
16
Hoppen
§2
II. Datenbank-Schemata und Datenmodellierung
Prozeduren sind ebenfalls Programme, die auf der Datenbank aufgerufen 35 werden können, aber keinen Wert zurückliefern, sondern eine Verarbeitung der gespeicherten Daten vornehmen (sog. stored procedures). Umfangreiche Batch-Verarbeitungen, die regelmäßig ausgeführt werden sollen, lassen sich so realisieren. b) Trigger Über das Trigger-Konzept kann erreicht werden, dass bei Datenände- 36 rungen bestimmte Prozeduren zwingend ausgeführt werden, die bspw. weitere, fachlich erforderliche Änderungen an anderen Datenbeständen vornehmen. Im hier verwendeten Beispiel könnte bspw. ein Trigger programmiert werden, der beim Löschen einer Person alle Verträge der Person löscht und den Löschvorgang in der Tabelle (DELETION_LOG) protokolliert: CREATE TRIGGER TR_PERSONEN_D BEFORE DELETE ON PERSONEN FOR EACH ROW BEGIN DELETE FROM VERTRAEGE WHERE VERTRAGSPARTNER_ID = PERSONEN_ID; INSERT INTO DELETION_LOG VALUES (SYSDATE, USER, PERSONEN_ID, NACHNAME, VORNAME); END;
Solche Verarbeitung könnte natürlich auch auf Anwendungsebene er- 37 folgen. Dann wäre aber bspw. nicht sichergestellt, dass zwingend eine Protokollierung erfolgt, sondern die anforderungsgemäße Beschickung der Tabellen wäre vom „Wohlverhalten“ der Applikation abhängig. Eine missbräuchliche Anwendung könnte eine Person löschen, ohne dass dies protokolliert wird. Über Trigger können also bestimmte abhängige Verarbeitungen erzwun- 38 gen werden und es kann Konsistenz zwischen eigentlich redundanten Datenobjekten einer Datenbank sichergestellt werden. 4. Geistig-schöpferische Aspekte bei der Datenmodellierung Datenmodellierung – also der Entwurf eines physischen Datenmodells 39 und konkreter Datenbank-Schemata – ist ein integraler Bestandteil des Softwareentwicklungsprozesses. Die wesentlichen Arbeiten in der vorstehend beschriebenen Art – Entwicklung konzeptioneller und logischer Datenmodelle – sind Bestandteil der Entwurfsphase. Die Entwicklung des physischen Datenmodells ist der Implementierungs-/Codierungsphase zuzurechnen.
Hoppen
17
§2 40
Datenmodellierung und Datenspeicherung
Aus technischer Sicht ist die Entwicklung eines Datenmodells ein geistig-schöpferischer Akt, in der Komplexität durchaus vergleichbar mit Programmiertätigkeiten. a) Merkmal „geistig“
41
Ein Datenmodell ist in aller Regel kein Ergebnis maschinell-mechanischer Tätigkeiten, sondern wird von einem Menschen geschaffen und entspringt dessen Gedanken- und Gefühlswelt. Es ist eine Gedankenäußerung als Ergebnis eines bewusst vollzogenen geistigen Abwägungsprozesses auf der Basis von fachlich-funktionellen Anforderungen. Dabei kann das Arbeitsergebnis durchaus so formal formuliert sein, dass es nur Fachleuten verständlich ist oder direkt zur Verarbeitung durch ein Datenverarbeitungssystem geeignet ist, beispielsweise in einer Darstellung unter Verwendung von Beschreibungsmitteln der Informatik (UML, E/R-Diagramme, SQL-Skripte).
42
Lediglich die reine Umsetzung eines vorgegebenen konzeptionellen in ein logisches Datenmodell oder eines vorgegebenen logischen in ein physisches Datenmodell trägt keine geistigen Aspekte, wenn sie nicht von einem Menschen, sondern maschinell von einem Modellierungstool vorgenommen wurde. b) Merkmal „Schöpfung“
43
Ein Datenmodell ist die wahrnehmbare Konkretisierung und Beschreibung (Verkörperung) eines konkreten Vorstellungsinhalts, die der Werkschöpfer entwickelt und niedergeschrieben hat – beispielsweise in Form einer Entwurfsdokumentation vom konzeptionellen bis zum physischen Datenmodell – und die danach von Anderen durch Lesen oder als Ergebnis der Ausführung von Skripten sinnlich wahrgenommen und verstanden werden kann, ohne dass der Rezipient den gleichen „Schöpfungsprozess“ durchlaufen muss. Wenn es sich bei einem Datenmodell nicht ausschließlich um die Gestaltung eines trivialen oder völlig banalen, sachbedingten Sachverhaltes handelt (bspw. Adressfeld strukturiert in Vorname, Nachname, Straße, PLZ und Ort), bestehen in der Gestaltung eines Datenmodells fast immer erhebliche denkbare Variationsmöglichkeiten. Insofern lassen sich in der Regel aus technischer Sicht in einem Datenmodell Merkmale identifizieren, die sich von bisher Bekanntem unterscheiden und in dieser Form bisher noch nicht beschrieben wurden, also eine gewisse Individualität oder statistische Einmaligkeit aufweisen.
44
Bei der Beurteilung von Software wurde das Merkmal einer besonderen Schöpfungs- bzw. Gestaltungshöhe von der Rechtsprechung faktisch aufgegeben1. Aus rechtlicher Sicht ist zu beurteilen, wann für eine Datenmodellierung eher ein Schutz als Datenbankwerk oder als sons1 Grützmacher in Wandtke/Bullinger, Urheberrecht, § 69a Rz. 33 ff.
18
Hoppen
§2
II. Datenbank-Schemata und Datenmodellierung
tiges Sprachwerk in Betracht kommen kann. Das LG Frankfurt hatte bei der Beurteilung einer XML-Datei den Schutz als sonstiges Sprachwerk geprüft, für das der „kleine Münze“-Schutz zumindest nach h.M. nicht gilt (da Gebrauchstext)1. Von daher wären die Anforderungen an Individualität und Originalität vergleichsweise höher als bei Computerprogrammen. Aus technischer Sicht spricht nichts dagegen, Argumente aus der ur- 45 heberrechtlichen Beurteilung von Software auch auf Datenmodelle zu übertragen. Spätestens wenn das Datenbank-Modell auch aktive Elemente wie Funktionen, Prozeduren oder Trigger enthält, handelt es sich um Software – bestehend aus der strukturellen Definition der Datenbank und des Programmcode zur Ausführung von Funktionen auf den Daten dieser Datenbank. Zumindest für diese Bestandteile des Datenmodells (also den Programmcode, der die Funktionen oder Prozeduren, die auf der Datenbank ausgeführt werden, repräsentiert) wären dann die Anforderungen an Individualität und Originalität so anzusetzen, wie bei Software generell. Aber auch mit Blick auf Datenmodellierung wird in der Literatur die Ansicht vertreten, trotz des Wortlauts des § 4 UrhG aufgrund der Datenbankrichtlinie vom Schutz der kleinen Münze auszugehen2. Das Datenmodell als Werk einer Entwicklungstätigkeit muss für die 46 Qualifizierung als „Schöpfung“ auch noch nicht in allen Einzelheiten fertiggestellt sein. Es müssen aber individuelle Züge, also konkrete Ausprägungen, die in der Vorstellung des Werkschöpfers entwickelt wurden und dem Werk eine schöpferische Eigentümlichkeit geben, klar erkennbar sein3. Technische Beurteilungsmerkmale hierzu lassen sich in einem Datenmodell in vielerlei Hinsicht finden, nämlich im Zuschnitt der Tabellen und Relationen, in der Benennung von Datenbankobjekten (besonders Tabellen, Relationen und Felder, aber auch von Indizes, Constraints und anderen aktiven Datenbankobjekten4), möglicherweise in der Wahl der Datenformate der einzelnen Felder und auch der Reihenfolge von Feldern in Tabellen; nicht zu berücksichtigen sind hingegen sachbedingte Gestaltungen5. Anders als bei Software, wo der Quellcode in der Regel in Objektcode 47 umgewandelt wird und dann nicht mehr für Prüfungen zugänglich ist, lassen sich solche Strukturen eines Datenmodells in der Regel mit entsprechenden Zugriffsrechten ohne Probleme aus dem Datenbankmanage-
1 LG Frankfurt v. 8.11.2012 – 2-03 O 269/12, CR 2013, 286; s. auch Bullinger in Wandtke/Bullinger, Urheberrecht, § 2 Rz. 48 ff. 2 Grützmacher, Urheber-, Leistungs- und Sui-generis-Schutz von Datenbanken, S. 203 ff.; Nordemann/Czychowski, NJW 1998, 1603 (1606 f.). 3 Vgl. auch Lesshaft/Ulmer, CR 1993, 607 ff. 4 S. hierzu Rz. 31 ff. 5 Grützmacher, Urheber-, Leistungs- und Sui-generis-Schutz von Datenbanken, S. 206 ff. Hoppen
19
§2
Datenmodellierung und Datenspeicherung
mentsystem auslesen, aufbereiten und technisch mit anderen Strukturen vergleichen, um Verletzungshandlungen festzustellen.
III. Datenspeicherung 1. Speicherung von Daten in Datenbankmanagementsystemen 48
Ein Datenbankmanagementsystem kommuniziert mit den Anwendungsprogrammen, die Daten speichern, in der vorstehend – auch anhand von Beispielen – beschriebenen Form. Bei relationalen DBMS wird dabei per SQL (structured query language) kommuniziert.
49
Das Datenbankmanagementsystem speichert die Daten in einem oder mehreren sog. Tablespaces. Tablespaces sind logische Gruppen einer oder mehrerer Dateien, die dem DBMS auf dem Dateisystems des Betriebssystems bereitgestellt werden. Je nach Größe und Performanzanforderungen einer Datenbank kann die sinnvolle Festlegung der Tablespaces und deren Verteilung auf physische Speichersysteme (Festplatten) von entscheidender Bedeutung sein. Solche Entwurfsentscheidungen sind der physischen Datenmodellierung zuzurechnen. Es kann in dem Datenbankschema je Datenbankobjekt (d.h. Daten der Tabellen und Indizes sowie die Definitionen der Datenbankobjekte selber) angegeben werden, in welchem Tablespace dieses zu speichern ist. Bei sehr großen Datenbanksystemen ist sogar eine räumliche Verteilung von Datensätzen auf weltweit verteilte Tablespaces anhand von Feldinhalten möglich, man spricht dann von Partitioning. Bspw. kann eine Tabelle zum Speichern aller weltweiten Kunden auf Tablespaces in Europa und Asien verteilt werden und spezifiziert werden, dass alle Datensätze anhand ihrer Adresse in dem jeweils zugeordneten Tablespace gespeichert werden. Partitionierung kann auch unter Performanz- oder Verfügbarkeitsgesichtspunkten erfolgen. So können bspw. Datenbestände abgeschlossener Geschäftsjahre auf Tablespaces in langsameren Speichersystemen gespeichert werden, ohne dass sich dadurch am grundsätzlichen Zugriff etwas ändert.
50
Soll der Inhalt einer Datenbank zu Beweissicherungszwecken kopiert werden, reicht es in aller Regel nicht aus, einzelne Betriebssystemdateien der Tablespaces zu kopieren. Das Datenbankmanagementsystem wird mit solchen Dateien nur etwas anfangen können, wenn alle Tablespaces konsistent und gemeinsam mit sämtlichen Konfigurationsdateien gesichert werden. Ansonsten müssen Recovery-Tools der jeweiligen Hersteller eingesetzt werden, mit unsicherem Ergebnis. Bei einer Sicherstellung ist deswegen immer vorzuziehen, die relevanten Datenbank-Schemata oder einzelne Datenbank-Tabellen mit den jeweiligen Administrationsund Backupwerkzeugen zu exportieren. Hierzu ist in der Regel ein Zugang zu dem DBMS mit Administrationsrechten erforderlich. Bei der Planung von Durchsuchungen ist dies zu berücksichtigen; in großen Umgebungen ist die Mitwirkung der dort immer vorhandenen Daten20
Hoppen
§2
III. Datenspeicherung
bank-Administratoren anzustreben. Ersatzweise ist ein unter sachverständiger Aufsicht dokumentiertes Auslesen der Daten mit Benutzerrechten direkt per SQL SELECT-Befehl denkbar. 2. Technische Schutzmöglichkeiten Der Zugriff auf die in einem Datenbanksystem gespeicherten Daten 51 kann auf verschiedensten Ebenen geschützt werden. Die verschiedenen Schutzebenen sind nicht alternativ zu sehen, sondern begegnen jeweils spezifischen Risiken. Ein umfassender Schutz erfordert die sinnvolle Kombination verschiedener Schutzmöglichkeiten. Jede Schutzebene geht einher mit mehr oder weniger großen Performanzverlusten und ggf. auch umständlicherem Handling, ein Trade-off, der zu berücksichtigen ist. a) Verschlüsselung auf Betriebssystem- und Tablespace-Ebene Die Betriebssystem-Dateien, in denen die Daten letztlich gespeichert 52 werden, können bereits – unabhängig von dem DBMS – auf Betriebssystemebene als verschlüsselte Dateien angelegt werden. Auf der nächsten Ebene kann das DBMS selber die Daten vor dem Abspeichern in Tablespaces blockweise verschlüsseln. Beide Maßnahmen schützen vor unkontrollierten direkten Zugriffen auf 53 die verwendeten Datenträger außerhalb der Betriebsumgebung, bspw. nach Diebstahl oder nach Außerbetriebnahme eines Servers. b) Verschlüsselung auf der Transportebene Der Zugriff auf ein DBMS erfolgt in der Regel über entsprechende Kom- 54 munikationsgegenstücke auf der Anwendungsseite, sog. DatenbankClients. Die Kommunikation zwischen dem DBMS und der Client-Komponente, die über Netzwerke (LAN, WAN) stattfindet, kann dabei verschlüsselt werden. c) Zugriffsberechtigungen auf Schema- und Tabellenebene Alle Anwendungen, die mit dem DBMS kommunizieren möchten, um 55 auf die gespeicherten Daten zuzugreifen, müssen sich zunächst gegenüber dem DBMS authentifizieren. Hierzu stehen in der Regel vielfältige Verfahren zur Verfügung, in jedem Fall das Standardverfahren mit Benutzername und Passwort. Jeder Datenbank-Benutzer kann einer oder mehreren Benutzergruppen 56 zugeordnet sein, ihm oder einer seiner Benutzergruppen können Zugriffsrechte auf ganze Datenbank-Schemata und innerhalb der Schemata auf einzelne Tabellen zugeordnet sein. Differenziert wird hier zwischen Rechten zum Lesen der Daten (SELECT), Einfügen neuer Datensätze (INSERT), Ändern bereits gespeicherter Datensätze (UPDATE) und Löschen Hoppen
21
§2
Datenmodellierung und Datenspeicherung
von Datensätzen (DELETE). Die Rechte beziehen sich zunächst einmal auf alle Datenfelder (Spalten) der Tabelle. Ebenso können Berechtigungen zur Ausführung (EXECUTE) aktiven Programmcodes (Funktionen, Prozeduren) gesteuert werden. d) Zuschnitt der Berechtigung durch Datenbanksichten 57
Soll der Zugriff auf die Daten einer Tabelle spalten- oder zeilenweise eingeschränkt werden, kann dies über Datenbankansicht (sog. Views) erreicht werden. Die Zugriffsrechte auf die ganze Tabelle werden dann entzogen, stattdessen wird ein Zugriffsrecht auf den View eingeräumt.
58
Soll es im Beispiel aus diesem Beitrag dem Benutzer Schneider nur gestattet werden, die Namen aller Personen zu lesen, die nach dem 23.11.1943 geboren wurden, und zwar ohne das in der Tabelle auch gespeicherte Geburtsdatum sehen zu können, so würde ein DatenbankView eingerichtet CREATE VIEW PERSONEN_TEILMENGE AS SELECT VORNAME, NACHNAME FROM PERSONEN WHERE GEBURTSDATUM L‚23.11.1943;
und der lesende Zugriff auf diesen View mit GRANT SELECT ON PERSONEN_TEILMENGE TO SCHNEIDER;
eingeräumt. e) Verschlüsselung und Verschleierung auf Feldebene 59
Wenn in einer Tabelle besonders sensible Informationen (Gehälter, Kreditkartendaten) gespeichert werden, die auch vor Benutzern mit umfassenden Zugriffsrechten, bspw. Administratoren, Entwicklern oder Testern, verborgen werden müssen, bieten komplexe Datenbanksysteme die Möglichkeit, Daten auf Feldebene zu verschlüsseln und zu klassifizieren und diese Daten nur gegenüber Anwendern mit entsprechenden – auch gestaffelten – Zugriffsrechten (sog. Labels) freizugeben. Es kann auch gesteuert werden, dass nur Teile eines Datums (etwa die letzten drei Stellen der Kontonummer oder zwei aus fünf Ziffern einer PIN) ausgegeben werden und die anderen Stellen maskiert werden (sog. Data Redaction). f) Auditing/Protokollierung von Zugriffen
60
Es gibt darüber hinaus in modernen Datenbanksystemen verschiedene Mechanismen, die Nutzung einer Datenbank zu überwachen und zu protokollieren. Datenbank-Firewalls können bspw. Zugriffsanomalien (Zugriffe von ungewöhnlichen IP-Adressen, Systemoperationen oder Zugriffe 22
Hoppen
§2
III. Datenspeicherung
eines Nutzers auf Tabellen, die er bisher nicht genutzt hat o.Ä.) erkennen und verhindern. In sog. Audit Trails können einzelne Aspekte des Nutzerverhaltens aufgezeichnet und analysiert werden, um so zu erkennen, wenn einzelne Anwender versuchen, auf Informationen zuzugreifen, die ihnen nicht zugänglich sein sollen. Schließlich bieten moderne DBMS Möglichkeiten, in übergelagerten Si- 61 cherungsebenen (sog. Realms) organisatorisch zulässige Datennutzungen zu beschreiben und unzulässige, aber technisch vielleicht in dem Datenbank-Schema nicht ausreichend beschränkte Zugriffe aufzudecken und ggf. auch zu sperren.
Hoppen
23
§3 Typische Herausforderungen bei einer Altdatenübernahme Rz. I. Einführende Betrachtung . . . . . . . II. Wesentliche Konzepte und Begriffe . . . . . . . . . . . . . . . . . . . . . . 1. Einführung eines neuen IT-Systems . . . . . . . . . . . . . . . . . . . 2. Unterschiedliche Einführungsstrategien . . . . . . . . . . . . . . . . . . . . a) Big-Bang-Ansatz . . . . . . . . . . . . b) Gestuftes Vorgehen . . . . . . . . . c) Parallelbetrieb . . . . . . . . . . . . . . 3. Arten von Daten bei einer Datenmigration . . . . . . . . . . . . . . . III. Zentrale Fragestellungen einer Datenmigration . . . . . . . . . . . . . . . 1. Organisatorische Rahmenbedingungen. . . . . . . . . . . . . . . . . . a) Einbindung des Fachbereichs. . b) Planung/Aktivitäten- und Fristenplan . . . . . . . . . . . . . . . . c) Automatisierungsgrad und Performance . . . . . . . . . . . . . . . d) Klärung aller Rahmenbedingungen . . . . . . . . . . . . . . . 2. Fachliche und technische Fragestellungen . . . . . . . . . . . . . . . a) Struktur, Qualität und Inhalte der Altdaten. . . . . . . . . . . . . . . .
1 6 6 11 11 14 16 18 20 20 20 22 26 28
Rz. b) Umfang der zu migrierenden Daten . . . . . . . . . . . . . . . . . . . . . c) Datentransformation . . . . . . . . d) Einspielung von Altdaten in das Neusystem . . . . . . . . . . . e) Schnittstellen zu Nachbarsystemen . . . . . . . . . . . . . . . . . . f) Fehlende und „überflüssige“ Daten . . . . . . . . . . . . . . . . . . . . . 3. Durchführung der Migration und Qualitätssicherungsmaßnahmen. a) Personelle Besetzung des Datenmigrations-Teams. . . . . . b) Qualitätsmanagement . . . . . . . c) (Abnahme-)Test der Ergebnisse einer Datenmigration . . . . . . 4. Zwischenfazit . . . . . . . . . . . . . . . .
33 36 39 41 43 45 45 48 50 54
IV. Berührungspunkte zu rechtlichen Themen . . . . . . . . . . . . . . . 1. Pflichtenheft . . . . . . . . . . . . . . . . . 2. Mitwirkung des Auftraggebers . . . 3. Geheimhaltung und Datenschutz . . . . . . . . . . . . . . . . . . . . . . .
62
V. Zusammenfassung und Ausblick
64
57 57 59
29 29
I. Einführende Betrachtung 1
Das Thema „Altdatenübernahme“ spielt in vielen IT-Projekten eine wichtige Rolle, da bei der Einführung eines neuen IT-Systems häufig Daten aus bestehenden Systemen bzw. Anwendungen übernommen werden müssen. Ein typisches Datenmigrationsprojekt dauert in der industriellen Praxis erfahrungsgemäß zwischen 6 und 24 Monate1.
2
Eine Datenübernahme muss in der Praxis vielen Aspekten und Anforderungen gerecht werden2. Eine der Hauptanforderungen ist die Wirtschaftlichkeit3. Daneben kommt es bei der Übernahme von Daten vornehm1 Dieser Erfahrungswert wird im Übrigen auch in dem White Paper von Oracle geteilt (Successful Data Migration, S. 10 oben). 2 Für eine umfassende Darstellung s. u.a. den Wikipedia-Eintrag „Migrationsstrategien“ von C. Erdle (entstanden aus einem Hauptseminar an der TU München im Dez. 2005). 3 S. dazu Berechnungsbeispiele in Pick, Data Migration Concepts & Challenges, White Paper, S. 5 unten ff.
24
Sarre
§3
II. Wesentliche Konzepte und Begriffe
lich darauf an, im Ergebnis die maximal erreichbare Qualität zu erzielen, damit das neu einzusetzende IT-System nicht an den Daten scheitert, die zu verarbeiten sind. Ferner ist u.a. zu gewährleisten, dass der Betrieb aller erforderlichen IT-Systeme keine unvertretbar langen Unterbrechungen erleidet. Trotz des außerordentlich großen Stellenwerts des Themas „Datenmigra- 3 tion“ kommt es aber in der Praxis immer wieder zu erheblichen Problemen, weil die Gesamtheit der mit der Datenübernahme verbundenen Aktivitäten und deren Komplexität sowohl von Kunden als auch von deren IT-Dienstleistern regelmäßig stark unterschätzt wird. Verstärkt werden die Probleme auch noch aufgrund der Tatsache, dass eine Migration von Daten als eher lästige Aufgabe angesehen wird, die noch dazu sehr hohe Kosten verursacht1. Es ist zu erwarten, dass sich der Trend der hohen Komplexität einer Da- 4 tenmigration weiter fortsetzen wird, was vornehmlich durch folgende Faktoren bedingt ist: – IT-Systeme werden aufgrund neuer Geschäftsanforderungen immer komplexer, was bei den Datenstrukturen und der Datenmenge zu einer immer höheren Komplexität führt. – Juristische Rahmenbedingungen erhöhen die Komplexität von IT-Systemen und deren Daten2. – Wachsende Abhängigkeiten in den Daten erzwingen immer wieder neue Lösungsansätze. – In vielen Fällen veralten Daten praktisch von selbst und müssen daher ständig mit enormem Aufwand gepflegt werden. Nachfolgend wird gezeigt bzw. dargelegt, dass die Lösung der Problema- 5 tik der Altdatenübernahme darin besteht, sachgerechte Vorbereitungen zu treffen, entsprechende vertragliche Vereinbarungen abzustimmen, das Datenmigrationsprojekt streng vertragsorientiert durchzuführen und ein angemessenes Qualitätsmanagement zu etablieren und ständig anzuwenden, was nachfolgend vor allem unter dem Blickwinkel eines vertragsorientierten Projektmanagements und der technischen Erfordernisse und Rahmenbedingungen diskutiert werden soll.
II. Wesentliche Konzepte und Begriffe 1. Einführung eines neuen IT-Systems Die Übernahme von Altdaten von einem oder mehreren bestehenden IT- 6 Systemen in ein neues IT-System ist nur in seltenen Fällen eine isolierte 1 S. hierzu auch Oracle: „Successful Data Migration“, White Paper, S. 2 Mitte. 2 Als Beispiele seien hier Compliance-Anforderungen wie Basel III oder SOX genannt. Sarre
25
§3
Typische Herausforderungen bei einer Altdatenbernahme
Aufgabe, die ohne die gleichzeitige Betrachtung von sonstigen Änderungen an einer Softwarelandschaft bearbeitet und gelöst werden kann. De facto ist es sogar so, dass sich die Aufgabenstellung einer Altdatenübernahme in aller Regel aus der Notwendigkeit ergibt, Änderungen an einer bestehenden Softwarelandschaft vorzunehmen, indem z.B. ein neues Anwendungssystem eingeführt wird und gleichzeitig eine oder mehrere Altanwendungen ganz oder teilweise stillgelegt werden1. 7
Vor diesem Hintergrund wird sich das grobe Vorgehen bei einer Altdatenübernahme – die im Übrigen auch sehr häufig als „Datenmigration“ bezeichnet wird – immer nach der Frage richten, wie das Konzept der Einführung einer neuen Anwendung im Einzelnen genau aussieht. In der Praxis werden zwei grundlegende Alternativen unterschieden: 1. Einführung einer neuen Anwendung nach dem „Big-Bang-Ansatz“, also Einführung des neuen Systems „auf einen Schlag“2. 2. Einführung der neuen Anwendung in mehreren Stufen, also Schritt für Schritt3.
8
Die richtige Entscheidung für eine dieser beiden Alternativen ist in der Praxis nicht immer leicht zu treffen, da organisatorische, technische, terminliche, wirtschaftliche und sehr häufig auch juristische Fragestellungen zu beantworten sind. Eine generelle Empfehlung für die eine oder andere Alternative kann daher nicht gegeben werden.
9
Neben der Frage der Art und Weise der Einführung eines neuen Anwendungssystems stellt sich im Hinblick auf eine durchzuführende Datenmigration auch die Frage, welche Funktionalitäten von welchen bestehenden Anwendungen („Altsystemen“) zu welchen Zeitpunkten stillgelegt werden müssen. Auch hier gibt es die grundlegenden Alternativen, entweder ein oder mehrere Altsysteme sofort vollständig stillzulegen oder in Bezug auf unterschiedliche Funktionalitäten schrittweise. Dabei kann sich aus technischen Gründen die Notwendigkeit ergeben, dass verschiedene Datenbestände der Altsysteme und des Neusystems miteinander synchronisiert bzw. abgeglichen werden müssen, und dies nicht nur einmal, sondern ständig im Livebetrieb – in aller Regel macht dies eine sehr aufwendige Entwicklung von speziellen Synchronisationsprogrammen erforderlich, die nach der vollständigen Ablösung der betroffenen Altsysteme wieder überflüssig werden.
10
In jedem IT-Projekt sollte das genaue Vorgehen bezüglich der Produktivsetzung des Neusystems sowie der Ablösungsstrategie der betroffenen Altsysteme in einem Einführungskonzept niedergelegt werden. Die Leit1 Wenn eine neue Anwendung („Neusystem“) eine bestehende Anwendung („Altsystem“) vollständig ersetzt, spricht man von einer „Ablösung“ einer Softwareanwendung. 2 S. hierzu noch genauer den nachfolgenden Abschnitt II.2. 3 S. hierzu noch Abschnitt II.2.b).
26
Sarre
§3
II. Wesentliche Konzepte und Begriffe
gedanken für dieses Einführungskonzept müssen sich dabei im Groben an den organisatorischen, betrieblichen, wirtschaftlichen und fachlichen Rahmenbedingungen des Auftraggebers orientieren, im Detail aber auch die technischen Möglichkeiten berücksichtigen, die aufgrund der Leistungen und Lieferungen des Auftragnehmers gegeben sind. 2. Unterschiedliche Einführungsstrategien a) Big-Bang-Ansatz Mit „Big-Bang“ wird in der IT-Branche eine Einführungsstrategie für ein 11 (zumeist neues) EDV-System bezeichnet, bei der das System in einer einzigen Einführungsstufe – sozusagen „auf einen Schlag“ – eingeführt wird bzw. produktiv gesetzt wird. Die Einführung eines Systems nach diesem Schema ist an verschiedene Voraussetzungen gebunden, u.a. müssen z.B. alle erforderlichen Daten in das neue System eingespielt worden sein, die nicht manuell ergänzt werden1. Aus technischer Perspektive bedeutet eine Big-Bang-Einführung in den 12 meisten Fällen aber nicht, dass der Wechsel von einem oder mehreren Altsystemen auf ein Neusystem nahtlos – also praktisch von einer Sekunde auf die andere – erfolgt, vielmehr ist es üblich, dass sich dieser Wechsel über mehrere Stunden oder sogar mehrere Tage hinzieht, weil die betroffenen Altsysteme geordnet heruntergefahren werden müssen und alle notwendigen Daten entsprechend migriert werden müssen, damit dann das Neusystem unter Berücksichtigung entsprechender Tests hochgefahren und produktiv genutzt werden kann2. Für die beteiligten Vertragspartner stellt eine Einführung nach dem „Big- 13 Bang-Ansatz“ in aller Regel ein hohes Risiko dar, wobei bei erfolgreicher Einführung „im Gegenzug“ auch meistens niedrigere Projektaufwände zu erwarten sind. In aller Regel gilt, dass in schwierigen Umfeldern eine andere Strategie als Big-Bang zu bevorzugen ist, um das Risiko einer missglückten Einführung zu vermeiden oder zumindest deutlich zu senken. Eine gescheiterte Big-Bang-Einführung in der Praxis rückgängig zu machen, kann enorme Aufwände und einen großen Zeitverlust nach sich ziehen. b) Gestuftes Vorgehen Bei der sehr verbreiteten Einführungsstrategie des gestuften Vorgehens 14 erfolgt die Produktivsetzung des neuen Systems nicht in einem einzigen 1 Bei der Übernahme von erforderlichen Daten in das neue System ist eine Unterscheidung dahingehend zu treffen, ob es sich um Konfigurationsdaten, Stammdaten, Archivdaten oder operative Daten handelt. Je nach Quelle und Art der Daten werden dann unterschiedliche Datenmigrationsverfahren erforderlich. 2 In der Praxis sind die erforderlichen Schritte oft noch viel komplizierter, als hier – nur sehr verkürzt – dargestellt. Sarre
27
§3
Typische Herausforderungen bei einer Altdatenbernahme
Schritt, sondern im Rahmen von mehreren Einführungsstufen. Dieses Vorgehen ist in der Regel aufwendiger, trägt aber erheblich dazu bei, das Einführungsrisiko zu senken. Einhergehend mit den einzelnen Stufen müssen in aller Regel auch einzelne Altdatenübernahmen erfolgen, die sich in der Breite und Tiefe nach den fachlichen Funktionalitäten richten müssen, die bei der jeweiligen Einführungsstufe benötigt werden. 15
Da aufgrund der stufenweisen Einführung zumindest zeitweise die Notwendigkeit besteht, dass die betroffenen Altsysteme und das Neusystem zeitlich parallel betrieben werden, sind auch Automatismen vorzusehen, die für die Aktualität und Konsistenz aller Daten sorgen. Diese Aufgabe ist in der Praxis sehr häufig nur mit erheblichem Aufwand zu erledigen, da – wie bereits angedeutet – in aller Regel sehr aufwendige Programme entwickelt werden müssen. c) Parallelbetrieb
16
Unter einem „Parallelbetrieb“ wird zumeist der zeitgleiche Betrieb von mehreren IT-Systemen verstanden, wobei sich die Systeme zumindest in Bezug auf einen Teil ihrer Funktionalität überlappen. Damit während des Parallelbetriebs keine Dateninkonsistenzen entstehen, sind in aller Regel spezielle Vorkehrungen notwendig, die in der Praxis zumeist sehr aufwendig sind. Bei einem Parallelbetrieb gilt es insbesondere, die organisatorischen Herausforderungen zu meistern.
17
Ein Parallelbetrieb ist oft keine Dauerlösung, sondern nur eine Zwischenlösung. Das langfristige Ziel ist sehr häufig, ein oder mehrere Altsysteme abzuschalten, damit der Betrieb auf ein bereits eingeführtes Neusystem beschränkt werden kann. 3. Arten von Daten bei einer Datenmigration
18
Bei der Durchführung einer Datenmigration sind grundsätzlich verschiedene Arten von Daten zu unterscheiden. In der Praxis unterscheidet man – z.B. im Kontext von Softwareanwendungen – im Wesentlichen folgende Daten1: – Stammdaten2 – Operative Daten3 1 S. dazu auch Willinger et al., Datenmigration in SAP, Abschnitt 1.2.1 (Definition des zu migrierenden Datenbestandes), S. 28 Mitte. 2 Mit „Stammdaten“ werden üblicherweise solche Daten bezeichnet, die sich im Kontext der Durchführung von verschiedenen Anwendungsfällen bzw. Geschäftsabläufen selten ändern und eher statisch sind (wie z.B. Bankverbindungsdaten, Lieferadressen, eventuell auch Produktdaten). 3 Als operative Daten werden Daten bezeichnet, die im Rahmen der Durchführung der hauptsächlichen Anwendungsfälle einer Softwareanwendung anfallen und dann noch einer weiteren Verarbeitung zugeführt werden (wie z.B. Auftrags-
28
Sarre
§3
III. Zentrale Fragestellungen einer Datenmigration
– Administrationsdaten1 – Konfigurationsdaten2 – Historische Daten/Archivdaten3 Da diese Arten von Daten in der Praxis aus sehr unterschiedlichen Quel- 19 len kommen und üblicherweise auch in unterschiedlichen Formaten vorliegen, kommen auch unterschiedliche Migrationsverfahren zum Einsatz, was bereits während der Spezifikationsphase Berücksichtigung finden muss.
III. Zentrale Fragestellungen einer Datenmigration 1. Organisatorische Rahmenbedingungen a) Einbindung des Fachbereichs Erfahrungsgemäß ist einer der kritischen Erfolgsfaktoren für Daten- 20 migrationsprojekte, wie stark der Fachbereich eingebunden ist. In aller Regel spielt in einem Unternehmen oder in einer Behörde gerade bei Datenmigrationsprojekten die IT-Abteilung eine dominante Rolle, weil technische Aspekte der Datenmigration gegenüber den fachlichen Aspekten überbewertet werden. Richtig ist jedoch, zunächst die Konzentration auf die Klärung fachlicher Fragen zu richten, um dann erst in einem zweiten Schritt die technischen Möglichkeiten auszuloten und mögliche Beschränkungen aufgrund der Technik zu identifizieren. Vielfach ist auch zu beobachten, dass sich der beauftragte Dienstleister 21 ohne entsprechende fachliche Kenntnisse dem Datenmigrationsthema nähert und rasch zu der Einschätzung gelangt, dass das gegebene Datenmigrationsproblem im Wesentlichen mit technischen Hilfsmitteln zu lösen wäre. Um nicht mit dieser Fehleinschätzung konfrontiert zu sein, sollte der Auftraggeber bereits während der Vertragsverhandlungen darauf drängen, dass die Möglichkeit geschaffen wird, dass sich der Auftragnehmer auch das erforderliche fachliche Know-how aneignen kann.
daten, Liste zu liefernder Produkte, berechnetes Porto für eine Postsendung oder Rechnungsdatum). 1 Unter „Administrationsdaten“ versteht man alle Daten, die im Zuge der Administration der jeweiligen Softwareanwendung anfallen (z.B. Benutzerdaten oder Berechtigungen). 2 Konfigurationsdaten sind solche Daten, die im Zuge der Konfiguration eines ITSystems anfallen (z.B. eingerichtete Drucker, Computeradressen oder technische Adressen von Nachbarsystemen). 3 Historische Daten/Archivdaten spiegeln Datenbestände wieder, die für das aktuelle und zukünftige Geschäft nicht mehr von ausschlaggebender Bedeutung sind und lediglich punktuell zum Nachschauen (z.B. vor dem Hintergrund von Rechtsstreitigkeiten) oder für statistische Zwecke benötigt werden. Sarre
29
§3
Typische Herausforderungen bei einer Altdatenbernahme
b) Planung/Aktivitäten- und Fristenplan 22
Da Datenmigrationsprojekte typischerweise eine Größenordnung und Komplexität erreichen, die durchaus mit dem Umfang und der Komplexität der eigentlichen Entwicklung eines Neusystems vergleichbar ist, ist eine exakte Planung mit allen Aktivitäten, Zeitdauern, Fristen und Abhängigkeiten für alle verfügbaren Ressourcen praktisch unverzichtbar. Die Vertragspartner sollten sich daher darauf einstellen, dass eine entsprechende Planung aufgesetzt und kontinuierlich fortzuschreiben ist1.
23
In der Praxis könnte ein Aktivitäten- und Fristenplan etwa folgende Form annehmen (hier nur stark vereinfacht, Endtermine und Zeitdauern – hier mit *) gekennzeichnet – wären in der Praxis entsprechend zu ergänzen): Nr.
Vorgang
Endtermin
Dauer
Verantwortl.
Vorgänger2
1
Zusammenstellung des Projektteams3
*)
*)
AN
–
2
Kick-Off-Meeting
*)
*)
AN
1
3
Klärung der auftraggeberseitigen Rahmenbedingungen
*)
*)
AG
2
4
Export der Altdaten
*)
*)
AG
3
5
Analyse der Altdaten
*)
*)
AG
4
6
Bereinigung und ggf. Ergänzung der Altdaten
*)
*)
AG
5
7
Fachliche Spezifikation der Datenmigration4
*)
*)
AG
6
8
Systemdesign und Realisierung der Datenmigration
*)
*)
AN
7
9
Integrationstest und Probelauf
*)
*)
AN
8
10
Rework/Fehlerkorrekturen
*)
*)
AN
9
11
Lieferung
*)
*)
AN
10
1 Dies ist auch schon deswegen geboten, weil sich das Projekt ansonsten nicht steuern ließe. 2 Mit „Vorgänger“ ist die Menge aller Vorgänge gemeint, die vor Beginn des aktuellen Vorgangs vollständig abgeschlossen sein müssen (referenziert wird über die Vorgangsnummer). Die Tabelle zeigt im vorliegenden Beispiel einen rein sequenziellen Ablauf, weshalb es auch immer nur einen Vorgängervorgang gibt. Denkbar wäre jedoch grundsätzlich auch eine stärkere Parallelisierung der Vorgänge beim Einsatz eines entsprechenden Vorgehensmodells. 3 Dabei ist auch der Fachbereich entsprechend mit einzubinden. 4 Dabei werden alle erforderlichen Schritte aus fachlicher Sicht spezifiziert, inklusive der erforderlichen Datentransformationen.
30
Sarre
§3
III. Zentrale Fragestellungen einer Datenmigration Nr.
Vorgang
Endtermin
Dauer
Verantwortl.
Vorgänger
12
Abnahmetest
*)
*)
AG
11
13
Vorbereitungen Go-Live
*)
*)
AG
12
14
Datenmigration (produktiv)1
*)
*)
AN
13
15
Überprüfung der Daten
*)
*)
AG
14
16
Freigabe Live-Betrieb
*)
*)
AG
15
Abhängig von der vereinbarten Projektmethode2 können sich die hier 24 nur beispielhaft aufgeführten Aktivitäten auch teilweise oder sogar vollständig überlappen, was den Vorteil einer schnelleren Projektrealisierung mit sich bringt. Sollte es nicht möglich sein, dass die Vertragspartner bereits zum Zeit- 25 punkt des Vertragsabschlusses eine Einigung über die Planung finden, ist die Grobplanung, die bei Vertragsabschluss vereinbart wird, im Projekt kontinuierlich zu einer Feinplanung weiterzuentwickeln. Idealerweise legen die Vertragspartner für diesen Fall im Vertrag fest, wie der Planungsvorgang genau ablaufen soll und welcher Vertragspartner zu welchen Zeitpunkten welche Beiträge dafür bringen muss. Bei werkvertraglichen Projektkonstellationen wird der Projektleiter des Auftragnehmers dafür Sorge tragen müssen, dass die Projektplanung bzw. der Aktivitätenund Fristenplan kontinuierlich fortgeschrieben und überwacht wird. Für sämtliche Leistungen, die nicht Teil des Auftrags sind, wird jedoch der Auftraggeber selbst planen müssen3. c) Automatisierungsgrad und Performance Eine manuelle oder nur halb automatisierte Datenmigration bewährt 26 sich in der Praxis nicht, da der Vorgang der Datenmigration üblicherweise im Vorfeld der Produktivsetzung eines Neusystems in möglichst kurzer Zeit durchzuführen ist (z.B. an einem Wochenende oder zum Jahreswechsel). Die Vertragspartner werden daher vorsehen müssen, dass entsprechende Datenmigrationsprogramme entwickelt werden oder entsprechende Standardwerkzeuge zur Datenmigration Verwendung finden. Sehr häufig kommt in der Praxis ein Mix aus Standardprogrammen und individuell entwickelten Programmen zum Einsatz, weil die Datenmi-
1 Bei diesem Schritt werden die Altdaten in das (vorbereitete) Neusystem eingespielt. 2 Gemeint sind hier herkömmliche Methoden (wie z.B. das V-Modell XT) vs. agile Projektmethoden (wie z.B. SCRUM). 3 Dies betrifft in der Praxis z.B. alle Aktivitäten rund um die Vorbereitungen für die Produktivsetzung des Neusystems oder die Durchführung von notwendigen Organisationsänderungen. Sarre
31
§3
Typische Herausforderungen bei einer Altdatenbernahme
grationsprobleme zum Teil bekannten Mustern folgen, zum Teil aber auch sehr individuell sind. 27
Von besonderer Relevanz ist der Aspekt der Performance der Datenmigrationsprogramme. Zumeist werden die erforderlichen Programme und Verfahrensschritte nur anhand von kleinen Datenmengen getestet, um in der Entwicklung schnell vorankommen zu können. Bei ersten Tests mit der kompletten Menge an Altdaten stellt sich jedoch dann schnell heraus, dass frühere Zeitschätzungen den tatsächlichen Zeitbedarf grob unterschätzt haben. d) Klärung aller Rahmenbedingungen
28
Die Migration von Daten von einem oder mehreren Anwendungssystemen in ein anderes Anwendungssystem ist nicht nur eine technische Aufgabe, sondern impliziert auch stets die Klärung betrieblicher, fachlicher, wirtschaftlicher und juristischer Fragen. So ist z.B. zu überlegen, ob offene Bestellungen noch in den Altsystemen abgewickelt werden sollen, wenn sich das Bestellwesen insgesamt aufgrund des Einsatzes des Neusystems ändert. Auch neue oder geänderte Gesetze können die Anforderungen an eine Datenmigration beeinflussen. 2. Fachliche und technische Fragestellungen a) Struktur, Qualität und Inhalte der Altdaten
29
Viele Auftraggeber gehen davon aus, dass ihre Altdaten gut strukturiert sind, ausreichend dokumentiert vorliegen und in Bezug auf die Qualität als mindestens „brauchbar“ einzustufen sind. In der Praxis ist jedoch die Erfahrung zu machen, dass die Struktur und die Qualität zu migrierender Altdaten in vielen Fällen objektiv als mangelhaft zu bewerten ist.
30
Zu den häufigsten Mängeln gehören: – Duplikate in den Datensätzen – Inkonsistente Daten – Unvollständige Datensätze/fehlende Belegungen für Datenfelder – Zweckentfremdete Nutzung von Datenfeldern1
31
Solche Mängel können in IT-Systemen aufgrund von fehlenden oder fehlerhaften Funktionalitäten, wegen Nichtbenutzung bestimmter Funktionalitäten oder aufgrund von fehlenden Benutzerberechtigungen jahrelang unerkannt bleiben. Hinzu kommt, dass die maßgeblichen Datenmodelle 1 Zum Beispiel werden in einem Feld „Telefonnummer“ auch Namen von Ansprechpartnern gespeichert. Bei einer Datenmigration wäre dann in den meisten Fällen zu berücksichtigen, dass die Telefonnummern von den Ansprechpartnern technisch getrennt werden, jedoch über interne technische Referenzen als zusammengehörig gekennzeichnet werden.
32
Sarre
§3
III. Zentrale Fragestellungen einer Datenmigration
zumeist nicht dokumentiert sind und dass die internen Fachkräfte, die die Struktur und die Inhalte der Daten kennen, üblicherweise äußerst rar sind. Der Auftragnehmer kann sich also nicht darauf verlassen, dass er vorhandene Altdaten seines Auftraggebers ohne intensive Prüfung in das Neusystem übernehmen kann1. In jedem Fall bleibt jedoch der Auftraggeber für die Qualität und Inhalte seiner Altdaten verantwortlich2. Um die Analyse aller Altdaten zu vereinfachen, werden die Altdaten aus 32 verschiedenen Quellen meistens in ein einziges Repository übertragen, wo sie dann unter Berücksichtigung von allen existierenden Querbeziehungen analysiert werden können. b) Umfang der zu migrierenden Daten In der Praxis ist häufig wahrzunehmen, dass die Vertragspartner über den 33 Umfang der zu migrierenden Daten nur sehr ungenaue oder manchmal sogar gar keine Vereinbarungen getroffen haben. In solchen Fällen wären dann während der Laufzeit des Projekts geeignete Vereinbarungen zu treffen, was aber zwischen den Vertragspartnern oft Streit auslöst. Gelingt es den Vertragspartnern nicht, die notwendigen Details im Hinblick auf den Umfang der zu migrierenden Daten zu definieren, bleibt weitgehend unklar, in welcher Breite und Tiefe Altdaten zu migrieren sind3 und welchen Beitrag die Vertragspartner dabei im Einzelnen zu leisten haben. Aus Sicht des Kunden sind in nahezu allen Fällen immer alle erdenk- 34 lichen Daten zu migrieren, aus Sicht des Dienstleisters erscheint dies jedoch oft nicht erforderlich, selbst wenn dies bedeutet, dass ein oder mehrere Altsysteme zum Zwecke des Zugriffs auf historische Daten weiterbetrieben werden müssen4. Um die Komplexität der Datenmigration zu senken, macht es aus Sicht des Dienstleisters z.B. Sinn, offene Bestellungen noch im Altsystem abzuwickeln, um dann nur die „Ergebnisse“ der Transaktionen in das neue System übernehmen zu müssen. Was aber letztlich wirtschaftlich ist, müssen beide Vertragspartner zusammen definieren. In aller Regel ist die Frage des Umfangs der zu migrierenden Daten in Be- 35 zug auf Breite und Tiefe eine aus fachlicher Sicht höchst komplexe Fragestellung. Enthält der Projektvertrag hierzu keine Vereinbarungen, ist 1 Aus rechtlicher Sicht ist freilich zu diskutieren, inwieweit eine Prüfungspflicht der Daten vor der Datenübernahme besteht. 2 S. hierzu Schneider, Handbuch des EDV-Rechts, D, Rz. 128. 3 Ein Beispiel für die „Breite“ wäre die Entscheidung, dass im Kontext eines neuen ERP-Systems Lieferanten migriert werden, während sich die „Tiefe“ darüber bestimmen würde, dass nur solche Lieferanten berücksichtigt werden, von denen z.B. in den letzten drei Jahren Waren gekauft worden sind. 4 Oft ist es wirtschaftlicher, nur einen bestimmten Teil der in Frage kommenden Altdaten zu migrieren und die restlichen Daten in den Altsystemen zu belassen, selbst wenn dies bedeutet, dass die Altsysteme weiterbetrieben werden müssen. Sarre
33
§3
Typische Herausforderungen bei einer Altdatenbernahme
der Streit zwischen den Vertragspartnern meistens vorprogrammiert; auf der Basis des mittleren Ausführungsstandards und dessen, was der Kunde erwarten darf, eventuell in Kombination mit dem, was üblich ist und was dem Gebrauch des gelieferten Werks entspricht, ist der Umfang einer Datenmigration auch von erfahrenen EDV-Sachverständigen nur äußerst schwer zu bestimmen. Die Vertragspartner gehen also ein hohes Risiko ein, wenn der Umfang der Datenmigration nicht im Detail festgelegt ist. c) Datentransformation 36
Die Vertragspartner müssen davon auszugehen, dass die Daten, die den Altsystemen entnommen werden, vor der Übertragung in das neue System entsprechend aufbereitet bzw. transformiert werden müssen1. Diese Aufbereitungs- bzw. Transformationsschritte können fachlich und technisch äußerst komplex sein, da das Neusystem die Daten in aller Regel nicht nur in neuen Formaten und in einer neuen Struktur verwaltet, sondern auch zum Teil neue bzw. andere Funktionalitäten umfasst.
37
Typische Probleme bei der Transformation von Daten sind: – Formatkonvertierungen (Datumsangaben, Telefonnummern, Bestellnummern etc.) – Auftrennung von Datenfeldern (bei einem Kombinationsfeld Name/ Titel, bei Produktbezeichnungen etc.) – Zusammenfassung von Datenfeldern (z.B. für Texte in einem Produktkatalog) – Ergänzung von Pflichtfeldern mit Standardbelegungen, die in den Altsystemen nicht vorgesehen sind (z.B. Bonität eines Kunden) – Zuordnung von Datensätzen verschiedener Datenbanktabellen (um z.B. geeignete Verknüpfungen zwischen Datensätzen zu erreichen)
38
Die Vertragspartner sind vor diesem Hintergrund gut beraten, die Verantwortlichkeiten für die erforderliche Transformation der Daten vertraglich im Detail festzulegen oder zumindest während der Laufzeit des Projekts verbindlich zu vereinbaren. In aller Regel besitzt der IT-Dienstleister entsprechende Werkzeuge, um vorhandene Altdaten in die vom neuen System vorausgesetzte Struktur zu überführen; gelegentlich müssen aber auch individuelle Programme entwickelt werden, um die erforderlichen Datentransformationen durchführen zu können. d) Einspielung von Altdaten in das Neusystem
39
Nachdem die fachlich notwendigen Altdaten aus den betroffenen Altsystemen extrahiert worden sind und nachdem die entsprechenden Daten1 Vgl. auch Schneider, Handbuch des EDV-Rechts, D, Rz. 128.
34
Sarre
§3
III. Zentrale Fragestellungen einer Datenmigration
transformationen durchgeführt worden sind, müssen die aufbereiteten Altdaten in das Neusystem eingespielt werden. Hierzu gibt es zwei wesentliche technische Mechanismen, die alternativ oder auch in Kombination zur Anwendung kommen können: 1. Import der Altdaten via Dateischnittstelle 2. Übertragung der Altdaten via Programmierschnittstelle 3. Übertragung mit spezialisierten Werkzeugen, die einen Datentransfer inkl. Transformation in einem Schritt durchführen Während Alternative 1) zumeist rasch zu realisieren ist, bietet die Alter- 40 native 2) bessere Möglichkeiten, um zum einen Fehlerfälle zu behandeln und zum anderen die Konsistenz der Daten im Neusystem sicherzustellen. Alternative 3) bietet den wesentlichen Vorteil, dass auf eine vorhandene Lösung zurückgegriffen werden kann, die auch die notwendigen Datentransformationen mit erledigt. e) Schnittstellen zu Nachbarsystemen Wenn im Zuge der Veränderung einer Systemlandschaft Altsysteme mit 41 Schnittstellen zu Nachbarsystemen abgelöst werden sollen, ist zu berücksichtigen, dass auch in den meisten Fällen Stammdaten der Nachbarsysteme in das Neusystem zu migrieren sind. Daneben ist zu berücksichtigen, dass eine vorhandene Schnittstelle zu 42 einem Nachbarsystem entweder unverändert bleibt, was bedeutet, dass die bisherige Spezifikation der Schnittstelle weiterhin ihre Gültigkeit behält, oder die Schnittstelle wird geändert, was dann nach sich zieht, dass sowohl das Nachbarsystem als auch das Neusystem an die neue bzw. geänderte Schnittstellenspezifikation angepasst werden müssen. Im Hinblick auf die Migration von Daten wird zu prüfen sein, ob Daten aus den Nachbarsystemen – und wenn ja, welche – in das neue System zu übernehmen sind (oder sogar umgekehrt). f) Fehlende und „überflüssige“ Daten Da ein neues IT-System in aller Regel gegenüber vorhandenen Altsyste- 43 men neue Funktionalitäten mit sich bringt, ist es sehr wahrscheinlich, dass die Übertragung von Daten aus den Altsystemen alleine nicht ausreicht, um einen sinnvollen Betrieb des neuen Systems zu gewährleisten; die im Neusystem „fehlenden“ Daten müssen entweder manuell ergänzt oder aus anderen Quellen in das neue System eingespielt werden. Umgekehrt kann es auch vorkommen, dass die Altsysteme Daten bein- 44 halten, die im Neusystem nicht verarbeitet werden können, zumindest nicht in der Version des Neusystems, die produktiv gesetzt werden soll. In diesem Fall ist der Auftraggeber gefordert, sich Gedanken darüber zu machen, ob die betroffenen überflüssigen Daten überhaupt nicht mehr Sarre
35
§3
Typische Herausforderungen bei einer Altdatenbernahme
im Rahmen seines Geschäftsbetriebs genutzt werden sollen oder ob die Daten mit Hilfe der Altsysteme oder eines eigens angelegten Archivs einsehbar bleiben müssen. 3. Durchführung der Migration und Qualitätssicherungsmaßnahmen a) Personelle Besetzung des Datenmigrations-Teams 45
In der Praxis ist darauf zu achten, dass das Projektteam für eine Datenmigration mit den „richtigen“ Fachkräften besetzt wird – dies stellt hohe Anforderungen sowohl an den Auftraggeber als auch an den Auftragnehmer. Zu den wichtigsten Anforderungen in Bezug auf die personelle Besetzung eines Teams gehören folgende Punkte: Nr.
46
Anforderung
Auftraggeber
Auftragnehmer
1
Inhaltliche und strukturelle Analyse der Altdaten
X
2
Festlegung der fachlichen Anforderungen für die Datenmigration inklusive Festlegung des Austauschformats für die Daten
X
3
Technische Konzeption der Datenmigration
X
4
Tiefgehende Kenntnisse über Datenmigrationswerkzeuge
X
5
Programmierkenntnisse bzgl. der Entwicklung neuer Werkzeuge
X
6
Abnahme der Datenmigration1
X
In der Praxis ist häufig zu beobachten, das der Auftraggeber für seine Altdaten praktisch keine verwertbare Dokumentation vorweisen kann und auch nicht (mehr) über das Personal verfügt, das über die Struktur und die Inhalte der Daten präzise Auskunft geben könnte. Die meisten Auftraggeber haben daher wenig Überblick über die Daten in ihren Altsystemen, woraus letztlich zu folgern ist, dass sich der Auftraggeber bei der Analyse der Altsysteme und der fachlichen Konzeption der Datenmigration gegebenenfalls durch externe Kräfte unterstützen lassen muss2.
1 Hierbei wird angenommen, dass die Lieferungen und Leistungen eines Auftragnehmers in Bezug auf eine Datenmigration in den meisten Fällen wohl als werkvertragliche Leistungen eingeordnet werden – so zumindest auch Schneider, Handbuch des EDV-Rechts, D, Rz. 129. 2 Für die hier erwähnten externen Kräfte kommt in aller Regel nicht die Implementierungsfirma des Neusystems in Frage, sondern eher Spezialisten, die mit der Fachlichkeit und der Technologie der abzulösenden Altsysteme vertraut sind.
36
Sarre
§3
III. Zentrale Fragestellungen einer Datenmigration
Ein typisches Datenmigrationsteam würde sich in der Praxis etwa folgen- 47 dermaßen zusammensetzen1: Nr.
Rolle
Auftraggeber
Auftragnehmer
1
Projektmanager
X
2
Koordinator
X
3
Fachbereichsmitarbeiter
X
4
IT-Mitarbeiter
X
5
Berater
X
6
Entwickler
X
b) Qualitätsmanagement Eine Altdatenübernahme bzw. eine Datenmigration ist in einem komple- 48 xen Umfeld eines großen Unternehmens oder einer Behörde stets eine große Herausforderung. Die einzelnen Verfahrensschritte sind schon für sich betrachtet komplex und fehleranfällig. Daraus ergibt sich unmittelbar, dass ein sachgerechtes Qualitätsmanagement etabliert werden muss, was nicht nur bedeutet, dass die Qualität bzw. des Ergebnis der Datenmigration am Ende der Verfahrensschritte zu überprüfen ist, sondern dass während des gesamten Spezifikations-, Entwicklungs-, Integrationsund Durchführungsprozesses bereits in kleinen Schritten zu überprüfen und zu kontrollieren ist, ob die jeweiligen Qualitätsziele erreicht werden („prozessbegleitendes Qualitätsmanagement“). Dies bedeutet auch, dass eine entsprechende Dokumentation gepflegt sein muss, und dass die Zwischenergebnisse der Datenmigration tatsächlich auch auswertbar sind2. Auftraggeber sollten daher darauf drängen, dass der Auftragnehmer sei- 49 nerseits entsprechende Maßnahmen im Sinne des hier dargestellten Qualitätsmanagements ergreift. Umgekehrt wird auch jeder Auftragnehmer ein hohes Interesse daran haben, dass die vom Auftraggeber zu erbringenden Leistungen von einem angemessenen Qualitätsmanagement erfasst werden. c) (Abnahme-)Test der Ergebnisse einer Datenmigration Nach einer erfolgten Datenmigration stellt sich für den Auftraggeber oft 50 die Frage, wie die vom Auftragnehmer erbrachten Lieferungen und Leistungen getestet bzw. abgenommen werden können.
1 S. auch das White-Paper von BSM, Abschnitt 3.2 („Data Migration Teams“). 2 Vgl. hierzu auch das White-Paper von BSM, Abschnitt 3.5 („Planning for Audit“). Sarre
37
§3
Typische Herausforderungen bei einer Altdatenbernahme
51
In aller Regel wird es sich empfehlen, zunächst die Vollständigkeit und Korrektheit der bereitgestellten Altdaten zu überprüfen, da sich ansonsten schwer zu findende Folgefehler ergeben können1.
52
Wenn die Altdaten im Neusystem angekommen sind, besteht für den Auftraggeber die Möglichkeit, den Erfolg der Datenmigration dadurch zu prüfen, dass er passende Testfälle im Neusystem durchspielt und überprüft, ob alle Daten korrekt verarbeitet werden. Sollte sich herausstellen, dass eine tiefergehende Analyse der Daten erforderlich ist, so müssen zusätzlich die Inhalte von Datenbanken des Neusystems geprüft werden, was jedoch wiederum die Unterstützung des Auftragnehmers erfordern kann.
53
Auch zu diesem Thema muss den Vertragspartnern empfohlen werden, die Einzelheiten des (Abnahme-)Tests vertraglich zu regeln, damit insbesondere die Verantwortlichkeiten klar definiert sind. 4. Zwischenfazit
54
Um die Übernahme von Altdaten in ein neues IT-System gewährleisten zu können, müssen die Vertragspartner in aller Regel eine beträchtliche Menge an betrieblichen, organisatorischen, fachlichen, technischen und wirtschaftlichen Fragen klären. Die Klärung dieser Fragen ist einerseits vor dem Hintergrund wichtig, dass für die Migration der betroffenen Daten eine Planung bzw. ein Aktivitäten- und Fristenplan erstellt werden kann, andererseits müssen die Vertragspartner auch genau wissen, welche Aufgaben in ihren Verantwortungsbereich fallen, damit diese Aufgaben qualitäts- und termingerecht erledigt werden können.
55
Da heutige Systemlandschaften in großen Unternehmen und Behörden zum Teil extrem komplex sind, ist auch zu beachten, dass in den meisten Fällen Nachbarsysteme beteiligt sein werden, die die Übernahme von Daten verkomplizieren. In jedem Fall sollten die Vertragspartner alle erforderlichen Details der Datenübernahme klären und die Datenübernahmeprogramme entsprechend darauf ausrichten. Obwohl es in vielen Fällen möglich ist, vorhandene Standardwerkzeuge für die Migration von Daten einzusetzen, darf nicht übersehen werden, dass abhängig von der Aufgabenstellung im Einzelfall auch individuelle Datenmigrationsprogramme zu entwickeln sind, was typischerweise sehr aufwendig und zeitintensiv ist.
56
Den Vertragspartnern muss auf jeden Fall davon abgeraten werden, die Klärung von notwendigen Details der Datenmigration auf eine zu späte Projektphase zu verschieben, da die Komplexität einer Datenmigration durchaus die Größenordnung des eigentlichen Entwicklungsprojekts für das Neusystem erreichen kann. 1 Überprüfung der Altdaten sollte ohnehin Bestandteil der Qualitätssicherungsmaßnahmen des Auftraggebers sein.
38
Sarre
§3
IV. Berhrungspunkte zu rechtlichen Themen
IV. Berührungspunkte zu rechtlichen Themen 1. Pflichtenheft In vielen Fällen, die in der Praxis zu beobachten sind, scheint es, dass das 57 Thema „Altdatenübernahme“ für die Vertragspartner nur ein Randthema ist, das zwar im Vertrag erwähnt wird, das aber im Pflichtenheft keinen adäquaten Niederschlag findet. Geschieht auch während der Laufzeit des Projekts keine Detaillierung der Anforderungen bezüglich der Altdatenübernahme, ist dies zwar aus juristischer Sicht zulässig, jedoch nicht günstig, da die Vorstellungen der Vertragspartner über das Vorgehen und vor allem über die konkret zu erbringenden Ergebnisse weit auseinander laufen werden. Vor diesem Hintergrund muss den Vertragspartnern empfohlen werden, 58 entweder alle gewünschten Datenmigrationsleistungen bereits bei Vertragsabschluss ausreichend genau zu spezifizieren, oder, falls dies nicht möglich ist, sich über ein Verfahren zu einigen, wie die detaillierten Anforderungen bezüglich der Datenmigration gewonnen und dokumentiert werden können1. 2. Mitwirkung des Auftraggebers Wenn ein Auftraggeber ein neues IT-System einführt, so geht er praktisch 59 immer davon aus, dass seine kompletten Altdaten in das neue System migriert werden und dass er selbst entweder gar nicht oder nur in geringem Umfang mitwirken muss. In der Praxis zeigt sich aber, dass die Mitwirkungspflichten des Auftraggebers in aller Regel viel umfangreicher sind, als er zunächst annimmt. Im Verlauf des Projekts kommt es deswegen häufig zu Streitigkeiten zwischen den Vertragspartnern, weil z.B. unklar ist, ob eine bestimmte Mitwirkung des Auftraggebers überhaupt geschuldet ist, oder weil die Qualität der Mitwirkung nicht den Vorstellungen des Auftragnehmers entspricht. Typische Mitwirkungspflichten des Auftraggebers wären:
60
– Mitwirkung an den Vereinbarungen hinsichtlich des Austauschformats der Altdaten – Dokumentation aller fachlichen Anforderungen für die Datenmigration im Rahmen der Erstellung eines Fachkonzepts2
1 Die Gewinnung der notwendigen fachlichen Details könnte dabei entweder in einer separaten Projektphase erfolgen oder z.B. auch im Rahmen der Anwendung einer agilen Projektmethode, bei der alle fachlichen Anforderungen schrittweise erhoben, priorisiert und verfeinert werden. 2 Dabei muss z.B. auch beschrieben werden, welche Altdaten im Einzelnen welchen Datenfeldern im Neusystem zuzuordnen sind. Sarre
39
§3
Typische Herausforderungen bei einer Altdatenbernahme
– Überprüfung der Altdaten hinsichtlich der geforderten/vereinbarten Qualität und Bereinigung der Altdaten, wenn die vorhandene Qualität nicht den Erfordernissen entspricht – Bereitstellung der Altdaten im vereinbarten Format 61
Rechtlich ist es bei nicht konkret vereinbarten Mitwirkungsleistungen nicht einfach zu bestimmen, ob eine bestimmte Mitwirkungsleistung tatsächlich als Verpflichtung des Auftraggebers anzusehen ist oder nur als Mitwirkungsobliegenheit, was in Bezug auf den Schadenersatz, den der Auftragnehmer im Ernstfall verlangen kann, unterschiedliche Auswirkungen hat. 3. Geheimhaltung und Datenschutz
62
Bei umfangreichen Datenbeständen eines großen Unternehmens oder einer Behörde stellen sich mit Blick auf die Migration von Daten auch Fragen in Bezug auf die Geheimhaltung und den Datenschutz. So muss z.B. darauf geachtet werden, dass keine Mitarbeiter an der Datenmigration beteiligt sind, die bestimmte Daten nicht einsehen dürfen.
63
Im Zuge einer automatisierten Datenmigration lässt sich am besten gewährleisten, dass vertrauliche Daten auch vertraulich bleiben und nicht von unbefugten Mitarbeitern inspiziert, ausgelesen oder manipuliert werden können.
V. Zusammenfassung und Ausblick 64
Die Übernahme von Daten bestehender Altsysteme in ein neues IT-System ist für viele IT-Projekte von essenzieller Bedeutung. Obwohl die Komplexität einer Datenmigration in aller Regel beträchtlich ist, werden Datenmigrationsprojekte bzw. -teilprojekte regelmäßig sowohl von Kunden als auch von Dienstleistern unterschätzt.
65
Im Sinne einer Checkliste können für das Thema Altdatenübernahme bzw. Datenmigration folgende Punkte festgehalten werden1: 1. Ableitung der Datenmigrationsstrategie aus dem Einführungskonzept Von sehr wenigen Ausnahmen abgesehen korreliert jede Altdatenübernahme sehr stark mit der Einführung eines neuen IT-Systems. Generell sollte die Strategie für die Datenübernahme aus dem Einführungskonzept für das Neusystem abgeleitet werden2.
1 Vgl. auch die hier aufgeführten Punkte der Checkliste mit „The Migration Best Practice Checklist“ in Abschnitt 5 des White Papers von Syntel. 2 S. hierzu Abschnitt II.1.
40
Sarre
§3
V. Zusammenfassung und Ausblick
2. Detaillierte Klärung der fachlichen Anforderungen Grundvoraussetzung jeder Datenmigration ist eine detaillierte Klärung der fachlichen Anforderungen. Dabei muss der zuständige Fachbereich rechtzeitig in das Datenmigrationsprojekt eingebunden werden1. 3. Rechtzeitige und kontinuierliche Planung sowie Projektfortschrittskontrolle Da praktisch jede Altdatenübernahme mit zahlreichen Unwägbarkeiten behaftet ist, müssen alle notwendigen Aktivitäten rechtzeitig geplant und durchgeführt werden2. Im Rahmen des vertragsorientierten Projektmanagements ist auch eine entsprechende Projektfortschrittskontrolle durchzuführen. 4. Möglichst hoher Automatisierungsgrad der Datenmigration Jede Altdatenübernahme sollte nach Möglichkeit automatisiert ablaufen, da der Vorgang der Datenmigration üblicherweise in sehr kurzer Zeit und im Übrigen wegen auftretender Fehler auch wiederholt zu erfolgen hat3. 5. Klärung aller Rahmenbedingungen Bei der Konzeption einer Datenmigrationsstrategie ist zu berücksichtigen, dass neben den fachlichen Fragen alle betrieblichen, wirtschaftlichen, technischen und juristischen Themen geklärt werden4. 6. Die Qualität der Altdaten ist seitens des Auftraggebers sicherzustellen Trotz diverser Hindernisse, die in der Praxis regelmäßig auftreten, muss der Auftraggeber versuchen, eine möglichst hohe Qualität der Altdaten sicherzustellen5. 7. Festlegung des Datenmigrationsverfahrens im Detail Bereits im Vertrag bzw. im Pflichtenheft sollten möglichst detaillierte Vereinbarungen darüber getroffen werden, welche Aufgaben im Rahmen der angestrebten Datenmigration zu leisten sind, wie sich die Verantwortungsbereiche zwischen den Vertragspartnern aufteilen sollen, welche Termine gelten usw.6. In diesem Zuge ist auch der Umfang der zu migrierenden Daten zu klären7.
1 2 3 4 5
S. hierzu die Abschnitte III.1.a), III.1.c), III.1.d) sowie III.2.a)–f). Dies ergibt sich u.a. aus Abschnitt III.1.b). S. hierzu Abschnitt III.1.c). S. hierzu Abschnitt III.1.d). Die Hauptprobleme sind fehlendes (geeignetes) Personal, kaum oder keine Dokumentation sowie unvollständige oder fehlerhafte Daten in den Altsystemen (für eine detailliertere Betrachtung s. Abschnitt III.2.a)). 6 Dies ergibt sich vor allem aus den Abschnitten IV.1 und IV.2, aber insgesamt auch aus dem Zwischenfazit in Abschnitt III.4. 7 S. hierzu Abschnitt III.2.b). Sarre
41
§3
Typische Herausforderungen bei einer Altdatenbernahme
8. Einrichtung eines angemessenen Qualitätsmanagements Um die Fehleranfälligkeit einer geplanten Datenmigration möglichst gering zu halten, müssen parallel zu allen Verfahrensschritten alle notwendigen Maßnahmen des Qualitätsmanagements ausgeführt werden. Das Qualitätsmanagement ist im Zuge der Vorbereitungen des Datenmigrationsprojekts einzurichten1. 9. Abnahme der Ergebnisse einer Datenmigration Auch Datenmigrationsprogramme und deren Dokumentation unterliegen üblicherweise einer Abnahme durch den Auftraggeber2. 10. Zusammenstellung des „richtigen“ Personals für das Datenmigrationsprojekt Obwohl sich ein Datenmigrationsprojekt aus juristischer Sicht wie ein „normales“ IT-Projekt behandeln lässt, sollte in der Praxis dennoch darauf geachtet werden, dass schwierige Datenmigrationsaufgaben nur von ausgewiesenen Spezialisten bearbeitet werden. Diese wichtige Empfehlung betrifft sowohl den Auftraggeber als auch den Auftragnehmer3. 66
Wenn die Vertragspartner dafür Sorge tragen können, dass die soeben erwähnten Punkte der Checkliste erfüllt werden, ist die Chance für den Erfolg eines Datenmigrationsprojekts hoch.
1 S. hierzu insbesondere Abschnitt III.3.b). 2 S. hierzu Abschnitt III.3.c). 3 S. hierzu Abschnitt III.3.a).
42
Sarre
§4 Transition und Re-Transition
I. Einleitung und Begriffe . . . . . . . . .
Rz.
Rz.
1
3. Fehler bei Transition . . . . . . . . . . . 36 4. Kurzfristige Re-Transition . . . . . . 40 5. Langfristige Re-Transition . . . . . . 45
II. Grundlagen . . . . . . . . . . . . . . . . . . 8 1. Abgrenzungen . . . . . . . . . . . . . . . . 9 2. Ablauf Datentransition. . . . . . . . . 12 III. Problembereiche . . . . . . . . . . . . . . 1. Daten sind Abbildungen von Realität . . . . . . . . . . . . . . . . . . . . . . a) Auswirkungen auf Tests . . . . . b) Auswirkungen auf Transitionsszenarien . . . . . . . . . . . . . . c) Auswirkungen auf historische Daten . . . . . . . . . . . . . . . . . . . . . 2. Datenportabilität. . . . . . . . . . . . . .
21 22 24 29 32 33
IV. Aspekte der Leistungsbeschreibung . . . . . . . . . . . . . . . . . 1. Verantwortungszuordnung . . . . . . 2. Planungsaspekte . . . . . . . . . . . . . . 3. Abnahmeregelungen . . . . . . . . . . . 4. Tests . . . . . . . . . . . . . . . . . . . . . . . . 5. Mitwirkungsleistungen . . . . . . . . 6. Qualitätssicherung . . . . . . . . . . . . 7. Risikomanagement . . . . . . . . . . . . 8. Regelungen für langfristige Re-Transition . . . . . . . . . . . . . . . . .
49 50 54 57 63 64 69 70 72
I. Einleitung und Begriffe Der Begriff Transition ist geprägt durch die Service Transition, die Über- 1 schrift der dritten von fünf Publikationen der IT Infrastructure Library (ITIL)1 in der Version 3. Service Transition bedeutet Serviceüberführung. Darunter wird die Umsetzung der geschäftlichen Anforderungen in konkrete IT-Dienstleistungen verstanden. Dabei sind Serviceleistungen zu definieren, zu spezifizieren und zu realisieren2. Häufig gehen diese Arbeiten damit einher, dass IT-Dienstleistungen durch ein anderes Unternehmen erbracht werden sollen (sog. Outsourcing). Ein typisches Beispiel ist die Verlagerung eines System- oder Rechenzentrumbetriebs auf einen neuen (aufnehmenden) Dienstleister. Im vorliegenden Kontext der Daten und Datenbanken bezeichnet Tran- 2 sition die Überführung von Daten in ein definiertes neues beziehungsweise geändertes Ziel-Serviceumfeld. Da die zu den Daten gehörenden Dienstleistungen durch ein anderes Unternehmen erbracht werden sollen, ergeben sich wesentliche Schwierigkeiten und Probleme. Daher bezeichnet der übliche Sprachgebrauch mit Transition den Übergang von Daten auf ein anderes Unternehmen. Dabei kann es sich um Übergänge im Rahmen einer Outsourcing-Lösung oder einer Insourcing-Lösung handeln.
1 S. http://de.wikipedia.org/wiki/IT_Infrastructure_Library. ITIL ist eine Sammlung von Best Practices zur Umsetzung eines IT-Service-Managements. 2 IT-Service-Management bezeichnet die Gesamtheit aller Maßnahmen und Methoden, deren Umsetzung notwendig ist, um die Geschäftsziele eines Unternehmens weitestmöglich zu unterstützen. Streitz
43
§4
Transition und Re-Transition
3
Man unterscheidet zwischen zwei Ausprägungen: „First Generation Outsourcing“ bezeichnet die erstmalige Auslagerung von Unternehmensaufgaben an externe oder interne Dienstleister. Dabei hat der Auftraggeber ein nahezu uneingeschränktes Verfügungsrecht über die Daten, da sie aus seinem eigenen Unternehmensbereich stammen.
4
Dem gegenüber stehen das „Second Generation Outsourcing“ und das „Third Generation Outsourcing“, die beide den Übergang von einem externen (abgebenden) Unternehmen auf ein anderes externes (aufnehmendes) Unternehmen bezeichnen. Bei der tatsächlichen Umsetzung kommt es oft zu Problemen1.
5
Ferner differenziert man zwischen dem Current Mode of Operation (CMO), der den derzeitigen Servicebetrieb kennzeichnet, und dem Future Mode of Operation (FMO), der das zukünftige Betriebskonzept darstellt.
6
Schließlich ist noch der Begriff „Re-Transition“2 einzugrenzen. Er besitzt im vorliegenden Kontext der Daten und Datenbanken zwei Bedeutungen. Zuerst bezeichnet er die Rückabwicklung einer Transition, wie beim Scheitern eines derartigen Projektes zur Wiederherstellung eines betriebsfähigen Systemzustands. In einem langfristigen Kontext wird mit Re-Transition die Verlagerung der Daten beziehungsweise der Übergang von Serviceleistungen vom zukünftigen Dienstleister auf den in der Zukunft darauffolgenden Dienstleister (wie bei einem Second Generation oder Third Generation Outsourcing) verstanden.
7
Es ist somit davon auszugehen, dass die Transition von Daten immer in einem Kontext mit dem Übergang von Servicedienstleistungen steht. Soweit es sich nur um die Übergabe von Daten an ein anderes System handelt, liegt ein Migrationsprojekt3 vor. Dieser Beitrag fokussiert somit auf die Rolle von Daten bei dem Übergang von Serviceleistungen auf ein anderes Unternehmen.
II. Grundlagen 8
Die Transition wird von einer (zusätzlichen) Einführungsplanung abgegrenzt. Es schließt sich zum besseren Verständnis ein typischer Ablauf einer Datentransition an. Auf die mit einer Datentransition in der Regel verbundene Übertragung von Anwendungen und Services wird nur ansatzweise eingegangen, um den gegebenen Rahmen nicht zu überschreiten.
1 S. Abschnitt III.5. Langfristige Re-Transition, Rz. 45 ff. 2 Re-Transition wird übersetzt als Rückverlagerung oder Rückführung. 3 S. Sarre, § 3 Rz. 1 und 6.
44
Streitz
§4
II. Grundlagen
1. Abgrenzungen Es kann durchaus eintreten, dass ein Übergang auf einen anderen Dienst- 9 leister organisatorische und technische Änderungen beinhaltet. So kann es notwendig sein, aufgrund geänderter Infrastruktur, neuer gesetzlicher Auflagen oder der Realisierung weiterer Funktionalitäten die Datenstruktur zu ändern oder zu erweitern. Zur Umsetzung dieser Anforderungen ist zusätzlich ein Migrationsprojekt durchzuführen, um die Übernahme und Transformation von Daten in die neue Datenstruktur zu realisieren1. Damit ist zwangsläufig auch eine Einführungsplanung verbunden, die unter anderem regelt, welche IT-technischen Maßnahmen zum Betrieb des neuen Systems notwendig sind und welche Schulungsmaßnahmen durchgeführt werden müssen. Bei der Einführung einer neuen Software ist oft neben der Übernahme be- 10 stehender Daten vorgesehen, zusätzliche Daten zu erfassen, die bisher nicht gespeichert wurden und für die auch keine Speichermöglichkeit existiert. Auch diese Anforderung bedingt eine Änderung und Erweiterung des bestehenden Datenmodells2. Hier wird zur Vereinfachung nur der Fall einer Transition ohne Einfüh- 11 rungsplanung dargestellt. 2. Ablauf Datentransition Um die notwendigen Planungen und Arbeiten zu verstehen, ist nachfol- 12 gend der grundsätzliche Ablauf einer typischen Datentransition dargestellt. Es wird angenommen, dass keine Software- oder Datenbankänderungen erfolgen und die Transformation auf identische Systeme geleistet wird (mit gleichen Betriebssystemen, gleichen Patch-Ständen der Standardsoftware und vergleichbarer Leistungsfähigkeit); die einzelnen Abschnitte werden anschließend erläutert. 1. Identifikation der relevanten Daten 2. Export 3. Datenübertragung 4. Import 5. Betrieb auf neuem System Die relevanten Daten enthalten nicht nur den eigentlichen operativen 13 Datenbestand, sondern sind in der Regel weiter zu fassen. So müssen auch Daten, die für die Dokumentation bestimmter Systemzustände wichtig sind, oder historische Daten, soweit nicht eine gesonderte Archivtransition vorgesehen ist, berücksichtigt werden. Hier sind eine Rei-
1 S. Sarre, § 3 Rz. 36. 2 S. Hoppen, § 2 Rz. 8 ff. Streitz
45
§4
Transition und Re-Transition
he von Sondervorschriften zu beachten, insbesondere im Steuerrecht wird die Aufbewahrung historischer Daten gefordert1. 14
Dazu gehören ausgelagerte, verdichtete und sonstige buchführungsrelevante Daten. Soweit in diesem Verfahrensschritt Fehler gemacht werden, werden sie meist erst nach längerer Zeit festgestellt und sind dann – wenn überhaupt – nur durch das aufwändige Einspielen historischer Datensicherungen heilbar. In vielen Fällen gehen jedoch Daten bei der Transition schlichtweg verloren.
15
Der Export von Daten aus dem alten System muss mehrmals erfolgen, um aktuelle Testdaten zu erhalten, Probetransitionen durchzuführen oder Datenaktualisierungen vornehmen zu können. Stammdaten sind gegenüber Bewegungsdaten vergleichsweise statisch2. Veränderungen an Stammdaten können auch durch organisatorische Regelungen aufgefangen werden, während Bewegungsdaten zeitnah zur Transition zu übernehmen sind, da ansonsten keine fachgerechte Verarbeitung dieser Daten möglich ist. Der Export der Daten geschieht üblicherweise durch Replikation (Kopie), da im Regelfall das Altsystem nach dem Datenexport weiterbetrieben wird3. Erst beim letztmaligen, für den Produktivbetrieb entscheidenden Export, ist eine weitere Nutzung des Datenbestandes nicht vorgesehen. Gleichwohl wird der Datenbestand häufig aus Sicherungsgründen beibehalten, insbesondere wenn eine kurzfristige Re-Transition4 ermöglicht werden soll. Automatisierte Verfahren werden eingesetzt, um Fehlerquellen zu vermeiden und Exporte effizient durchzuführen.
16
Der nächste Schritt ist die Datenübertragung auf das neue System oder das Zielsystem (wenn für Tests und Vorabevaluationen ein gesondertes System verwendet wird). Eine physikalische Übergabe der Daten auf einem Datenträger ist aufwändig und benötigt Transportzeit. Für Test- und Evaluationszwecke ist diese Art der Vorgehensweise häufig zu zeitraubend. Soweit bestehende WAN5-Verbindungen benutzt werden, sind die Bandbreiten zu beachten. Wenn ein WAN mit ausreichender Leistungsfähigkeit nicht zur Verfügung steht, sollte erwogen werden, mit einem Teildatenbestand zu arbeiten. Eine wesentliche Rolle spielt der Leistungsübergabepunkt, da sich das ursprüngliche System nicht bei dem zu1 Die Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme (GoBS, BStBl. 1995 I 738) verlangen die Dokumentation historischer Verfahrensinhalte einschließlich des Inhalts von Tabellen mit Programmfunktion. Die Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU) fordern einen elektronischen Zugriff auf Daten für den aufbewahrungspflichtigen Zeitraum. 2 Sarre, § 3 Rz. 18. 3 Auf technische Einzelheiten wie Nutzung von Datenbankfunktionen zum Import oder Export, Einsatz von Backup-Restore-Verfahren oder Datenbanksynchronisationsmechanismen mit ihren Vor- und Nachteilen (wie Lizenzfragen, Geschwindigkeit, Datenmengen) wird hier nicht näher eingegangen. 4 S. Abschnitt III.4. Kurzfristige Re-Transition, Rz. 40 ff. 5 Wide Area Network.
46
Streitz
§4
II. Grundlagen
künftigen Dienstleister befindet, der jedoch Zugriff auf dieses System benötigt1. Als Import wird die Verbindung zwischen der Zielanwendung und dem 17 übergebenen Datenbestand bezeichnet. Im Regelfall wird der Datenbestand in eine Datenbank importiert, die auf dem Zielsystem bereits eingerichtet ist. Die Datenbank muss hinsichtlich Versionierung (PatchStatus) und technischen Merkmalen geeignet sein, den übergebenen Datenbestand aufzunehmen. Beim letztmaligen Import steht die Produktions-Datenbank für den Betrieb nicht zur Verfügung, so dass ein ausreichend großes Zeitfenster für den Export, die Datenübertragung und den Import vorzusehen ist. Nach der letzten Transition zur Produktionsübernahme erfolgt die Be- 18 triebsaufnahme auf dem neuen System. Damit verbunden ist ein Übergang der Betriebsverantwortung2; die Datentransition wird damit abgeschlossen. Dieser grundsätzliche Ablauf ist in der Praxis deutlich verzweigter, da 19 das Umfeld des Zielsystems mit allen Services neu einzurichten ist und der Datenübertragungsvorgang geplant, konzipiert, getestet und qualitätsgesichert werden muss. Dabei werden folgende Bereiche unterschieden: – Infrastruktur (für die Durchführung der Transition und den Betrieb auf dem Zielsystem) – Prozesse (Dienste und Abläufe im Zielumfeld) – Sicherheit (für die Durchführung der Transition und das Zielumfeld) – Transitionsvorbereitung (Planung, Tests und organisatorische Voraussetzung für die Transition und den Betrieb im Zielumfeld) – Projekt (projektspezifische Vereinbarungen) Die nachfolgende generalisierte Checkliste für die Durchführung einer 20 Datentransition verdeutlicht die technische Komplexität. Infrastruktur: 1. Steht ein Konfigurationsplan für die Zielinfrastruktur zur Verfügung? 2. Ist die Infrastruktur3 für die Übernahme der Daten (und damit auch der mit den Daten verbundenen zu überbrückenden Dienstleistungen) verfügbar und betriebsbereit4? 1 S. Abschnitt IV.5. Mitwirkungsleistungen, Rz. 64 ff. 2 Auch als „Cutover“ bezeichnet. 3 Hardware, Verkabelung, Netzwerk, Virtualisierung, Speicher, Backup, aktive Netzwerkkomponenten. 4 Schließt einen Rollout (Einführung) ein. Streitz
47
§4
Transition und Re-Transition
3. Ist die Verschlüsselung verfügbar? 4. Steht ein Netzplan mit Netzprotokollen zur Verfügung? 5. Stehen die WAN-Verbindungen zur Verfügung? 6. Sind die Netzanbindungen an andere (externe) Anwendungen vorhanden? Prozesse: 7. Stehen die Services1 zur Verfügung? 8. Steht der Service Desk2 zur Verfügung? 9. Ist das Access-Management3 eingerichtet? 10. Ist das Incident-Management4 eingerichtet? 11. Ist das Problem-Management5 eingerichtet? 12. Ist das Change-Management6 eingerichtet? 13. Ist das Capacity-Management7 eingerichtet? 14. Ist das Konfigurations-Management8 eingerichtet? Sicherheit: 15. Liegt ein Sicherheitskonzept vor? 16. Ist der Betrieb sicher (Netzwerkkomponenten, Speicherzugriffe, WAN-Verbindungen, Firewalls, Verschlüsselung, Virenschutz)? 17. Wurde ein Internet Security Test durchgeführt? 18. Ist das Schwachstellen-Management9 eingerichtet? 1 Unter anderem Prozessbeschreibungen des Betriebs, Überwachungskonzept, Datensicherungskonzept, Berichtskonzept. 2 ITIL-Prozess: Zentrale Anlaufstelle für Serviceanfragen (beispielsweise Hotline, Helpdesk). 3 ITIL-Prozess: Gewährung des Zugriffs auf Services für berechtigte Anwender und Verweigerung des Zugriffs für nicht berechtigte Anwender, wird auch als Rechtemanagement bezeichnet. 4 ITIL-Prozess: Wiederherstellung des Betriebs nach Störungen. 5 ITIL-Prozess: Analyse von Störungen mit Identifikation von Problemen; arbeitet im Gegensatz zum Incident Management auch proaktiv. 6 ITIL-Prozess: Durchführung von Anpassungen an der IT-Infrastruktur (beispielsweise Umsetzung von Änderungsanforderungen – Change Requests). 7 ITIL-Prozess: Sicherstellung ausreichender Kapazität der Infrastruktur und der Services zur Erbringung der IT-Services. 8 Technische und organisatorische Maßnahmen und Strukturen zur Konfiguration der Hardware, der Software und der damit verbundenen Dienstleistungen. 9 Umgang mit Schwachstellen der IT-Sicherheit, insbesondere Sicherheitslücken; auch „Vulnerability Management“ genannt.
48
Streitz
§4
III. Problembereiche
19. Ist das Security Incident-Management1 eingerichtet? 20. Ist das Patch-Management2 bereitgestellt? 21. Ist die Übergabe von Notfallunterlagen erfolgt? 22. Steht ein Krisenmanagement zur Verfügung? 23. Ist der Backup- und Recovery-Service funktionsfähig und bereit? Transitionsvorbereitung: 24. Liegt ein Durchführungsplan für die Transition3 vor? 25. Ist das Übernahmeverfahren vollständig getestet, und sind die Tests dokumentiert? 26. Sind die organisatorischen Voraussetzungen für den Betrieb vorhanden (geschultes Personal, Governance)? 27. Sind die Serviceverträge für die Zielhardware vorhanden? Projekt: 28. Sind die notwendigen Verträge mit Subdienstleistern (wie Providern) und den vereinbarten Service Levels abgeschlossen? 29. Ist die Betriebsbereitschaft gegeben, dokumentiert und durch den Auftraggeber bestätigt?
III. Problembereiche Probleme bei Transitionsprojekten lassen sich drei Bereichen zuordnen. 21 Da die gespeicherten Daten Sachverhalte der Realität wiedergeben sollen, resultieren Schwierigkeiten aus einer fehlenden Nachführung des Datenbestandes bei der Abbildung realer Ereignisse. Die zweite Gruppe stellen technische Fehler bei der Umsetzung dar. Schließlich wird das Transitionsprojekt beendet, sei es durch Abbruch (kurzfristige Re-Transition) oder durch Ablauf der vereinbarten Dauer (langfristige Re-Transition).
1 Incident Management für sicherheitskritische Vorfälle. 2 Planung und Umgang mit Korrektur- und Ergänzungsauslieferungen für Software und Daten. 3 Auch als „Cutover-Planung“ bezeichnet. Streitz
49
§4
Transition und Re-Transition
1. Daten sind Abbildungen von Realität 22
Eine Datentransition muss immer berücksichtigen, dass die Daten ein Abbild der Realität und somit permanenten Aktualisierungen und Ergänzungen unterworfen sind. So ändert sich bei einer Warenwirtschaft der Lagerbestand durch Neueinlagerungen, Auslieferungen, Umbuchungen oder Inventuren innerhalb kürzester Zeit, wobei auch mehrere Anwender gleichzeitig auf den gleichen Artikel zugreifen können. Eine Kopie der Daten stellt nur dann ein zutreffendes Abbild der Realität dar, wenn ab dem Beginn der Kopie keine Datenveränderungen mehr erfolgen. In der Praxis kann dann kein Geschäftsbetrieb mehr stattfinden. Eine Umgehung mit organisatorischen Maßnahmen (wie das manuelle Ausfüllen von Lieferscheinen) ist nur bei kleinen, überschaubaren Systemen für eine begrenzte Zeit möglich. Demgegenüber stehen Systeme, die rund um die Uhr (24/7-Betrieb) verfügbar sind, beispielsweise über Zeitzonen hinweg oder für den weitgehend geschäftszeitenfreien Internethandel. Gleichwohl sollte – auch zur Risikominimierung – geprüft werden, welche Umgehungsmaßnahmen für welche Ausfallzeiträume1 zur Verfügung stehen und ob bei Scheitern der Transition gegebenenfalls mit überschaubaren zusätzlichen Aufwendungen eine Umgehungslösung betrieben werden kann.
23
Im Folgenden werden Probleme dargestellt, die aus der häufig fehlenden Übereinstimmung einer Kopie des Originaldatenbestandes mit der Realität resultieren. a) Auswirkungen auf Tests
24
Die Durchführung von Tests mit einer Kopie des Originaldatenbestandes beinhaltet, dass keine Veränderungen an der Realität getestet werden können. So ist es ausgeschlossen, mit einem Testdatenbestand reale Bestandsveränderungen in einem Lager vorzunehmen, da sie parallel zum Produktivbetrieb erfolgen und dazu führen, dass die gespeicherten Bestände nicht mehr zutreffend sind.
25
Die Verwendung eines realen Systems für die Durchführung von Tests setzt voraus, dass die Auswirkungen dieser Tests nachfolgend neutralisiert und beispielsweise die Lagerbestände wieder auf den realen Wert zurückgesetzt werden, da keine realen Auslieferungen erfolgten. Diese Rückführung der Datenbestände auf die realen Werte ist jedoch aufwändig. Gleichzeitig dürfen während des Testbetriebs keine realen Abläufe durchgeführt werden, um die Testauswirkungen abzugrenzen und Fehler bestimmen zu können. Ein gleichzeitiger Echt- und Testbetrieb eines realen Systems ist aus technischer Sicht auszuschließen.
26
Generell kann bei einem Testbestand auch nur ein Test mit einer Testrealität erfolgen. Das bedeutet, dass der reale Ablauf nicht mit dem Test1 Auch „Downtime-Zeiten“ genannt.
50
Streitz
§4
III. Problembereiche
ablauf vermischt wird. So kann die Artikelbestandsführung nur für Testartikel erfolgen, Einlagerungen in einem chaotischen Lager können nur in einem Testbereich durchgeführt werden (der anschließend wieder aufgeräumt werden kann) und Rechnungen können nur ohne Aufnahme in die tatsächliche Finanzbuchhaltung an Testkunden erstellt werden. Diese Einschränkung hat zur Folge, dass Massen- und Stresstests nicht 27 möglich sind, da die entsprechende Realität (beispielsweise ein Lager mit einem ausreichend großen Datenbestand) nicht zur Verfügung steht. Die Rücknahme der in einem derartigen Test erfolgten Veränderungen an der Realität (beispielsweise an den Artikelbeständen) ist so aufwändig, dass ein vollwertiger Massen- oder Stresstest im Regelfall nicht durchführbar ist. Auch ein Probebetrieb zur testweisen Überprüfung von Funktionalitäten, 28 der häufig einem Echtbetrieb vorangehen soll, kann in der Praxis nur eingeschränkt ausgerichtet werden. Er muss in einem klar abgegrenzten Bereich durchgeführt werden, um die realen Daten nicht zu verfälschen. Ferner sind nach Ende des Probebetriebs die Daten sorgfältig zurückzusetzen, damit die Transition beziehungsweise Migration der zutreffenden Daten erfolgt, wie sie vor dem Probebetrieb vorlagen. Soweit der Probebetrieb nach der letztmaligen Migration auf Echtdaten erfolgt, handelt es sich um die Startphase des Betriebs nach der Transition. Hierbei liegt keine Erprobung mehr vor, sondern die Nutzung des Echtsystems. b) Auswirkungen auf Transitionsszenarien Bei der Einführung eines neuen Systems ist zwischen den grundsätzli- 29 chen Ansätzen des Parallelbetriebs und des sog. Big Bang zu unterscheiden1. Die Auswirkungen auf die Transition werden nachfolgend diskutiert. Bei einem Parallelbetrieb in einer Datentransition greifen zwei Systeme 30 auf zwei Datenbestände zu. Es ist somit erforderlich, diese Daten so zu trennen, dass es nicht zu Überschneidungen bei ihrer Nutzung kommt. Dies ist meist nur möglich, wenn klar abgegrenzte Bereiche vorliegen. Verteilte Datenbestände wie Adressen, die für verschiedene Funktionalitäten benötigt werden, sind zu vermeiden. Als (komplexe) Umgehungsmöglichkeit kann ein Synchronisationsmechanismus von Datenbeständen realisiert werden. Er gleicht die Daten aus dem alten mit dem neuen System ab, was in der Praxis fehleranfällig und sehr aufwändig ist. Bei einem sog. Big Bang erfolgt die Umstellung auf das Zielsystem in ei- 31 nem Zug. Das hat bei wachsender Systemgröße eine länger andauernde Unterbrechung zur Folge, da die Daten vollständig im aktuellen Zustand auf den neuen Dienstleister umzuziehen sind. Der bestimmende Faktor 1 S. Sarre, § 3 Rz. 11 ff. Streitz
51
§4
Transition und Re-Transition
ist der Zeitbedarf für den Export, die Datenübertragung und den Import der aktuellen Daten sowie die notwendigen Arbeiten zur Betriebsaufnahme des neuen Systems. c) Auswirkungen auf historische Daten 32
Es wurde oben (Rz. 13) bereits dargelegt, dass die Identifikation der Daten für die Transition Normen berücksichtigen muss. Die Änderung oder Erweiterung des bestehenden Datenmodells1 kann dazu führen, dass Auswertungen oder Statistiken über die Daten des Altsystems im neuen System nicht mehr fehlerfrei ablaufen, da für die bis zur Transition gespeicherten Daten gültige Werte fehlen können. Daher ist bei der Migration2 zu berücksichtigen, dass auch der Zugriff auf historische Daten ermöglicht wird und beispielsweise zutreffende Werte bei neu eingeführten Feldern ergänzt werden. Gegebenenfalls sind die Auswertungs- und Statistikfunktionen entsprechend zu erweitern, um auch beim Betrieb auf dem neuen System zutreffende Informationen für historische Zeiträume liefern zu können. 2. Datenportabilität
33
Datenportabilität bezeichnet die Übertragungsmöglichkeit von Daten auf andere Systeme. Gelegentlich wird damit das Recht bezeichnet, über die eigenen Daten verfügen zu können. Es geht um rechtliche3 und um technische Aspekte, da eine Transition die Übertragung von Daten beinhaltet. Die Herstellung der Portabilität auf der technischen Ebene verlangt, dass der Zugriff und die Bedeutung der Daten auch im Zielsystem gegeben sind. Soweit das Datenmodell4 und die Formate der gespeicherten Daten5 nicht verändert werden, ist dies unproblematisch. Sobald jedoch Ergänzungen oder Erweiterungen der Daten vorgenommen werden oder sich auch die Formate der gespeicherten Daten ändern, sind zusätzliche Arbeiten notwendig. In diesen Fällen muss die Migration6 gewährleisten, dass die Bedeutung der Daten erhalten bleibt und beispielsweise beim Übergang von zwei- auf vierstellige Jahreszahlen der richtige Entscheidungswert hinzugefügt wird.
34
Die Jahr-2000-Umstellung führte bei vielen Systemen zu zusätzlichen Arbeiten, da die Jahreszahl in den 80er und 90er Jahren in vielen Fällen nur zweistellig abgespeichert wurde. Zur richtigen Auswertung der gespeicherten Datumsinformation war es notwendig, einen Entscheidungs-
1 2 3 4 5 6
S. Hoppen, § 2 Rz. 8 ff. S. Sarre, § 3 Rz. 37. S. Bischof, § 38 Rz. 19 ff.; Heymann, § 51. S. Hoppen, § 2 Rz. 8 ff. S. Hoppen, § 2 Rz. 10. S. Sarre, § 3 Rz. 37.
52
Streitz
§4
III. Problembereiche
wert zu definieren, der die gespeicherte zweistellige Jahreszahl den 1900er Jahren oder den 2000er Jahren zuordnet1. Ein weiterer Aspekt der Datenportabilität, insbesondere beim Second/ 35 Third Generation Outsourcing ist, dass der bisherige Dienstleister die notwendigen technischen Zugriffsmöglichkeiten und -rechte bereitstellt, um die Daten zu replizieren oder zu übertragen2. 3. Fehler bei Transition Eine Transition ist organisatorisch und technisch komplex, so dass eine 36 Vielzahl von Fehlerquellen vorhanden ist. Auf allfällige technische Fehler, die beim Export, bei der Datenübertragung oder beim Import auftreten können, wird nicht näher eingegangen. Besonders relevant für die Transition sind Fehler, die das Transitionsziel in Form der fehlerfreien Nutzung der Daten im Zielumfeld betreffen. Um die Auswirkungen auf das Transitionsprojekt gering zu halten, wer- 37 den mit Tests derartige Fehler möglichst früh festgestellt. Diese Tests sollen kleinteilig und flächendeckend durchgeführt werden, um Abweichungen vom angestrebten Zustand möglichst früh feststellen zu können. Die Auswirkungen lassen sich dann auf einen zusätzlichen Zeitverbrauch zur Beseitigung des Fehlers und für einen erneuten Test einschränken. Je später Fehler erkannt und beseitigt werden, desto größere Auswirkungen üben sie auf das Transitionsprojekt aus, insbesondere hinsichtlich Aufwand und Zeit. Eine weitere Strategie, die Auswirkungen von Fehlern zu minimieren, 38 ist eine Aufteilung der Transition in Teile, die mit Teilabnahmen verknüpft werden3. Im ungünstigsten Fall werden erst im Rahmen der Entscheidung, ob der 39 Produktivbetrieb aufgenommen werden kann, wesentliche Fehler festgestellt. Dann wird kurzfristig eine Re-Transition erforderlich wird (siehe nächster Abschnitt). 4. Kurzfristige Re-Transition Eine kurzfristige Re-Transition ist der Abbruch des Transitionsprozesses 40 und die erneute Produktionsaufnahme mit dem bisherigen System. Sie bedeutet das Scheitern des Transitionsprojektes; es treten somit die gleichen Probleme wie beim Scheitern eines Projektes auf.
1 Graf von Westphalen/Langheid/Streitz, Der Jahr-2000-Fehler, Rz. 12. 2 S. Rz. 66. 3 S. Rz. 59. Streitz
53
§4 41
Transition und Re-Transition
Soweit der Produktivbetrieb mit dem Zielsystem noch nicht aufgenommen wurde, sind folgende Voraussetzungen für eine Re-Transition notwendig: – Erhalt des Ursprungsbestands der Daten1 – Erhalt der betriebsbereiten ursprünglichen Infrastruktur – Rücknahme bereits erfolgter Parametrierungen und Änderungen beim Umstieg auf das Zielsystem
42
Im Regelfall sind für eine umfassende Fall-Back-Lösung keine übermäßig aufwändigen Maßnahmen notwendig. Zur Risikominimierung ist es daher angeraten, die Ursprungssystemkomponenten verfügbar zu halten und entsprechende vertragliche Notfallregelungen2 zu treffen.
43
Vollkommen anders gelagert ist die Situation, wenn schon der Produktivbetrieb aufgenommen wurde. Falls hierbei – auch für einen nur kurzen Test- oder Probezeitraum – eine Re-Transition möglich sein soll, sind auch die zwischenzeitlich erfolgten Datenveränderungen zurück in das alte System zu übertragen. Dies stellt ein zusätzliches Migrationsprojekt mit allen notwendigen Planungen, Vorbereitungen und Arbeiten dar. Es kann allenfalls dadurch schlanker gestaltet werden, dass die geänderten Daten nur einen vergleichsweise geringen Umfang besitzen. Ferner sollten sie durch eine partielle automatische Migration, verbunden mit manuellen Eingabetätigkeiten, in das ursprüngliche System übertragen werden können.
44
Eine Re-Transition nach Aufnahme des Produktivbetriebs muss in jedem Fall vorbereitet werden. Dazu ist eine sorgfältige Analyse erforderlich, welcher Zeitraum noch als reversibel betrachtet werden kann, bis der Point-of-no-Return erreicht wird. Es ist ein Zeitfenster für die Re-Transition vorzusehen, der die notwendige Produktionsunterbrechung berücksichtigt. Ohne derartige Maßnahmen ist eine Re-Transition nach der Aufnahme des Produktivbetriebs faktisch ausgeschlossen. 5. Langfristige Re-Transition
45
Nach Ablauf eines Outsourcing-Vertrages kann der Auftraggeber entscheiden, einen anderen Dienstleister zu beauftragen. In diesem Fall liegt eine langfristige Re-Transition vor. Bereits zum Vertragsschluss mit dem ursprünglichen Dienstleister sollten Vereinbarungen getroffen werden, wie bei Beendigung des Vertrages ein Übergang auf einen neuen Dienstleister erfolgen kann. Eine langfristige Re-Transition ist immer Gegenstand eines Second/Third-Generation Outsourcings.
1 S. Rz. 15. 2 S. Rz. 68.
54
Streitz
§4
IV. Aspekte der Leistungsbeschreibung
Typische Ziele bei einer langfristigen Re-Transition sind:
46
– Aufwendungsminimierung des Transitionsprojekts – Verminderung von Fehlern – Einhaltung von Terminen – Risikominimierung Aus technischer Sicht sind die Aspekte zu berücksichtigen, die unter 47 Rz. 65 ff. als Mitwirkungsleistungen des abgebenden Dienstleisters genannt sind. Ein besonderes Problem ist die Ausgestaltung des zukünftigen Parallel- 48 betriebs. Da ein Big Bang-Transitionsszenario der Ausnahmefall ist, muss über einen längeren Zeitraum ein Parallelbetrieb durchgeführt werden. Bei Abschluss des Vertrages mit dem ursprünglichen Dienstleister ist es unmöglich vorherzusehen, welche Transitionsplanung nach einer Reihe von Jahren aufgestellt werden wird. Aufgrund der kaum vorherzusehenden technischen Entwicklung ist unklar, welche Übergangs- und Umstellungszeiträume und welche Reihenfolgen bei der Transition gewählt werden. Es ist daher Flexibilität des abgebenden Dienstleisters notwendig, Schritt für Schritt die Daten an den neuen Dienstleister zu übertragen. Einher damit geht die Verantwortung für den Betrieb der Systeme mit den verbundenen Service Level Agreements (SLAs)1.
IV. Aspekte der Leistungsbeschreibung Bei einer Transition handelt es sich um ein typisches IT-Projekt, so dass 49 dieses Kapitel nur die für eine Transition typischen notwendigen Regelungen adressiert, die zwischen den beteiligten Projektpartnern getroffen werden müssen. Dazu gehören Auftraggeber, gegebenenfalls abgebender Dienstleister, aufnehmender Dienstleister sowie möglicherweise weitere (Sub-)Unternehmen. Die Darstellung erfolgt aus technischer Sicht und nimmt keine Abgrenzung vor, welche Regelungen in eine Leistungsbeschreibung oder in ein Pflichtenheft gehören und welche in die vertraglichen Vereinbarungen aufgenommen werden sollten. Diese Grenze ist ohnehin fließend. Die folgenden Kapitelüberschriften können daher als Checkliste der zu regelnden Punkte dienen. 1. Verantwortungszuordnung Bei einer Transition muss geklärt werden, welcher Projektpartner welche 50 Verantwortung für welche Tätigkeiten trägt. Wenn diese Zuordnung nicht erfolgt, ist das Scheitern der Transition vorprogrammiert, da bei auftretenden Problemen destruktive wechselseitige Schuldzuweisungen erfolgen und keine zielführende Vorgehensweise angestrebt wird. 1 S. unter Rz. 50 ff. Streitz
55
§4 51
Transition und Re-Transition
Die zentrale Komponente ist der Transitionsplan, der hinsichtlich der Daten folgende Details aufweisen sollte: – Gegebenenfalls Vervollständigung der Analyse – Erarbeitung des Feinkonzepts – Zeitpunkt der Übernahme der einzelnen Systeme mit dem (logischen) Zeitpunkt des Verantwortungsübergangs, der im Regelfall mit der Aufnahme des Betriebs auf dem neuen System festgelegt wird. – Entscheidungspunkte und -fristen für die Realisierung von Fall-Backs – Gegebenenfalls die Erstellung von Pilot-Transitionen – Zeitplan und Umfang für Integrationstest – Konzept und Erarbeitung eines Governance-Modells – Konzeption und Abstimmung über die zu übertragenden Services (einschließlich Umgang mit bestehenden offenen Punkten wie nicht erledigte Service-Tickets) – Zuordnung der Bearbeitung von Change Requests, Incidents und Problemen für den Integrationstest, den Parallelbetrieb sowie andere durch die Transition ausgelöste Ereignisse.
52
Auf Basis dieses Plans werden die Aufgaben und Verantwortungen den Projektpartnern zugeordnet. Zu berücksichtigen ist, dass der jeweilige Partner auch die notwendigen Ressourcen (Personal, Technik, Berechtigungen) für die Durchführung der Aufgabe erhält. Soweit beispielsweise der aufnehmende Dienstleister den Datenexport aus dem abgebenden System durchführt, müssen ihm dementsprechende Rechte und Zugriffsmöglichkeiten zur Verfügung gestellt werden.
53
In diesem Kontext ist auch die Definition von Leistungsübergabepunkten (LÜP) notwendig, die die Abgrenzung des Verantwortungsbereiches der Dienstleister kennzeichnet. Ein Beispiel ist eine Koppel-Firewall, die die Rechenzentren des abgebenden und des aufnehmenden Dienstleisters verbindet. Für Änderungen an der ursprünglichen Transitionsplanung ist das Change Request-Verfahren vorzusehen. 2. Planungsaspekte
54
Bei der Planung ist zu berücksichtigen, dass nicht nur Systeme zu transferieren sind, sondern auch die zugehörigen Services übertragen und bereitgestellt werden müssen. Falls sich beispielsweise im Rahmen der Transition herausstellt, dass die Kapazität des Systems des aufnehmenden Dienstleisters unzureichend ist, müssen die Mechanismen des Capacity-Managements greifen.
55
Ein weiterer grundlegender Aspekt ist die Berücksichtigung von Abhängigkeiten. Datenbestände werden immer von Anwendungen benutzt, so dass eine Transitionsplanung diese Abhängigkeiten zwingend berück56
Streitz
§4
IV. Aspekte der Leistungsbeschreibung
sichtigen muss. Aufgrund des weitgehend vorgegebenen und feststehenden Ziels der Transition kommt die Anwendung agiler Methoden allenfalls sehr eingeschränkt in Betracht, da das mögliche Maß an nutzbarer Flexibilität eher gering ist. Die Einplanung von Pufferzeiten ist nicht nur für unvorhergesehene Probleme notwendig, sondern auch für geplante Szenarien wie den Rückgriff auf Fall-Back-Lösungen und die damit verbundene Wiederholung von Projektschritten. Soweit eine kurzfristige Re-Transition vorgesehen ist, sollte auch diese 56 geplant sein, damit sich der Auftraggeber auf entsprechende Ausfallzeiträume einstellen kann. Ferner sind Regelungen zur Verlängerung des Betriebs beim abgebenden Dienstleister, ein finanzieller Ausgleich, die vom Auftraggeber zu treffende Entscheidung sowie die Änderung/Anpassung des tatsächlichen Projektplans vorzusehen. 3. Abnahmeregelungen Voraussetzung für die Durchführung einer Abnahme ist die Vereinbarung 57 von Abnahmekriterien. Sie dienen als Sollzustand, der der Ist-Situation gegenübergestellt wird. Wie unter Rz. 36 ff. aufgeführt, ist das entscheidende Abnahmekriterium die fehlerfreie Nutzung der Daten beim aufnehmenden Dienstleister durch die zugehörigen Anwendungen. Mögliche Abnahmekriterien für Services sind das Vorliegen eines entsprechenden fachgerechten Konzepts, die zutreffende und geeignete Betriebsdokumentation, eine Prüfung der Implementierung sowie die ausreichende Schulung der Mitarbeiter. Aus technischer Sicht lässt sich dies nicht unmittelbar im Rahmen des 58 Verantwortungsübergangs entscheiden, sondern verlangt eine zusätzliche Beobachtungszeit von einigen Wochen. Das bedeutet, dass betriebliche Regelungen (wie SLAs) auch für den Transitionsvertrag und nicht nur für den Betriebsvertrag vorgesehen werden müssen. Um möglichst früh auf Fehler angemessen reagieren zu können, sollten 59 Teilabnahmen vorgesehen werden, die logische/technische Systembereiche zusammenfassen. Für jede Teilabnahme ist zwingend ein FallBack-Szenario vorzusehen, das sich mindestens über den vereinbarten Abnahmezeitraum erstrecken muss, damit der Auftraggeber in seiner Abnahmeentscheidung möglichst frei ist. Für ein mehrmaliges Scheitern der Abnahme sollten Rechtsfolgen ver- 60 einbart werden, wobei der Rücktritt von der Transition nur in seltenen Fällen das Problem des Auftraggebers löst. In diesem Fall ist ein neues Transitionsprojekt mit Auswahl des Dienstleisters, Überarbeitung des Transitionsplans, Umsetzung etc. erforderlich, wofür ein Zeitraum von mehreren Quartalen erforderlich ist. In dieser Zeit ist der abgebende Dienstleister weiter mit der Erbringung von Services zu beauftragen, was zu Mehrkosten führt. Gegebenenfalls sind abgekündigte Systeme zu erStreitz
57
§4
Transition und Re-Transition
setzen. Es liegt somit nicht im Interesse des Auftraggebers vom Projekt zurückzutreten. Eine eher geeignete Rechtsfolge ist eine Vergütung für Verzögerungen. 61
Grundsätzlich sollte bei der Formulierung von Rechtsfolgen bedacht werden, ob die tatsächlichen Voraussetzungen (technische, organisatorische) gegeben sind, die beabsichtigte Rechtsfolge zu begehren. Konstruktiven Lösungen ist der Vorzug zu geben. Sie können in mehrfachen Wiederholungen von Transitionsschritten bestehen und durch ein Revisionsrecht flankiert werden.
62
Der Verzicht auf Pufferzeiten und eine enge Zeitplanung erfolgen häufig unter dem wirtschaftlichen Gesichtspunkt, den Zeitraum für den Parallelbetrieb gering zu halten und Kosteneinsparungen möglichst zügig zu realisieren. Ein komplexes Transitionsprojekt läuft jedoch selten wie geplant ab, und es treten Situationen auf, deren Beseitigung zusätzlicher Ressourcen bedarf. Häufig ist es in diesen Fällen notwendig, das Projekt zu überplanen. Dies ist aufwändiger, als Pufferzeiten vorzusehen, die für derartige Situationen genutzt werden können. Darüber hinaus resultieren sie in einer schlechteren Qualität der Transition, so dass Nacharbeiten und Fehlerbeseitigungen im Produktivbetrieb erforderlich sind, die ebenfalls die Gesamtkosten erhöhen. Aus technischer Sicht ist daher einem Zeitplan mit Reserven der Vorzug zu geben. 4. Tests
63
Tests werden in der Testumgebung und in der Produktionsumgebung durchgeführt. Gegenstand der Tests sind hinsichtlich der Daten die Verfügbarkeit notwendiger Rechte und das Zusammenwirken mit den Anwendungen1. Bei Abweichungen des erwarteten vom tatsächlichen Ergebnis ist eine Fehlerbeseitigung mit einem erneuten Durchlaufen des Testzyklus erforderlich. Bei größeren Projekten ist es sinnvoll, Regressionstests einzurichten, die weitgehend automatisiert ablaufen und wesentliche Standardtests wiederholen. 5. Mitwirkungsleistungen
64
Bei den Mitwirkungsleistungen wird zwischen dem Auftraggeber und dem abgebenden Dienstleister unterschieden. Soweit es sich um ein First Generation Outsourcing handelt, sind die Mitwirkungsleistungen des abgebenden Dienstleisters vom Auftraggeber wahrzunehmen.
1 Die fachgerechte Durchführung der Migration unterliegt eigenen Tests, s. Sarre, § 3 Rz. 50 ff.
58
Streitz
§4
IV. Aspekte der Leistungsbeschreibung
Auftraggeber: – Steuerung des abgebenden Dienstleisters, da der aufnehmende Dienstleister im Regelfall keine vertragliche Beziehung zum abgebenden Dienstleister hat – Mitwirkung bei Planung und Abstimmung der Transition mit den Geschäftsanforderungen – Abstimmung und Freigabe von Konzepten und Testszenarien – Durchführung von (Teil-)Abnahmen – Treffen von Entscheidungen zu Fall-Back-Lösungen beziehungsweise kurzfristige Re-Transition – Teilnahme an Workshops und Abstimmungsrunden – Mitwirkung beim Change-Management Abgebender Dienstleister: Eine wesentliche Rolle, besonders beim Second/Third Generation Out- 65 sourcing, ist die Vereinbarung, dass der aufnehmende Dienstleister die notwendigen Rechte durch den abgebenden Dienstleister erhält, die zur Transition gehörenden Arbeiten durchzuführen. Hierbei sind folgende Gruppen zu unterscheiden: – Administrations- und Remote-Zugangsrechte – Zugriffsrechte auf Daten Administrations- und Remote-Zugriffsrechte sind beispielsweise not- 66 wendig, um die für den Betrieb des aufnehmenden Rechenzentrums notwendige Infrastruktur aufzubauen. Dies betrifft das Active Directory1, das Anmeldenamen und Rechte für Programme, Zugriffsmöglichkeiten auf Rechner und Verzeichnisse, Nutzung von Druckern etc. speichert. Wirtschaftlich vertretbare und technisch durchführbare Kopiermechanismen zur Einräumung dieser Rechte stehen derzeit nicht zur Verfügung, so dass es hier auch zu einer Verantwortungsvermischung2 kommt. Ferner gehören zu diesem Bereich folgende Rechte: – Installieren von Software (zur Einspielung von Fehlerbehebungsprogrammen) – Möglichkeit zum Neustart des Betriebssystems – Möglichkeit, Rücksicherungen von Daten einspielen zu können Zugriffsrechte auf Daten sind notwendig, um den Export von dem abge- 67 benden Dienstleister durchführen zu können. Abhängig von der Art des Exports und dem gewählten Übertragungsweg sind auch Zugriffsrechte auf das WAN erforderlich (Firewall-Einstellungen, IP-Adressen, Ports). 1 Verzeichnisdienst von Microsoft Windows Server. 2 S. Rz. 52. Streitz
59
§4 68
Transition und Re-Transition
Darüber hinaus sind folgende Mitwirkungsleistungen wichtig: (1) Transfer von Know-how und Unterlagen Hierzu gehören technische Dokumentationen wie Betriebshandbücher, Informationen zu den verwendeten IT-Prozessen und zum Betrieb sowie zu Abhängigkeiten von Prozessen und Systemen. (2) Technische Unterstützungsleistungen Dazu zählen die Kopplung der Rechenzentren der Dienstleister unter der Berücksichtigung von Sicherheitsanforderungen, die Bereitstellung entsprechender Rechte auf das ursprüngliche System (beispielsweise zur Übertragung von Rechten und Rollen) sowie die Bereitstellung von temporären Ressourcen wie Servern, Speichern, Netzwerkverbindungen. Daneben ist die Mitwirkung bei der schrittweisen Umsetzung der Transition erforderlich. (3) Erteilung von Auskünften und Informationen Es sollte klargestellt werden, dass der abgebende Dienstleister alle Informationen erteilt, die zur zu erbringenden Dienstleistung gehören, und er sich nicht auf Betriebsgeheimnisse beruft. Ferner gehört die zielführende und kooperative Beratung bei der Beschaffung neuer Systeme und Software dazu. (4) Bereitstellung ausreichender personeller Ressourcen Es sollte möglichst ein Richtwert aus Erfahrungswerten angesetzt werden, damit es nicht aufgrund personeller Engpässe beim abgebenden Dienstleister zu Projektverzögerungen kommt. (5) Fall-Back-Regelungen Beim Eintritt eines Fall-Backs muss der Betrieb des alten Systems länger als ursprünglich geplant erfolgen. (6) Löschung von Daten Nach erfolgreicher Transition (einschließlich des Ablaufes des Projektzeitraumes) sowie nach einer gegebenenfalls erforderlichen Sicherung des ursprünglichen Datenbestandes sind die Daten auf den Ursprungssystemen des abgebenden Dienstleisters zu löschen. (7) Mitwirkung bei der Erarbeitung von Notfallkonzepten 6. Qualitätssicherung
69
Qualität lässt sich nicht nachträglich in ein Produkt hineinprüfen, sondern muss bereits beim Entstehungsprozess gewährleistet werden. Daher sollte ein Qualitätssicherungskonzept für die einzelnen Transitionsschritte vorgesehen werden. In Betracht kommen beispielsweise ein Walk-Through bei der Identifikation der relevanten Daten oder eine Analyse der Testabdeckung vor dem Betrieb auf dem neuen System.
60
Streitz
§4
IV. Aspekte der Leistungsbeschreibung
7. Risikomanagement In Second/Third Generation Outsourcing-Projekten ist die Mitwirkung 70 des abgebenden Dienstleisters oft unzureichend. Das lässt sich im Regelfall nur durch zusätzliche Aufträge beziehungsweise Ausgleichszahlungen an den abgebenden Dienstleister auffangen, so dass ein finanzieller Puffer eingeplant werden sollte. Für ebenfalls häufig vorkommende Zeitüberschreitungen empfiehlt sich als Risikoverminderung das Einplanen von Pufferzeiten. Unzureichende Qualität oder notwendige umfangreiche Nachbesserun- 71 gen im Produktivbetrieb werden am besten durch ein Qualitätsmanagement für das gesamte Transitionsprojekt und eine ausreichende Testabdeckung verhindert. 8. Regelungen für langfristige Re-Transition Als Vorsorgemaßnahme hinsichtlich der – wahrscheinlich notwendig 72 werdenden langfristigen Re-Transitionen – sollten aus technischer Sicht folgende Punkte geregelt werden: – Übertragung von Vermögensgegenständen Aus technischer und wirtschaftlicher Sicht ist es im Regelfall sinnvoll, Vermögensgegenstände, die ausschließlich für den Betrieb des Auftraggebers verwendet wurden, an den aufnehmenden Dienstleister zu übertragen. – Erbringung von Nachbetreuungsleistungen Auch nach Beendigung des Transitionsprojektes können noch besondere Probleme auftreten, die leichter gelöst werden können, wenn der abgebende Dienstleister dabei mitwirkt. – Regelung der Governance Die Projektsteuerung ist einschließlich der Eskalationsmechanismen zu definieren. – Notwendige Mitwirkungsleistungen1 – SLA-Regelungen Für die Re-Transition sind auch die SLA-Regelungen gegenüber dem abgebenden Dienstleister zumindest teilweise außer Kraft zu setzen, wenn beispielsweise keine eindeutige Verantwortungszuordnung bei einem gemischten Betrieb mehr möglich ist.
1 S. Rz. 65 ff. Streitz
61
§5 Grundlagen der Datenauswertung Rz.
Rz.
I. Ausgangslage . . . . . . . . . . . . . . . . .
1
II. Relationale Datenbanken und Datenmodellierung . . . . . . . . . . . .
3
3. Prüfung statistischer Hypothesen über den vorliegenden Datenbestand: Data Mining . . . . . . . . . . 25
III. Datenauswertung auf relationalen Datenbanken . . . . . . . . . . . .
9
IV. Typische Anwendungen im Bereich Business Intelligence. . . . . . 1. Auswertung explizit vorhandener Zusammenhänge: Reporting & Ad-hoc-Analyse . . . . . . . . . . . . . a) Reports. . . . . . . . . . . . . . . . . . . . b) Drill-Downs . . . . . . . . . . . . . . . 2. Erzeugung neuer Daten auf Basis von Auswertungen und Berechnungsvorschriften: Scoring . . . . . .
14 16 17 18
V. Grenzen der Auswertbarkeit traditioneller relationaler Datenbanken . . . . . . . . . . . . . . . . . 1. Grenze 1: Sehr große Datenbestände . . . . . . . . . . . . . . . . . . . . . 2. Grenze 2: Hierarchisch strukturierte Daten . . . . . . . . . . . . . . . . 3. Grenze 3: Unstrukturierte Daten. 4. Grenze 4: Auswertungen in Echtzeit . . . . . . . . . . . . . . . . . . . . .
28 29 31 33 35
20
I. Ausgangslage 1
Der primäre Wert elektronisch vorgehaltener Datenbestände liegt in den heute vorhandenen umfangreichen Auswertungsmöglichkeiten – oder kurz: Speichern ist Silber, Auswerten ist Gold. Die Tatsache, dass elektronische Datenbanken sehr viel mehr Informationen sehr viel schneller speichern und auch wieder abrufen können als das menschliche Gehirn, macht ihre Nutzung gerade in Anwendungsfeldern mit großen und komplexen Datenbeständen attraktiv. Die automatisierte Auswertung großer Datenbestände ermöglicht neuartige Anwendungen, die eine manuelle Auswertung nicht realistisch leisten könnte.
2
Die nachfolgende Darstellung gibt dem Leser einen Überblick über die heute aktuellen und am weitesten verbreiteten Techniken in diesem Bereich: die relationalen Datenbanken und ihre Abfragemöglichkeiten. Diese Technologie, deren theoretische Grundlagen erst in den 60er und 70er Jahren entwickelt wurden, ist Teil von fast jedem in der Praxis eingesetzten System, das persistente (dauerhafte) Datenspeicherung in nennenswertem Umfang betreibt. Beispielsweise arbeitet jedes bekannte ERPSystem (ERP = Enterprise Ressource Planning) wie SAP oder Microsoft Navision mit relationalen Datenbanken im Hintergrund. Jede Telefonoder Stromrechnung in Deutschland wird aus relationalen Datenbanken generiert. Der Beitrag fokussiert auf die technologischen Konzepte, die für die rechtliche Betrachtung des Themas1 relevant sind.
1 S. vor allem Hoeren, § 23; Selk, § 30 Rz. 115 ff.; Härting, § 32 Rz. 20 ff. und Lapp, § 34.
62
Stiemerling
§5
II. Relationale Datenbanken und Datenmodellierung
II. Relationale Datenbanken und Datenmodellierung Das zentrale Konzept der relationalen Datenbank1 besteht aus Tabellen, 3 die Weltausschnitte und ihre Verknüpfungen darstellen. Diese Weltausschnitte und Verknüpfungen sind eine Reflektion genau der Aspekte der realen Welt, die für den Ersteller der relationalen Datenbank subjektiv relevant und interessant sind. Die folgende Abbildung zeigt ein einfaches Beispiel einer relationalen 4 Datenbank mit vier Tabellen, die für das Verlagswesen relevante Zusammenhänge darstellt: Tabelle: Person
Tabelle: Aufsatz
Personen_ID Nachname 1 Schneider
Vorname Jochen
2 3
Oliver Otto
Stiemerling Mustermann
Tabelle: Autoren Personen_ID Aufsatz_ID 1 2 3
1 2 3
1
3
Aufsatz_ Titel ID Das Pflichtenheft 1 2 Usability vor Gericht 3 Datenschutz heute
Tabelle: Zeitschrift Zeitschriften_ID Name 1 ITRB 2 CR 3
Zeitschriften_ID
Seiten
1 2
112–121 23–42
3
45–48
Verlag Verlag Dr. Otto Schmidt Köln Verlag Dr. Otto Schmidt Köln
Der Spiegel SPIEGEL-Verlag Rudolf Augstein GmbH & Co. KG
Abb. 1: Eine relationale Datenbank im Verlagswesen
Eine Tabelle besteht aus Spaltennamen (z.B. „Nachname“ oder „Vor- 5 name“ in der Tabelle: Person), die auch Attribute genannt werden. Eine mit Daten „befüllte“ Tabelle hat Zeilen, die jeweils für eine zusammengehörige, in der modellierten Welt vorkommende Attributkombination stehen. Zur besseren Identifizierbarkeit bekommen die Zeilen einer Tabelle häufig eine eindeutige, nur im System vorhandene Nummer, den sog. Schlüssel. Dieser Schlüssel dient als eindeutige, stabile Referenz, die auch eine Änderung z.B. des Nachnamens einer Person bei der Hochzeit „überlebt“. Die Relationen („Verknüpfungen“) zwischen den in Tabellen modellier- 6 ten sog. Entitäten („Gegenständen“) werden ebenfalls in Tabellen abgelegt. Beispielsweise bildet die Tabelle „Autoren“ die Verknüpfung zwischen Zeitschriftenartikeln und Personen ab. Die Bedeutung dieser Relation z.B. in Zeile (1,3) kann umgangssprachlich als „Die Person mit der Personen_ID 1 hat den Aufsatz mit der Aufsatz_ID 3 geschrieben“ beschrieben werden. Diese Art der Verknüpfung wird in einer eigenen Tabelle gespeichert, da eine Person mehrere Artikel schreiben und ein Artikel auch mehrere Autoren haben kann. 1 Für einen tieferen Einstieg in die Datenbanktechnologie – insbesondere die relationalen Datenbanken – ist der Klassiker in diesem Bereich zu empfehlen: Chris J. Date, „An Introduction to Database Systems“. Stiemerling
63
§5
Grundlagen der Datenauswertung
7
Einfachere Verknüpfungen, bei denen z.B. ein Artikel immer nur in genau einer Zeitschrift erscheinen kann, können auch innerhalb der Tabelle dargestellt werden, die nur mit genau einem anderen Gegenstand verknüpft sein kann. Beispiel: Der Aufsatz „Das Pflichtenheft“ ist laut unserem Modell in der Zeitschrift „ITRB“ erschienen. Das Datenmodell lässt keine zweite Veröffentlichung zu.
8
Dieses Beispiel zeigt auch, dass ein Datenmodell immer Annahmen über Zusammenhänge und Möglichkeiten der realen Welt beinhaltet, die nicht unbedingt korrekt sein müssen. Das obige Beispiel wurde hier eingeführt, um im Folgenden die Möglichkeiten der Datenanalyse auf relationalen Datenbanken greifbar zu machen.
III. Datenauswertung auf relationalen Datenbanken 9
Das Beispiel in Abbildung 1 zeigt, wie Daten in den heute überwiegend verwendeten relationalen Datenbanken in Tabellen modelliert und gespeichert werden. Sind Daten einmal in dieser Form gespeichert, so erlauben spezielle Abfragesprachen die Formulierung von fast jeder denkbaren Frage an diesen Datenbestand. Die Standardsprache für die Abfrage von relationalen Datenbanken ist SQL (Structured Query Language, auf Deutsch etwa: „strukturierte Abfragesprache“). Eine beispielhafte (einfache) SQL-Abfrage wäre z.B. umgangssprachlich „Wer hat den Artikel ‚Das Pflichtenheft‘ geschrieben?“ Die entsprechende technische Abfrage auf obigem Datenmodell sähe wie folgt aus: SELECT PERSON.Nachname FROM PERSON, AUFSATZ, AUTOR WHERE PERSON.Personen_ID = AUTOR.Personen_ID AND AUTOR.Aufsatz_ID = AUFSATZ.Aufsatz_ID AND AUFSATZ.Titel = „Das Pflichtenheft“
10
Diese Abfrage erzeugt eine Tabelle der Nachnamen der Autoren, die am Artikel „Das Pflichtenheft“ beteiligt waren. In diesem Fall hätte die Ergebnistabelle genau eine Zeile, nämlich „Schneider“. Eine Abfrage nach dem Artikel „Datenschutz heute“ würde in unserem Beispiel eine Liste mit zwei Nachnamen („Schneider“ und „Mustermann“) liefern.
11
Während diese Abfragen verhältnismäßig einfach sind, erlaubt SQL auch komplexe Berechnungen, Unterabfragen und Aggregationen innerhalb von Abfragen, beispielsweise umgangssprachlich: – Erzeuge eine Liste der Verlage, die nach der durchschnittlichen Anzahl von Co-Autoren der Artikel in den vom Verlag herausgegebenen Zeitschriften sortiert ist. oder – Wer ist der Autor mit den meisten Veröffentlichungen beim Verlag Dr. Otto Schmidt, über alle Publikationen des Verlags gesehen?
64
Stiemerling
§5
IV. Typische Anwendungen im Bereich Business Intelligence
Kurz: Mit den relationalen Abfragesprachen lassen sich tatsächlich alle 12 Informationen, die in einer relationalen Datenbank und ihren Verknüpfungen vorhanden sind, aus dem Datenbestand herausdestillieren. Insbesondere die im Datenbestand vorhandenen direkten und indirekten Verknüpfungen („Relationen“) und Zusammenhänge lassen sich mit relationalen Sprachen naturgemäß gut abfragen. Sprachen zur Abfrage auf relationalen Datenbanken können durch die 13 vom Turing-Award1-Gewinner E.F. Codd beschriebene, sog. relationale Algebra2 mathematisch fundiert in ihrer Semantik definiert werden, so dass sich heute insbesondere weltweit anerkannte Standards in diesem Bereich herausgebildet haben. Hier ist insbesondere ANSI-SQL zu nennen, das heute als Norm ISO/IEC 90753 standardisiert ist und so wesentlich dazu beiträgt, dass Datenbankmanagementsysteme klar abgegrenzte Systeme in der IT-Architektur eines Unternehmens geworden sind. Softwareanwendungen sind durch diese Standardisierung heute zumeist nur locker an Datenbanksysteme bestimmter Hersteller gebunden.
IV. Typische Anwendungen im Bereich Business Intelligence Die mächtigen Abfragemöglichkeiten mit Hilfe relationaler Sprachen er- 14 möglichen vielfältige Anwendungen, sowohl im wissenschaftlichen als auch im geschäftlichen Bereich. An der Schnittstelle zu rechtlichen Fragen sind heute insbesondere Anwendungen im geschäftlichen Bereich relevant, die für die Datenanalyse und -auswertung oft unter dem Oberbegriff Business Intelligence zusammenfasst werden. Grob kann man diese Anwendungen in folgende drei Kategorien einteilen: – Auswertung explizit vorhandener Zusammenhänge in Datenbeständen. – Erzeugung neuer Daten auf Basis von Auswertungen und Berechnungsvorschriften. – Prüfung statistischer Hypothesen über den vorliegenden Datenbestand. Diese drei Anwendungskategorien bilden die Basis für die meisten in der 15 Praxis relevanten Nutzungsmöglichkeiten relationaler Datenbanksysteme und werden im Folgenden anhand typischer Beispiele dargestellt.
1 Der Turing-Award wird von der ACM (Association for Computing Machinery) vergeben und manchmal als der „Nobelpreis“ der Informatik bezeichnet. 2 S. E.F Codd, Communications of the ACM, pp. 377–387. 3 S. http://en.wikipedia.org/wiki/SQL:2011. Stiemerling
65
§5
Grundlagen der Datenauswertung
1. Auswertung explizit vorhandener Zusammenhänge: Reporting & Ad-hoc-Analyse 16
Insbesondere in Unternehmen liegen heute im Rahmen der IT-gestützten Ressourcenplanung und Geschäftsprozessabwicklung eine große Menge in Tabellen und Attributen strukturierter Daten vor. Beispielsweise werden heute in IT-basierten Buchhaltungssystemen alle finanziell relevanten Geschäftsvorfälle in strukturierter Form vorgehalten, so dass Auswertungen und insbesondere aggregierende Auswertungen einfach möglich sind. Selbst in großen Firmen kann in Sekundenschelle der bisherige Gesamtjahresumsatz tagesaktuell abgefragt werden, wobei die vielfältigen über Relationen verknüpften Daten zur Filterung oder Gruppierung herangezogen werden können. Beispielsweise kann der Jahresumsatz nach Postleitzahlen der Besteller, bestimmten Auftragsgrößen oder auch einzelnen Kunden zusammengefasst dargestellt werden. Ähnlich strukturierte Daten liegen in anderen typischerweise IT-unterstützten Unternehmensbereichen wie Human Ressources, Produktion, Lagerverwaltung, eCommerce-Systemen, Logistik u.v.m. vor. a) Reports
17
Typischerweise verfügt ein Unternehmen über eine Reihe von Standardabfragen (sog. Reports), die bereits vorformuliert hinterlegt sind und auf Knopfdruck die typischen Auswertungen durchführen und darstellen. Über spezielle Werkzeuge können auch Nicht-Techniker in den kaufmännischen Bereichen eines Unternehmens mit einfachen Mitteln komplexe Auswertungen „ad-hoc“ zusammenstellen und ausführen lassen. Dieser Anwendungsbereich stellt in der heutigen komplexen und datenintensiven Welt ein für die Unternehmensführung wichtiges Werkzeug dar. Große Unternehmen sind ohne solche Werkzeuge kaum noch zu lenken, da die quasi unendlich vielen Detailinformationen nur durch ITgestützte Werkzeuge in angemessen kurzer Zeit zu für das Management relevanten Kennzahlen verdichtet werden können. b) Drill-Downs
18
Typische Business Intelligence-Werkzeuge stellen auch die Möglichkeit des sog. „Drill-Downs“ zur Verfügung, bei dem ein kaufmännischer Nutzer ohne technischen Hintergrund immer tiefer in die Zusammensetzung aggregierter Ergebnisse eindringen kann. Beispielsweise kann er bei einem Umsatzwert für eine Region selbständig eine weitere Aufschlüsselung nach Produkttypen oder Verkäufern erzeugen.
19
Aus technischer Sicht sind diese Anwendungen von Datenauswertungssprachen heute gut verstanden, wissenschaftlich untermauert und können – zumindest bei den typischerweise in Unternehmen anzutreffenden mittelgroßen Datenbeständen – zu den allgemein anerkannten Techniken im Bereich der Informationstechnologie gezählt werden. 66
Stiemerling
§5
IV. Typische Anwendungen im Bereich Business Intelligence
2. Erzeugung neuer Daten auf Basis von Auswertungen und Berechnungsvorschriften: Scoring Über die Abfrage explizit vorhandener Zusammenhänge hinaus geht die 20 Erzeugung neuer Daten in Datenbeständen. Dabei werden bestimmte künstliche Eigenschaften beispielsweise von Personen aus vorhandenen Daten anhand von Algorithmen berechnet und dann dem Datenbestand hinzugefügt. Ein typisches Beispiel sind Scoring-Algorithmen1, die Personen bezüglich 21 ihres vergangenen Finanzgebarens und anderer Informationen wie Wohnort, Alter oder auch Beruf mit dem Attribut „kreditwürdig“ oder „nichtkreditwürdig“ versehen. Wie dieses Attribut genau vergeben wird, hängt vom verwendeten Algorithmus und den berücksichtigten explizit gespeicherten Daten und Zusammenhängen ab. Die beim Scoring verwendeten Algorithmen sind häufig geheim, so dass Negativentscheidungen bei Kreditvergabe oder beim Abschluss eines Mobilfunkvertrags für die Betroffenen oft nicht direkt nachvollziehbar sind. Ein weiterer Kritikpunkt an Scoring-Verfahren ist, dass bei der schema- 22 tisch-algorithmischen Berechnung zwar ein vergleichbarer, vermeintlich objektiver Wert ausgegeben wird, dabei aber viele andere, nicht im Datenbestand vorhandene Faktoren unberücksichtigt bleiben. Ein menschlicher Kreditsachbearbeiter kann auch neuartige, im persönlichen Gespräch mit dem Kreditnehmer aufgedeckte Bewertungsfaktoren und subjektive Eindrücke berücksichtigen, die dem Scoring-Algorithmus gar nicht zur Verfügung stehen. Auch ist ein Scoring auf falschen oder ungeprüften Daten eines Antrag- 23 stellers offensichtlich ein großes Risiko, wie das Beispiel der Hypothekenkrise in den USA gezeigt hat. Die Bewertung der Kreditwürdigkeit erfolgte dabei anscheinend auf ungeprüften und oft falschen Angaben der Kreditnehmer, die in der Realität sog. NINJAs (No Income, No Job or Assets) waren, denen man niemals einen Kredit hätte geben dürfen. Im gleichen Zusammenhang können auch die fälschlicherweise positiven Bewertungen der als Kreditverbriefung zusammengefassten „Subprime“-Hypotheken durch Ratingagenturen als Negativbeispiel für Scoring herhalten. Es muss aber auch festgehalten werden, dass algorithmische Scoring-Ver- 24 fahren ein funktionierendes Mittel sein können, in Summe wichtige Einzelfallentscheidungen in großen Organisationen vergleichbar und objektiv zu treffen – wenn der Scoring-Algorithmus die relevanten Zusammenhänge berücksichtigt und relevante und korrekte Daten zur Verfügung hat.
1 Für einen weitergehenden Überblick s. z.B. http://de.wikipedia.org/wiki/Kredit scoring. Stiemerling
67
§5
Grundlagen der Datenauswertung
3. Prüfung statistischer Hypothesen über den vorliegenden Datenbestand: Data Mining 25
Eine besondere Art der Auswertung von Datenbeständen ist die Suche nach nicht explizit modellierten Zusammenhängen. Um das Beispiel der Kreditvergabe wieder aufzugreifen: Für eine Bank ist es hochinteressant, eine Datenbank mit möglichst vielen differenzierten Kundendaten in Verbindung mit dem tatsächlichen Zustand der vergebenen Kredite (notleidend/nicht notleidend) zur Verfügung zu haben. In diesem verbundenen Datenbestand kann nach statistisch signifikanten (d.h. relevanten) Zusammenhängen zwischen den bei Vertragsabschluss vorhandenen Kundendaten und dem späteren Zustand des Kredits gesucht werden. Diese Zusammenhänge sind nicht immer offensichtlich und können insbesondere auf großen Datenbeständen zumeist nicht manuell erkannt werden.
26
Zur Verdeutlichung: Angenommen, alle einzelnen Attribute eines Kunden besitzen keinen offensichtlichen positiven oder negativen Zusammenhang (Korrelation) zwischen dem jeweiligen Attribut und dem wahrscheinlichen Notleiden eines Kredits. Beispielsweise könnte es sein, dass die Wahrscheinlichkeit eines notleidenden Kredits bei einem Informatiker nicht höher ist als die Wahrscheinlichkeit bei einem Rechtsanwalt. Trotzdem könnte es sein, dass eine Kombination von Attributen zu statistisch relevanten Ergebnissen führt: Es könnte z.B. sein, dass ein Kredit an einen Informatiker aus Köln eine weit überdurchschnittliche Ausfallwahrscheinlichkeit hat oder dass das Gegenteil für einen Rechtsanwalt aus München gilt. Dieses Wissen ist für eine kreditgebende Bank wertvoll, da auf dieser Basis im Scoring-Verfahren auf vergangenen, signifikanten Erfahrungen basierende Kreditvergabeentscheidungen getroffen werden können.
27
Dieses „Graben“ nach relevanten Zusammenhängen in großen Datenbeständen wird häufig auch „Data Mining“ genannt und gilt in vielen Branchen als wichtiges Instrument im Wettbewerb mit der Konkurrenz. Ob mit Data Mining tatsächlich signifikante – d.h. wertvolle und handlungsleitende – Zusammenhänge erschlossen werden können, hängt jedoch stark von der Branche und den vorhandenen Daten sowie deren Qualität ab. Viele Unternehmen belohnen ihre Kunden dafür (z.B. mit Treueprogrammen, speziellen Rabatten und schicken Kundenkarten), mehr Informationen über sich preiszugeben als eigentlich notwendig. Dies machen die Unternehmen unter anderem in der Hoffnung, mit Hilfe von Data Mining verwertbare Zusammenhänge aus diesen Datenbeständen zu ermitteln und Werbung bzw. Produkteigenschaften passend gestalten zu können.
68
Stiemerling
V. Grenzen der Auswertbarkeit traditioneller relationaler Datenbanken
§5
V. Grenzen der Auswertbarkeit traditioneller relationaler Datenbanken Bereits seit den 60er und 70er Jahren haben Forscher und Produktherstel- 28 ler auf Grund der hohen Praxisrelevanz intensiv an der Beschleunigung und Optimierung der Abfrageverfahren gearbeitet. Eine wie oben beschrieben in SQL formulierte Abfrage wird in Bezug auf die notwendigen Rechenoperationen und Datenbankzugriffe heute in vielfacher Hinsicht optimiert. Ohne in die technischen Details zu gehen, wird eine Abfrage beispielsweise bezüglich der Größe der einzelnen vorkommenden Tabellen in Teilabfragen aufgespalten, die den Gesamtspeicherverbrauch, die Gesamtrechenoperationen und den notwendigen Zugriff auf langsame Festplattenspeicher minimieren. 1. Grenze 1: Sehr große Datenbestände In klassischen Rechnerarchitekturen1 (bestehend aus Prozessor, Haupt- 29 speicher und Festplatte) ist man daher in den letzten 40 Jahren durch intensive Forschung im akademischen und praktischen Bereich bereits an die Grenzen der algorithmischen Optimierungsmöglichkeiten gekommen. Weitere Fortschritte bei der Beschleunigung von Abfragen in klassischen Architekturen werden wahrscheinlich keine nennenswerten Auswirkungen auf die Praxis haben. Dieses bereits erfolgte „Ausreizen“ der Möglichkeiten klassischer Archi- 30 tekturen und Algorithmen zeigt die Grenzen der bisher verwendeten relationalen Datenbanksysteme auf. Insbesondere der ständig notwendige Datentransfer von der (sehr großen und günstigen) Festplatte zum (kleineren und teureren) Hauptspeicher und wieder zurück verbraucht viel Rechenleistung und ist verhältnismäßig langsam. Wenn die Datenbestände sehr groß werden, d.h. wenn zu verknüpfende Tabellen aus mehreren Milliarden Zeilen bestehen, kommen klassische relationale Datenbanken an fundamentale Grenzen, die zu einer starken Verlangsamung der Abfragen führen. 2. Grenze 2: Hierarchisch strukturierte Daten Relationale Datenbanken sind von ihrer Natur her am besten für Daten 31 geeignet, die sich in einfachen Tabellen darstellen lassen – im Beispiel oben waren das unter anderem Listen von Artikeln. Wenn man aber Daten mit komplexen Verschachtelungen verwalten will, so ist dies zwar grundsätzlich durch den Aufbau von komplexen Relationen und Ver1 Als klassische Rechnerarchitektur wird in der Informatik zumeist der sog. „Von Neumann-Rechner“ angesehen, der seine Berechnungen sequentiell durchführt und über ein Bussystem zwischen dem Prozessor und dem Hauptspeicher bzw. externen Geräten wie Festplatten Daten im Takt einer zentralen Steuerungseinheit austauscht (s. http://de.wikipedia.org/wiki/Von-Neumann-Architektur). Stiemerling
69
§5
Grundlagen der Datenauswertung
weisstrukturen möglich – es geht aber viel von der Intuitivität und der Schnelligkeit der relationalen Grundstruktur verloren. 32
Will man beispielsweise die hierarchische Komponentenstruktur eines Autos in einer Datenbank darstellen, so kann man eine „Teil A ist eingebaut in Teil B“-Relation definieren, in der man dann auch beliebig tiefe Verschachtelungen von Bauteilen abbilden kann (Teil B kann auch wieder in einem Teil C eingebaut sein). Diese rekursiven Zusammenhänge sind bei Auswertungen mit den typischen relationalen Abfragesprachen nur schwer effizient und nachvollziehbar abzubilden. 3. Grenze 3: Unstrukturierte Daten
33
Neben den hierarchisch strukturierten Daten haben relationale Datenbank in ihrer Grundform auch Schwierigkeiten mit der Verarbeitung von unstrukturierten Daten. Unstrukturierte Daten sind dabei alle Datentypen, die nicht einem vorgegebenen Schema von Attributen mit definierter Bedeutung folgen. Typische Beispiele sind: – Text in natürlicher Sprache, – digitalisierte Bilder, – Videoaufnahmen, – Tonaufnahmen, insbesondere menschlicher Sprache, – eingescannte, handschriftlich geführte Krankenakten.
34
Daten wie diese können natürlich in relationalen Datenbanken in einzelnen Attribut-Feldern gespeichert werden (üblicherweise als sog. „BLOBs“ – binary large objects) – ein Zugriff auf diese Objekte durch relationale Datenabfragesprachen ist jedoch schwierig. 4. Grenze 4: Auswertungen in Echtzeit
35
Die klassische Architektur von relationalen Datenbanksystemen trennt die Speicherung und die Auswertung von Daten. Insbesondere das Speichern von Daten erfolgt auf eher langsamen Festplatten, so dass eine klassische Datenbank mit sich sehr schnell verändernden oder wachsenden Datenbeständen Probleme bekommt. Wenn die Rate, mit der neue Daten ankommen die mögliche Speicherrate übersteigt, veralten die Daten im System, da sich ein Rückstau bildet.
36
Daher eigenen sich relationale Datenbanken nur schlecht zur Echtzeitauswertung von großen Datenströmen, wie sie beispielsweise bei Telekommunikationsunternehmen oder in der Finanzbranche anfallen.
70
Stiemerling
§6 Aktuelle Herausforderungen: Unstructured, Real-Time und Big Data
I. Ausgangslage . . . . . . . . . . . . . . . . .
Rz.
Rz.
1
III. Analyse von Datenströmen in Echtzeit (Real Time) . . . . . . . . . . . 16
II. Analyse unstrukturierter Datenmengen . . . . . . . . . . . . . . . . 2 1. Auswertung natürlichsprachlicher Texte . . . . . . . . . . . . . . . . . . 3 a) Suchmaschinen. . . . . . . . . . . . . 4 b) Indexierung . . . . . . . . . . . . . . . . 5 2. Auswertung von Tonaufnahmen . 9 3. Auswertungen von digitalen Bildern und Videos . . . . . . . . . . . . 12
IV. Analyse sehr großer Datenmengen (Big Data) . . . . . . . . . . . . . 20 V. Aktuelle Technologien . . . . . . . . . 23 1. In-Memory-Datenbanken . . . . . . . 25 2. Parallelisierung und neue Algorithmen: MapReduce & Co. . . . . . 29 VI. Ausblick . . . . . . . . . . . . . . . . . . . . . 35
I. Ausgangslage Die in § 5 aufgezeigten Grenzen klassischer, insbesondere relationaler 1 Datenbanken stellen grundlegende Herausforderungen in diesem Gebiet dar. Während für hierarchisch strukturierte Daten1 bereits seit vielen Jahren Produkte beispielsweise in Form von objektorientierten Datenbanken angeboten werden, gibt es für die Auswertung von unstrukturierten, großen und in Echtzeit anfallenden Datenbeständen heute zumeist nur auf wenige Anwendungsfälle spezialisierte Lösungen. Dieses Kapitel beleuchtet die grundlegenden Schwierigkeiten in diesen drei Gebieten und zeigt die sich herausbildenden technologischen Lösungsansätze auf.
II. Analyse unstrukturierter Datenmengen Unstrukturierte Daten haben im Gegensatz zu den Einträgen in Daten- 2 banktabellen keine klar definierten Attribute, die eine schnelle Auswertung ermöglichen. Trotzdem können in unstrukturierten Daten wertvolle Informationen verborgen sein, deren Zugänglichmachung mächtige Anwendungen erlauben würde. Ob diese Anwendungen im Sinne des Datenschutzes legal sind, sei hier ausgeklammert. Im Folgenden wird lediglich auf in der Praxis häufig anzutreffende Beispiele unstrukturierter Daten und den heutigen Stand der entsprechenden Auswertungsmöglichkeiten eingegangen 1. Auswertung natürlichsprachlicher Texte Der heute wahrscheinlich am besten verstandene Bereich mit den effek- 3 tivsten Methoden ist die Auswertung natürlichsprachlicher Texte, da für 1 S. Stiemerling, § 5 Rz. 28 ff. Stiemerling
71
§6
Unstructured, Real-Time und Big Data
Texte der Begriff „unstrukturiert“ eigentlich unpassend ist. Auch wenn ein natürlichsprachlicher Text nicht die präzise Struktur und Semantik einer formalen Sprache (z.B. einer Programmiersprache) hat, so gelten dennoch strukturierende Regeln (z.B. „Leerzeichen zwischen Wörtern“), die eine Auswertung verhältnismäßig leicht machen. a) Suchmaschinen 4
Bestes Beispiel für Auswertungen solch „unstrukturierter“ Daten sind Suchmaschinen. Um das Beispiel Google nicht überzustrapazieren, sei hier auf eDiscovery-Software für Anwälte hingewiesen, die in Sekundenschnelle Millionen von Dokumenten nach bestimmten Begriffen durchsuchen kann. Sucht man als Anwalt beispielsweise in allen E-Mails eines Finanzinstitutes nach dem Begriff „Credit Default Swap“ in Verbindung mit „worthless“, so hat man je nach Datum der gefundenen E-Mail wahrscheinlich ein interessantes Beweismittel zur Hand. b) Indexierung
5
Aus technischer Sicht besteht die Herausforderung bei der schnellen Auswertung von großen Mengen von Textdokumenten in der Erstellung eines passenden Indexes. Ein Index ist eine große Datenstruktur, die den Zugriff von einem Suchbegriff ausgehend auf ein Textdokument mit möglichst wenigen Rechenschritten und Speicherabfragen ermöglichen soll. Ohne einen solchen Index müsste das Computersystem jedes einzelne Dokument in den Hauptspeicher laden und dort auf den gesuchten Begriff hin sequentiell (von vorne nach hinten) durchsuchen. Mit Index muss lediglich einmal im Index das entsprechende Wort gesucht werden, das direkt (durch eine vorher stattgefundene Auswertung) mit den relevanten Textdokumenten verknüpft ist und so den direkten Zugriff auf diese ermöglicht. Die Erstellung eines Indexes kann je nach Größe des in Gänze zu durchsuchenden Datenbestandes sehr lange dauern.
6
Die Indexierung über im Text enthaltene Stichworte ist nur eine Art, natürlichsprachliche Texte auszuwerten und mit strukturierten Attributen zu versehen. Weitere, nicht-triviale, aber relevante Fragestellungen zu Texten sind: – Spracherkennung (in welcher Sprache ist ein Text geschrieben?) – Autorenerkennung (wer hat einen Text oder Teile eines Texts geschrieben?) – Emotionsanalyse (macht ein Text positive oder negative gefärbte Aussagen zu einem bestimmten Thema?) – Inhaltsanalyse (deutet der Text einer E-Mail auf die Planung eines terroristischen Anschlags hin?)
72
Stiemerling
§6
II. Analyse unstrukturierter Datenmengen
Solche Anwendungen nutzen zumeist programmierte oder gelernte Heu- 7 ristiken (Erfahrungswerte), die versuchen, die Bewertung durch einen Menschen möglichst naturgetreu nachzuahmen. Gerade bei der inhaltlichen Analyse machen Computer heute noch viele Fehler, da sie die Bedeutung von metaphorischer Sprechweise, Ironie oder mehrdeutigen Wörtern („eine Veranstaltung sprengen“, „kill the other team“ etc.) nicht einfach erkennen können. Trotzdem eignen sich solche Verfahren dazu, aus sehr großen Datenmen- 8 gen relativ kurze Trefferlisten zu erzeugen, die dann aber noch zusätzlich von einem Menschen bewertet und ggf. korrigiert werden müssen. 2. Auswertung von Tonaufnahmen Vor einer größeren Herausforderung steht die Informatik, wenn Texte 9 nicht in schriftlicher Form, sondern als Tonaufnahmen vorliegen. Verschiedene Sprecher, ein kontinuierlicher Wortfluss ohne erkennbare Pausen beim Sprechen, Homophone (gleich klingende Wörter unterschiedlicher Schreibweise und Bedeutung) und Hintergrundgeräusche stellen Probleme dar, die nur sehr aufwändig zu lösen1 sind. Bei den bekannten Diktierprogrammen liegen große Bibliotheken mit 10 der Aussprache von vielen hunderttausend Wortteilen im Hintergrund. Zudem sind solche Programme lernfähig, d.h. sie können sich an die Aussprachebesonderheiten und das spezielle Vokabular eines Sprechers über die Zeit anpassen und erhöhen so die Erfolgsquote der Texterkennung. Die sog. sprecherunabhängige Spracherkennung kann zumeist nur einen 11 kleinen Wortschatz sicher verstehen und wird zur Steuerung von Geräten eingesetzt (z.B. im Auto) oder zur Erkennung von Schlüsselwörtern in abgehörten Telefongesprächen. 3. Auswertungen von digitalen Bildern und Videos Ähnlich schwierig wie die Analyse von Tonaufnahmen ist die Auswer- 12 tung von digitalen Bildern und Videos. Ein häufiger Anwendungsfall ist die Suche nach bestimmten Personen in sehr großen Bilddatenbeständen (z.B. „Zeige mir alle Fotos von Jochen Schneider bei Facebook“). Es gibt bereits Algorithmen, die eine solche Suche auf Basis eines hoch- 13 auflösenden Beispielbilds als Referenz mit gewissem Erfolg durchführen können. Dabei orientieren sich diese Algorithmen typischerweise an relativen Abständen leicht automatisch zu erkennender Gesichtsteile wie den Augen (starker Hell-Dunkel-Kontrast auf begrenztem Raum) oder markanten Umrissen. 1 Für einen Überblick über die Techniken s. z.B.: http://de.wikipedia.org/wiki/ Spracherkennung. Stiemerling
73
§6
Unstructured, Real-Time und Big Data
14
Schwierigkeiten bestehen jedoch immer noch bei der Erkennung von Personen, die nicht direkt in die Kamera schauen oder vor schlecht vom Gesicht abgrenzbaren Hintergründen aufgenommen werden.
15
Aufgrund dieser Schwierigkeiten wird die Personenerkennung in digitalen Bildern heute noch oft zurück an die Menschen delegiert. Beispielsweise arbeiten Social Networks gerne mit manuellem Tagging (= Markieren). Beim Tagging wird der schwierige Vorgang des Erkennens von Menschen durch die vielen Nutzer des Social Networks selbst durchgeführt, indem ein Nutzer für ein Bild angeben kann, welche anderen Nutzer des Social Networks dort zu sehen sind. Das unstrukturierte Bild wird so in Relation zu einer strukturiert gespeicherten Person gesetzt und für automatisierte Abfragen zugreifbar.
III. Analyse von Datenströmen in Echtzeit (Real Time) 16
In vielen Anwendungsfeldern fallen ständig neue Daten in Form von Datenströmen an. In der Telekommunikationsindustrie werden mit jedem Telefonat oder jeder Internetverbindung Daten zu Abrechnungszwecken gespeichert – häufig viele Millionen Datensätze am Tag. In der Finanzindustrie werden an den Börsen täglich ebenfalls viele Millionen Transaktionen ausgeführt, die gespeichert werden müssen, um die Transaktionen später abrechnen zu können.
17
Klassische Datenbanksysteme trennen Datenspeicherung und Datenauswertung, da Datenspeicherung und Datenausgabe üblicherweise nicht synchron oder in Echtzeit erfolgen müssen. Ein Telefonanruf muss erst am Monatsende beim Erstellen der Rechnung in der Datenbank zur Auswertung vorliegen. Eine Finanztransaktion muss erst zur Clearing-Frist zur Auswertung vorliegen. Für solche „asynchronen“ bzw. Nicht-Echtzeit-Anwendungsfälle sind klassische Datenbanken gut geeignet, da sie sich beim Schreiben von Daten typischerweise Zeit nehmen, um die zur schnellen Auswertung notwendigen technischen Indexstrukturen aufzubauen bzw. zu optimieren.
18
Anspruchsvollere Anwendungen verlangen jedoch die sofortige Herstellung der effizienten Auswertbarkeit von sich schnell ändernden bzw. wachsenden Datenmengen. Um beispielsweise Abfragen der Art – Welche Wertpapiere sind in den letzten drei Minuten 10mal häufiger gehandelt worden als im Durchschnitt der letzten drei Tage? oder – In welcher Stadt ist die Anzahl von ausgehenden Anrufen in den letzten zwei Stunden um den Faktor drei höher als im Tagesdurchschnitt des gleichen Zeitraums über drei Monate gesehen? beantworten zu können, müssen gerade die aktuellsten Daten zur effektiven Auswertung gegenüber historischen Datenbeständen zur Verfügung 74
Stiemerling
§6
IV. Analyse sehr großer Datenmengen (Big Data)
stehen. In Szenarien mit schnell wachsenden oder sich verändernden hochvolumigen Datenbeständen sind klassische Datenbanksysteme oft überfordert, da sie für andere (eher asynchrone) Anwendungsszenarien entwickelt wurden. Aktuell werden Datenbanktechnologien entwickelt bzw. kommen be- 19 reits auf den Markt, die speziell für den Einsatz zur Speicherung und Echtzeitauswertung von großen Datenströmen optimiert sind. Diese Systeme sind zumeist hochgradig anpassbar bzw. programmierbar, da sie – um im jeweiligen Anwendungsfeld sinnvoll zu arbeiten – auf ein klar abgegrenztes Einsatzszenario, Datenmengen und bestimmte Abfragetypen hin optimiert werden müssen. Auf konkrete Technologien wird im letzten Kapitel dieses Abschnitts eingegangen.
IV. Analyse sehr großer Datenmengen (Big Data) In der Informatik gibt es keine fest definierte Schranke, ab der man von 20 „Big Data“, also sehr großen Datenmengen, spricht. Das liegt daran, dass auch klassische Datenbanksysteme unter bestimmten Umständen und Anwendungsszenarien extrem große Datenmengen1 (Hunderte von Gigabyte und mehr) verarbeiten können. Die seit vielen Jahrzehnten bekannten und eingesetzten Verfahren hätten zum Beispiel keine großen Schwierigkeiten damit, über effiziente Indexmechanismen eine bestimmte Person in einem Bestand von 10 Milliarden Personendatensätzen innerhalb von wenigen Millisekunden zu finden. Schwieriger wird es, wenn über Datenbestände dieser Größenordnung 21 mit vielen hunderten großer und kleiner verknüpfter Datentabellen komplexere Abfragen ausgeführt werden. Wenn dazu große Mengen von Daten zur Verarbeitung vom Festplattenspeicher in den Hauptspeicher geladen werden müssen, stoßen klassische Rechnerarchitekturen und Datenbanksysteme schnell an ihre Grenzen. Ein Beispiel: Würde man in einem Telekommunikationsunternehmen versuchen wollen, den Grad der Telefonate von einzelnen Kunden in Fremdnetze mit der Kündigungswahrscheinlichkeit des jeweiligen Kunden in ein Verhältnis zu setzen, so könnte man zwar eine passende Abfrage in SQL über den Bestand der Kundenhistorie (viele Millionen Einträge) und der Anrufhistorie (viele Milliarden Einträge) formulieren. Diese würde aber jede klassische Datenbank „mattsetzen“, da ohne vorberechnete Werte zum Telefonierverhalten der gesamte Datenbestand mehrfach durch den Hauptspeicher gezogen werden müsste, um die gefragten Zusammenhänge zu berechnen und mit dem Kündigungsverhalten in Verbindung zu setzen. 1 Handelsübliche relationale Datenbanken können – ohne bestimmte Hersteller zu nennen – durchaus Datenbestände von bis zu 32 Terabyte (das sind 32 000 Gigabyte) verwalten. Nur wenige Anwendungsfälle erfordern derart große Datenmengen. Stiemerling
75
§6 22
Unstructured, Real-Time und Big Data
Klassische Rechnerarchitekturen stoßen bei solchen Datenmengen und komplexen Berechnungen tatsächlich an physikalische Grenzen1. Der Berechnungstakt kann selbst bei maximaler Kühlung nur 8 GHz erreichen. Der Packungsdichte auf Halbleitern und damit der Kommunikationsgeschwindigkeit innerhalb eines Chips ist durch die Größe von Atomen eine Grenze gesetzt. Auch die Speicherkapazität einzelner Festplatten ist durch atomar bestimmte Mindestmaße begrenzt.
V. Aktuelle Technologien 23
Es stellt sich also die Frage, mit welchen Technologien man diese naturwissenschaftlich gegebenen Grenzen zumindest umgehen kann, um die aktuellen Herausforderungen der Datenverarbeitung zu meistern. Die zwei naheliegendsten und tatsächlich auch erfolgversprechendsten Grundideen bestehen darin: a) den langsamsten Teil der klassischen Architektur, die Festplatte, aus dem Bild zu nehmen und die gesamte Datenbank oder wesentliche Teile der Datenbank im schnellen Hauptspeicher zu halten (In-Memory); b) große Abfragen mit Hilfe neuer Algorithmen in viele Einzelabfragen aufzuteilen und durch viele einzelne klassische Rechner parallel abarbeiten zu lassen.
24
Fast jedes neue Produkt im Bereich Echtzeit-Analyse und Big Data basiert auf einem oder beiden Ansätzen. Daher werden die grundlegenden Konzepte und Grenzen beider Ansätze im Folgenden dargestellt. 1. In-Memory-Datenbanken
25
Der Vorteil der sog. In-Memory-Datenbanken beruht darauf, dass die Kommunikation zwischen Prozessor und Hauptspeicher um mehrere Größenordnungen schneller ist als der Zugriff auf großvolumige Festplatten: Der Zugriff auf den Hauptspeicher liegt typischerweise2 in der Größenordnung von 60–70 Nanosekunden, der Zugriff auf eine mechanische Festplatte in der Größenordnung von 9 Millisekunden (das sind 9 Millionen Nanosekunden). Selbst moderne nicht-mechanische Festplatten (Solide State Drive, SSD) erreichen lediglich Zugriffszeiten von 0,25 Millisekunden (250 000 Nanosekunden).
26
Der Hauptnachteil von In-Memory-Datenbanken sind die immer noch vergleichsweise hohen Kosten für Hauptspeicher (grob gerechnet, bekommt man für 50 Euro heute 1 GB Hauptspeicher oder 1000 GB Festplattenplatz). Einem tausendfach höheren Preis steht allerdings wie oben 1 S. z.B. http://www.chip.de/news/Die-neue-CHIP-Die-Grenzen-der-PC-Technik_ 48295790.html. 2 Quelle: http://de.wikipedia.org/wiki/Zugriffszeit.
76
Stiemerling
§6
V. Aktuelle Technologien
beschrieben eine theoretisch hundertausendfach höhere Geschwindigkeit gegenüber, so dass der Ansatz sowohl aus technischer als auch ökonomischer Sicht erfolgversprechend ist. In der Praxis wird man allerdings keine Geschwindigkeitssteigerungen 27 um den Faktor 100 000 erreichen, da auch bisherige Datenbanksysteme mit intelligenter Optimierung die häufig verwendeten Anteile einer Datenbank bereits im Hauptspeicher abgelegt haben (das ist das sog. Caching, zu Deutsch: Zwischenspeichern). Der Unterschied zu den reinen In-Memory-Datenbanken besteht allerdings darin, dass die neueren In-Memory-Datenbanken auf den reinen Hauptspeicherbetrieb hin optimiert sind und langsame Festplatten nur noch asynchron zur Absicherung gegen Ausfälle im Hintergrund verwenden. Der starke Preisverfall bei Hauptspeichern und weitestgehend ausfall- 28 sichere Rechnerarchitekturen haben dazu geführt, dass In-Memory-Datenbanken für industrielle Anwendungen markttauglich geworden sind und Unternehmen tatsächlich signifikante Geschwindigkeitssteigerungen bei zeitkritischen Datenauswertungen erzielen können. 2. Parallelisierung und neue Algorithmen: MapReduce & Co. Die Beschleunigung von Datenverarbeitung durch Parallelisierung ist 29 kein neues Konzept1. Insbesondere im Bereich der Supercomputer wird typischerweise mit hochparallelen Architekturen gearbeitet. 65 000 nebeneinander arbeitende Prozessoren und mehr in einer einzigen Maschine sind dabei keine Seltenheit. Sehr rechenintensive Probleme (z.B. im Bereich der Kryptografie) werden häufig in Teilprobleme aufgespalten und dann über weltweite Rechnernetze von 500 000 und mehr Computern2 berechnet und wieder zur Gesamtlösung zusammengeführt. Selbst in den meisten modernen PCs, Laptops und sogar Smartphones ar- 30 beiten Prozessoren mit mehreren Prozessorkernen. Der Effekt ist eine sichtbare Beschleunigung des Antwortzeitverhaltens dieser Geräte, ohne dass die grundsätzliche Taktrate in den letzten Jahren wesentlich erhöht wurde. Allerdings kann man nicht jedes Berechnungsproblem aufgrund inhären- 31 ter Abhängigkeiten innerhalb der einzelnen Berechnungen einfach in beliebig kleine Teilprobleme aufspalten – genauso wenig, wie man einen Schriftsatz, an dem ein Anwalt 30 Tage arbeiten würde, durch 30 Anwälte an einem Tag erstellen lassen kann. Aber gerade im Bereich der Datenauswertung auf sehr großen Datenmen- 32 gen gibt es viele Arten von Abfragen, die sich sehr effizient einer paralle1 Für einen kurzen Überblick über die Theorie paralleler Berechnungen s. http:// en.wikipedia.org/wiki/NC_(complexity). 2 S. z.B. https://en.wikipedia.org/wiki/List_of_distributed_computing_projects. Stiemerling
77
§6
Unstructured, Real-Time und Big Data
len Bearbeitung zuführen lassen. Beispielsweise kann ein sehr großer Datenbestand wie z.B. der Internet-Index von Google auf Tausende von Rechner verteilt werden. Wird nun nach all den Seiten gesucht, die eine bestimmte Kombination von Stichworten enthalten, so kann diese Abfrage auf verschiedene Rechner verteilt und dann im Ergebnis wieder zusammengeführt werden. So schafft es Google, eine Benutzerabfrage über Volltext des gesamten Internets in zumeist weniger als einer Sekunde durchzuführen. 33
Die von Google und anderen Unternehmen verwendeten Algorithmen, spezielle Big-Data-Datenbanken und Verwaltungssoftware für verteilte Berechnungsumgebungen sind zumindest in Teilen der Open-SourceCommunity1 zur Verfügung gestellt worden, so dass Anwender sich heute auf das Kernproblem des verteilten Rechnens konzentrieren können, nämlich einen möglichst maximal parallelisierten Algorithmus für ein konkret vorliegendes Berechnungs- und Auswertungsproblem zu finden.
34
Zentraler Teil des Open-Source-Frameworks Hadoop ist eine erweiterte Implementierung des sog. MapReduce-Programmiermodells2. MapReduce ist ein Rahmenwerk, das zur Programmierung konkreter verteilt zu berechnender Aufgaben genutzt werden kann. Das Modell sieht grundsätzlich eine Aufteilung der Berechnungsaufgabe auf viele, verteilt ablaufende sog. Map-Prozesse vor. Die Resultate der einzelnen Prozesse werden dann über die Reduce-Funktion wieder zum Gesamtergebnis zusammengeführt.
VI. Ausblick 35
Es gibt heute durchaus mächtige Möglichkeiten, mit großen und in Echtzeit anfallenden Datenmengen umzugehen und effiziente Abfragen zu ermöglichen. Im Vergleich zu den ausgereiften Technologien und Auswertungsmöglichkeiten der klassischen, zumeist relationalen Datenbanken erfordern große Datenbestände heute spezialisierte, in Teilen immer noch individuell programmierte Systeme. Für die Zukunft sind hier insbesondere Verbesserungen in der Benutzbarkeit durch Nutzer ohne technischen Background und ggf. automatisierte Optimierung von Abfragen und Berechnungen zu erwarten.
1 S. z.B. http://hadoop.apache.org/. 2 S. Jeffrey Dean and Sanjay Ghemawat, „MapReduce: Simplified Data Processing on Large Clusters“ at Sixth Symposium on Operating System Design and Implementation, San Francisco, CA, December, 2004.
78
Stiemerling
§7 Dokumentenmanagementsysteme Rz. I. Einführung in DMS . . . . . . . . . . . . 1 1. Definition Dokument . . . . . . . . . . 1 2. Definition Dokumentenmanagement . . . . . . . . . . . . . . . . . 5 3. Grundsätzlicher Aufbau von Dokumentenmanagementsystemen 11 4. Architektur von Dokumentenmanagementsystemen . . . . . . . . . 16 II. 1. 2. 3. 4.
Anwendungsgebiete von DMS . . . Datensicherung . . . . . . . . . . . . . . . Archiv. . . . . . . . . . . . . . . . . . . . . . . Recherche . . . . . . . . . . . . . . . . . . . Workflow . . . . . . . . . . . . . . . . . . . .
26 27 33 41 52
Rz. III. Einführung eines DMS . . . . . . . . . 1. Hinweise für die Praxis . . . . . . . . . 2. Rechtliche Aspekte . . . . . . . . . . . . a) Ordnungsmäßigkeit, Integrität und Authentizität . . . . . . . . . . . b) Schutz vor Verlust/Datensicherheit . . . . . . . . . . . . . . . . . . c) Schutz vor unberechtigtem Zugriff/Datenschutz . . . . . . . . . d) Ermittlung und Einhaltung der Aufbewahrungsfristen . . . . e) Sicherstellung des gesetzlichen Zugriffs . . . . . . . . . . . . . . .
56 56 58 60 70 74 79 83
I. Einführung in DMS 1. Definition Dokument Ein Dokument ist eine Einheit von Informationen, die in einem DV-Sys- 1 tem als Datei oder als Bestandteil einer Datei vorliegt. Im Zeitalter von Multimedia ist der Umfang des Dokuments im Vergleich zu einem papiergebundenen Dokument zu erweitern. So kommen gesprochene Bemerkungen, Videosequenzen (etwa von Materialprüfungen) und Animationen (beispielsweise von Montagesequenzen) zum Text hinzu. Ein Dokument ist somit ein komplexes Objekt, das verschiedene Informationsarten vereinigt und Informationen zu einem Thema beinhaltet. Dokumente in diesem Sinne bestehen aus einer Menge von Informatio- 2 nen. Dabei können mehrere logische Ebenen eines Dokuments unterschieden werden: – Struktur, – Layout und – Inhalt. Neben diesen logischen Ebenen ist eine Gruppierung der Dokumente 3 nach Typen, beispielsweise in Briefe, Geschäftsberichte, Handbücher und Ersatzteilkataloge, möglich. Ein Dokumentenmanagementsystem muss alle Phasen des gesamten 4 Dokumentenlebenszyklus festhalten und unterstützen. Dieser Zyklus beginnt mit der Erstellung oder dem Eingang eines Dokuments und schließt mit seiner definierten Vernichtung. Zwischen diesen Enden liegt die Erschließung des Dokumenteninhalts, die vorübergehende Spei-
Schmidt
79
§7
Dokumentenmanagementsysteme
cherung, die Langzeitarchivierung, das Retrieval, die Bearbeitung, der Ausdruck und die Übermittlung des Dokuments an andere Stellen. 2. Definition Dokumentenmanagement 5
Dokumentenmanagementsysteme können bezüglich der Schwerpunkte ihrer Funktionalität in drei Gruppen eingeteilt werden, nämlich in – Archivierungssysteme, – Retrieval- oder Recherchesysteme und – Vorgangsunterstützungssysteme.
6
Die Zielsetzung einer Organisation und der Nutzen, den sie sich durch die Einführung eines Systems erhofft, legt fest, auf welcher Funktionalität bei der Entscheidung für ein System der Schwerpunkt gelegt werden sollte.
7
Viele Systeme vereinen die verschiedenen Funktionalitäten in unterschiedlichen Ausprägungen miteinander. So existieren Systeme, die schwerpunktmäßig den Bereich der technischen Dokumentation abdecken. Diese Systeme unterstützen in der Regel die Erstellung von technischen Dokumentationen durch geeignete Anbindungen, beispielsweise an Publishingsysteme. Auch bieten diese Systeme oftmals Unterstützung für die modulare Zergliederung und den dynamischen Zusammenbau der Dokumentation an. Die Unterstützung für HTML bzw. XML lässt sich ebenfalls sehr häufig in diesen Systemen finden.
8
Systeme zur Archivierung legen ihren Schwerpunkt auf die Ablage von Dokumenten. Hierbei wird zwischen der normalen Speicherung (bspw. während des Entstehungszyklus von Dokumenten) und der Langzeitarchivierung unterschieden. Auch die automatische Versionierung von Dokumenten gehört in das Gebiet der Archivierung. Als Archivierungsmedien kommen sowohl magnetische als auch eine Reihe verschiedener optischer und magneto-optischer Medien (CD-R, WORM, DVD oder MOD) für die Ablage der Dokumente zum Einsatz.
9
Retrievalsysteme legen den Schwerpunkt auf die Bereitstellung von Informationen und Dokumenten, die in Datenbanken und Archiven abgelegt sind. Sie greifen auf den Inhalt der Dokumente zu und eignen sich daher besonders für Aufgaben, bei denen der Zugriff auf Informationen und nicht auf ein spezifisches Dokument notwendig ist. In diese Klasse lassen sich beispielsweise die Volltext-Recherche-Systeme einordnen.
10
Unter Vorgangsunterstützung wird hier das elektronische Weiterleiten von Dokumenten verstanden, wobei zwischen zwei Werkzeugkategorien unterschieden werden muss. Reine Workflowsysteme legen den Schwerpunkt auf die Unterstützung von Vorgängen gemäß einem definierten Ablauf. Aufgaben, an denen mehrere Personen bei der Erledigung eines 80
Schmidt
§7
I. Einfhrung in DMS
Vorgangs beteiligt sind, können so mit Hilfe eines Workflowsystems unterstützt werden. Neben den reinen Workflowsystemen bieten auch Groupwaresysteme in der Regel Funktionalitäten zur elektronischen Weiterleitung von Dokumenten an weitere Bearbeitungsstationen an. Der Unterschied liegt jedoch darin, dass diese Weiterleitung nicht automatisch anhand eines vordefinierten Vorgangs geschieht, sondern vom Bearbeiter explizit angegeben wird. Auch viele der am Markt angebotenen Dokumentenmanagementsysteme unterstützen die Zusammenarbeit auf solche Weise. 3. Grundsätzlicher Aufbau von Dokumentenmanagementsystemen Der grundsätzliche Aufbau eines Dokumentenmanagementsystems, der 11 bei den meisten auf dem Markt existierenden Systemen vorgefunden werden kann, wird nachfolgend dargestellt. Bis auf wenige Ausnahmen verwenden Dokumentenmanagementsyste- 12 me eine relationale Datenbank, um die für den Zugriff auf die Dokumente notwendigen Informationen zu halten. Diese Informationen, die man mit dem Schlagwort, Index oder Attribut bezeichnet, werden bei der Suche nach Dokumenten verwendet und beinhalten die sog. Metainformation über ein Dokument, also beispielsweise den Namen des Autors oder dem Dokument zugeordnete Stichworte. Die Datenbank enthält in der Regel für jeden Dokumenttyp, der im Dokumentenmanagementsystem definiert worden ist, eine eigene Tabelle mit den für diesen Typ spezifischen Informationen. Ebenso ist in der Tabelle der Eintrag des physikalischen Ablageorts des betreffenden Dokuments abgelegt. Die Dokumente werden somit nicht in der Indexdatenbank, sondern in einem anderen Bereich des Dokumentenmanagementsystems abgelegt. Neben den beschriebenen Informationen muss das Dokumentenmanage- 13 mentsystem eine Reihe weiterer Informationen, die zur Administration des Systems erforderlich sind, speichern. Hierzu zählen beispielsweise Informationen über zugelassene Benutzer, deren Zugriffsrechte, die unter Umständen bis auf Dokumentenebene spezifiziert werden können, oder die vorgesehene Archivierungsstrategie. Für die Haltung dieser Informationen wird in der Regel ebenfalls die relationale Datenbank verwendet. Die Dokumente selbst stellen für das klassische Dokumentenmanage- 14 mentsystem quasi eine „Black Box“ dar, die im Prinzip nicht weiter interpretiert wird. Durch dieses Prinzip wird es ermöglicht, dass ein Dokumentenmanagementsystem prinzipiell beliebige Datenformate verwalten kann. Der Zugriff auf die Dokumente kann in diesem Fall natürlich nur über die separat zu definierenden Indexattribute erfolgen. Abweichend davon muss ein im Rahmen der technischen Redaktionen 15 einzusetzendes Dokumentenmanagementsystem in der Regel auf die Inhalte der Dokumente zugreifen können, beispielsweise um die DokuSchmidt
81
§7
Dokumentenmanagementsysteme
mente sinnvoll modularisieren zu können. Auch die „sinnvolle“ Verarbeitung von strukturierten Dokumenten (HTML oder XML) setzt den Zugriff auf den eigentlichen Inhalt und somit ein „höheres Verständnis des Dokuments“ voraus. 4. Architektur von Dokumentenmanagementsystemen 16
Ein Dokumentenmanagementsystem (DMS) lässt sich abstrakt in die Teilbereiche – Eingabe, – Ausgabe, – Archivierung/Speicherung, – Verwaltung und – Workflow untergliedern.
17
Realisiert wird jeder Teilbereich/Modul von einer oder mehreren Softwarekomponenten, die jeweils die komplette Funktionalität eines Teilbereichs in sich kapseln. In der Softwaretechnik spricht man daher auch von „Komponentenarchitektur“.
18
Um in der Praxis aus der Komponentenarchitektur Nutzen ziehen zu können, muss ein solches DMS modular und schnittstellenbasiert aufgebaut sein. Zusammengesetzt wird ein solches System durch das Zufügen oder Entfernen einzelner Komponenten, bis die gewünschte Ausbaustufe erreicht ist. Die Komplexität einer DokumentenmanagementSoftware wird daher nicht mehr durch den Entwickler, sondern vom Anwender selbst festgelegt. Der Kunde baut sein System durch Selektion und Komposition der Softwarekomponenten sozusagen selbst auf (customizing). Die dadurch geforderte Offenheit und Skalierbarkeit des Systems lässt sich nur durch standardisierte Schnittstellen verwirklichen.
19
Viele Hersteller sind deshalb bei der Entwicklung eines DMS dazu übergegangen, ihre Software mit Standardschnittstellen wie z.B. ODMA (Open Document Management API) auszustatten und die Architektur DMA1-konform aufzubauen. So bildet u.a. die ODMA-Schnittstelle auf Seiten des Clients die Möglichkeit der beliebigen Integration einer Desktop-Anwendung in das Dokumentenmanagementsystem. Die DMA versucht, eine standardisierte Interoperabilitäts-Infrastruktur zu etablieren, mit deren Hilfe Dokumentenmanagementsysteme unterschiedlicher Hersteller miteinander kombiniert werden können und die somit für den
1 Die Document Management Alliance (DMA) ist ein IT-Konsortium für Standards im Bereich Dokumentenmanagementsysteme (DMS) und Herausgeberin der ODMA Specification.
82
Schmidt
§7
I. Einfhrung in DMS
Endanwender eine einheitliche Sicht auf alle Dokumente, unabhängig von der jeweiligen, spezifischen Anwendungsarchitektur liefert. Führende Hersteller verwenden diese Schnittstellen bei der Entwicklung 20 ihrer Softwarekomponenten und ermöglichen damit den Aufbau einer homogenen DMS-Landschaft. Aus Anwendersicht liegen alle Softwarekomponenten eines Moduls pa- 21 rallel zueinander. Jede Einzelkomponente muss deshalb alle Grundbedingungen eines Bereichs erfüllen und standardkonform ausgeprägt sein, um auch – bei Bedarf – allein existieren zu können und den vollen Funktionsumfang eines Bereichs abzudecken. Neben den DMS-Softwarekomponenten richtet sich die Leistungsfähig- 22 keit eines DMS stark nach den eingesetzten und verwendbaren Hardwarekomponenten. Performanceprobleme wird man in der Regel zuerst durch entsprechende Hardware auszugleichen versuchen, bis man an die Grenze der eingesetzten Software stößt. Beim Einsatz einer neuen Komponente ist daher zu klären: – ob die Software die mengenmäßig anfallenden Daten ohne Performanceverlust verarbeiten kann, – ob die notwendigen Softwaretreiber für die vorhandene Infrastruktur vorhanden sind, und – ob die notwendige Standardkonformität gewahrt wird. Die bei den Softwarekomponenten vorangegangene Modulzuordnung 23 lässt sich daher ebenso bei den Hardwarekomponenten anwenden. Zum Eingabemodul gehören jegliche Arten von Erfassungsgeräten, welche analoge Daten erfassen und in digitale Form umwandeln können. Darunter fallen Scanner, Mikrofone, Kameras, etc. Das Archivierungs- und Verwaltungsmodul enthält alle Geräte, welche 24 zur Aufbewahrung der erfassten Daten verwendet werden. Festplattensysteme, Jukebox-Systeme und Hybrid-Systeme zählen zu den wichtigsten Komponenten dieses Moduls. Für die Reproduktion/Ausgabe der gespeicherten Daten werden haupt- 25 sächlich Monitore verwendet. Weitere dem Ausgabemodul zugeordnete Hardwarekomponenten sind alle Geräte, welche zur „Rückwandlung“ von digitaler in analoge Form verwendet werden. Darunter fallen Drucksysteme, Verfilmungssysteme oder auch Systeme zur Tonwiedergabe.
Schmidt
83
§7
Dokumentenmanagementsysteme
II. Anwendungsgebiete von DMS 26
Im Folgenden werden kurz die typischen Anwendungsgebiete beschrieben und die charakteristischen Merkmale dargestellt. Für detaillierte Ausführungen wird auf die einschlägige Literatur verwiesen1. 1. Datensicherung
27
Datensicherungssysteme dienen im Allgemeinen ausschließlich zur Sicherung großer Datenmengen, auf die nur im Notfall durch Spezialisten zur Rekonstruktion des ursprünglichen Laufzeitsystems zugegriffen wird. Kennzeichnend ist der Zugriff auf Dateien oder größere Datensets und nicht auf einzelne Daten oder Objekte. In diese Kategorie fallen auch Systeme, die für die Auslagerung nicht mehr benötigter Daten eingesetzt werden. Bei diesen Daten kann es sich auch um solche handeln, die nur aus Gründen der Aufbewahrungspflicht gesichert werden.
28
Wesentliche Charakteristika von Datensicherungssystemen sind daher: – Statisches Archiv ohne Änderungsdienst, – automatische Generierung zu archivierender Informationen durch die Systeme, – kein direkter Zugriff von Anwendern, – Zugriff nur in Ausnahmesituationen und – Einsatz digitaler optischer Speicher in WORM-Technologie.
29
Typische Anwendungen sind etwa die Sicherung von Rechenzentren und vergleichbare Massendatenanwendungen. Auch COLD-Systeme2, die nicht für die individuelle Recherche an Sachbearbeitern genutzt werden, gehören in diese Kategorie. Ein weiteres Anwendungsgebiet sind Datensicherungssysteme, bei denen komplette Systemkonfigurationen ausgelagert werden. Datensicherungssysteme gewinnen außerdem im Rahmen der Protokollierung von Zugriffen und Veränderungen in Internetund Intranetsystemen an Bedeutung.
30
Viele dieser Systeme werden daher nicht auf den Einzelzugriff auf Dokumente oder Dateien ausgelegt, sondern simulieren herkömmliche Medien wie sequentiell beschriebene Magnetbänder, etc.
1 S. u.a. Kampffmeyer, Dokumentenmanagement. Grundlagen und Zukunft. 2 Computer Output on LaserDisk (auch Computer Output to LaserDisk, verbreitetes Akronym COLD) beschreibt ein Verfahren zur Übernahme von Ausgabedatenströmen wie Druckdaten (engl. Computer Output), die in DV-Systemen erzeugt werden, in ein Archivsystem.
84
Schmidt
§7
II. Anwendungsgebiete von DMS
Einen Sonderfall stellt die Archivierung von Dateiübermittlungen im 31 EDI1-Umfeld dar, bei der vor der Umwandlung in ein verarbeitetes Format das übermittelte Ursprungsformat für Kontroll- und Nachweiszwecke unveränderbar archiviert wird. Für alle genannten Arten von Datensicherungssystemen sind keine Ver- 32 waltungs- und Zugriffsdatenbanken erforderlich. Da keine Online-Zugriffe erfolgen, können sie vollständig automatisiert und zeitgesteuert im Hintergrundbetrieb ablaufen. Der Rückgriff erfolgt nur mit speziellen Tools durch Personal der Systemadministration. 2. Archiv Charakteristisch für ein Archivsystem ist, dass die abgelegten Dokumen- 33 te selten bzw. gar nicht mehr geändert werden. Im Gegensatz zu Datensicherungssystemen sind Archivsysteme für den datenbankgestützten, individuellen Zugriff auf einzelne Daten und Objekte ausgelegt. Da Informationen in Archivsystemen gewöhnlich auf WORM2-Medien, die nur einmal beschrieben werden können, abgelegt werden, sind sie revisionssicher3.
1 Elektronischer Datenaustausch (engl. electronic data interchange, EDI) bezeichnet innerhalb der elektronischen Datenverarbeitung (EDV) als Sammelbegriff den Datenaustausch unter Nutzung elektronischer Transferverfahren. 2 WORM ist die Abkürzung für „write once read many“ oder „write once read multiple“ (engl. „schreibe einmal, lese vielfach“). Sie bezeichnet Vorkehrungen in der Informationstechnik, die das Löschen, Überschreiben und Ändern von Daten auf einem Speichermedium dauerhaft ausschließen. Die dabei eingesetzten Datenspeicher können nur gelesen und fortgesetzt bis zu ihrer Kapazitätsgrenze beschrieben werden. 3 Der Begriff Revisionssicherheit bezieht sich auf die revisionssichere Archivierung für elektronische Archivsysteme, die in Deutschland den Anforderungen des Handelsgesetzbuches (§§ 239, 257 HGB), der Abgabenordnung (§§ 146, 147 AO), der Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme (GoBS) und weiteren steuerrechtlichen und handelsrechtlichen Vorgaben entsprechen. Der Begriff orientiert sich damit am Verständnis der Revision aus wirtschaftlicher Sicht und betrifft aufbewahrungspflichtige oder aufbewahrungswürdige Informationen und Dokumente. Der Begriff revisionssichere Archivierung wurde 1992 von Ulrich Kampffmeyer geprägt und vom Fachverband der Dokumentenmanagementbranche, Verband Organisations- und Informationssysteme (VOI) in einem Code of Practice im Jahr 1996 allgemeingültig veröffentlicht. Revisionssicherheit im Zusammenhang mit der elektronischen Archivierung bezieht sich dabei nicht nur auf technische Komponenten, sondern auf die gesamte Lösung. Revisionssicherheit schließt sichere Abläufe, die Organisation des Anwenderunternehmens, die ordnungsgemäße Nutzung, den sicheren Betrieb und den Nachweis in einer Verfahrensdokumentation ein. Wesentliches Merkmal revisionssicherer Archivsysteme ist, dass die Informationen wieder auffindbar, nachvollziehbar, unveränderbar und verfälschungssicher archiviert sind. Revisionssichere Archivierung ist ein wesentlicher Bestandteil für die Compliance von Informationssystemen. Schmidt
85
§7
Dokumentenmanagementsysteme
34
Archivsysteme finden ihren Einsatz überall dort, wo Dokumente nach ihrer Erstellung nicht mehr verändert werden. Hierbei handelt es sich z.B. um abgeschlossene Verträge, Berichte, Protokolle oder Belege.
35
Die elektronische Archivierung hat ihren Ursprung in der Speicherung großer Mengen von nicht-kodierten Faksimiles1 (non-coded information = NCI). Vorteilhaft ist jedoch auch, wenn zudem kodierte Informationen (coded information = CI) aus anderen DV-Systemen verwaltet oder zur Indizierung herangezogen werden können.
36
Wesentliche Merkmale von Archivsystemen für die gemischte Archivierung von NCI- und CI-Dokumenten sind: – Statisches Archiv, eingeschränkter Änderungsdienst (logisches Löschen), – Informationserfassung durch Scannen, Datei-Import und Datenübernahme, – manuelle oder teilautomatisierte Indizierung von NCI-Dokumenten, manuelle, teil- oder vollautomatisierte Indizierung von CI-Dokumenten, – direkter, datenbankgestützter Zugriff von Anwendern und – Einsatz digitaler optischer Speicher in WORM-Technologie.
37
Auch COLD-Systeme (Computer Output to Laser Disc) zur Archivierung von Dateien (Datensätze oder Druckeroutput) aus operativen Anwendungen mit individuellen Zugriffsmöglichkeiten auf einzelne Datensätze oder Dokumente gehören in die Kategorie der Archivsysteme. COLDSysteme dienen der Speicherung seitenorientierter Computer-Ausgabedateien in einem elektronischen Format auf digitalen optischen Speichern und sorgen für eine komfortablere Suche, Anzeige und Ausgabe als die Archivierung auf Papier oder Mikroformmedien. Je nach Anwendung sind WORM, CD-ROM und Rewritables als COLD-Medium denkbar. Auf COLD-Reports kann sowohl über PCs, über LANs und WANs als auch von Mainframe-Terminals aus zugegriffen werden. Die Dateien können ebenso elektronisch verteilt und ausgetauscht werden.
38
Anstelle eigenständiger Archivsysteme wird die elektronische Archivierung zunehmend zu einem nachgeordneten Dienst und in vorhandene Anwendungen integriert (enabling). Der Dienst „Archiv“ ist dann in der Lage, anderen Diensten wie z.B. Datenbanken oder Applikationen Informationen und Dokumente zur Verfügung zu stellen und von anderen Diensten wie Scannen, Fax, Datenbanken oder Applikationen Dokumente zu empfangen. Auf der Client-Seite werden in diesem Fall keine eigenen Desktops, sondern nur noch geeignete Viewer benötigt. Damit ist eine vollständige Integration in vorhandene Anwendungen möglich. 1 Als Faksimile, Plural: Faksimiles (von lat. fac simile „Mache es ähnlich“), bezeichnet man eine originalgetreue Kopie bzw. Reproduktion einer Vorlage.
86
Schmidt
§7
II. Anwendungsgebiete von DMS
Ein Archiv besteht zum Teil aus sehr unternehmenskritischen Doku- 39 menten. Eine Manipulation oder ein unerlaubter Zugriff auf den Datenbestand kann weitreichende Konsequenzen haben. Ein wichtiger Bestandteil des Moduls „Archivierung und Verwaltung“ ist deshalb die Protokollierung. Die Protokollierung dient in erster Linie dazu, lesende Zugriffe und manipulierende Benutzeraktionen auf das System zu dokumentieren. Die abgelegten Protokollergebnisse werden vom Administrator über die Recherchekomponente zur Statistikauswertung verwendet. Diese Komponente ist so aufgebaut, dass zu jedem Zugriff auf den Doku- 40 mentenbestand ein Protokollsatz erstellt wird. Die zu protokollierenden Werte sind bspw. das Zugriffsdatum, die Art der Aktion oder auch die Adresse der zugreifenden Maschine. Das Protokollieren verschiedener anderer Parameter (z.B. der Benutzername) ist aus datenschutzrechtlichen Gründen evtl. nur eingeschränkt erlaubt. Auch der Betriebsrat hat kein Interesse daran, dass anhand der protokollierten Daten eine Verhaltens- und Leistungskontrolle des Mitarbeiters erstellt werden kann. Diese Sachverhalte müssen deshalb im Vorfeld einer DMS-Einführung geprüft und von den Entscheidungsträgern entsprechend genehmigt werden. 3. Recherche Im Gegensatz zu Datensicherungs- und Archivsystemen müssen Recher- 41 chesysteme in der Regel in die Bürokommunikation und das IT-Konzept eines Unternehmens bruchlos integriert werden. Wesentliche Merkmale von Recherchesystemen sind:
42
– Statisches Archiv, kein Änderungsdienst, – zentrale Erfassung und Aufbereitung von Informationen, – direkter lesender Zugriff von zahlreichen Anwendern, – Online- und Offline-Recherche je nach Speichermedium. Die zur Ausgabe notwendige Recherche kann erst nach erfolgter Indizie- 43 rung über das Modul Eingabe und der Speicherung der Indizierungsattribute im Modul Archivierung und Verwaltung genutzt werden. Bei der Schlagwort-Recherche muss zur eindeutigen Klassifizierung eines 44 Dokuments im Eingabemodul eine eindeutige Indizierung vorgeschaltet sein. Aus den erfassten Metadaten (z.B. Autor, Erstellungsdatum, etc.) wird dabei ein Schlüssel generiert und in den aufgebauten Index eingereiht. Anwendungsabhängig sind unterschiedlich viele Zusatzattribute zur Kennzeichnung notwendig. Bei Vergabe mehrerer Schlüssel ist der Aufbau paralleler Indizes durchaus üblich. Für die sog. ID-Felder wie z.B. Dokumenten-ID wird ein primärer eindeutiger Index aufgebaut. Über diesen lassen sich die Dokumente direkt adressieren und aus dem System recherchieren. Für alle weiteren Attribute wird ein sekundärer, nicht Schmidt
87
§7
Dokumentenmanagementsysteme
eindeutiger Index aufgebaut, über den u.a. mit teilqualifizierten Suchabfragen Dokumente aus dem Archiv ermittelt werden können. 45
Die Bildung einer teilqualifizierten Suchabfrage wird durch das Weglassen von Attributen oder durch das Einfügen von Ersatzzeichen (z.B. *,?) möglich, wenn nur nach Wortfetzen gesucht wird.
46
Beim Einsatz einer relationalen Datenbank werden aus den erfragten Attributen auf dem Index basierende SQL-Statements erzeugt.
47
Wenn hingegen die Indizierung durch Vergabe eines eindeutigen Dokumentenbegriffs (z.B. Aktenzeichen) gebildet wird (Nummernrecherche), liegt der Vorteil in der vereinfachten Referenzierung aus Fremdverfahren. Gleichzeitig erleichtert es die Verwendung des Schlüssels als Verweis in einer Publikation oder auch die Weitergabe des Schlüssels als Referenzparameter.
48
Durch die nur begrenzt sprechenden Schlüssel und oft auch durch die Längeneinschränkung des Schlüssels ist das Handling im täglichen Gebrauch für den Anwender eher schwierig. Es wird deshalb meist eine parallel geführte Indizierung vorgenommen, ähnlich eines Katalogs. Die Recherche gestaltet sich somit universell. Abhängig von den vorhandenen Attributen werden entweder die Indizierungsnummer oder die Indizierungsattribute zur Recherche verwendet.
49
Die Verwendung der Indizierungsnummer als Schlüssel garantiert zwar einen komfortablen Direktzugriff, hat jedoch bei der inhaltlichen Suche keine Relevanz.
50
Bei der Volltext-Recherche greift man im einfachsten Fall auf Stichwortlistenverfahren (Indizes) zurück, die im Modul Eingabe durch das Parsen1 des Dokumenteninhalts generiert wird. Der Index wird dabei nur durch inhaltliche Attribute eines Dokuments aufgebaut. Dokumentenbeschreibende Attribute, wie z.B. Autor, Erstellungsdatum, Format oder Dokumentennummer, werden in der Volltextdatenbank nicht direkt gespeichert. Im Gegensatz dazu steht die Schlagwort-Recherche, in der sowohl nach dokumentenbeschreibenden Attributen als auch nach inhaltlichen Dokumentenattributen recherchiert werden kann. Trotz dieser theoretischen Einschränkung zeigt sich in der Praxis, dass viele dokumentenbeschreibende Attribute ebenfalls im Dokument enthalten sind (z.B. Kopf- und Fußzeile). Eine Suche nach dem Autor eines Dokuments kann deshalb sowohl bei der Volltextsuche als auch bei der Schlagwortsuche zum Erfolg führen. 1 Ein Parser (engl. to parse, „analysieren“, bzw. lateinisch pars, „Teil“; im Deutschen gelegentlich auch Zerteiler) ist ein Computerprogramm, das in der Informatik für die Zerlegung und Umwandlung einer beliebigen Eingabe in ein für die Weiterverarbeitung brauchbares Format zuständig ist. Häufig werden Parser eingesetzt, um im Anschluss an den Analysevorgang die Semantik der Eingabe zu erschließen und daraufhin Aktionen durchzuführen.
88
Schmidt
§7
II. Anwendungsgebiete von DMS
Die Suchbedingungen sind bei Volltext-Recherchen dokumentenunab- 51 hängig und können somit für alle Dokumententypen in ein und derselben Eingabemaske formuliert werden. Komfortablere Suchmasken bieten zusätzlich entsprechende unterstützende Listen mit allen gültigen Operatoren an. 4. Workflow Die Workflow-Komponente eines DMS (soweit vorhanden) geht von 52 einem prozessorientierten Ansatz aus. Workflowsysteme dienen der Automatisierung und dem Management von Geschäftsprozessen über Abteilungs- und Funktionsgrenzen hinweg, wodurch nicht nur Einzelfunktionen automatisiert und optimiert werden, sondern gesamte Prozesse und einzelne Werkzeuge wie Text, Tabelle, Grafik, Datenbank, Masken oder andere Einzelmodule nicht mehr isoliert nebeneinander stehen. Während Workflow ursprünglich lediglich die Vorgangssteuerung und -kontrolle beinhaltete, umfasst Workflow heute zusätzlich die Integration von Daten, Dokumenten und Applikationen zur Ausführung der Arbeitsschritte. Wesentliche Merkmale von Workflowsystemen sind:
53
– Prozessorientierung, – dynamische, in das Workflow-Programm integrierte Ablage, – Nutzung von Informationen und Dokumenten aus unterschiedlichen Quellen, – programmgesteuerte, automatische Bereitstellung von Daten, Informationen und Dokumenten, – Kontrolle der Bearbeitung und der Bereitstellung von Dokumenten, – Speicherung von Verwaltungsinformationen auf magnetischen Speicherplatten, von Dokumenten auf digitalen optischen Speichermedien. Ein Geschäftsprozess besteht aus einer oder mehreren Aktivitäten, die 54 wiederum aus einem oder mehreren Tasks oder Tätigkeiten bestehen. Ein Task setzt sich aus einem oder mehreren Work-Items oder Arbeitsschritten zusammen. Durch ein Workflowsystem können die verschiedenen Aufgaben und Arbeitsabläufe koordiniert, kontrolliert und nachvollzogen werden. Die notwendigen Informationen werden für jeden Teil des Prozesses aufgabenorientiert zur Verfügung gestellt. Ein Workflowsystem ist eine aktive, überwachende und kontrollierende 55 Software, die dem Anwender Routineaufgaben abnimmt, ständig wiederkehrende Vorgänge abwickelt und aufgrund vorgegebener Bedingungen selbständig Entscheidungen trifft. Dabei sind Prozesse und Informationseinheiten gut strukturiert. Abläufe wie z.B. der Kreditantrag in einer Bank oder die Schadensabwicklung in einer Versicherung lassen sich Schmidt
89
§7
Dokumentenmanagementsysteme
durch Regeln klar definieren und laufen jedes Mal bis auf vordefinierte Ausnahmen genau auf die Weise ab. Es handelt sich hierbei im Allgemeinen um hochwertige, zeitkritische Arbeitsabläufe. Systeme, die diese Art von Abläufen unterstützen, müssen sehr robust sein, da viele Transaktionen sehr schnell gehandhabt werden müssen.
III. Einführung eines DMS 1. Hinweise für die Praxis 56
Bei der Einführung eines DMS in einem Unternehmen steht man vor einer Vielzahl von komplexen und miteinander verknüpften Aufgabenstellungen. Die wichtigsten Aspekte sind: – Dokumentenaufbereitung (u.a. Betrachtung der Qualität der vorhandenen Dokumente) – Rechtliche Aspekte (u.a. Einhaltung gewisser rechtlicher Rahmenbedingungen, Erfüllung gesetzlicher Vorschriften) – Wirtschaftliche Aspekte – Vorgehensweise (u.a. Beachtung spezielle Aspekte bei der Einführung eines DMS)
57
Um den Rahmen des vorliegenden Beitrags nicht zu sprengen, beschränkt sich der Autor lediglich auf eine komprimierte Darstellung der rechtlichen Aspekte. Für eine detaillierte Darstellung der o.g. anderen Aspekte wird auf die einschlägige Literatur verwiesen1. 2. Rechtliche Aspekte
58
Dokumente sind Träger von Daten und Informationen, die Aufschluss über Handlungen, Abläufe und Produkte eines Unternehmens oder einer Institution geben. Häufig dienen sie als Nachweis, sowohl im Tagesgeschäft als auch bei Streitigkeiten. Allein die Tatsache, dass Dokumente erzeugt, verwaltet und aufbewahrt werden, berührt eine Reihe von gesetzlichen Regelungen, Normen und Vorschriften, die zu beachten sind. Darüber hinaus entscheidet der Dokumenteninhalt über die Notwendigkeit, weitere rechtliche Anforderungen zu berücksichtigen.
59
In der folgenden Aufzählung werden einige der von einer DMS-Einführung berührten rechtlichen Themen und gesetzlichen Grundlagen genannt: – AO (u.a. Ordnungsmäßigkeit, Integrität, Authentizität) – BDSG (u.a. Datenschutz) 1 S. hierzu u.a.: Steinbrecher, Dokumentenmanagement-Projekte zu Erfolg führen. Schüttler, Dokumentenmanagement. Von den Grundlagen zum effizienten Einsatz im Unternehmen.
90
Schmidt
§7
III. Einfhrung eines DMS
– BetrVG (u.a. Beteiligungsrechte der Mitarbeiter) – BGB (u.a. Einhaltung von Aufbewahrungsfristen) – GDPdU (u.a. Sicherstellung des gesetzlichen Zugriffs) – GoB/GoBS (u.a. Ordnungsmäßigkeit, Datensicherheit) – HGB (u.a. Einhaltung von Aufbewahrungsfristen, Sicherstellung des gesetzlichen Zugriffs) – UrhG (u.a. Schutz vor Verletzung des Urheberrechts) – ZPO (u.a. Sicherstellung der Beweiskraft vor Gericht) a) Ordnungsmäßigkeit, Integrität und Authentizität Die Ordnungsmäßigkeit bei der Erstellung, Verwaltung und Archivie- 60 rung ist eine wesentliche Basis zur Erlangung von Rechtssicherheit. Aufgrund diverser gesetzlicher Regelungen gilt die geforderte Ordnungsmäßigkeit insbesondere für Dokumente, die die Buchhaltung berühren, die als Nachweis von rechtlich relevanten Sachverhalten genutzt werden sollen, sowie für Dokumente, die einer gesetzlichen Aufbewahrungsfrist unterliegen1. Die Integrität eines Dokuments ist gewahrt, wenn dieses inhaltlich voll- 61 ständig und unveränderlich erhalten ist. Häufig werden formale Kriterien eingesetzt, um die Vollständigkeit der Inhalte zu wahren, z.B. Seitennummerierung mit Bezug auf die Gesamtseitenanzahl, Signatur jeder einzelnen Seite, etc. Der unverfälschte Inhalt hingegen kann häufig nur mit digital-forensischen Mitteln bestätigt werden. Die Authentizität eines Dokuments, d.h. der Nachweis seines Ursprungs 62 (seiner „Echtheit“) ist rechtlich relevant, wenn ein Dokument Urkundencharakter trägt und/oder als Nachweis verwendet werden soll. Als technische Möglichkeiten stehen vor allem die Techniken der elektronischen Signatur2 zur Verfügung. An dieser Stelle sei jedoch erwähnt, dass die durchgängige Sicherstellung 63 der Integrität und Authentizität eines elektronischen Dokuments mit Hilfe der elektronischen Signatur nur bei originär digitalen Dokumenten möglich ist. Wird hingegen ein analoges Dokument z.B. unmittelbar nach dem Scannen signiert, so kann die elektronische Signatur zwar zur Identifikation der Person dienen, die das Dokument erfasst hat, und die Integrität für die Folgebearbeitung abgesichert werden, aber ein Nachweis für die Authentizität und ein Nachweis für die Wahrung der Integri-
1 S. u.a. Reitsam/Seonbuchner, § 60 Rz. 5 ff. 2 S. u.a. Hochmann, Elektronische Signatur: Technische Darstellung, rechtliche Entwicklung und praktischer Einsatz. Schmidt
91
§7
Dokumentenmanagementsysteme
tät, bevor das Dokument gescannt wurde, kann hiermit nicht erbracht werden. 64
Ein weiteres Problem der Sicherstellung und Erhaltung der Integrität bzw. Authentizität ist auch der Wechsel von Informationsträgern (z.B. Migration eines DMS, Wechsel von Speichertechnologien, etc.), auf das an dieser Stelle jedoch nicht weiter eingegangen werden soll.
65
Wichtige Rechtsgrundlagen im handels- und steuerrechtlichen Bereich in Deutschland sind das Handelsgesetzbuch (HGB), die Abgabenordnung (AO), sowie die Grundsätze ordnungsmäßiger Buchführung (GoB), die sich aus den Kommentierungen zu den Gesetzen und aus der betrieblichen Praxis entwickelt haben und ein Regelwerk darstellen, das die gesamte Rechnungslegung berührt. Aus der GoB wurden die Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme (GoBS) abgeleitet.
66
Dokumenten-Management- und Archivierungssysteme sind somit direkt von der GoBS berührt, wenn mit diesen „buchführungsrelevante Daten erfasst, erzeugt, verarbeitet und/oder übermittelt werden“1.
67
Der Zusammenhang zwischen dem zugrunde liegenden Geschäftsvorfall und dessen Buchung bzw. dessen DV-Verarbeitung muss durch eine aussagekräftige Verfahrensdokumentation – ergänzend durch den Nachweis ihrer ordnungsmäßigen Anwendung – dargestellt werden2.
68
Der Verfahrensdokumentation und dem Nachweis ihrer Anwendung kommen somit die Schlüsselfunktion zu, um die Ordnungsmäßigkeit der Erstellung, Verwaltung und Archivierung von Dokumenten sicherzustellen.
69
Umfang und Aufbau der Verfahrensdokumentation sind nicht vorgeschrieben. Die GoBS geben nur den Mindestinhalt vor. In der Literatur sind jedoch einige praktikable Vorschläge hinsichtlich der konkreten Struktur und der Inhalte für eine Verfahrensdokumentation beschrieben3. b) Schutz vor Verlust/Datensicherheit
70
Daten und Dokumente sind wichtige Ressourcen eines Unternehmens. In vielen Fällen sind sie die einzigen Nachweise für die Erfüllung der Pflichten, die sich aus den Handlungen, Abläufen und Produkten eines Unternehmens oder einer Institution ergeben.
1 S. GoBS Ziff. I Tz. 1. 2 S. GoBS Ziff. II Tz. 1; s. hierzu u.a. Reitsam/Seonbuchner, § 60 Rz. 41 ff. 3 S. Kap. 5.2.2010 in Götzer/Schmale, Dokumentenmanagement.
92
Schmidt
§7
III. Einfhrung eines DMS
Die Datensicherheit umfasst einen weiten Bereich, dem sowohl juristi- 71 sche Forderungen1 als auch unternehmenseigene Interessen zugrunde liegen: – Gewährleistung von Vollständigkeit und Korrektheit der Daten – Schutz der Daten vor unberechtigtem Zugriff und unzulässigen Veränderungen (Zugriffsschutz)2 – Schutz der Daten vor Zerstörung und Entwendung (Zugangskontrolle) – Schutz der Daten vor Außeneinwirkungen, wie Feuer, Hochwasser, schädigende Temperatur-, Licht- und Feuchtigkeitseinflüsse, schädigende magnetische Einflüsse sowie gegen Schädlinge Für die Auswahl der Maßnahmen zur Datensicherheit müssen alle Rege- 72 lungen, Prozesse und Werkzeuge eines Unternehmens ganzheitlich betrachtet werden. Die singuläre Gewährleistung der Datensicherheit für ein Werkzeug oder einen Vorgang bietet keine ausreichende Sicherheit. Nur durch eine umfassende Betrachtungsweise dieser Thematik sind effiziente, nachhaltige und lückenlose Lösungen zur Datensicherheit möglich. Für Dokumentenverwaltungs- und Archivierungslösungen müssen daher 73 hinsichtlich Personal, Bauwerken, Organisation, Administration und eingesetzten Werkzeugen entsprechende Maßnahmen zur Datensicherheit ergriffen werden. c) Schutz vor unberechtigtem Zugriff/Datenschutz Grundlage für den Datenschutz auf dem Gebiet der Bundesrepublik 74 Deutschland ist das Bundesdatenschutzgesetz (BDSG). Das BDSG bezieht sich auf den Schutz vor dem Missbrauch personenbezogener Daten, die gespeichert und verarbeitet werden. Der Schutz von personenbezogenen Daten erstreckt sich auch auf Do- 75 kumentmanagement- und Archivierungs-Lösungen, denn grundsätzlich muss sowohl bei der Verarbeitung von Daten mit DMS als auch bei der foto-optischen oder elektronischen Archivierung davon ausgegangen werden, dass auch personenbezogene Daten archiviert werden. Folgende Beispiele können dies verdeutlichen:
76
– Auf archivierten Schriftstücken sind ggf. Unterschriften und Namenskürzel aufgebracht. – Auf archivierten technischen Zeichnungen sind personenbezogene Kontrollvermerke aufgebracht.
1 Vgl. auch Anlage zu § 9 Satz 1 BDSG (TOMs). 2 Vgl. auch § 239 Abs. 3 HGB. Schmidt
93
§7
Dokumentenmanagementsysteme
– Archivierte Personal- und Sozialversicherungsdokumente enthalten besonders schutzwürdige personenbezogene Daten1. – Bei der Verschlagwortung von Dokumenten wird der Dokumentenersteller mit anderen Daten in Relation gesetzt. 77
Für die Archivierung von Unterlagen sind besonders die Rechte des Betroffenen zu beachten. So müssen in Konzeption und Umsetzung von organisatorischen und technischen Maßnahmen u.a. gem. BDSG die Rechte auf Korrektur, Löschung und Sperrung der entsprechenden personenbezogenen Daten beachtet werden.
78
Der Arbeitskreis „Technische und organisatorische Datenschutzfragen“ der Konferenz der Datenschutzbeauftragten des Bundes und der Länder hat für den Einsatz optischer Datenspeicherung entsprechende Maßnahmenempfehlungen veröffentlicht, die bei der Einführung eines DMS berücksichtigt werden sollten2. d) Ermittlung und Einhaltung der Aufbewahrungsfristen
79
Eine Aufbewahrungsfrist setzt sich aus dem Fristbeginn und dem Aufbewahrungszeitraum zusammen und kann bestimmt werden, wenn die Aufbewahrungsgründe, auf denen die Notwendigkeit der Aufbewahrung beruht, sowie der Inhalt des Dokuments bekannt sind. Häufig ist die Aufbewahrungsfrist auch an eine konkrete Form gebunden, nach der die Inhalte des Dokuments aufbewahrt sein müssen; der Fristbeginn kann an einen konkreten Zeitpunkt oder auch an ein Ereignis geknüpft sein3.
80
In der Praxis haben sich zwei Lösungsansätze zur Fristfindung, d.h. der Ermittlung/Spezifikation gesetzlicher Aufbewahrungsfristen bewährt: die dokumentenbezogene Fristfindung und die prozessbezogene Fristfindung4.
81
Die ermittelten Aufbewahrungsfristen sollten in einem Fristenkatalog dokumentiert werden, der zumindest folgende Aussagen umfassen sollte: – Dokumententyp, – Fristbeginn, – Aufbewahrungszeitraum, – ggf. gesetzliche oder betriebliche Grundlagen und – Aufbewahrungsform.
1 2 3 4
Vgl. § 3 Abs. 9 BDSG; s. dazu auch Kort, § 27 Rz. 10 ff. S. u.a. www.bfd.bund.de. S. u.a. Reitsam/Seonbuchner, § 60 Rz. 24 f. Details s. Maier/Komke, Dokumentenmanagement.
94
Schmidt
§7
III. Einfhrung eines DMS
Um die definierten Fristen in einem DMS nachzuhalten, müssen die 82 Fristaussagen zum Dokumententyp hinterlegt und jedes relevante Dokument einem Dokumententyp zugeordnet werden. Dadurch wird die Grundlage für eine automatisierte Fristenüberwachung geschaffen. e) Sicherstellung des gesetzlichen Zugriffs Während der gesetzlichen Aufbewahrungsfristen muss der Zugriff auf die 83 relevanten Dokumente und Informationen sichergestellt sein, um diese den auskunftsberechtigten Behörden verfügbar zu machen. Die „Lesbarmachung“ relevanter Informationen muss „innerhalb angemessener Frist“1 erfolgen2. Besonders im steuerrechtlichen Bereich wurden in Deutschland die Vor- 84 schriften zur Aufbewahrung der Dokumente und für den Datenzugriff erheblich erweitert und konkretisiert. Hierbei sind v.a. die „Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen“ (GDPdU) zu nennen. Die GDPdU haben das Ziel, den Datenzugriff der Finanzbehörden auf die Buchführung mit Hilfe von DV-Systemen zu regeln, die Prüfungsmethoden den modernen Buchführungstechniken anzupassen und eine rationelle und zeitnahe Außenprüfung zu ermöglichen3. Durch die GDPdU soll sichergestellt werden, dass die enthaltenen Infor- 85 mationen den Finanzbehörden im Rahmen der Außenprüfung zur Verfügung stehen. Dabei werden drei Arten des Datenzugriffs unterschieden: unmittelbarer Datenzugriff, mittelbarer Datenzugriff und die Datenträgerüberlassung. Unter unmittelbarem Datenzugriff wird verstanden, dass die Finanzbe- 86 hörde bzw. der Prüfer durch Einsatz der vorhandenen Hard- und Software auf die Datenbestände zugreift. Bei dieser Art des Zugriffs hat der Steuerpflichtige dem Prüfer für den Datenzugriff die erforderlichen Hilfsmittel zur Verfügung zu stellen und ihn für den Nur-Lese-Zugriff in das DV-System einzuweisen4. Für den mittelbaren Zugriff werden durch die Finanzbehörde Vorgaben 87 erstellt, anhand derer der Steuerpflichtige Auswertungen vornimmt. Zu diesem Zweck muss der Steuerpflichtige eine mit dem DV-System vertraute Person dem Prüfer zur Seite stellen5.
1 2 3 4
§ 147 Abs. 2 Nr. 1 AO, § 257 Abs. 3 Nr. 2 HGB, Tz. 8 GoBS. S. u.a. Reitsam/Seonbuchner, § 60 Rz. 51 ff. S. u.a. Reitsam/Seonbuchner, § 60 Rz. 38 ff. S. Abschnitt I Nr. 2 Buchstabe a) GDPdU; s. u.a. Reitsam/Seonbuchner, § 60 Rz. 56. 5 S. Abschnitt I Nr. 2 Buchstabe b) GDPdU; s. u.a. Reitsam/Seonbuchner, § 60 Rz. 57. Schmidt
95
§7
Dokumentenmanagementsysteme
88
Als dritte Möglichkeit des Datenzugriffs kommt die Datenträgerüberlassung in Frage. In diesem Fall kann die Finanzbehörde verlangen, dass ihr die gespeicherten Unterlagen auf einem maschinell verwertbaren Datenträger zur Auswertung überlassen werden. Zusätzlich sind der Finanzbehörde alle für die Auswertung notwendigen Informationen (z.B. über die Datenstrukturen, die Datenfelder sowie interne und externe Verknüpfungen) in maschinell auswertbarer Form zur Verfügung zu stellen1.
89
Bei der Einführung eines DMS müssen daher die o.g. Datenzugriffsarten berücksichtigt werden.
1 S. Abschnitt I Nr. 2 Buchstabe c) GDPdU; s. u.a. Reitsam/Seonbuchner, § 60 Rz. 58.
96
Schmidt
§8 (Langzeit-)Archivierung von Daten Rz.
Rz.
I. Definitionen und Zielsetzungen .
1
II. Rechtliche Rahmenbedingungen . 1. Steuer- und handelsrechtliche Anforderungen. . . . . . . . . . . . . . . . 2. Archivgesetze . . . . . . . . . . . . . . . . 3. Urheberrecht . . . . . . . . . . . . . . . . . 4. Datenschutz. . . . . . . . . . . . . . . . . . 5. Sonstige rechtliche Rahmenbedingungen . . . . . . . . . . . . . . . . . . .
8
6. Autorisierung des Zugriffs . . . . . . 37 7. Zertifizierung der Archivierung . . 38
III. Anforderungen an eine ordnungsgemäße Archivierung . . . . . . . . . . 1. Ordnungsmäßigkeit . . . . . . . . . . . 2. Richtigkeit und Vollständigkeit von Daten. . . . . . . . . . . . . . . . . . . . 3. Integrität und Authentizität. . . . . 4. Wiederherstellbarkeit und Lesbarkeit . . . . . . . . . . . . . . . . . . . 5. Auffindbarkeit von Informationen . . . . . . . . . . . . . . . . . . . . . . .
9 12 13 14 15 18 19 21 24 31 35
IV. 1. 2. 3.
Technische Umsetzung . . . . . . . . Architektur von Archivsystemen Datenerzeugende Systeme . . . . . . Archiv-Middleware und Verfahren . . . . . . . . . . . . . . . . . . . . a) Middleware . . . . . . . . . . . . . . . . b) Verfahren . . . . . . . . . . . . . . . . . . 4. Speichermedien und Speichersysteme . . . . . . . . . . . . . . . . . . . . . 5. Datenformate. . . . . . . . . . . . . . . . . a) XML . . . . . . . . . . . . . . . . . . . . . . b) JPEG und TIFF. . . . . . . . . . . . . . c) PDF . . . . . . . . . . . . . . . . . . . . . . d) MPEG. . . . . . . . . . . . . . . . . . . . . e) Sonstige Formate . . . . . . . . . . . 6. Migration . . . . . . . . . . . . . . . . . . . .
41 41 46 50 52 54 60 68 72 73 74 76 77 79
V. Zusammenfassung . . . . . . . . . . . . 82
I. Definitionen und Zielsetzungen In Unternehmen und öffentlichen Einrichtungen fallen tagtäglich erheb- 1 liche Datenmengen an. Teile dieser Daten könnten nach kurzer Zeit wieder gelöscht werden, andere Teile müssen aus verschiedenen Gründen jedoch langfristig vorgehalten werden. Wesentliche Gründe für die langfristige Aufbewahrung von Daten sind gesetzliche Aufbewahrungspflichten1 oder die Schaffung eines Informationssystems, in dem auch „historische“ Daten langfristig zur Verfügung stehen. Daraus ergeben sich zwei unterschiedliche Zielsetzungen:
2
– Vorhaltung von Daten für einen bestimmten Zeitraum (typischerweise im Rahmen des Geschäftsbetriebs privater Unternehmen oder der öffentlichen Verwaltung) – Sicherstellung von Daten für einen unbestimmten Zeitraum zu historischen Dokumentationszwecken (Archive, Bibliotheken, Museen, etc.) Haben Daten bei der langfristigen Speicherung im Sinne eines histori- 3 schen Informationssystems überwiegend lediglich informatorischen Charakter ohne hohen Beweiswert, kommt bei der Speicherung aufgrund
1 Dazu näher Reitsam/Seonbuchner, § 60. Pruß
97
§8
(Langzeit-)Archivierung von Daten
von Aufbewahrungspflichten der Beweiskraft der archivierten Daten eine sehr hohe Bedeutung zu. Es sind teilweise umfangreiche Maßnahmen zu treffen, die den Beweiswert von Daten dem Zweck entsprechend sicherstellen. 4
Für die langfristige Speicherung von Daten und deren Management haben sich verschiedene Begriffe herausgebildet, die in der Praxis häufig synonym verwendet werden: – Enterprise Content Management (ECM) – Dokumentenmanagement – Information Lifecycle Management (ILM) – (Langzeit-)Archivierung
5
Den umfassendsten Begriff dürfte ECM darstellen, da er alle Aspekte der Entstehung, Ablage und Speicherung von Daten bis zu deren (geordneten) Löschung beinhaltet. Allerdings ist der Begriff nicht allgemeingültig definiert und wird in der Praxis sehr unterschiedlich verwendet. Ähnlich verhält es sich mit dem Begriff des Dokumentenmanagements. Im ILM liegt der Fokus auf der Kosten-Nutzen-Optimierung der Datenhaltung. Häufig benötigte operative Daten sollen auf schnellen, teuren Speichermedien und weniger häufig genutzte Daten auf langsameren, kostengünstigeren Speichermedien abgelegt sein.
6
Der Begriff der „Archivierung“ ist ebenfalls nicht konkret definiert und eher allgemein belegt. Unter Archivierung versteht man die geordnete Speicherung von Daten über einen längeren Zeitraum hinweg. Die wesentlichen Aufgaben sind dabei die dauerhafte Speicherung und das gezielte Wiederfinden der Daten. Eine Archivierung unterscheidet sich also von der reinen Datenspeicherung durch die Zuordnung von charakteristischen Metainformationen und die Schaffung von Suchindizes, um die Informationen anhand typischer Eigenschaften wieder auffinden zu können. Ein Archiv kann Teil eines ECM, Dokumentenmanagements oder ILMs sein.
7
Häufig werden auch Datensicherungen zu bestimmten Zeitpunkten als „Archiv“ genutzt. Dies entspricht allerdings nicht den typischen Merkmalen eines Archivs, die im Folgenden im Detail dargestellt werden. Eine Datensicherung kann deshalb nur unter bestimmten Bedingungen als valides Archiv betrachtet werden. Im Umkehrschluss ist ein Archiv aber keinesfalls als Datensicherung zu betrachten.
II. Rechtliche Rahmenbedingungen 8
Es gibt mittlerweile eine erhebliche Anzahl rechtlicher Anforderungen, die eine langfristige Aufbewahrung von Daten bedingen. An dieser Stelle
98
Pruß
§8
II. Rechtliche Rahmenbedingungen
seien die wesentlichen rechtlichen Rahmenbedingungen genannt, die in der Praxis Relevanz hinsichtlich der Archivierung entfalten. 1. Steuer- und handelsrechtliche Anforderungen Ein wesentlicher Auslöser für die dauerhafte Aufbewahrung von Daten 9 sind steuer- und handelsrechtliche Anforderungen1. Diese zwingen gewerblich tätige Unternehmen dazu, Geschäftsunterlagen für eine gesetzlich festgelegte Zeit aufzubewahren. Mit der Modernisierung des Steuerwesens ist dabei insbesondere auch 10 die Anforderung entstanden, elektronisch erzeugte Buchhaltungsdaten für die steuerliche Prüfung auch in elektronisch auswertbarer Form aufzubewahren und zur Verfügung zu stellen2. Neben den Buchhaltungsdaten sind auch die Daten aus den betriebswirtschaftlichen EDV-Systemen in elektronischer Form vorzuhalten, wenn diese elektronisch erzeugt wurden und lediglich in elektronischer Form weiterverarbeitet wurden3. In der Praxis stellt sich dabei nicht selten die Frage, inwiefern bestimmte 11 Daten überhaupt aufbewahrungspflichtig sind (z.B. E-Mails) und ob eine Archivierung automatisiert (zuverlässig alle Daten) oder selektiv mit Benutzereingriff erfolgen soll (weniger irrelevante Daten, keine privaten Daten der Mitarbeiter). Darauf wird im Folgenden allerdings nicht weiter eingegangen, da vor allem die fachlichen und technischen Aspekte der Archivierung selbst betrachtet werden sollen. 2. Archivgesetze Für öffentliche Einrichtungen gelten die Maßgaben des Bundes- bzw. der 12 Landesarchivgesetze. Diese sollen sicherstellen, dass Daten, die im Rahmen der öffentlichen Verwaltung erhoben oder erzeugt wurden, hinsichtlich ihrer historischen Relevanz überprüft und ggf. langfristig aufbewahrt werden können. 3. Urheberrecht Bei der Archivierung bestimmter Daten kann eine Vervielfältigungshand- 13 lung gegeben sein, die das Urheberrecht tangiert. Ebenso kann es erforderlich sein, Daten bei der Archivierung in andere Formate zu übertragen
1 HGB, AO, UStG, etc.; dazu Reitsam/Seonbuchner, § 60. 2 Bspw. Interactive Data Extraction and Analysis (IDEA). 3 Hier gelten die Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU), die im BMF-Schreiben v. 16.7.2001 – IV D 2-S 0316-136/01 geregelt werden (§ 146 Abs. 5, § 147 Abs. 2, 5, 6, § 200 Abs. 1 AO und § 14 Abs. 4 UStG). Pruß
99
§8
(Langzeit-)Archivierung von Daten
und dabei sogar Kopierschutzmechanismen zu umgehen1. Dies betrifft insbesondere Museen, Archive und andere Einrichtungen, die Dokumente des Zeitgeschehens langfristig aufbewahren sollen. 4. Datenschutz 14
In Archiven werden regelmäßig Daten aufbewahrt, bei denen der Datenschutz berührt ist, seien es personenbezogene Daten von Kunden, Mitarbeitern oder Personen des Zeitgeschehens. Die Speicherung dieser Daten ist zur Erreichung des Zwecks der ursprünglichen Datenerhebung häufig nicht mehr erforderlich2. Werden in einem Archiv personenbezogene Daten gespeichert, muss der Zugriff auf die Daten durch ein entsprechend geeignetes Zugriffskonzept abgesichert werden3. 5. Sonstige rechtliche Rahmenbedingungen
15
Auf Basis des BGB können in bestimmten Anwendungsfällen langjährige zivilrechtliche Ansprüche entstehen, die eine Aufbewahrung von Unterlagen zwar nicht vorschreiben, aber im Hinblick auf einen möglichen späteren Nachweis sinnvoll erscheinen lassen4.
16
In bestimmten Anwendungsumfeldern können spezifische rechtliche Rahmenbedingungen gelten, etwa im medizinischen Bereich die Röntgenverordnung5 oder im öffentlichen Bereich die Registraturrichtlinie6 und die Sozialgesetzbücher7.
17
Internationale Konzerne könnten noch von den Bestimmungen des Sarbanes-Oxley-Act (SOX) oder anderen Compliance-Regelungen betroffen sein, die umfängliche Maßnahmen auferlegen und ggf. auch Sanktionen vorsehen, wenn diese nicht eingehalten werden8. Zur Abwendung der 1 Goebel/Scheller, Digitale Langzeitarchivierung und Recht, nestor c/o Die Deutsche Bibliothek, URN: urn:nbn:de:0008-20040916022, http://files.d-nb.de/nes tor/materialien/nestor_mat_01.pdf (heruntergeladen am 18.8.2013). 2 Gemäß § 20 bzw. § 35 BDSG oder den entsprechenden Landesdatenschutzgesetzen könnte eine Pflicht zur Löschung gegeben sein. 3 Dies ist im Wesentlichen durch § 5 BDSG (Datengeheimnis) und § 9 BDSG (Technische und organisatorische Maßnahmen) bestimmt. Zudem könnten auch die Bestimmungen des § 11 BDSG (Auftragsdatenverarbeitung) zutreffen, wenn der Betrieb des Archivs durch einen Dienstleister erfolgt. 4 So kann etwa ein Patient aufgrund von § 199 Abs. 2 BGB gegenüber einem Arzt bis zu 30 Jahre zivilrechtliche Ansprüche geltend machen. Deshalb ist es ratsam medizinische Unterlagen über diesen Zeitraum aufzubewahren, um evtl. auftretende Ansprüche prüfen und ggf. abwehren zu können. 5 Verordnung über den Schutz vor Schäden durch Röntgenstrahlen (Röntgenverordnung – RöV). 6 § 18 Abs. 1 Satz 2 Registraturrichtlinie der Bundesministerien (RegR). 7 Bspw. §§ 110a–d SGB IV. 8 S. bspw. SOX Abschnitt 802 zu den Sanktionen für das Verändern von Dokumenten.
100
Pruß
§8
III. Anforderungen an eine ordnungsgemße Archivierung
dort vorgesehenen Strafen müssen entsprechend geeignete Maßnahmen ergriffen werden.
III. Anforderungen an eine ordnungsgemäße Archivierung Aus den in Abschnitt II dargestellten gesetzlichen Rahmenbedingen sind 18 zahlreiche organisatorische und technische Anforderungen an die Archivierung von Daten abzuleiten. Dabei ist in jedem Einzelfall individuell abzuwägen, welche Anforderungen zwingend zu erfüllen sind und bei welchen Anforderungen die Einhaltung lediglich wünschenswert ist. 1. Ordnungsmäßigkeit Unter steuerrechtlichen Gesichtspunkten muss ein Archiv den Grund- 19 sätzen ordnungsgemäßer DV-gestützter Buchführungssysteme (GoBS) gehorchen, wenn entsprechende Aufbewahrungspflichten bestehen1. Daraus ergeben sich folgende wesentliche Anforderungen an die Archivierung. Die Daten müssen – richtig, – vollständig, – zeitgerecht, – geordnet darstellbar, – für sachverständige Dritte in angemessener Zeit nachvollziehbar sein. Darüber hinaus muss eine Verfahrensdokumentation den gesamten Vor- 20 gang der Archivierung beschreiben. Weiterhin enthalten die GoBS konkrete Anforderungen an die Protokollierung, an ein internes Kontrollsystem (IKS), an die Datensicherheit sowie an die Lesbarkeit der Daten. Die GoBS enthalten die weitreichendsten Anforderungen an Archivsysteme. Deren Erfüllung wäre für alle Archivierungszwecke hinreichend. Daraus abgeleitet werden einzelne Aspekte betrachtet, die besondere Relevanz im Hinblick auf die Archivierung haben. 2. Richtigkeit und Vollständigkeit von Daten Die in einem Archivsystem gespeicherten Informationen müssen gemäß 21 GoBS „richtig“ und „vollständig“ sein. Da in einem Archiv nicht nur Buchhaltungsdaten gespeichert werden können, muss dieser Aspekt differenziert betrachtet werden. Die Ablage kaufmännischer Daten, die 1 Die GoBS sind von der Arbeitsgemeinschaft für wirtschaftliche Verwaltung e.V. (AWV), ausgearbeitet worden und mit Schreiben des BMF v. 7.11.1995 wirksam. Diese Grundsätze präzisieren die darüber hinaus bestehenden Grundsätze ordnungsgemäßer Buchführung (GoB) im Hinblick auf die Datenverarbeitung. Pruß
101
§8
(Langzeit-)Archivierung von Daten
überwiegend textliche Informationen beinhalten, unterscheidet sich von der Ablage von Bilddaten, etwa aus medizinischen Geräten oder aus Fotoaufnahmen. 22
Um die Richtigkeit dieser Daten sicherzustellen, ist vor allem zunächst der Weg zu betrachten, wie diese ins Archiv gelangen. Es besteht die Gefahr, aber manchmal auch die praktische Notwendigkeit, dass Daten bereits bei der Speicherung in das Archiv nicht mehr dem Original entsprechen. Ist die Originalität bei textlichen Informationen in aller Regel noch vergleichsweise einfach sicherzustellen, können bei bildlichen Informationen z.B. durch Methoden der Datenkomprimierung evtl. wichtige Informationen verloren gehen.
23
Es muss also sichergestellt werden, dass Daten nach Möglichkeit unverändert bzw. unverfälscht in das Archiv gelangen. Sollte dies nicht möglich sein, ist darzulegen, was genau mit den Daten geschieht, bevor sie archiviert werden. Dies muss in einer Verfahrensdokumentation entsprechend beschrieben sein. 3. Integrität und Authentizität
24
Zunächst ist sicherzustellen, dass die Daten während der vorgesehenen Vorhaltungsdauer nicht aufgrund technischer Fehler oder eines Benutzereingriffs zerstört oder unbemerkt verändert werden können. Im Bereich von Archivsystemen kommt eine zusätzliche Datensicherung aufgrund der Datenmenge häufig nicht in Frage. Es müssen also technische Maßnahmen ergriffen werden, die verhindern, dass bei unvermeidbaren technischen Defekten kein Datenverlust entsteht.
25
Auch die Archivsoftware selbst könnte Ursache für die Kompromittierung von Daten sein. Es muss dafür gesorgt werden, dass keine fehlerhafte Software zum Einsatz kommt. Diese Anforderung ist deshalb auch Teil des von den GoBS geforderten IKS.
26
Der Schutz vor Datenzerstörung durch einen böswilligen Anwender kann nicht durch Maßnahmen des Archivsystems selbst erfolgen, hier müssen organisatorische Maßnahmen hinsichtlich Zugang, Zutritt und Zugriffsrechten auf das gesamte EDV-System getroffen werden.
27
Über die reine Sicherstellung der Datenintegrität hinaus müssen Urheber und Zeitpunkt der Datenerstellung nachvollziehbar sein (Authentizität). Diese Anforderung ist in vielerlei Hinsicht von großer Relevanz. Wenn z.B. ein bestimmter Nachweis aufgrund eines archivierten Dokuments geführt werden soll, muss zweifelsfrei nachvollziehbar sein, dass es sich um ein originalgetreues „Abbild“ der Daten vom korrekten Ursprung und zum korrekten Zeitpunkt handelt. Ansonsten könnte die Authentizität des Dokuments angezweifelt werden, was dieses ggf. wertlos macht.
102
Pruß
§8
III. Anforderungen an eine ordnungsgemße Archivierung
Die Authentizität von Archivalien ist vor allem über technische Verfah- 28 ren zu sichern. Es sind aber auch organisatorische Maßnahmen erforderlich, um die technischen Verfahren zu flankieren. Die wichtigste technische Maßnahme zur Sicherstellung der Authen- 29 tizität ist die Verwendung von elektronischen Signaturen auf allen relevanten Daten. Die elektronischen Signaturen sind bei verschiedenen Datenarten, die ohnehin einer (qualifizierten) Signatur bedürfen, bereits vorhanden und können entsprechend verwendet werden. Zahlreiche Daten unterliegen jedoch nicht grundsätzlich der Pflicht zur Signatur. Diese müssen ggf. zusätzlich signiert werden. Neben der elektronischen Signatur gibt es auch Hash-Verfahren bei de- 30 nen für die zu archivierenden Daten Prüfsummen berechnet werden, die zusammen mit den Daten im Archiv abgelegt werden. Da in diesen Verfahren keine geheimen Schlüssel verwendet werden, besteht hierbei allerdings potentiell die Gefahr, dass Daten nachträglich verändert werden und auch die entsprechenden Prüfsummen angepasst werden. Es ist zudem nicht mit Sicherheit feststellbar, ob die Daten nicht bereits vor dem Eingang in das Archiv verändert wurden. Für zahlreiche Aufgabenstellungen sind die Hash-Verfahren in Verbindung mit adäquaten organisatorischen Rahmenbedingungen jedoch für einen tragfähigen Anscheinsbeweis hinreichend. 4. Wiederherstellbarkeit und Lesbarkeit Ein besonderes Problem der elektronischen Archivierung stellt die lang- 31 fristige Sicherstellung der Wiederherstellbarkeit und Lesbarkeit von Daten dar. Aufgrund starken technischen Wandels werden die Entwicklungszyklen in Software- und Hardwaresystemen immer kürzer. Dabei besteht die Gefahr, dass Programme und Geräte, die zur Archivierung von Daten verwendet wurden, nicht bis zum Ende der Aufbewahrungsfrist genutzt werden können. Im Hinblick auf die Hardware sind die Haltbarkeit der Speichermedien 32 und die Verfügbarkeit von geeigneten Lesegeräten die kritischen Faktoren. Vor allem herstellerspezifische Geräte und Medien könnten nach gewisser Zeit nicht mehr einsatzbereit zur Verfügung stehen. Auch die Software, die Daten wieder auffinden und anzeigen soll, muss 33 langfristig verwendbar sein. Es muss sichergestellt werden, dass vor allem in proprietären Formaten1 archivierte Daten auch noch lesbar sind,
1 Von „proprietären“ Technologien spricht man im IT-Bereich, wenn herstellerspezifische Technologien und Verfahren eingesetzt werden, die nur dem entsprechenden Hersteller bekannt sind. Im Gegensatz dazu gibt es „offene“ Standards, die allgemein bekannt sind und auch von verschiedenen Herstellern genutzt werden. Pruß
103
§8
(Langzeit-)Archivierung von Daten
wenn es beispielsweise den Hersteller der Archivierungssoftware nicht mehr gibt. Entweder müssen die Programme so lange aufbewahrt und einsatzbereit gehalten werden, wie relevante Daten im Archiv enthalten sind, oder es muss ggf. eine Migration der Daten in ein anderes Archivsystem erfolgen1. 34
Zur Minderung dieses Problems werden die Archivalien in aller Regel in Standarddatenformaten gespeichert, damit sichergestellt ist, dass es auch in absehbarer Zeit noch eine Software geben wird, die die Daten unverfälscht wieder zur Ansicht bringen kann. 5. Auffindbarkeit von Informationen
35
Eine der Grundanforderungen an ein Archiv ist das Wiederfinden von Informationen aufgrund definierter Ordnungskriterien. Bei textlichen Informationen kann im einfachsten Fall eine Volltextsuche (ohne konkrete Ordnungskriterien) durchgeführt werden, bei bildlichen Informationen ist dies jedoch nicht möglich.
36
Zum Zweck des Wiederauffindens von Daten in Archiven müssen Attribute definiert werden, die den Archivobjekten als Ordnungskriterien zugeordnet werden. Jedem Archivobjekt sind bei der Ablage entsprechend signifikante Attributwerte zuzuordnen. Bei der Suche der Daten im Archiv können als Suchkriterien einzelne oder mehrere Attributwerte verwendet werden. Zusätzlich zu den Attributen können im Archiv auch Ordnerstrukturen oder Datenbereiche definiert sein, in die Archivobjekte abgelegt werden. Diese Ordner ermöglichen eine zusätzliche hierarchische Strukturierung des Archivs. 6. Autorisierung des Zugriffs
37
Abhängig von Art und Inhalt der archivierten Daten ist der Zugriff auf diese Daten zu regeln. Die Zugriffsrechte werden im Wesentlichen durch betriebliche Belange sowie die rechtlichen Rahmenbedingungen wie z.B. den Datenschutz bestimmt. Die entsprechenden Regelungen sind wiederum in der Verfahrensdokumentation zu beschreiben. 7. Zertifizierung der Archivierung
38
Es existiert keine Pflicht, eine Archivlösung zertifizieren zu lassen. Werden allerdings geschäftskritische Daten in Archivsystemen vorgehal-
1 S. dazu auch Reitsam/Seonbuchner, § 60 Rz. 67.
104
Pruß
§8
IV. Technische Umsetzung
ten, die umfangreichen rechtlichen Regulierungen unterliegen, kann es sinnvoll sein, das gesamte System inklusive der dazu gehörenden Verfahrensbeschreibung zertifizieren zu lassen. Dabei können ggf. bestehende Schwachstellen aufgedeckt und behoben werden. Für eine unabhängige Zertifizierung wurden beispielsweise vom VOI1 39 die Prüfkriterien für Dokumentenmanagementlösungen (PK-DML)2 herausgegeben, die alle wesentlichen Aspekte der Archivierung bzw. des Dokumentenmanagements abdecken und ein standardisiertes Prüfverfahren vorsehen. Für einzelne Komponenten des Gesamtsystems kann es erforderlich sein, 40 dass diese ggf. auf Basis der Common Criteria zertifiziert werden3.
IV. Technische Umsetzung 1. Architektur von Archivsystemen Es gibt verschiedene Standardarchitekturen für Archivsysteme, die teil- 41 weise für spezielle Anwendungsbereiche konzipiert wurden4. Allen gemein ist jedoch eine Mehrschichten-Architektur, in der typischerweise folgende Ebenen zu unterscheiden sind: – Datenerzeugende Systeme – Archiv-Middleware – Speichersysteme Durch die Trennung der Verantwortungsbereiche wird zum einen die 42 Kontrollierbarkeit des Archivierungsprozesses und zum anderen die Austauschbarkeit einzelner Komponenten unterstützt.
1 VOI – Verband Organisations- und Informationssysteme e.V. 2 PK-DML Prüfkriterien Dokumenten Management Lösungen (3. Aufl.), 2008. 3 In den Common Criteria werden sog. Schutzprofile definiert, die für einen gewissen Anwendungszweck einzuhalten sind. So fordert das BSI eine solche Zertifizierung für das ArchiSafe-Modul, das Kernsystem der Referenzarchitektur des BSI. 4 Z.B. DOMEA für den Bereich der öffentlichen Verwaltung. Pruß
105
§8
(Langzeit-)Archivierung von Daten
43 Scanarbeitsplatz – Gescannte Papierdokumente
E-Mail-Server E-Mail-Clients – E-Mail Ein- und Ausgang
ERP-Systeme Medizinische Systeme Verwaltungsprogramme ...
Signaturserver – qualifizierte Elektronische Signaturen
Planungssysteme Zeichenprogramme – Pläne Konstruktionsdaten
Datenerzeugende Systeme
Archiv-Schnittstelle
META-Informationen Index
Krypto- und Signatur-Module
Kern-System
ArchivMiddleware
Storage-Schnittstelle
Storage-Management-Systeme
Bandmedien
Optische Medien
Festplattenspeicher
SpeicherSysteme
Abb. 1: Beispielhafte Systemarchitektur eines Archivsystems
44
Die datenerzeugenden Systeme dürfen ihre Daten nicht unkontrolliert auf den Speichersystemen ablegen können. Die Speicherung muss über die von der Archiv-Middleware1 bereitgestellten Schnittstellen erfolgen. Die Archiv-Middleware kontrolliert den Zugriff auf die Speichersysteme und stellt die Durchsetzung oben dargestellter Anforderungen sicher. Die Speichersysteme selbst sind in diesem Konzept grundsätzlich agnostisch gegenüber den Regeln der Archivierung, d.h. es muss keinerlei Archivierungslogik in den Speichersubsystemen enthalten sein.
45
Der Zugriff auf die Speichermedien an der Archiv-Middleware vorbei ist zwar grundsätzlich erlaubt, es darf dadurch aber kein Unterlaufen der Regeln möglich sein, da ansonsten der Beweiswert des gesamten Archivs nicht mehr gewährleistet wäre.
1 In manchen Veröffentlichungen wird anstatt von einer Archiv-Middleware auch von einem Dokumentenmanagementsystem (DMS) gesprochen.
106
Pruß
§8
IV. Technische Umsetzung
2. Datenerzeugende Systeme Die datenerzeugenden Systeme können vielfältig sein. Es kann sich um 46 komplexe Anwendungssysteme handeln, die zu archivierende Dokumente und Daten bereitstellen, oder es kann sich um einen ganz einfachen Scanprozess handeln, in dem in Papierformat vorliegende Unterlagen in das Archiv übertragen werden müssen. Die Speicherung und Abfrage von Daten muss über die Schnittstellen des Archivsystems erfolgen. Die datenerzeugenden Systeme sind typischerweise auch für die Erzeu- 47 gung der elektronischen Signatur verantwortlich, d.h. bevor die Daten an das Archiv übergeben werden, sind diese in geeigneter Weise elektronisch zu signieren, sofern dies zwingend erforderlich oder sinnvoll ist. Handelt es sich um Daten die ursprünglich aus fremden Quellen stam- 48 men, kann es erforderlich sein, vor der Archivierung zunächst eine Prüfung der Signaturdaten vorzunehmen1 und die Prüfungsergebnisse zusammen mit den zu archivierenden Daten abzulegen. Dies kann allerdings auch Teil der Funktionalität der Archiv-Middleware sein. Das Format der zu archivierenden Daten und das technische Verfahren 49 der Datenübertragung an das Archiv wird dabei stark vom Anwendungskontext und den Fähigkeiten der einzelnen Systemteile bestimmt. 3. Archiv-Middleware und Verfahren Gemäß BSI TR 03125 muss eine revisionssichere Archiv-Middleware fol- 50 gende Funktionen zur Verfügung stellen2: – Ablage signierter und unsignierter Daten – Nachvollziehbares Ändern abgelegter Daten und Metadaten – Hinzufügen von Metadaten und Nutzdaten zu abgelegten Daten – Abruf abgelegter Daten – Abruf technischer Beweisdaten zur Authentizität und Integrität – Löschen abgelegter Daten Weitere Funktionen, die Archivsysteme üblicherweise mitbringen, wie 51 z.B. eine komplexe Suchfunktion, sind anwendungsbezogen sinnvoll, jedoch nicht zwingend zum Zwecke des Beweiswerterhalts erforderlich.
1 S. Anforderungen der GdPdU. 2 Ausführliche Anforderungen an diese Funktionen s. BSI Technische Richtlinie 03125 Beweiswerterhaltung kryptographisch signierter Dokumente, Version 1.1, Stand 18.2.2011 (kurz BSI TR-ESOR – 03125). Pruß
107
§8
(Langzeit-)Archivierung von Daten
a) Middleware 52
Die Middleware, die den Zugriff auf das Archiv kontrollieren soll, kann unterschiedliche technische Strukturen aufweisen, um die oben dargestellten Anforderungen zu erfüllen1. Dabei können einzelne Teile sowohl mit Hilfe von Software, als auch mit Hilfe von Hardware-Komponenten realisiert werden.
53
Die Middleware muss so gebaut sein, dass jegliche Aktivität entsprechend protokolliert wird und ggf. nachvollzogen werden kann. Der Zugriff auf die Middleware ist durch ein Benutzerkonzept abzusichern und nur autorisierte Nutzer bzw. Systeme dürfen auf diese Middleware zugreifen. b) Verfahren
54
Um die Integrität der Archivdaten sicherzustellen, muss bereits der Transfer der Daten über gesicherte Kommunikationskanäle erfolgen, ansonsten wäre nicht gewährleistet, dass die Daten unverändert von der Quelle zur Middleware gelangen2. Auch wenn Daten abgefragt werden, muss dies über gesicherte Kommunikationskanäle erfolgen, damit die Daten nicht auf dem Weg vom Archiv bis zur Anzeige kompromittiert werden können.
55
Vor der Ablage von Daten kann das Archivsystem bereits eine Prüfung vornehmen, ob die zur Archivierung übergebenen Daten überhaupt valide sind. Bei der Ablage elektronisch signierter Daten muss das Archivsystem die jeweilige Signatur prüfen und die Ergebnisse der Signaturprüfung zusammen mit den Daten ablegen. Ungültige Dokumente sind abzulehnen. Da elektronische Signaturen nach einiger Zeit nicht mehr sicher sind, muss eine automatisierte Erneuerung der Signaturen bzw. eine Bestätigung der Unversehrtheit mit Hilfe eines qualifizierten Zeitstempels erfolgen, da ansonsten der erleichterte Anscheinsbeweis nicht mehr gegeben ist. Die Erneuerung kann dabei vollautomatisch durch das System vorgenommen werden3. Bei nicht signierten Inhalten ist es zweckentsprechend, zum Zeitpunkt der Ablage der Daten diese mit ei1 Beispielhaft s. BSI TR-ESOR – 03125, 36 oder REFERENCE MODEL FOR AN OPEN ARCHIVAL INFORMATION SYSTEM (OAIS), RECOMMENDED PRACTICE CCSDS 650.0-M-2, Juni 2012, http://public.ccsds.org/publications/ar chive/650x0m2.pdf. 2 Es kommt auf Art und Inhalt der Daten an, wie stark die Sicherheitsmechanismen bereits an dieser Stelle sein müssen. In der Praxis werden Daten häufig mit Hilfe einer File-Schnittstelle an das Archiv übertragen, d.h. Daten werden in Form von Dateien in einem Verzeichnis abgelegt, von wo sie durch das Archivsystem wieder eingelesen werden. Es müssen in diesem Fall also der Übertragungsweg von der erzeugenden Anwendung bis zur Dateiablage und der Zugriff auf das Ablageverzeichnis gesichert werden. 3 Ein entsprechendes Standardverfahren ist im Standard IETF RFC 4998, Evidence Record Syntax (ERS) definiert.
108
Pruß
§8
IV. Technische Umsetzung
nem Zeitstempel zu versehen. Damit wird zwar nicht die Unversehrtheit der Daten von der Quelle bis zur Ablage sichergestellt, aber es kann zumindest der Zustand der Daten zum Zeitpunkt des Eingangs in das Archiv abgesichert werden. Die Änderung an Daten oder Metadaten bereits archivierter Datenobjek- 56 te soll grundsätzlich möglich sein, allerdings dürfen bereits bestehende Daten nie überschrieben werden. Es muss stets eine neue Version der Daten erzeugt werden und eine Versionshistorie nachvollziehbar sein. Beim Ändern von Daten dürfen zudem keine Löschungen möglich sein. Der Abruf von Daten aus einem Archivsystem darf stets nur anhand ei- 57 ner bei der Ablage vergebenen ID möglich sein, die für das Archivdatenobjekt vergeben wurde. Das bedeutet, dass die Anwendungssysteme, die Daten aus einem Archiv abfragen, in aller Regel die bei der Ablage erzeugten IDs speichern müssen. Häufig wird in der Praxis für den Zugriff auf das Archiv aber ein eigenständiger Archiv-Client verwendet, der umfängliche Suchfunktionen bereitstellt und auch die im Archiv enthaltenen Objekt entweder direkt anzeigen kann, diese an entsprechend konfigurierte Anzeigeprogramme übergibt oder die Daten zum Download bereitstellt. Der Abruf von Beweisdaten muss alle Daten zum Nachweis der Authen- 58 tizität und Integrität der gespeicherten Daten bereitstellen, insbesondere alle Signaturen, Zertifikate und Zeitstempel. Typischerweise werden solche Daten ebenfalls über einen Archiv-Client abgefragt. Löschungen können sowohl automatisch als auch manuell ausgelöst 59 werden. Bei Dokumenten, deren Aufbewahrungsfrist abgelaufen ist, können automatisierte Prozesse die Löschung veranlassen. Dazu muss bereits beim Ablegen eines Dokuments die Aufbewahrungsfrist hinterlegt werden bzw. müssen für bestimmte Dokumentenklassen Aufbewahrungsfristen im Archivsystem konfiguriert werden. Eine Löschung von Daten, deren Aufbewahrungsfrist noch nicht abgelaufen ist, setzt ein manuelles Löschen unter Angaben von Gründen voraus. Jegliche Löschung muss nachvollziehbar protokolliert werden. 4. Speichermedien und Speichersysteme War es bis vor einiger Zeit üblich, revisionssichere Speicherung nur auf 60 WORM-Medien1 per COLD-Verfahren2 durchzuführen, existieren heutzutage zahlreiche weitere Technologien und Verfahren, um eine sichere und langfristige Speicherung zu ermöglichen. Die wichtigsten Aspekte sind dabei:
1 WORM – Write Once Read Many. 2 COLD – Computer Output On Laser Disc. Pruß
109
§8
(Langzeit-)Archivierung von Daten
– Speicherkapazität – Wiederherstellungszeit – Haltbarkeit des Speichermediums – Nur-Lesbarkeit – Löschbarkeit 61
Da ein Archiv typischerweise einen ständig anwachsenden Datenbestand darstellt, ist eine hinreichende Skalierbarkeit hinsichtlich des Speichervolumens zu gewährleisten. Ein weit verbreitetes Verfahren ist es, Daten auf einmal beschreibbare Wechselmedien1 zu speichern und diese entsprechend zu indexieren. Beim Zugriff auf Daten eines bestimmten Datenträgers muss dieser Datenträger entweder manuell oder automatisiert in ein Lesegerät eingelegt werden, damit die Daten von dort gelesen werden können.
62
Dieses Verfahren bringt das Problem mit sich, dass bei lange nicht mehr genutzten Datenträgern unklar ist, ob sie überhaupt noch lesbar sind. Die Haltbarkeit der Speichermedien kann zwar grob geschätzt werden, hängt aber stark von den entsprechenden Umgebungsbedingungen des Aufbewahrungsortes und auch der Qualität des Schreibprozesses ab2. Dieses Offline-Speicherverfahren ist vergleichsweise langsam im Zugriff und es ist kaum möglich, Daten von diesen zu löschen, wenn dies erforderlich sein sollte3.
63
Aufgrund der begrenzten Haltbarkeit mancher Speichermedien ist unter Umständen ein regelmäßiges Umkopieren der Datenbestände erforderlich, wenn die Aufbewahrungsfristen länger sind als die typische Haltbarkeit des Speichermediums. Zu diesem Zweck bringen moderne Speichersysteme Funktionen zum automatischen Auffrischen der Datenträger mit, indem für die einzelnen Datenträger die regelmäßigen Haltbarkeitszeiten hinterlegt werden und diese bei Ablauf der Zeit automatisch auf einen neuen Datenträger kopiert werden. Die alten Datenträger werden danach automatisch aus dem System entfernt.
64
Es ist aufgrund der heute verfügbaren Technologien nicht mehr zwingend erforderlich, lediglich WORM-Medien für die Archivierung zu verwenden. Identität und Authentizität von Daten können durch elektronische Signatur, Hashing und Verschlüsselung auch auf mehrfach beschreibbaren Datenträgern hinreichend revisionssicher sichergestellt werden. 1 CR-R, DVD, etc. 2 S. veröffentlichte Studien von Kodak und TDK zur Haltbarkeit von CD-R-Speichermedien; http://www.cd-info.com/archiving/kodak/index.html und http:// www.cd-info.com/archiving/tdk/index.html (heruntergeladen am 18.8.2013). 3 Hilfsweise wird der Verweis auf die Daten im Index des Archivs gelöscht, so dass ein Zugriff nicht mehr möglich ist. Die Daten selbst bleiben dabei erhalten.
110
Pruß
§8
IV. Technische Umsetzung
Da die Speicherkapazitäten moderner Festplatten zu geringen Kosten so 65 extrem angewachsen sind, kommt für die Archivierung heutzutage auch die Verwendung von auf Festplatten basierenden Speichersystemen in Frage. Der Zugriff auf die Daten kann hierbei unmittelbar erfolgen und durch den Einsatz moderner Sicherungs- und Monitoring-Verfahren können Ausfälle einzelner oder mehrere Datenträger vorhergesehen, vermieden und schlimmstenfalls sogar kompensiert werden. Die Lesbarkeit der Daten bleibt dabei stets sichergestellt und es ist kein regelmäßiges Kopieren von Daten erforderlich. Die Betriebskosten sind dabei allerdings nicht unerheblich und es ist auch hier erforderlich, die Festplatten regelmäßig zu ersetzen. Art und Ausprägung dieser Speichersysteme reichen von vergleichsweise 66 einfachen Systemen bis zu hochkomplexen Systemen mit integrierten Information Lifecycle Management (ILM), indem Daten von schnellen, teuren Festplattenbereichen in langsamere, günstigere Bereiche verschoben werden, wenn auf diese nach definierten Zeiträumen nicht mehr zugegriffen wurde. Dies kann sogar zu einer automatisierten Auslagerung auf Offline-Medien führen. Teilweise stellen moderne Festplattenspeichersysteme spezielle Control- 67 ler-Einheiten zur Verfügung, die eine revisionssichere Archivierung unterstützen bzw. gespeicherte Daten „revisionssicher“ machen sollen, indem z.B. die Änderung und Löschung von einmal gespeicherten Daten verhindert wird (WORM-Funktion). Je nach verwendeter Technologie kann dabei jedoch eine Herstellerabhängigkeit entstehen, die die Nutzbarkeit des Systems auf Dauer in Frage stellt. Hier ist darauf zu achten, dass eine spätere Migration dieser Daten einfach möglich ist. 5. Datenformate Im Rahmen einer langfristigen Archivierung kommt den verwendeten 68 Datenformaten eine entscheidende Bedeutung zu. Idealerweise werden alle zu archivierenden Daten in ihrer ursprünglichen Form aufbewahrt, um keinerlei Verfälschungen durch Transformationsprozesse zu erzeugen. Zu beachten ist dabei allerdings, dass zum Zeitpunkt der Abfrage und Anzeige dieser Daten ein geeignetes Programm zur Verfügung stehen muss, das die Daten unverfälscht (!) wiedergeben bzw. verarbeiten kann. Da die erzeugenden Programme in aller Regel auch einer technischen Überarbeitung unterliegen, kann es passieren, dass neuere Versionen der Programme nicht mehr die gleiche Darstellung wie im Ursprungsdokument erzeugen, was u.U. ein Problem darstellen könnte. Es kann also erforderlich sein, die Daten zunächst in ein geeignetes Standardformat zu transformieren, von dem erwartet werden kann, dass es auch nach langer Zeit mit Hilfe standardisierter Viewer wieder unverändert zur Ansicht gebracht werden kann.
Pruß
111
§8
(Langzeit-)Archivierung von Daten
69
Teilweise liegen als Ausgangsmaterial auch keine elektronischen Daten vor, sondern Papierdokumente oder andere Objekte, die zunächst in ein adäquates elektronisches Abbild überführt werden müssen.
70
Es sollten grundsätzlich herstellerunabhängige Formate verwendet werden, damit auch ein später evtl. erforderlicher Systemwechsel einfach vollzogen werden kann, ohne Daten erneut konvertieren zu müssen. Zur langfristigen Speicherung haben sich in der Praxis folgende Standard-Datenformate etabliert: – XML – TIFF – JPEG – PDF/A – MPEG
71
Diese Formate weisen jeweils typische Eigenschaften im Hinblick auf Ihre Eignung für die langfristige Archivierung auf1. a) XML
72
Das universellste Format ist XML, da es sowohl die Struktur- und Metainformationen, als auch die Daten selbst beinhalten kann. In diesem Format können Archivdatenobjekte praktisch selbstbeschreibend gespeichert werden2. Das XML-Format eignet sich insbesondere für Daten, die keine bildliche Darstellung beinhalten. Es unterstützt die Inhaltsindizierung in optimaler Weise, da sich auch ein Index anhand spezifischer XML-Attribute erstellen lässt. Es können aber auch binärcodierte Daten in XML-Dateien abgelegt werden. b) JPEG und TIFF
73
Mit JPEG oder TIFF können exakte bildliche Wiedergaben eines Dokuments gespeichert werden. Diese Formate haben allerdings den Nachteil, dass keine Volltextindizierung möglich ist3. Zudem ist der Speicherverbrauch abhängig von der Bildauflösung nicht unerheblich. Beide Formate ermöglichen sowohl die verlustbehaftete, als auch die verlustfreie Speicherung von Bilddaten. Bei der speicherplatzsparenden, verlustbehafteten Speicherung können allerdings (relevante) Bilddetails verloren gehen.
1 S. hierzu Rhode-Enslin, Nicht von Dauer – kleiner Ratgeber für die Bewahrung digitaler Daten in Museen, nestor – ratgeber 1, 2004, URN: urn:nbn:de: 0008-20041103017. 2 Z.B. im Format „Archival Information Package“ (AIP) im XML-Format. 3 Hilfsweise ist allerdings eine Texterkennung mit Optical Character Recognition (OCR) möglich, so dass der Inhalt entsprechend indiziert werden kann.
112
Pruß
§8
IV. Technische Umsetzung
c) PDF Das PDF-Format ist zwar ein herstellerspezifischer Standard, allerdings 74 wurde ein für die langfristige Archivierung geeignetes PDF/A-Format als ISO-Standard verabschiedet1. Auf Basis dieses Standards kann die Speicherung und Wiederherstellung von Daten auch durch Produkte anderer Hersteller sichergestellt werden. Im PDF/A-Format werden zwei wesentliche Level unterschieden: – Level A (PDF/A-1b oder PDF/A-2b) stellt die die visuelle Reproduzierbarkeit sicher. – Level B (PDF/A-1a oder PDF/A-2a) stellt zudem sicher, dass die textlichen Inhalte in nutzbarer Form vorliegen, etwa für eine Volltextindizierung. Das Format PDF/A-2 unterstützt die Einbettung von elektronischen Sig- 75 naturen in das Dokument, was bei entsprechendem Anwendungsumfeld von besonderem Vorteil sein kann. d) MPEG Für die Archivierung von Videos bieten sich als herstellerunabhängige 76 Standards die verschiedenen MPEG-Standards an. Die meisten anderen Formate sind herstellerspezifisch und können lizenzpflichtige Kompressionsalgorithmen beinhalten, die von den entsprechenden Betrachtungsprogrammen unterstützt werden müssen. e) Sonstige Formate Teilweise gibt es sehr spezielle Formate, die unverändert erhalten bleiben 77 müssen2. Hierbei ist sicherzustellen, dass die Programme zur Anzeige der Daten über den gesamten Aufbewahrungszeitraum zur Verfügung stehen. Einen Sonderfall stellt die Archivierung von ganzen Datenbanken dar. Es 78 wäre grundsätzlich möglich, die Datenfiles von Datenbanken auch im Ursprungsformat zu speichern, aber dann bestünde auch hier das Problem, zur Wiederherstellung evtl. ein komplettes Datenbanksystem installieren zu müssen, das mit den gesicherten Daten kompatibel ist. Hier könnte es sich anbieten, Datenbankinhalte in ein Standardformat (CSV, XML, etc.) zu exportieren, um es ggf. in einer beliebigen Datenbank oder sogar mit einfachsten Werkzeugen (z.B. einem Texteditor) wieder lesbar 1 ISO 19005-1:2005 – Document management – Electronic document file format for long-term preservation – Part 1: Use of PDF 1.4 (PDF/A-1) und ISO 19005-2:2011 – Document management – Electronic document file format for long-term preservation – Part 2: Use of ISO 32000-1 (PDF/A-2). 2 Etwa das DICOM-Format für die Speicherung von Röntgenbildern oder Konstruktionszeichnungen in speziellen CAD-Formaten. Pruß
113
§8
(Langzeit-)Archivierung von Daten
machen zu können. Dies hat allerdings seine Grenzen und es muss im Einzelfall betrachtet werden, welchen Beweiswert bzw. Nutzen auf solche Weise archivierte Daten haben. 6. Migration 79
Aufgrund des technologischen Wandels, technischer Defekte oder geänderter Anforderungen wird es irgendwann erforderlich sein, ein bestehendes Archiv in ein neues zu migrieren. Dabei müssen mehrere Aufgaben bewältigt werden: 1. Möglichst verlustfreie Übertragung der Archivinhalte; 2. Übertragung der Ordnungsstrukturen, Indizes und Meta-Informationen; 3. Übertragung von Berechtigungsstrukturen; 4. Nachweis der Korrektheit der Migration; 5. Evtl. Neusignierung, wenn alte Datenformate nicht mehr unterstützt werden und in neue Datenformate übertragen werden.
80
Abhängig von der jeweiligen Technologie der Quell- und Zielarchivsysteme sind umfangreiche technische Maßnahmen zu treffen, um eine adäquate Übertragung aller Informationen sicherzustellen. Für die Erhaltung der Revisionssicherheit ist bei jeder Migration eine umfängliche Verfahrensdokumentation und Protokollierung der Übertragungsschritte erforderlich. Bei der unveränderten Übertragung von Dateninhalten kann die Identität der übertragenen Daten etwa durch Prüfsummenverfahren nachgewiesen werden. Bei erforderlichen Veränderungen an den Dateninhalten muss nachprüfbar sein, welche Änderungen vorgenommen wurden und wie die Zieldaten aus den Quelldaten generiert wurden.
81
Unter der Voraussetzung, dass der Beweiswert migrierter Dokumente erhalten bleiben soll und elektronische Signaturen verwendet wurden, ist es erforderlich, die neu erzeugten Datenformate wiederum mit elektronischen Signaturen oder einem sog. Transformationssiegel zu versehen1.
V. Zusammenfassung 82
Die (Langzeit-)Archivierung von Daten ist nur zu einem geringen Teil ein technisches Thema. Es sind stets zunächst die konkreten Anforderungen und Rahmenbedingungen zu ermitteln, um auf dieser Basis die geeignete technische Lösung zu wählen. Insbesondere wenn eine hohe Beweiskraft und Revisionssicherheit gefordert wird, sind sämtliche Schritte von der Entstehung der Daten bis zu Ablage im Archiv im Detail 1 S. Verfahren zur rechtssicheren Transformation signierter Dokumente im Projekt „TransiDoc“ www.transidoc.de.
114
Pruß
§8
V. Zusammenfassung
zu planen und zu dokumentieren. Die Verfahrensdokumentation macht ein implementiertes Archivsystem für fachkundige Dritte erst prüfbar. Sie schafft zudem Klarheit über alle Abläufe und Verantwortlichkeiten. Folgende Checkliste fasst die wesentlichen Aspekte für die Einführung 83 und Aufrechterhaltung einer revisionssicheren (Langzeit-)Archivierung noch einmal kurz zusammen: – Ermittlung der juristischen Rahmenbedingungen für die langfristige Aufbewahrung von Daten – Ableitung der Anforderungen an Vertraulichkeit, Integrität, Authentizität und Revisionssicherheit – Beschreibung der Datenerstellungsprozesse – Festlegung geeigneter Datenformate und evtl. erforderlicher Transformationsprozesse – Erstellung einer ausführliche Verfahrensbeschreibung auf Basis der gewählten Lösung – Ständige Beobachtung des technologischen Wandels und vorausschauende Migrationsplanung
Pruß
115
§9 Cloud Computing: Prinzipien und Anwendungen
I. Ausgangslage . . . . . . . . . . . . . . . . . II. Prinzipien und Strukturierung der Elemente des Cloud Computing . . . . . . . . . . . . . . . . . . . . . . . . . 1. Servicemodelle . . . . . . . . . . . . . . . a) IaaS – Infrastructure as a Service . . . . . . . . . . . . . . . . . . . . b) PaaS – Platform as a Service. . . c) SaaS – Software as a Service . . . 2. Liefermodelle. . . . . . . . . . . . . . . . . a) Public Cloud . . . . . . . . . . . . . . . b) Private Cloud . . . . . . . . . . . . . . c) Hybrid Cloud. . . . . . . . . . . . . . . d) Community Cloud . . . . . . . . . . 3. Charakteristika . . . . . . . . . . . . . . . a) On-demand self-service . . . . . . b) Broad network access . . . . . . . . c) Resource pooling. . . . . . . . . . . . d) Rapid elasticity . . . . . . . . . . . . . e) Measured service . . . . . . . . . . . III. 1. 2. 3.
Gebührenmodelle . . . . . . . . . . . . . IaaS . . . . . . . . . . . . . . . . . . . . . . . . . PaaS . . . . . . . . . . . . . . . . . . . . . . . . SaaS . . . . . . . . . . . . . . . . . . . . . . . .
Rz.
Rz.
1
V. Cloud Computing und Virtualisierungstechniken. . . . . . . . . . . . 27 VI. Vertragsgestaltung. . . . . . . . . . . . . 31
4 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 22 23 24 25
VII. Vor- und Nachteile von Cloud Computing . . . . . . . . . . . . . . . . . . . 1. Vorteile . . . . . . . . . . . . . . . . . . . . . . 2. Kostenbetrachtung . . . . . . . . . . . . a) Kostenvorteilhafte Szenarien. . b) Kostennachteilige Szenarien . . 3. Datenschutz und Informationssicherheit . . . . . . . . . . . . . . . . . . . . a) Transfer von Anwendungsdaten . . . . . . . . . . . . . . . . . . . . . b) Datenspeicherung bei dem Cloud Service Provider . . . . . . . c) Administrativer Zugriff auf Daten . . . . . . . . . . . . . . . . . . . . . d) Kommunikation zwischen Service Provider und Service Nutzer . . . . . . . . . . . . . . . . . . . . 4. Integrationsfähigkeit . . . . . . . . . . . 5. Bindungs-Effekt zum Cloud Service Provider . . . . . . . . . . . . . . .
32 32 33 39 40 41 42 43 44 45 46 48
VIII. Zusammenfassung . . . . . . . . . . . . 52
IV. Typische Services im Cloud Computing . . . . . . . . . . . . . . . . . . . 26
I. Ausgangslage 1
„Cloud Computing“ ist derzeit einer der am häufigsten verwendeten, teilweise auch schlagwortartig genutzten Begriffe innerhalb der Informationstechnik.
2
Wesentlich ist zunächst, dass mit dem Begriff Cloud Computing i.d.R. keine neuen Technologien verbunden sind, sondern durch die kombinierte Nutzung etablierter Technologien neue IT-Dienste und -Geschäftsmodelle ermöglicht werden. Es kann mit sehr hoher Wahrscheinlichkeit davon ausgegangen werden, dass daraus abgeleitete Geschäftsmodelle zukünftig eine immer größere Anwendungsbreite und damit auch immer größere Marktanteile gewinnen werden; dies gilt sowohl für den B2C- als auch den B2B-Bereich. Für das Jahr 2013 ist ein weltweites Marktvolumen von ca. 150 Mrd. US-Dollar prognostiziert mit zukünftig zweistelligen Wachstumsraten.
3
Es werden in diesem Beitrag keine marktgängigen Produkte und Anbieter benannt. 116
Lenzer
§9
II. Prinzipien und Strukturierung der Elemente des Cloud Computing
II. Prinzipien und Strukturierung der Elemente des Cloud Computing Das National Institute of Standards and Technology („NIST“, eine Bun- 4 desbehörde der Vereinigten Staaten) hat eine Definition von Cloud Computing veröffentlicht1, die in der Literatur weitgehend – wenngleich auch mit Variationen – akzeptiert wurde und die im Folgenden in der gebotenen Kürze beschrieben wird. Ein sehr guter Überblick findet sich im BITKOM-Leitfaden2. Das Cloud Computing wird hierbei in drei Ebenen strukturiert:
5
1. Servicemodelle 2. Liefermodelle 3. Charakteristika 1. Servicemodelle Cloud Computing gibt es in Form dreier verschiedener Servicemodelle:
6
a) IaaS – Infrastructure as a Service Auf der untersten Ebene sind die Dienste der Basis-Infrastruktur angesie- 7 delt. Anwender erhalten die Nutzungsmöglichkeit von InfrastrukturRessourcen wie Netzwerke, Server inkl. Betriebssystemen und netzwerkfähige Speicher und sind für die Auswahl, die Installation, den Betrieb und die Korrektheit der genutzten Software-Applikationen selbst verantwortlich. b) PaaS – Platform as a Service Oberhalb von IaaS liegen die Dienste für Entwickler-Plattformen. An- 8 wender erhalten die Nutzungsmöglichkeit von Systementwicklungsoder Laufzeitumgebungen mit flexiblen, nach Bedarf dynamisch anpassbaren Rechen- und Speicherkapazitäten und entwickeln ihre eigenen Software-Anwendungen und/oder lassen diese innerhalb einer Systemumgebung ausführen, die vom Diensteanbieter (Service Provider) bereitgestellt und betrieben wird.
1 Peter Mell/Timothy Grance, The NIST Definition of Cloud Computing, Recommendations of the National Institute of Standards and Technology, http:// csrc.nist.gov/publications/nistpubs/800-145/SP800-145.pdf. 2 Cloud Computing – Evolution in der Technik, Revolution im Business, BITKOM-Leitfaden, http://www.bitkom.org/files/documents/BITKOM-LeitfadenCloudComputing_Web.pdf. Lenzer
117
§9
Cloud Computing: Prinzipien und Anwendungen
c) SaaS – Software as a Service 9
In der obersten Ebene liegen die eigentlichen Software-Applikationen. Anwender erhalten die Nutzungsmöglichkeit von Software-Applikationen, die in der Infrastruktur der Service Provider betrieben wird. SaaS wird auch als Software on demand (Software bei Bedarf) bezeichnet. 2. Liefermodelle
10
Die Definition des NIST enthält vier Liefermodelle: a) Public Cloud
11
Die Public Cloud bietet für die Öffentlichkeit Zugang über das Internet zur nicht exklusiven Nutzung der Systeminfrastruktur. Public Cloud Service Provider erlauben ihren Kunden die Systeminfrastruktur zu mieten basierend auf dem tatsächlichen Nutzungsgrad (pay per use), ohne dass in die Systeminfrastruktur investiert werden muss. b) Private Cloud
12
Bei einer Private Cloud handelt es sich um eine standardisierte IT-Infrastruktur unter vollständiger Kontrolle des Unternehmens, die aber eine individuelle, auf die Geschäftsprozesse eines Unternehmens zugeschnittene Anpassung erlaubt. Die Private Cloud bietet für eine einzige Kundenorganisation den Zugang zu der exklusiven Nutzung der unternehmenseigenen Systeminfrastruktur und den Systemressourcen. Die Systeminfrastruktur wird durch die Kundenorganisation selbst – oder auch durch von ihr beauftragte Dritte – betrieben. Die Nutzung ist nur für das nutzende Unternehmen selbst, deren autorisierte Geschäftspartner, Kunden und Lieferanten möglich. Durch die exklusive Nutzung der Systeminfrastruktur ist die Datensicherheit wesentlich verbessert. Insbesondere ist bekannt, wo die Daten gespeichert sind und welchen rechtlichen Bedingungen die Behandlung der Daten zu genügen hat. c) Hybrid Cloud
13
Die Hybrid Cloud bietet den Zugang zur kombinierten Nutzung der Systeminfrastruktur aus den Bereichen von „Public Clouds“ und „Private Clouds“, je nach den Bedürfnissen und Anforderungen der Nutzer; d.h. es werden hierbei verschiedene Clouds gemeinsam genutzt und über standardisierte Schnittstellen miteinander integriert. d) Community Cloud
14
Die Community Cloud bietet den Zugang zur Nutzung der Systeminfrastruktur wie bei der „Public Cloud“, jedoch für einen kleineren – meist örtlich verteilten – Nutzerkreis mit gleichartiger Interessenlage, der sich 118
Lenzer
§9
II. Prinzipien und Strukturierung der Elemente des Cloud Computing
die Betriebskosten teilt. Die Systeminfrastruktur wird durch einer der beteiligten Kundenorganisationen selbst – oder auch durch beauftragte Dritte – betrieben. 3. Charakteristika Das NIST definiert fünf wesentliche Charakteristika für das Cloud Com- 15 puting: a) On-demand self-service Die Cloud Dienste können nach Bedarf und weitestgehend automatisch 16 (ohne menschlichen Eingriff durch den jeweiligen Service Provider) genutzt werden. So werden auf Nutzerseite IT-Systeme nicht mehr selbst betrieben oder vor Ort bereitgestellt, sondern bei einem meist geografisch entfernten Service Provider als Dienst gemietet. b) Broad network access Der Zugriff auf die entfernten Systeme erfolgt über ein Netzwerk wie 17 z.B. das Internet oder Intranet, jedoch mit ausreichender Bandbreite und akzeptablen Latenzzeiten. c) Resource pooling Die Ressourcen des Cloud Provider werden gebündelt den Cloud Nut- 18 zern entsprechend ihrer Anforderungen dynamisch zur Verfügung gestellt. Der Cloud Provider ist hier ortsunabhängig. Der Nutzer hat weder die Kontrolle noch das Wissen, wo die ihm angebotenen Dienste geografisch lokalisiert sind. Bei einigen Providern kann aber der Speicherort, also z.B. das Land oder das Rechenzentrum vertraglich vereinbart werden. d) Rapid elasticity Die notwendigen Ressourcen werden schnell und elastisch (in manchen 19 Fällen auch automatisch) dem Cloud Nutzer bedarfsgerecht zur Verfügung gestellt. Es muss gesichert sein, dass unter allen Bedingungen genügend IT-Ressourcen zur Verfügung stehen. Erhöht sich die Nachfrage nach einem Service, darf dessen Qualität (z.B. die Antwortzeit, Systemverfügbarkeit) nicht darunter leiden. e) Measured service Die Cloud verfügt über Kontroll- und Messfunktionen, die abhängig von 20 der Art des Cloud Dienstes den Ressourcenverbrauch optimieren. Dadurch werden beiden Parteien (Service Provider, Service Nutzer) Trans-
Lenzer
119
§9
Cloud Computing: Prinzipien und Anwendungen
parenz bezüglich des in Anspruch genommenen Umfangs der Dienste gewährleistet. 21
Der Zusammenhang der drei Ebenen ist in der folgenden Abbildung verdeutlicht. On-demand self-service
Private Cloud
SaaS Vertriebsunterstützung und Kontaktdatenmanagement Service-Management Dokumentenmanagement E-Mailing Office-Anwendungen Content-Management
Measured service
Hybrid Cloud
PaaS Datenbankmanagement-Systeme Entwicklungs- und Testumgebungen Business-Intelligence-Systeme Software-Vorteil- und Inventarisierungssysteme
Broad network access
Public Cloud
IaaS Server-Systeme Datenspeicher-Systeme Load-Balancer Rapid elasticity
Resource pooling Community Cloud
Abb. 1: Darstellung der drei Ebenen (Servicemodelle, Liefermodelle, Charakteristika)
III. Gebührenmodelle 22
In konventionellen Modellen müssen Betreiber initial in die IT-Infrastruktur investieren, wenn sie Systemleistungen benötigen, und zwar weitgehend unabhängig von der Intensität der späteren Nutzung. Beim Cloud Computing hingegen werden die Gebühren nach der Nutzungstiefe, der Nutzungsbreite und dem Nutzungsvolumen der IT-Services ermittelt.
120
Lenzer
§9
IV. Typische Services im Cloud Computing
1. IaaS Die Nutzungsgebühren werden üblicherweise nach dem Grad und der 23 Dauer der konsumierten Ressourcen ermittelt wie z.B. CPU-Zeiten, Datenvolumen, Netzwerkbandbreiten, Anzahl benötigter IP-Adressen. 2. PaaS Die Nutzungsgebühren werden üblicherweise – ähnlich wie bei IaaS – 24 nach dem Grad und der Dauer der konsumierten Ressourcen ermittelt, wie z.B. Datenvolumen oder der Intensität der Plattform-Nutzung. 3. SaaS Die Nutzungsgebühren werden üblicherweise nach der Anzahl der Be- 25 nutzer der Software-Applikation ermittelt.
IV. Typische Services im Cloud Computing Marktübliche Services innerhalb der Service-Ebenen sind beispielsweise: 1. IaaS – Server-Systeme – Datenspeicher-Systeme – Load-Balancer 2. PaaS – Datenbankmanagement-Systeme – Entwicklungs- und Testumgebungen – Business-Intelligence-Systeme – Software-Verteil- und Inventarisierungssysteme 3. SaaS Software-Applikationen für – Vertriebsunterstützung und Kontaktdatenmanagement – Service-Management – Dokumentenmanagement – E-Mailing – Office-Anwendungen – Content-Management
Lenzer
121
26
§9
Cloud Computing: Prinzipien und Anwendungen
V. Cloud Computing und Virtualisierungstechniken 27
Demzufolge geht Cloud Computing über andere Modelle wie reiner Virtualisierung hinaus, innerhalb derer durch Virtualisierungsschichten Implementierungsdetails des genutzten Systems verborgen und Komponenten einer Schicht von der darunter liegenden Schicht entkoppelt werden. Virtualisierung dient dazu, Hardware und ihre Komponenten flexibler und effizienter nutzen zu können, z.B. können sich mittels Servervirtualisierung mehrere Instanzen eines Betriebssystems als virtuelle Maschinen (VM) einen einzigen Rechner teilen und ihn gleichzeitig nutzen.
28
Virtualisierungstechniken auf Anwendungs-, Betriebssystem- und auch Hardwareebene werden i.d.R. als Instrument für Cloud Computing intensiv genutzt. Virtualisierungstechniken stellen für Cloud Service Provider mit großen und homogenen Systemlandschaften einen wesentlichen Faktor zur optimierten Ausnutzung der System-Ressourcen dar.
29
Virtualisierung und Konsolidierung sind insofern zentrale Technologien aller Cloud-Architekturen, sie bilden die Grundlage für die dynamische Zuordnung benötigter Ressourcen. Virtualisierung im Cloud Computing entkoppelt Dienste wie Betriebssysteme und Anwendungen von der Hardware-Schicht; sie ermöglicht Flexibilität und neue Betriebsmodelle.
30
Virtualisierung ermöglicht innerhalb des Cloud Computing einen kostengünstigeren Betrieb von hoch skalierbaren Systemen, durch – höhere Auslastung der Ressourcen, – niedrigere Kosten der Infrastruktur (Platz, Strom, Klima), – höhere Automatisierung, – höhere Verfügbarkeit von Diensten, – geringere Administrationsaufwände.
VI. Vertragsgestaltung 31
Die genauen Modalitäten der Nutzung von Cloud-Services sollten zwischen Service Provider und Service Nutzer vertraglich klar geregelt sein. Dazu gehören u.a. – Beschreibung der geforderten Leistungen, – Service Level Agreements, u.a. – Dienstgütevereinbarungen, – Reaktions- und Wiederherstellungszeiten, – Eskalationsmechanismen im Störungsfall, – Leistungskontrolle und Abrechnungsdaten,
122
Lenzer
§9
VII. Vor- und Nachteile von Cloud Computing
– Vorkehrungen zum Datenschutz und Informationssicherheit, – Weitergabe von Informationen an Dritte.
VII. Vor- und Nachteile von Cloud Computing 1. Vorteile Die wesentlichen Vorteile für den Nutzer von Cloud Computing sind zu- 32 sammengefasst: – Schnellere Realisierbarkeit von Lösungen und Verfügbarkeit von Diensten, – Reduzierte Kapitalbindung, – Aktualisierung der Services durch den Service Provider, – Umsetzbarkeit von Lösungen auch bei fehlendem Know-how auf Nutzerseite, – Höhere Flexibilität bezüglich Skalierbarkeit. 2. Kostenbetrachtung Viele Cloud Service Provider argumentieren mit generellen Kostenvortei- 33 len gegenüber konventionellen Modellen, d.h. im Wesentlichen dem eigenorganisierten Inhouse-Systembetrieb. Dies muss jedoch differenzierter betrachtet werden. Kostenvorteile bietet Cloud Computing durch
34
– die nicht notwendige initiale Investition in die Systeminfrastruktur und – dem nicht notwendigen personellen Know-how-Aufbau und den Personal-Ressourcen zum Betrieb und zur Pflege der Systeminfrastruktur. Kostennachteile entstehen dann
35
– wenn die Cloud Dienste sehr intensiv und – über längere Zeiträume (i.d.R. länger als drei Jahre) genutzt werden. Generell kann man festhalten:
36
Die Vorteile von Cloud Computing überwiegen umso mehr, – je geringer die Nutzungsintensität ist, – je höher die technische Komplexität ist, – je höher die Nutzungsschwankungen sind und – je höher der Standardisierungsgrad der genutzten Dienste ist.
Lenzer
123
§9
Cloud Computing: Prinzipien und Anwendungen
37
Es sollte insofern bei jedem Szenario eine Kosten-Nutzen-Rechnung durchgeführt werden um den „Break-Even-Point“ zu ermitteln.
38
Weiterhin gilt es zu beachten, dass der Vorteil der nutzungsabhängigen Vergebührung („pay per use“) eine feste Budgetierung der Kosten für die Unternehmen erschwert, evtl. sogar unmöglich macht. a) Kostenvorteilhafte Szenarien
39
Tendenziell kostenvorteilhafte Szenarien sind z.B. – die Nutzung von hochstandardisierten E-Mail-Diensten für eine kleinere Organisation (weniger als 30 Nutzer), – die Nutzung einer vertriebsunterstützenden Anwendung (Kontaktdaten- und Lead-Management) „out of the box“, d.h. ohne individualisierte Anpassungen durch ein – auch örtlich verteiltes – Vertriebsteam. b) Kostennachteilige Szenarien
40
Ein tendenziell kostennachteiliges Szenario ist die Nutzung einer IT-Servicemanagement-Applikation, – die i.d.R. kundenspezifisch adaptiert („Customizing“) werden muss und – durch mehrere hundert oder sogar mehrere tausend Anwender – über einen langen Zeitraum genutzt werden soll. 3. Datenschutz und Informationssicherheit
41
In den Datenschutzerklärungen großer Cloud Service Provider findet man hierauf noch keine zufriedenstellenden Hinweise oder auch insbesondere keine rechtsrelevanten Zusicherungen, die zumindest deutschen Standards entsprechen würden: – Datenschutz, d.h. Schutz vor Missbrauch personenbezogener Daten. – Informationssicherheit, die sich auf alle relevanten Informationen einer Organisation oder eines Unternehmens einschließlich personenbezogener Daten bezieht – Vertraulichkeit: Daten dürfen lediglich von autorisierten Benutzern gelesen bzw. modifiziert werden; dies gilt sowohl beim Zugriff auf gespeicherte Daten als auch während der Datenübertragung. – Integrität: Daten dürfen nicht unautorisiert und unbemerkt verändert werden; es müssen alle Änderungen nachvollziehbar, evtl. sogar revisionssicher sein.
124
Lenzer
§9
VII. Vor- und Nachteile von Cloud Computing
– Verfügbarkeit: Daten müssen jederzeit oder mindestens im geforderten Maß verfügbar sein – inklusive möglicher schnell herzustellenden Backups. a) Transfer von Anwendungsdaten Die technische Zugriffssicherung beim Transfer von Anwendungsdaten 42 zwischen lokalem Client und Server ist durch etablierte Verschlüsselungsmechanismen unter rein technischen Aspekten zwar weitgehend sicher gelöst (bspw. SSL/TLS-Verschlüsselung); dies erfordert jedoch, dass der organisatorische Zugang zu den „Schlüsseln“ ebenfalls abgeriegelt ist. Hier sind Sicherheitslücken vorhanden, die durch die kriminelle Energie von Einzelpersonen oder auch durch staatlich sanktionierten Zugang auf die schlüsselverwaltenden Organisationen missbraucht werden können. b) Datenspeicherung bei dem Cloud Service Provider Einen weiteren Angriffspunkt stellt die Verschlüsselung der Daten dar, 43 die in Datenbanken und File-Systemen beim Cloud Service Provider gespeichert werden1. Auch dieser Punkt ist grundsätzlich durch etablierte kryptographische Verfahren technisch gelöst, aber auch hier sind die oben angeführten Sicherheitslücken vorhanden. c) Administrativer Zugriff auf Daten Die dritte Sicherheitslücke besteht darin, dass die Cloud Service Provider 44 administrativen Zugriff auf die Nutzerdaten während der Verarbeitung haben und auch haben müssen; dies stellt ein ungelöstes Problem dar. d) Kommunikation zwischen Service Provider und Service Nutzer Vergleichbar zu dem Transfer von Anwendungsdaten2 ist auch die Kom- 45 munikation zwischen Diensteanbieter und Nutzer abzusichern. 4. Integrationsfähigkeit Ein wichtiges Bewertungskriterium für den Einsatz von Cloud Compu- 46 ting ist, ob und wie sich angebotene Cloud-Services miteinander und in beim Anwender bestehende IT-Systeme integrieren lassen. Der Nutzer erwartet die ganzheitliche und reibungsfreie Unterstützung seiner Geschäftsprozesse. Dazu sind u.a. programmatische Zugänge („Application Programming In- 47 terfaces“, API) zu den Diensten innerhalb der Cloud essentiell. Diese 1 S. dazu auch Meyer, § 19 sowie Kast, § 66. 2 S. oben Rz. 42. Lenzer
125
§9
Cloud Computing: Prinzipien und Anwendungen
müssen auch die Anforderungen der „Release-Kompatibilität“ erfüllen; d.h. Versionswechsel der vom Cloud Service Provider bereitgestellten APIs dürfen bestehende Anwendungen und deren Integration durch den Anwender nicht negativ beeinflussen. Bei großvolumigen Synchronisationen zwischen Datenbeständen beim Cloud Service Provider und den unternehmensinternen Datenbeständen kann die Bandbreite zwischen diesen beiden Endpunkten zum kritischen Flaschenhals werden. 5. Bindungs-Effekt zum Cloud Service Provider 48
Eine weitere Herausforderung stellt die Abhängigkeit vom jeweiligen Cloud Service Provider dar. Bei SaaS-Angeboten erwirbt der Anwender das Nutzungsrecht an einem Software-Service. Dadurch entsteht eine teilweise sehr enge Bindung an den Cloud Service Provider1.
49
Dies ist insbesondere dann relevant, wenn ein Wechsel des Cloud Service Providers wirtschaftlich sinnvoll erscheint oder sogar notwendig ist (bspw. in einem Insolvenzfall2). In einem solchen Fall muss vorab gesichert und geklärt sein, wie die Daten aus der Cloud wieder zum Nutzer rückgeführt (migriert) werden können. Bei einer Migration der Daten zu einem anderen Provider oder auch in die anwendereigene Infrastruktur können auch Kosten entstehen, die vom Provider offengelegt werden müssen.
50
Ein einmal auf einer Plattform entwickelter Dienst kann gegenwärtig in der Regel nicht ohne erheblichen Aufwand portiert werden.
51
Die Aufwände und Kosten beim Provider-Wechsel (ob IaaS, PaaS oder SaaS) sollten unbedingt in die Gesamtkalkulation mit einbezogen werden. Sind diese Aufwände zu hoch, so ist einer der Vorteile von Cloud Computing, dass Kunden keine längerfristigen Vertragsbindungen eingehen müssen und jederzeit zu besseren Angeboten wechseln können, nicht mehr vorhanden.
VIII. Zusammenfassung 52
Die Marktbedeutung von Cloud Computing ist erheblich und wird in Zukunft weiter deutlich steigen.
53
Die Vorteile von Cloud Computing überwiegen für Nutzer umso mehr, – je geringer die Nutzungsintensität ist, – je höher die technische Komplexität ist,
1 S. dazu auch Duisberg, § 41. 2 S. dazu Czarnetzki/Röder, § 25.
126
Lenzer
§9
VIII. Zusammenfassung
– je höher die Nutzungsschwankungen sind und – je höher der Standardisierungsgrad der genutzten Services ist. Nicht für jedes Anwendungsszenario ist jedoch Cloud Computing emp- 54 fehlenswert. Falls der Einsatz von Cloud Computing für Organisationen von langfristiger und strategischer Bedeutung sein sollte, wird eine detaillierte Kosten-Nutzen-Analyse empfohlen. Eine gute Basis hierzu stellt die Checkliste des BITKOM-Leitfadens1 dar.
1 Cloud Computing – Evolution in der Technik, Revolution im Business, BITKOMLeitfaden, http://www.bitkom.org/files/documents/BITKOM-Leitfaden-CloudCom puting_Web.pdf. Lenzer
127
§ 10 Cloud Computing als Outsourcing 2.0 Rz.
Rz.
1
b) Business Process Outsourcing . 4 2. Outsourcing im Wandel . . . . . . . . 5 3. Cloud Computing als Weiterentwicklung des Outsourcings (Outsourcing 2.0) . . . . . . . . . . . . . . 12
I. Einleitung . . . . . . . . . . . . . . . . . . . II. Entwicklung hin zum Outsourcing 2.0 . . . . . . . . . . . . . . . . . . 1. Outsourcing in seiner ursprünglichen Form . . . . . . . . . . . . . . . . . . a) IT-Infrastruktur-Outsourcing .
2 2 3
III. Schlussfolgerungen . . . . . . . . . . . . 14
I. Einleitung 1
Outsourcing in seiner ursprünglichen Form gibt es praktisch nicht mehr. Was einmal begann als eine neue Vertragstypologie für bestimmte ITDienstleistungen, wie z.B. für die Verlagerung von Rechenzentrumsleistungen oder ganzen Geschäftsprozessen aus dem Unternehmen auf einen externen Dienstleister (Outsourcing), wird durch das sog. Cloud Computing zunehmend unschärfer, vielschichtiger und bedarf daher auch eingehender Aufmerksamkeit, was die juristischen Konzepte angeht. In der betriebswirtschaftlichen Literatur beherrscht Cloud Computing als „Industrialisierung der Informationstechnologie“ seit langen Jahren die Diskussion. Erforderlich erscheint zunächst eine präzisere Definition dessen, was hierunter tatsächlich zu verstehen ist1. Erst danach wird sichtbar, dass diese modernisierte Form des Outsourcings, nachfolgend Outsourcing 2.0, erheblich in seiner Struktur, Form und Ausprägung von der ursprünglichen Form des Outsourcings abweicht2. Der abschließende Ausblick3 skizziert, inwieweit beim Cloud Computing als Outsourcing 2.0 neue Aspekte bei der Vertragsgestaltung zu beachten sind.
II. Entwicklung hin zum Outsourcing 2.0 1. Outsourcing in seiner ursprünglichen Form 2
Das Outsourcing in seiner ursprünglichen Form betrifft die Auslagerung von bestimmten IT-Diensten, z.B. Datenverarbeitung in einem Rechenzentrum an einen externen Dienstleister. a) IT-Infrastruktur-Outsourcing
3
Dieser übernahm in der Regel das bislang vom Auftraggeber in Eigenregie betriebene Rechenzentrum samt Mitarbeitern. Es wurde das Datenfor1 Dazu nachfolgend unter II.1. 2 Dazu nachfolgend unter II.2. und 3. 3 Dazu nachfolgend unter III.
128
Seffer
§ 10
II. Entwicklung hin zum Outsourcing 2.0
mat für die Übergabe der zu verarbeitenden Daten und das Datenformat der verarbeiteten Daten definiert, das Volumen der Daten und weitere Leistungsparameter in sog. Service-Level-Agreements (SLA) vereinbart sowie der Preis für die Dienstleistung je nach Volumen, Verfügbarkeit und Qualität festgelegt. Für dies und die Verfahrensabreden für die „Transition“ der Dienstleistung auf den Provider, die Transformationsegeln für den Übergang vom Soll- zum Ist-Betrieb und die Regelungen zur Vertragsbeendigung und zur Überleitung der Dienstleistungen sind durch den Branchenverband Bitkom1 und durch die einschlägigen Handbücher2 sowie in der Rechtspraxis einschlägige Templates im Umlauf, mit denen das Vertragskonzept klar umrissen und die jeweiligen Verantwortungsbereiche klar eingegrenzt werden können. Verstöße gegen Leistungspflichten waren relativ einfach messbar und durch Pönalen oder andere rechtliche Instrumente zu steuern. Mit der jeweiligen Datenübergabe und der dadurch wechselnden Datenherrschaft ergeben sich auch klare Folgerungen für den jeweiligen Datenschutz. b) Business Process Outsourcing Etwas komplexer ist zweifellos die Verlagerung von ganzen Geschäfts- 4 prozessen (BPO), bei denen nicht der Austausch von bestimmten Daten, sondern die Erbringung einer zunächst im Unternehmen selbst gesteuerten und verantworteten Dienstleistung den Kern des Outsourcings ausmacht. Beispiele aus der Praxis sind häufig Lohnbuchhaltung, Inkasso von Kundenforderungen und die Verarbeitung von Kontodaten für Finanzdienstleister. Neben der Datenübergabeschnittstelle erfordert diese Form des Outsourcings dezidierte Kataloge von Mitwirkungspflichten und in der Regel recht ausführliche Transitions-, Transformations- sowie später bei Vertragsbeendigung Überleitungsprozesse, um die bei der Ausgliederung selbst und dem Betrieb des ausgegliederten Geschäftsprozesses bestehenden Verantwortlichkeiten einerseits dem Auftragsgeber und andererseits dem Provider zuzuweisen. Dies ist ein komplexer Prozess, noch dazu wenn – wie häufig – beim Start der Leistungsinhalt nur wenig konkret umrissen ist. 2. Outsourcing im Wandel Die ursprüngliche Form des Outsourcings hat sich in den letzten Jahren 5 in zweifacher Hinsicht deutlich verändert und weiterentwickelt. Zum einen hat die Praxis gezeigt, dass Outsourcing von Dienstleistun- 6 gen und/oder Geschäftsprozessen nie isoliert zwischen Auftraggeber und Provider vereinbart wird. In der Vertragspraxis sind in großem Umfang 1 Bitkom-Leitfaden, Compliance in IT-Outsourcing-Projekten, abrufbar unter http://www.bitkom.org/de/publikationen/38337_40787.aspx. 2 U.a. Bräutigam, IT-Outsourcing und Cloud-Computing, 3. Aufl. 2013, Teil 13, 14; Schneider, Handbuch des EDV-Rechts, Kap. D. Seffer
129
§ 10
Cloud Computing als Outsourcing 2.0
unternehmensberatende, technisch und juristisch versierte Dienstleister auf der Seite des Auftraggebers tätig und tief in das „Outsourcing-Projekt“ eingebunden. 7
Zum anderen zeigen sich mit dem sog. Cloud Computing völlig neue Formate, in denen IT-Dienstleistungen von Providern für Auftraggeber erbracht werden. Unter dem Sammelbegriff Cloud Computing hat sich eine ganze Reihe von IT-Diensten versammelt, die in anderer Weise als im Outsourcing der ursprünglichen Art von den Providern dem Auftraggeber angeboten werden.
8
Das Cloud Computing unterscheidet üblicherweise fünf Ebenen: Cloud Application (e.g. SaaS) Cloud Software Environment (e.g. PaaS) Cloud Software Infrastructure Computational Resources (IaaS)
Storage (DaaS)
Communications (CaaS)
Software Kernel Firmware/Hardware (HaaS)
Abb. 1: Ontologie von Cloud Computing nach Youseff
9
Bereits im Endverbrauchermarkt ist Cloud Computing durch die explosionsartige Verbreitung von Smartphones, wo vor allem Speicher-(DaaS) und Kommunikations-(CaaS) Services im Vordergrund stehen, z.B. iCloud, WhatsApp oder Skype, die zu individuell nicht verhandelbaren Konditionen angeboten werden, weit verbreitet. Für den geschäftlichen Bereich ist das Angebot kaum mehr überschaubar.
10
Klar ist, dass mit XaaS eine Vielfalt von Angeboten auf den Auftraggeber trifft, die dieser mit eigenem Personal bzw. mit den für die Implementierung dieser Dienstleistung beauftragten unternehmensberatenden, technischen und juristischen Dienstleistern für sich nutzbar machen kann. Die Komplexität und die Anzahl der Schnittstellen, an denen Daten übergeben und Mitwirkungspflichten des Auftraggebers sowie seiner sonstigen Dienstleister einerseits und des Providers andererseits zum Tragen kommen, beträgt ein Vielfaches der Komplexität und Anzahl im Verhältnis zum Outsourcing in seiner ursprünglichen Form. Dabei tauchen in den fünf XaaS-Ebenen (BaaS, SaaS, PaaS, IaaS und HaaS)1 mitnichten stets dieselben Anbieter auf. Die Integration, Koordination und gegebenenfalls Konsolidierung, die im Outsourcing vormals der Provider 1 Business as a Service, Software as a Service, Platform as a Service, IT-Infrastructure as a Service und Hosting as a Service.
130
Seffer
§ 10
II. Entwicklung hin zum Outsourcing 2.0
übernommen hatte, wird im Rahmen des Cloud Computing nun zur Disposition des Auftraggebers gestellt. Dies gilt ebenso für die in allen XaaSEbenen zu bestimmenden Datenformate, Mitwirkungsrechte, SLAs, Volumengeschwindigkeit, Verfügbarkeiten und sonstige Parameter. Je nach Verhandlungsmacht und wirtschaftlicher Bedeutung des Auftraggebers werden diese Parameter verhandelbar oder nur standardisiert von dem Provider angeboten werden. Aller Voraussicht nach wird im Cloud Computing, anders als bisher 11 beim Outsourcing, nicht ein einziger Dienstleister vor Ort agieren. Im Rahmen des Outsourcing 2.0 wird es in der Regel eine Vielzahl von Outsourcing-Providern werden, die ihre Dienste virtuell zur Verfügung stellen. Die Chancen, die sich durch das Cloud Computing bei mittleren und größeren Unternehmen zweifellos nutzbar machen lassen können, erfordern eine deutlich gesteigerte Leistung beim Auftraggeber und seinem Beratungsteam. Diese müssen bei der Auswahl, bei dem Vertragsschluss und auch der Begleitung im Outsourcing-Projekt 2.0 eine stark erhöhte Strukturkomplexität verarbeiten. 3. Cloud Computing als Weiterentwicklung des Outsourcings (Outsourcing 2.0) Die rechtliche Bewertung des Cloud Computings kann als eine Weiter- 12 entwicklung des Outsourcings in seiner ursprünglichen Form bezeichnet werden. Dies erfordert allerdings, dass die einzelnen Ebenen der XaaSServices in ihren einzelnen Elementen analysiert werden. Bei einer solchen Herangehensweise geht der Blick auf das Wesentliche nicht verloren. Das bisherige Leitbild des Outsourcing-Vertrages ist der individuell ver- 13 handelte Vertrag mit in der Regel einem Outsourcing-Provider, der in ausführlichen Prozessen die Transition, die Transformation und zum Vertragsende die Überleitung wieder zurück auf den Auftraggeber bzw. einen weiteren Nachfolgeprovider beschreibt. Dieses Leitbild lässt sich mit den fünf XaaS-Ebenen1, die die Anbieter des Cloud Computing beispielhaft darstellen, nicht übereinbringen. Im Cloud Computing wird es eine Vielzahl von Providern geben, die in der multiplen XaaS-Umgebung eine Vielzahl von Einzelleistungen erbringen, die teils mit anderen Providern koordiniert sind, teils aber auch völlig unabhängig hiervon angeboten werden. Diese Vielzahl einzelner Dienste erfordert eine ganz andere Form der Standardisierung der Transitions-, Transformations-, Vertragsbeendigungsund Überleitungsprozesse als dies bisher in den individuell ausgehandelten Verträgen des Outsourcing der Fall war und in den gebräuchlichen Templates und Vertragsmustern vorgesehen ist.
1 BaaS, SaaS, PaaS, IaaS und HaaS. Seffer
131
§ 10
Cloud Computing als Outsourcing 2.0
III. Schlussfolgerungen 14
Sowohl für den Auftraggeber als auch für das ihn begleitende Beratungsteam besteht die neue Herausforderung in der Koordination der verschiedenen XaaS-Provider, die definitionsgemäß nicht mehr von Angesicht zu Angesicht, sondern virtuell zu managen sind. Dies wird nur gelingen, sofern das Outsourcing-Projekt einen vom Provider unabhängigen Rahmen erhält, der eine vertragliche Metaebene für die einzelnen Outsourcing 2.0-Verträge bildet. Anders wird es nicht möglich sein, dass alle diese Verträge koordiniert und zielgerichtet abgeschlossen und gesteuert werden können. Das Outsourcing 2.0 braucht daher für jeden Auftraggeber einen Rahmen, in dem sich diese weiterentwickelte Form des Outsourcings bewegt und in der die ganz erheblichen finanziellen Vorteile zum Wohl des Auftraggebers gehoben werden können. In welcher erheblichen Form diese bestehen, ist in der Betriebswirtschaft seit langem unbestritten. Ohne einen solchen auftraggeberspezifischen Rahmen als neuem tool wird der Werkzeugschrank für das Outsourcing 2.0 nicht auskommen. Er als weiteres Template, welches für eine Vielzahl von Auftraggebern einsetzbar ist, stellt eine Herausforderung dar. Cloud Computing und damit Outsourcing 2.0 ist für Juristen in der nächsten Zeit noch ein sehr spannendes Betätigungsfeld.
132
Seffer
Teil 3 Daten als rechtliches Schutzgut, Verfügungsbefugnis an Daten, Herausgabeansprüche Erster Abschnitt Schutz von Daten und Informationen § 11 Abgrenzung der Schutzgüter im Zusammenhang mit Daten Rz. I. Ausgangslage . . . . . . . . . . . . . . . . .
1
II. Daten als handelbare Wirtschaftsgüter . . . . . . . . . . . . . . . . . . 3 1. Richtlinie über die Rechte der Verbraucher . . . . . . . . . . . . . . . . . . 3 2. WIPO Copyright Treaty (WCT) . . 5 3. Das Europäische Kaufrecht im Entwurf (GEKVO-E) . . . . . . . . . . . 7 4. Der EuGH: UsedSoft v. Oracle . . . 11 III. Der rechtliche Schutz von Daten. 14
Rz. 1. Der Schutz von Datenbanken und Daten . . . . . . . . . . . . . . . . . . . 2. (Kein) Schutz von Informationen . 3. Der personenbezogene Schutz von und vor Informationen. . . . . . a) Das Recht auf informationelle Selbstbestimmung (Datenschutz) . . . . . . . . . . . . . . . . . . . . b) Das Recht auf „Vergessenwerden“ im Netz . . . . . . . . . . . c) Das allgemeine Persönlichkeitsrecht. . . . . . . . . . . . . . . . . .
14 20 21 21 22 23
I. Ausgangslage Informationen sind das unkörperliche, „digitale Gold“ unserer Tage, vor 1 allem die wichtigen, entscheidenden, relevanten Informationen1, wie z.B. aktuell big data2 oder „Wikileaks“ und „Prism“ bzw. „Tempora“ zu demonstrieren vermögen. Wirtschaftsrechtlich bedeutsam ist daher die Beantwortung der Frage, ob 2 und welche Daten, inhaltlich wie geschützt werden können, ob sie also unter Umständen als „property rights“ legaliter anzuerkennen sind. In der digitalen Welt sind Daten nämlich eine wichtige „res intra commer-
1 Vgl. grundlegend zur Informationsökonomie, Stigler, The Economics of Information, 69 IPE 213 ff. (1961). 2 Der Spiegel 20/2013, S. 65 ff.; F.A.S. v. 9.6.2013, S. 1, 10; Mayer-Schönberger/Cukier, Big Data, passim. Zur Frage des „Eigentums“ an Daten vgl. Schneider, Handbuch des EDV-Rechts, S. 550, Rz. 93; Hoeren, MMR 2013, 486 ff.; Hoeren, § 23. Lehmann
133
§ 11
Abgrenzung der Schutzgter
cium“, also handelbare Wirtschaftsgüter1, deren rechtlicher Schutz2 freilich bis heute äußerst umstritten ist.
II. Daten als handelbare Wirtschaftsgüter 1. Richtlinie über die Rechte der Verbraucher 3
Zweifelsohne sind Daten keine Sachen i.S. der §§ 90 ff. BGB. Sie sind aber auch keine Rechte und unterfallen daher nicht dem klassischen bürgerlich-rechtlichen Begriff des Gegenstandes; kaufrechtlich betrachtet können sie aber i.S. des § 453 Abs. 1 Var. 2 BGB als „sonstige Gegenstände“ behandelt werden, weil zumindest Software bereits schon als solches von der h.M. anerkannt ist3. Schon das Reichsgericht hatte außerdem im Jahr 1914 die Lieferung von elektrischer Energie dem Kaufrecht unterstellt4.
4
Im Europäischen Recht finden sich nunmehr erstmalig Bestimmungen, die Daten als solche schützen und deren Verwendung im wirtschaftlichen Verkehr kaufrechtlich besonders behandeln. Die Richtlinie 2011/83/EU über die Rechte der Verbraucher5 anerkennt in Art. 2 Nr. 11 (Begriffsbestimmungen) ausdrücklich „digitale Inhalte“ als Wirtschaftsgut, nämlich „Daten, die in digitaler Form hergestellt und bereitgestellt werden“ und gewährt bei deren Lieferung online eine spezielle Ausnahme von den regulären Widerrufsmöglichkeiten des Verbrauchers bei Fernabsatz- und Haustürgeschäften6 gem. Art. 9 und Art. 16 lit. m. Definiert werden diese Daten im Erwägungsgrund 19 folgendermaßen: „Digitale Inhalte bezeichnen Daten, die in digitaler Form hergestellt und bereitgestellt werden, wie etwa Computerprogramme, Anwendungen (Apps), Spiele, Musik, Videos oder Texte, unabhängig davon, ob auf sie durch Herunterladen oder Herunterladen in Echtzeit (Streaming), von einem körperlichen Datenträger oder sonstiger Weise zugegriffen wird.“ … „Vergleichbar mit Verträgen über die Lieferung von Wasser, Gas oder Strom … sollten Verträge über digitale Inhalte, die nicht auf einem körperlichen Datenträger bereitgestellt werden, für die Zwecke dieser Richtlinie weder als Kaufverträge noch als Dienstleistungsverträge betrachtet werden. Für derartige Verträge sollte der Verbraucher ein Widerrufsrecht haben, es sei denn, er hat während der Widerrufsfrist dem Beginn der Vertragserfüllung zugestimmt und zur Kenntnis genommen, dass er infolgedessen sein Widerrufsrecht verliert“7. 1 2 3 4 5
Dazu unter Rz. 2 ff. Dazu unter Rz. 24 ff. Palandt/Weidenkaff, BGB, § 453 Rz. 8. RGZ 86, 12 v. 10.11.1914. V. 25.10.2011, ABl. EG 3 L 304/64; in Kraft getreten am 12.12.2011 und in nationales Recht umzusetzen bis zum 13.12.2013; vgl. dazu den Gesetzesentwurf der Bundesregierung, BT-Drucks. 17/12637 v. 6.3.2013. 6 Vgl. Lehmann, CR 2012, 261 ff. 7 Zu den Einzelheiten dieses Widerrufsverzichts, vgl. Lehmann, CR 2012, 263 f.
134
Lehmann
§ 11
II. Daten als handelbare Wirtschaftsgter
2. WIPO Copyright Treaty (WCT) Mit dieser Referenz auf einen „körperlichen Datenträger“, die online-Lie- 5 ferungen ausschließt, befindet sich diese Richtlinie in guter Gesellschaft mit dem WCT vom 20.12.19961, den 90 Staaten unterzeichnet haben. Denn in den „Vereinbarten Erklärungen“ zu Artt. 1, 6 und 7 finden sich, 6 allerdings nur für urheberrechtlich geschützte Inhalte gültig, ebenfalls Hinweise auf Daten, die als körperliche Gegenstände in den Verkehr gebracht werden können, also z.B. auf CD-ROMs oder DVDs. Zwar wird zu Art. 1 Abs. 4 WCT (Verhältnis zur RBÜ) ausdrücklich hervorgehoben, dass das Vervielfältigungsrecht und die darunter fallenden Ausnahmen gem. Art. 9 RBÜ „in vollem Umfang im digitalen Bereich Anwendung“ finden, „insbesondere auf die Verwendung von Werken in digitaler Form“. Aber zu Art. 6 (Verbreitungsrecht) und Art. 7 (Vermietrecht) wird ergänzend festgelegt, dass insoweit die Ausdrücke „Vervielfältigungsstücke“ und „Original und Vervielfältigungsstücke“ sich ausschließlich beziehen auf „Vervielfältigungsstücke“ (fixed copies), „die als körperliche Gegenstände“ (as tangible objects) „in Verkehr gebracht werden können“. Dabei ist zu berücksichtigen, dass der WCT aus dem Jahr 1996 stammt, also zu einer Zeit diskutiert worden ist, als vom „streaming“ oder „cloud computing“ noch keinerlei Rede war; Entsprechendes gilt für die den WCT ins Europarecht transformierende Richtlinie zur Harmonisierung bestimmter Aspekte des Urheberrechts und verwandter Schutzrechte in der Informationsgesellschaft („Info-Richtlinie“)2. Insoweit soll auch ergänzend auf den Erwägungsgrund 33 der Datenbankrichtlinie3 aus dem Jahr 1996 hingewiesen werden, der hinsichtlich des Rechtsgedankens der Erschöpfung damals auch auf den Verkauf von Daten auf einem körperlichen Träger abgestellt hat: „Die Frage der Erschöpfung des Verbreitungsrechts stellt sich nicht im Fall von Online-Datenbanken, die in den Dienstleistungsbereich fallen … Anders als im Fall der CD-ROM bzw. CD-I, bei denen das geistige Eigentum an ein physisches Trägermedium, d.h. an eine Ware gebunden ist, stellt jede Online-Leistung nämlich eine Handlung dar, die, sofern das Urheberrecht dies vorsieht, genehmigungspflichtig ist“. Europarechtlich wurde seinerzeit somit jede Online-Leistung dem Dienstleistungsbereich zugeordnet4.
1 BGBl. II 2003, 755 ff. 2 Richtlinie 2001/29/EG v. 22.5.2001, ABl. L 6/71, v. 10.1.2002; vgl. dazu v. Lewinski in Walter (Hrsg.), Europäisches Urheberrecht, S. 689 ff. (699). 3 Richtlinie 96/9/EG über den rechtlichen Schutz von Datenbanken v. 11.3.1996, ABl. EG 77/20 v. 27.3.1996. 4 Vgl. statt vieler Reinbothe, Europäisches Urheberrecht und Electronic Commerce, in Lehmann (Hrsg.), Electronic Business in Europa, S. 367 ff. (386). Lehmann
135
§ 11
Abgrenzung der Schutzgter
3. Das Europäische Kaufrecht im Entwurf (GEKVO-E) 7
Anders, wesentlich zeitgemäßer und technologieorientierter, ist die Behandlung von Daten im neuen Verordnungsentwurf zum Gemeinsamen Europäischen Kaufrecht angedacht worden. Definiert werden dabei in Art. 2 lit. j GEKVO-E1 digitale Inhalte als „Daten, die – ggf. auch nach Kundenspezifikationen – in digitaler Form hergestellt und bereitgestellt werden, darunter Video-, Audio-, Bild- oder schriftliche Inhalte, digitale Spiele, Software und digitale Inhalte, die eine Personalisierung bestehender Hardware oder Software ermöglichen, …“.
8
Entscheidend ist bei diesem Kaufrechtsentwurf, dass gem. Art. 5 lit. b GEKVO-E digitale Daten jeder anderen Kaufsache grundsätzlich gleichgestellt werden, gleich ob sie online oder offline geliefert bzw. zum Download zugänglich gemacht werden. Sie werden somit in der EU im grenzüberschreitenden Geschäftsverkehr als verkehrsfähiges Gut und Rechtsobjekt qualifiziert, das kaufrechtlich gleich einer Sache zu behandeln ist.
9
Das gilt auch für das Leistungsstörungsrecht wie z.B. Artt. 106 ff. GEKVO-E zeigen. Entsprechendes findet sich auch im kommenden § 356 Abs. 5 BGB zur Umsetzung der Richtlinie über Verbraucherrechte2, wenn dort festgelegt wird: „Das Widerrufsrecht erlischt bei einem Vertrag über die Lieferung von nicht auf einem körperlichen Datenträger befindlichen digitalen Inhalten auch dann, wenn …“. Daten werden also trotz ihrer technologischen Beschaffenheit zu kommerziellen Gütern, die in jeder Hinsicht kaufrechtlich zu behandeln sind, gleich ob sie verkörpert auf einem Medium oder unkörperlich, z.B. in einem digitalen Netz, gehandelt werden. Diese elektronischen Signale, in Form von digitalen Inhalten, digital content, werden somit wirtschaftsrechtlich nunmehr so behandelt, wie sie schon lange ökonomisch qualifiziert worden sind, nämlich als werthaltige Wirtschaftsgüter.
10
Diese Gleichstellung und Gleichbehandlung hat inzwischen auch die EU-Kommission3 im Zusammenhang mit diesem Kaufrechtsentwurf folgendermaßen formuliert: „Um der zunehmenden Bedeutung der digitalen Wirtschaft Rechnung zu tragen, und damit das neue Vertragsrecht nicht schon morgen überholt ist, gilt das Gemeinsame Kaufrecht auch für Verträge über die Bereitstellung digitaler Inhalte. Das Gemeinsame Kaufrecht kann also auch für den Kauf von Musik- oder Filmdateien, Software oder Anwendungen verwendet werden, die aus dem Internet heruntergeladen werden. Dabei kommt es nicht darauf an, ob diese Produk-
1 KOM (2011) 635 endgültig; s. dazu Staudenmayer, NJW 2011, 3491 ff.; Lehmann, CR 2012, 262 f.; Zahn, B., Die vom Gemeinsamen Europäischen Kaufrecht erfassten Verträge über digitale Inhalte, http://ssrn.com/abstract=2194335. 2 S. oben Rz. 4. 3 Vgl. Mitteilungen v. 11.10.2011, KOM (2011) 636 end., S. 9.
136
Lehmann
§ 11
II. Daten als handelbare Wirtschaftsgter
te auf einem materiellen Datenträger wie CD oder DVD gespeichert sind“. 4. Der EuGH: UsedSoft v. Oracle In gleicher Hinsicht hat der EuGH in seiner bahnbrechenden Entschei- 11 dung UsedSoft v. Oracle1 (und diesem folgend der BGH2) judiziert, die freilich nur das Problem der Erschöpfung beim Verkauf von Software direkt adressiert hat. Aber im Zusammenhang mit dem europäischen Binnenmarktprinzip hat das Gericht grundlegend Daten, die einem Nutzer endgültig und definitiv übertragen werden, als ein verkehrsfähiges Gut qualifiziert und diese einer eigentumsähnlichen wirtschaftsrechtlichen Behandlung unterstellt: „Darüber hinaus sind die Veräußerungen eines Computerprogramms auf CD-ROM oder DVD und die Veräußerung eines Computerprogramms durch Herunterladen aus dem Internet wirtschaftlich gesehen vergleichbar. Die Online-Übertragung entspricht funktionell der Aushändigung eines materiellen Datenträgers“3. Dieses Argument, obwohl zunächst nur aus der Richtlinie zum Schutz der Computerprogramme4 vom EuGH abgeleitet, muss auch auf andere digitale Inhalte, Daten in elektronischer Form, übertragen werden, die in der EU grenzüberschreitend wie Waren gehandelt, verkauft und zu „Eigentum“5 übertragen werden6. Dies gilt auch, wenn der Download aus einer „Wolke“7 kommt, wenn al- 12 so beim Cloud Computing die Daten einem Käufer definitiv zur Nutzung verkauft und übereignet werden8. Hier wird in der Praxis ein Datensatz als Ware wirtschaftlich behandelt und sollte daher auch wirtschaftsrechtlich wie ein Kaufgegenstand eingeordnet und qualifiziert werden.
1 EuGH v. 3.7.2012 – Rs. C-128/11, GRUR Int. 2012, 759; dazu besonders ausführlich Grützmacher, ZGE 2013, 46 ff.; s. auch Senftleben, NJW 2012, 2924 ff.; Ohly, JZ 2013, 42 ff.; Hilty, CR 2012, 625 ff.; Schneider/Spindler, CR 2012, 489 ff.; Hilty/Köklü/Hafenbrädl, IIC 2013, 263 ff.; Zech, ZGE 2013, 368 ff. 2 BGH v. 17.7.2013 – I ZR 129/08, BeckRS 2014, 02107. 3 EuGH v. 3.7.2012 – Rs. C-128/11, GRUR Int. 2012, 759 (764), Rz. 61; ebenso Lehmann in Loewenheim (Hrsg.), Handbuch des Urheberrechts, S. 1866, Rz. 12. 4 Richtlinie 2009/24/EG v. 23.4.2009, ABl. EU L 111/16 v. 5.5.2009. 5 EuGH v. 3.7.2012 – Rs. C-128/11, GRUR Int. 2012, 759 (763), Rz. 46. 6 S. auch Hoeren/Försterling, MMR 2012, 642 (647); Schneider/Spindler, CR 2012, 489 (497); Hartmann, GRUR Int. 2012, 980 (984, 989); Scholz, CR 2013, 17 (20); Grützmacher, ZGE 2013, 46 (81 f.); Kubach, CR 2013, 279 (283); hinsichtlich Computerspielen zumindest bejahend und im Übrigen offenlassend Kuß/von Orthmann, BB 2012, 2262 (2264 f.); wohl auch Rath/Maiworm, WRP 2012, 1051 (1055); a.A. Marly, EuZW 2012, 654 (657); Jani, K&R 2012, 297 (298 f.); Hansen/ Libor, AfP 2012, 447 (449 f.); Hansen, GRUR Prax 2013, 207; wohl auch Rauer/ Ettig, EWS 2012, 322 (327); LG Bielefeld v. 5.3.2013, BeckRS 2013, 07144. 7 S. auch Hilty, CR 2012, 625 ff. 8 Lehmann in Borges/Meents (Hrsg.) (in Erscheinung), Cloud Computing, Kapitel 5, bei Fn. 73 ff.; ebenso Ohly, JZ 2013, 43 f.; Hilty, CR 2012, 633 f. Lehmann
137
§ 11 13
Abgrenzung der Schutzgter
Das Europäische Recht, das kommende Europäische Kaufrecht1 und die Richtlinie über die Rechte der Verbraucher2, der EuGH3 und die Kommission4 haben die Richtung dieses konsequenten Schritts der evolutiven Rechtsfortbildung in die Zukunft der wirtschaftsrechtlichen Behandlung von Daten in digitaler Form klar vorgegeben: Daten in Form von digitalen Inhalten sind handelbare Wirtschaftsgüter, die im Falle ihrer definitiven Nutzungsübertragung gleich Sachen und Rechten als Kauf- bzw. Schenkungsgegenstand schuld- und sachenrechtlich dem Kaufrecht bzw. Schenkungsrecht zu unterstellen sind; konsequenterweise können diese Prinzipien auch für die Übertragung von geistigem und gewerblichem Eigentum in digitaler Form Geltung beanspruchen5. Im Urheberrecht z.B. sollte dies auch im Zusammenhang mit den Reformarbeiten des „Dritten Korbes“6 angemessen berücksichtigt werden.
III. Der rechtliche Schutz von Daten 1. Der Schutz von Datenbanken und Daten 14
Der Schutz von elektronischen Datenbanken nach der Europäischen Datenbankrichtlinie7, für Datenbankwerke nach § 4 UrhG8, für unkreative Sammlungen von Daten gem. § 87a UrhG9, erfasst gerade nicht direkt den Schutz von einzelnen Daten, sondern im Wesentlichen das Datenbank-Schema, dessen Struktur und Retrieval-System und bei § 87a UrhG letztlich auch die Investitionen in diese bzw. genauer den Datenbankinhalt als Leistungsergebnis10. Erwägungsgrund 23 der Richtlinie stellt außerdem klar, dass die für die Herstellung und den Betrieb einer Datenbank verwendete Software nicht unter den Datenbankschutz fällt, sondern nur unter die Computerprogrammrichtlinie 91/250/EWG, jetzt also Richtlinie 2009/24/EU11. In Art. 1 Abs. 2 der Datenbankrichtlinie wird eine Datenbank als eine „Sammlung von Werken, Daten oder anderen 1 2 3 4 5 6 7 8 9 10
11
S. oben bei Rz. 7. S. oben bei Rz. 4. S. oben bei Rz. 11. S. oben bei Rz. 10. Lehmann in Borges/Meents (Hrsg.) (in Erscheinung), Cloud Computing, Kap. 5 bei Fn. 73 ff., Fn. 21; Lehmann/Giedke, CR 2013, 681; Zech, ZGE 2013, 393. Vgl. dazu Dreier/Schulze, UrhR, S. 53; etwa bei einer gesetzlichen Regelung des Handels mit gebrauchter Software. Richtlinie 96/9/EG v. 11.3.1996, ABl. EG L 77/20 v. 27.3.1996; vgl. dazu v. Lewinski in Loewenheim (Hrsg.), Handbuch des Urheberrechts, S. 1038, Fn. 16; Walter (Hrsg.), Europäisches Urheberrecht, S. 689 ff. Dreier in Schulze/Dreier, UrhR, Fn. 26, S. 151 ff. Dreier in Schulze/Dreier, UrhR, S. 1254 ff. S. hierzu Grützmacher in Lehmann/Meents (Hrsg.), Kap. 18 Rz. 183 mit dem Hinweis auf BGH, WRP 2007, 993 (995 f.) – Gedichttitelliste II; weiter Grützmacher, Urheber-, Leistungs- und Sui-Generis-Schutz von Datenbanken, S. 281 ff. V. 23.4.2009, ABl. EU L 111/16 vom 5.5.2009.
138
Lehmann
§ 11
III. Der rechtliche Schutz von Daten
unabhängigen Elementen“ definiert, „die systematisch oder methodisch angeordnet und einzeln mit elektronischen Mitteln oder auf andere Weise zugänglich sind“. Der EuGH1 hat außerdem in seiner British-Horseracing-Board-Entschei- 15 dung festgelegt, dass die für den Schutz unkreativer Datenbanken notwendig werdenden Investitionen nur aus den Mitteln bestehen dürfen, die der Ermittlung von vorhandenen Elementen und deren Zusammenstellung in einer Datenbank dienen, nicht jedoch in der Erzeugung von Elementen, also Daten, die sodann in einer Datenbank zusammengestellt werden können. „Das Ziel des durch die Richtlinie eingerichteten Schutzes durch das Schutzrecht sui generis besteht nämlich darin, einen Ansatz für die Errichtung von Systemen für die Speicherung und die Verarbeitung vorhandener Informationen zu geben und nicht für die Erzeugung von Elementen, die später in einer Datenbank zusammengestellt werden können“2. Dieses Diktum hat den Sui-Generis-Schutz von Datenbanken in Europa 16 ganz erheblich beschränkt, obwohl gerade von einem der „Väter“3 dieser Richtlinie auch ein Schutz der Ergebnisse eines data mining, des Sammelns der Daten, also auch der gesammelten Dateien, und somit letztlich auch von Daten selbst4 ursprünglich beabsichtigt war. In Zeiten der ständig zunehmenden Werthaltigkeit von big data5 hätten daher gerade auch die Kosten der Datengenerierung bei der Voraussetzung des Vorliegens einer Investition mitberücksichtigt werden sollen6. Bedauerlicherweise, freilich auch rechtlich gezwungenermaßen, hat sich der BGH diesem Verdikt wohl tendenziell angeschlossen7. Die richtige Kontroll-
1 EuGH v. 9.11.2004 – Rs. C-203/02, CR 2005, 10 m. krit. Anm. Lehmann; s. auch Wiebe, CR 2005, 169 ff.; bestätigt durch EuGH v. 9.11.2004 – C-444/02, Slg. 2004, I-10549 – Fixtures Marketing. Entsprechendes gilt auch für Datenbankwerke, EuGH v. 1.3.2012 – Rs. C-604/10, Slg. 2012 I-0000 – Football Dataco. Vgl. grundlegend Leistner, Der Rechtsschutz von Datenbanken im deutschen und europäischen Recht, passim. 2 EuGH v. 9.11.2004 – Rs. C-203/02, CR 2005, 10 (12) Rz. 31; vgl. dazu auch Dreier/Schulze, UrhG, § 87a Rz. 13; Thum in Wandtke/Bullinger (Hrsg.), UrhG, § 87a Rz. 36. 3 Vgl. Gaster, CR 1997, 669 ff.; Gaster, CR 1999, 669; Gaster, CRi 2000, 38; Gaster, CRi 2001, 74. 4 Vgl. ebenso Leistner, Der Rechtsschutz von Datenbanken im deutschen und europäischen Recht, Fn. 31, S. 149 ff.; v. Lewinski in Walter (Hrsg.), Europäisches Urheberrecht, Fn. 9, S. 770 f. 5 S. oben Rz. 1. 6 Lehmann, CR 2005, 16. 7 BGH v. 1.12.2010 – I ZR 196/08, GRUR 2011, 724 – Zweite Zahnarztmeinung II; BGH v. 25.3.2010 – I ZR 47/08, GRUR 2010, 1004 – Autobahnmaut. In der Tele-Info-CD-Entscheidung des BGH v. 6.5.1999 – I ZR 199/96, CR 1999, 496 (498) hatte der BGH den Datenbankschutz gem. § 87a UrhG noch auf alle Telefondaten erstreckt, somit also auch auf die gesammelten Daten als solche. Lehmann
139
§ 11
Abgrenzung der Schutzgter
frage dürfte aber sein, ob die Daten noch einmal gesammelt werden könnten1. 17
Zu den für die Erlangung des Rechtsschutzes nach § 87a UrhG berücksichtigungsfähigen Investitionskosten sind nunmehr nur zu zählen2: die Kosten für das Sammeln und Ordnen bereits vorhandener Daten, die Kosten für die Darstellung der Daten und die Bereitstellung der technischen Infrastruktur einer Datenbank, sowie deren Erhaltung, Pflege und Wartung3. Nicht schutzrechtsbegründend sind Investitionen in die Erzeugung von inhaltlichen Elementen, also Daten, aus denen sodann eine Datenbank zusammengestellt werden kann; es geht allein um die Förderung von Systemen zur Speicherung und Verarbeitung von Daten, nicht aber um die Datensammlungen als solche4.
18
Für den Schutz von Daten als solche sind somit diese urheberrechtlichen Aspekte des Datenbankschutzes untauglich.
19
In Frage kommen kann allerdings der wettbewerbsrechtliche Schutz von Daten und Datensammlungen gegen wettbewerbswidrige unmittelbare Leistungsübernahme, wie die Tele-Info-CD-Entscheidung des BGH5 (noch zum alten UWG) zeigt. Dies verlangt das Vorliegen einer besonderen schutzwürdigen „wettbewerbsrechtlichen Eigenart“, an deren Vorliegen nicht zu hohe Anforderungen zu stellen sind, wenn die Leistung einfach durch Kopie, wie z.B. bei einem Telefonverzeichnis von einem Wettbewerber übernommen, also lediglich „abgekupfert“, untechnisch gesprochen „plagiiert“, worden ist. 2. (Kein) Schutz von Informationen
20
Vom Schutz der Daten in elektronischer Form abzugrenzen ist ein eventueller Schutz von Information bzw. Informationen per se, für welche grundsätzlich weltweit kein direktes Schutzsystem anerkannt wird: „free access to information“6. Allerdings kann unter Umständen, wie schon Art. 39 TRIPS zeigt, in engen Grenzen ein Schutz für nicht offen1 BGH v. 21.7.2005 – I ZR 290/02, CR 2005, 849, Hit-Bilanz m. Anm. CR 2006, 14. 2 Zu den Schwierigkeiten der Abgrenzung vgl. Hoeren, MMR 2005, 35; Gaster, CRi 2005, 129; Wiebe, CR 2005, 171; Thum in Wandtke/Bullinger (Hrsg.), UrhR, § 87a Rz. 36 ff. 3 BGH v. 22.6.2011 – I ZR 159/10X, CR 2011, 757 (758), Automobil-Onlinebörse. Vgl. in diesem Zusammenhang auch § 87a Abs. 1 Satz 2 UrhG: „wesentlich geänderte Datenbank“. 4 Thum in Wandtke/Bullinger (Hrsg.), UrhR, § 87a Rz. 36 ff., Fn. 39. 5 BGH v. 6.5.1999 – I ZR 199/96, CR 1999, 496 (500) mit Anm. v. Wuermeling; str. vgl. Grützmacher, CR 1997, 85. Eine unmittelbare Leistungsübernahme kann auch vorliegen, wenn nur der Inhalt oder die Information von Daten übernommen wird, wie z.B. beim Abschreiben eines Telefonverzeichnisses. 6 Vgl. dazu allgemein Büllesbach/Dreier, Wem gehört die Information im 21. Jahrhundert?, passim.
140
Lehmann
§ 11
III. Der rechtliche Schutz von Daten
barte Informationen, für geheimes Know-how, etwa gem. §§ 17 ff. UWG aus wettbewerbsrechtlicher Sicht beansprucht werden1. Dies ist aber die klassische Ausnahme, die die Grundregel bestätigt. 3. Der personenbezogene Schutz von und vor Informationen a) Das Recht auf informationelle Selbstbestimmung (Datenschutz) Daten werden mittelbar auch über das Recht zur informationellen 21 Selbstbestimmung, sprich den Datenschutz geschützt. Genauer geht es aus der Sicht der persönlich Betroffenen dabei um einen (direkten) Schutz vor der unbefugten Erhebung, Verarbeitung und Nutzung von Daten. Hintergrund ist das maßgeblich auch in das Privatrecht ausstrahlende „informationelle Selbstbestimmungsrecht“2, welches vom Bundesverfassungsgericht am 15.12.1983 im sog. Volkzählungsurteil aus der Taufe gehoben wurde. Insofern kann auf die ausführliche Darstellung von Gallwas3 und die weiteren Ausführungen zum Datenschutz4 verwiesen werden. b) Das Recht auf „Vergessenwerden“ im Netz Neuerdings wird im Zusammenhang mit Suchmaschinen5 und social 22 networks, also z.B. Facebook oder StudiVZ, das Problem der Löschung von Informationen im Netz, ein Recht auf „Vergessenwerden“ diskutiert6. Auch durch den EU-Entwurf zu einer Datenschutz-Grundverordnung7, die die Datenschutzrichtlinie von 19958 ablösen wird, soll eine Regelung eingeführt werden, die zu einem „Recht auf Vergessenwerden“ führt9. Entwickelt wurde dieser Grundgedanke von Mayer-Schöneberger10, wonach auch im Netz keine ewige digitale Erinnerung, sondern 1 Vgl. auch Artt. 1 Abs. 1; 2 Technologie-Transfer-GVO, VO (EG) Nr. 772/2004 v. 27.4.2004, ABl. EU 2004 L 123/11. Vgl. den Überblick zum Know-HowSchutz bei Musiol in Hasselblatt (Hrsg.), Münchner Anwaltshandbuch, Gewerblicher Rechtsschutz, S. 908; Mittelstaedt in Erdmann/Rojahn/Sosnitza (Hrsg.), Handbuch des Fachanwalts, Gewerblicher Rechtsschutz, S. 1003 ff. 2 Vgl. dazu BVerfGE 65, 1 (43); BVerfGE 78, 77 (84); BVerfGE 84, 192 (195). 3 S. Gallwas, § 26. 4 S. §§ 26 ff. 5 Vgl. dazu die Google-Entscheidung des BGH v. 14.5.2013 – VI ZR 269/12, CR 2013, 459 = openjur 2013, 2447, wonach Suchmaschinen verpflichtet sind, auf Verlangen eines Betroffenen bestimmte Links zu löschen; ihr Suchalgorithmus muss so ausgestaltet sein, dass Persönlichkeitsverletzungen verhindert werden. 6 Nolte, ZRP 2011, 236 ff.; Kodde, ZD 2013, 115 ff. 7 V. 25.1.2012, KOM (2012) 11 = CRi Supplement 1 v. 15.1.2013. 8 Richtlinie 95/46/EG v. 24.10.1995, ABl. EG L 181, S. 31 ff., v. 23.11.1995; vgl. dazu Runte in Lehmann/Meents (Hrsg.), Handbuch des Fachanwalts Informationstechnologierecht, S. 1065 f. 9 Vgl. Art. 17 Abs. 1 des Entwurfs einer Datenschutz-Grundverordnung in der EU. 10 Delete – Die Tugend des Vergessens in digitalen Zeiten. Lehmann
141
§ 11
Abgrenzung der Schutzgter
ein „allmähliches Vergessen“1, entsprechend dem natürlichen, biologischen Vergessen des Menschen, stattfinden soll. Auch Informationen im Netz sollen einem gewissen „Verfallsdatum“2 unterworfen werden. Sehr umstritten ist dabei, mit welcher Rechtsfigur dies bewirkt werden soll, ob dies in Form eines „digitalen Radiergummis“ oder eines Widerrufsrechts oder eines Rückrufsrechts, wie etwa in § 42 UrhG (Rückrufsrecht wegen gewandelter Überzeugung), seine Ausgestaltung finden soll. Vom Ergebnis her betrachtet, muss es schon aus verfassungsrechtlichen Überlegungen als spiegelbildlich zu Art. 5 GG der Meinungsäußerungsfreiheit auch die Möglichkeit eines actus contrarius, also der Löschung von personenbezogenen Informationen im Netz geben. c) Das allgemeine Persönlichkeitsrecht 23
Zu guter Letzt ist im Kontext mit der kommerziellen Nutzung von Daten bzw. Informationen jüngst das allgemeine Persönlichkeitsrecht zum Tragen gekommen. So greift nach der sog. Autocomplete-Entscheidung des BGH eine Suchmaschine mitunter in das allgemeine Persönlichkeitsrecht des Betroffenen ein, wenn sie einem Internetnutzer bei Suchanfragen mit Hilfe eines Algorithmus-gesteuerten Suchprogramms auf Basis von durch andere Nutzer gestellten Suchanfragen als Ergänzungsvorschläge die Wortkombinationen präsentiert, die zu dem fraglichen Suchbegriff in der Vergangenheit am häufigsten eingegeben worden sind3.
1 Vgl. Delete – Die Tugend des Vergessens in digitalen Zeiten, S. 199. 2 Vgl. Delete – Die Tugend des Vergessens in digitalen Zeiten, S. 201. 3 Vgl. BGH v. 14.5.2013 – VI ZR 269/12, CR 2013, 459.
142
Lehmann
§ 12 Rechte an Geschäftsprozessdaten und an der darauf basierenden Parametrisierung von ERP-Software
Rz. I. Problemstellung und Terminologie . . . . . . . . . . . . . . . . . . . . . . 1 1. Problemstellung . . . . . . . . . . . . . . 1 2. Terminologie . . . . . . . . . . . . . . . . . 3 a) ERP-Software . . . . . . . . . . . . . . 4 b) Customizing . . . . . . . . . . . . . . . 5 aa) Konfiguration . . . . . . . . . . . 7 bb) Parametrisierung . . . . . . . . 8 cc) Individualprogrammierung . . . . . . . . . . . . . . . . . . . 10 II. Überblick Rechtesituation beim Customizing von ERP-Software. . 1. Rechte an Geschäftsprozessen . . . 2. Rechte an der Konfiguration der ERP-Software . . . . . . . . . . . . . . . . . 3. Rechte an der Parametrisierung der ERP-Software . . . . . . . . . . . . . .
13 16 21 22
Rz. a) Urheberrechtlicher Schutz als Ausdrucksform eines Computerprogramms . . . . . . . . . . . . . . b) Urheberrechtlicher Schutz gem. § 2 Abs. 1 Nr. 1 und Nr. 7 UrhG . . . . . . . . . . . . . . . . c) Schutz als Datenbankwerk gem. § 4 Abs. 2 UrhG bzw. Schutz als Datenbank gem. §§ 87a ff. UrhG . . . . . . . . . . . . . 4. Rechte an der Anpassung der ERP-Software . . . . . . . . . . . . . . . . .
24 26
27 30
III. Parametrisierung als Umarbeitung i.S.d. § 69c Nr. 2 UrhG . . . . . 31 IV. Fazit und Vorschlag für vertragliche Regelung . . . . . . . . . . . . . 32
I. Problemstellung und Terminologie 1. Problemstellung Jedes Unternehmen ist heutzutage darauf angewiesen, die ihm zur Ver- 1 fügung stehenden Ressourcen (Kapital, Betriebsmittel und Personal) möglichst effizient für den betrieblichen Ablauf einzusetzen. Die Unternehmensressourcenplanung bzw. das Enterprise-Resource-Planning (ERP) wird in den meisten Unternehmen durch komplexe Anwendungssoftware zur Optimierung der Ressourcenplanung unterstützt. Die sog. ERP-Software soll hierbei nicht nur alle Geschäftsprozesse des Unternehmens abbilden, sondern auch die im Rahmen der Geschäftstätigkeit anfallenden Daten so aufbereiten, dass diese unternehmensweit im Rahmen der Ressourcenplanung verwaltet und ausgewertet werden können. Aufgrund dieses ganzeinheitlichen Ansatzes ist die Einführung einer ERP-Software immer mit einem komplexen Projekt verbunden, das eine enge Zusammenarbeit zwischen dem Anbieter der ERP-Software und dem Anwenderunternehmen erfordert. Die optimale Nutzung einer ERP-Software setzt insofern voraus, dass ei- 2 nerseits das Unternehmen in der Lage ist, seine Geschäftsprozesse zutreffend und umfassend zu beschreiben. Demgegenüber ist der Anbieter dann gehalten, die ihm zu den Geschäftsprozessen überlassenen Informationen und Daten für die kundenindividuelle Anpassung der ERP-SoftHuppertz
143
§ 12
Rechte an Geschftsprozessdaten
ware zu verwerten. Im Zusammenhang mit diesem sog. Customizing von ERP-Software stellt sich zunächst die Frage, welche Rechte an den Geschäftsprozessdaten vor und nach Durchführung des Customizing entstehen können1. Ferner soll geklärt werden, ob es sich bei der Parametrisierung von ERP-Software um eine urheberrechtlich relevante Umarbeitung der ERP-Software handelt2. Schließlich soll abschließend noch ein Vorschlag für eine vertragliche Regelung der Rechtesituation sowohl aus Unternehmens- als auch aus Anbietersicht unterbreitet werden3. 2. Terminologie 3
Aufgrund der nicht immer konsistent verwendeten Terminologie erscheint es zunächst zweckmäßig, die nachfolgenden Begriffsbestimmungen vorzunehmen: a) ERP-Software
4
Eine gelungene Definition für ERP-Software findet sich in einem Schreiben des Bundesfinanzministeriums (BMF) vom 18.11.2005 zur bilanzsteuerrechtlichen Beurteilung von Aufwendungen zur Einführung von ERP-Software4. Hiernach ist ERP-Software ein Softwaresystem, das zur Optimierung von Geschäftsprozessen eingesetzt und aus verschiedenen Modulen (z.B. Fertigung, Finanzen, Logistik, Personal, Vertrieb) zusammengestellt wird und zur umfassenden Integration und Steuerung verschiedener Unternehmensaktivitäten dient. Im BMF-Schreiben wird zudem zutreffend ausgeführt, dass es für den betrieblichen Einsatz von ERP-Software notwendig ist, die Software an die unternehmensspezifischen Belange anzupassen. ERP-Software wird zwar von den Anbietern als Standardsoftware ausgeliefert, ist aber ohne kundenspezifische Anpassung in der Regel nicht sinnvoll einsetzbar. Derartige ERP-Software wird im Übrigen von deutschen Unternehmen mit mehr als 100 Mitarbeitern mittlerweile nahezu flächendeckend eingesetzt5. b) Customizing
5
Auch wenn viele Hersteller ERP-Software anbieten, die bereits auf eine bestimmte Branche zugeschnitten ist, werden durch die jeweilige Software lediglich standardisierbare Aufgabenstellungen der potentiellen 1 2 3 4
S. hierzu unter II., Rz. 13 ff. S. hierzu unter III., Rz. 31. S. hierzu unter IV., Rz. 32. BMF, Schreiben betr. bilanzsteuerrechtliche Beurteilung von Aufwendungen zur Einführung eines betriebswirtschaftlichen Softwaresystems (ERP-Software) v. 18.11.2005, BStBl. I. 2005, S. 1025. 5 Nach einer Studie der RAAD Research – basierend auf einer Befragung bei mehr als 1700 mittelständischen Unternehmen von August bis November 2009 – setzen branchenübergreifend ca. 94 % der deutschen Unternehmen mit mehr als 100 Mitarbeitern eine Standardsoftware für ERP-Zwecke ein.
144
Huppertz
§ 12
I. Problemstellung und Terminologie
Zielunternehmen abgedeckt. Aus dieser Standardisierung folgt jedoch, dass die individuellen Anforderungen eines Unternehmens, insbesondere aufgrund von atypischen Geschäftsprozessen, im Rahmen des Customizing der ERP-Software Berücksichtigung finden müssen. Ziel des Customizing ist daher, die im Auslieferungszustand der ERP-Software vorhandenen Standardfunktionalitäten so anzupassen, damit diese dem vom Anwenderunternehmen gewünschten Soll-Zustand entsprechen. Dies kann durch die Konfiguration, die Parametrisierung und/oder durch eine Individualprogrammierung erfolgen. Teilweise wird der Begriff des Customizing nur auf solche Anpassungen 6 beschränkt, die nicht auf Quellcodeebene erfolgen1. Andererseits wird in der Praxis der Begriff des Customizing oft so verwendet, dass damit die Individualprogrammierung von Anpassungen eingeschlossen wird2. Aufgrund des Wortsinns erscheint der Begriff des Customizing auch gut geeignet, um als Oberbegriff für alle Formen der Anpassung von Standardsoftware zu dienen. aa) Konfiguration Im Rahmen der Konfiguration wird der konkret vom Anwenderunterneh- 7 men benötigte Funktionsumfang der ERP-Software durch Auswahl der angebotenen Module (z.B. Materialwirtschaft, Produktionsplanung, Finanz- und Rechnungswesen, Personal, etc.) festgelegt. Die entsprechende Konfiguration ermöglicht es dem Anwenderunternehmen, lediglich diejenigen Module der ERP-Software zu übernehmen, die es tatsächlich braucht3. Bei einer bedarfsorientierten und für das Anwenderunternehmen optimalen Auswahl von Modulen können nicht nur Kosten gesenkt, sondern unter Umständen auch die Performanz des Gesamtsystems erhöht werden. bb) Parametrisierung ERP-Software enthält als Standardsoftware einen komplexen und sehr 8 großen Funktionsumfang. Durch die Parametrisierung einer ERP-Software wird dieser standardisierte Funktionsumfang auf die individuellen Bedürfnisse des Anwenderunternehmens eingestellt4. In diesem Prozess werden – vereinfacht ausgedrückt – Funktionen der Software durch das Setzen von Parametern aktiviert bzw. deaktiviert. Im Rahmen der Parametrisierung soll insoweit sichergestellt werden, dass die im Anwender1 Koch, ITRB 2005, 140; s. auch die Definition von Customizing in den Vertragsbedingungen der öffentlichen Hand EVB-IT kommentiert von Müglich in Kilian/ Heussen, Computerrecht, Vertragsbedingungen der öffentlichen Hand EVB-IT, Rz. 71. 2 Vgl. Stahlknecht/Hasenkamp, Einführung in die Wirtschaftsinformatik, S. 303. 3 Vgl. Stahlknecht/Hasenkamp, Einführung in die Wirtschaftsinformatik, S. 298. 4 Vgl. Müglich in Kilian/Heussen, Computerrecht, Vertragsbedingungen der öffentlichen Hand EVB-IT, Rz. 71. Huppertz
145
§ 12
Rechte an Geschftsprozessdaten
unternehmen gelebten Geschäftsprozesse durch die ERP-Software zutreffend abgebildet werden. Kennzeichnend für die Parametrisierung ist, dass diese ohne Eingriff in den Quellcode der ERP-Software erfolgt. 9
Die entsprechenden Parameter und Funktionen sind insoweit bereits in der ERP-Software enthalten, so dass „nur noch“ eine entsprechende Einstellung vorgenommen werden muss. In diesem Zusammenhang darf jedoch nicht vergessen werden, dass gerade mit der richtigen Parametrisierung einer ERP-Software ein erheblicher Aufwand auf Seiten des Anbieters und des Anwenderunternehmens verbunden ist. Ohne eine sorgfältige, lückenlos aufbereitete Darstellung der Geschäftsprozesse und die hierauf basierende Parametrisierung der ERP-Software ist eine sinnvolle Softwarenutzung nicht möglich. Insoweit erfordert die richtige Parametrisierung nicht nur vertiefte Kenntnisse der ERP-Software, sondern auch insbesondere ein umfassendes Verständnis für die abzubildenden Geschäftsprozesse. Das Ergebnis einer umfassenden Parametrisierung ist daher weit mehr als die triviale Auswahl von vorgegebenen Parametereinstellungen der jeweiligen ERP-Software1. cc) Individualprogrammierung
10
Lassen sich die Geschäftsprozesse des Anwenderunternehmens durch eine entsprechende Parametrisierung des vorgegebenen Funktionsumfangs der ERP-Software nicht abbilden, verbleiben nur zwei Möglichkeiten. Zunächst kann das Anwenderunternehmen seine Geschäftsprozesse so verändern, dass diese mit einer entsprechend parametrisierten ERP-Software harmonieren. Doch auch wenn dieses Vorgehen in der Praxis oftmals zu einer Optimierung von Geschäftsprozessen führen kann, bestehen viele Anwenderunternehmen auf der Beibehaltung ihrer alten Geschäftsprozesse.
11
Letzteres erfordert dann eine individuelle Ergänzungs- oder Anpassungsprogrammierung der ERP-Software. Derartigen kundenindividuellen Zusatzprogrammierungen sind jedoch gewisse Grenzen gesetzt. Problematisch ist insbesondere, dass die Anpassungen vom Anbieter in der Regel nicht im Rahmen der Weiterentwicklung der Standardsoftware berücksichtigt werden können. Dies kann wiederum zu Komptabilitätsproblemen führen, wenn das Anwenderunternehmen ein neues Release der Standardsoftware einführt, da hierbei ggf. durch erneute Programmierarbeiten sichergestellt werden muss, dass die Anpassung und das neue Release kompatibel bleiben. Dieses sog. „Forking“ führt in den meisten Fällen zu zusätzlichen Kosten auf Seiten des Anwenderunternehmens, da die notwendigen Programmierarbeiten an der Anpassung nicht durch die üblicherweise abgeschlossenen Wartungsverträge für die Standardversion der ERP-Software abgedeckt werden2. 1 So aber in der Tendenz Koch, ITRB 2005, 140. 2 Vgl. hierzu Koch, ITRB 2004, 13 (16).
146
Huppertz
§ 12
II. berblick Rechtesituation beim Customizing von ERP-Software
Aufgrund dieser Problematik und des immensen Funktionsumfangs von 12 modernen ERP-Systemen ist in der Praxis die Tendenz zu beobachten, dass immer mehr Anwenderunternehmen im Rahmen der Einführung einer ERP-Software darauf achten, möglichst nah am Standard der ERPSoftware zu bleiben, um so nachteilige Individualanpassungen zu vermeiden. Dies führt auch dazu, dass die Bedeutung einer umfassenden und alle Geschäftsprozesse abbildenden Parametrisierung von ERP-Software zunehmen wird.
II. Überblick Rechtesituation beim Customizing von ERP-Software Im Verhältnis zwischen Anwenderunternehmen und Anbieter stellt sich 13 die Frage, wem eigentlich die Rechte an den im Rahmen des Customizing entstandenen Arbeitsergebnissen zustehen. Zwar enthalten die meisten in der Praxis verwendeten Projektverträge Regelungen zur Einräumung von Nutzungsrechten an den ggf. notwendigen Individualprogrammierungen (Anpassung und/oder Erweiterung der Standardsoftware). In diesen Regelungen wird jedoch selten zwischen den unterschiedlichen Formen des Customizing, also zwischen Konfiguration, Parametrisierung und der eigentlichen Individualprogrammierung auf Quellcodeebene, differenziert. Vielmehr wird oftmals ungenau auf die „Anpassung“ der Standardsoftware abgestellt1. Hinzu kommt noch, dass die zukünftige Verwertung der Arbeitsergebnis- 14 se eines Customizing sowohl für den Anbieter als auch für das Anwenderunternehmen von großem Interesse sein kann. Der Anbieter möchte sich insoweit die Möglichkeit offenhalten, die für eine bestimmte Branche besonders effektiven oder innovativen Geschäftsprozesse zukünftig auch anderen Kunden der gleichen Branche durch eine entsprechende Voreinstellung seiner ERP-Software anzubieten. Demgegenüber hat das Anwenderunternehmen ein Interesse daran, dass die von ihm offenbarten effektiven und innovativen Geschäftsprozesse gerade nicht an Konkurrenzunternehmen weitergegeben werden. Darüber hinaus hat das Anwenderunternehmen auch das Interesse, zukünftig die für dieses Unternehmen individualisierte Version der ERP-Software möglichst uneingeschränkt zu nutzen. Letzteres schließt insbesondere das Recht ein, das eigentliche Arbeitsergebnis des Customizing weiter zu bearbeiten und, z.B. im Fall von Umstrukturierungen, auch an verbundene Unternehmen oder Dritte zu übertragen. Grundlage für die im Rahmen des Customizing erarbeiteten Arbeits- 15 ergebnisse sind zunächst die vom Anwenderunternehmen gegenüber dem Anbieter offengelegten Geschäftsprozesse. Je nach Inhalt und Form sind diese zugunsten des Anwenderunternehmens geschützt. 1 Schneider/Bischof, ITRB 2002, 273 (275). Huppertz
147
§ 12
Rechte an Geschftsprozessdaten
1. Rechte an Geschäftsprozessen 16
Soweit es sich bei den im Anwenderunternehmen etablierten Geschäftsprozessen nicht nur um banale, in der jeweiligen Branche übliche und allgemein bekannte Prozesse handeln sollte, könnte man annehmen, dass diese Schutz als Betriebs- oder Geschäftsgeheimnisse i.S.d. §§ 17 f. UWG1 genießen. Zumindest für geheime und nicht offenkundige Geschäftsprozesse, die Herstellungsverfahren und Fertigungsmethoden betreffen, dürfte dies naheliegend sein2. Neben dem insofern bestehenden Schutz über § 17 UWG wird für derartig vertrauliche Informationen zudem auch die üblicherweise zwischen dem Anwenderunternehmen und dem Anbieter im Projektvertrag vereinbarte Vertraulichkeitsverpflichtung greifen. Zumindest in diesem engen Bereich dürfte daher eine Verwertung der gegenüber dem Anbieter offenbarten sensiblen Geschäftsprozesse für andere Kunden des Anbieters nur schwer möglich sein. Der Großteil der in einem ERP-Projekt zu verarbeitenden Geschäftsprozesse wird jedoch nicht die strengen Anforderungen an ein Betriebs- und Geschäftsgeheimnis erfüllen.
17
Für die an den Anbieter überlassene Dokumentation der Geschäftsprozesse des Anwenderunternehmens kommt jedoch urheberrechtlicher Schutz als Sprachwerk oder als Darstellung technischer Art i.S.v. § 2 Abs. 1 Nr. 1 und Nr. 7 UrhG in Betracht. Dies betrifft insbesondere das vom Anwenderunternehmen erstellte Lastenheft, in dem gemäß der hierfür einschlägigen DIN 69901-5 die „vom Auftraggeber festgelegte Gesamtheit der Forderungen an die Lieferungen und Leistungen eines Auftragnehmers“ festzulegen sind3. Zumindest dann, wenn in einem Lastenheft sämtliche für das angedachte ERP-Projekt relevanten Geschäftsprozesse durch Art und Form der Auswahl, Einteilung und Anordnung besonders übersichtlich dargestellt werden und sich hieraus eine gut verständliche und einleuchtende Darstellung der komplexen Zusammenhänge zwischen den einzelnen Prozessen ergibt, ist ein urheberrechtlicher Schutz zu gewähren4.
18
Unter Berücksichtigung der Rechtsprechung5 in diesem Umfeld scheidet ein urheberrechtlicher Schutz des Lastenhefts auch nicht schon regel1 S. dazu auch Gennen, § 13. 2 Vgl. hierzu BGH v. 21.12.1962 – I ZR 47/61, GRUR 1963, 367, Industrieböden; BGH v. 7.11.2002 – I ZR 64/00, GRUR 2003, 356, Präzisionsmessgeräte. 3 Vgl. allgemein zur Abgrenzung Lastenheft/Pflichtenheft Schneider, Handbuch des EDV-Rechts, D Rz. 421. 4 Vgl. hierzu OLG Köln v. 8.4.2005 – 6 U 194/04, CR 2005, 624 (625 f.) im Hinblick auf den urheberrechtlichen Schutz von konzeptionellen Vorgaben für die Entwicklung einer ERP-Software für die Reifenbranche; vgl. auch BGH v. 9.5.1985 – I ZR 52/83, NJW 1986, 192, Inkasso-Programm, hierin hielt der BGH ausdrücklich fest, dass ein Pflichtenheft als Sprachwerk Urheberrechtsschutz genießt. 5 BGH v. 7.12.1979 – I ZR 157/77, GRUR 1980, 227, Monumenta Germaniae Historica; BGH v. 11.4.2002 – I ZR 231/99, GRUR 2002, 958, Technische Lieferbedingungen.
148
Huppertz
§ 12
II. berblick Rechtesituation beim Customizing von ERP-Software
mäßig deshalb aus, weil in diesem die Beschreibung der zu lösenden Probleme oft rein sachbedingt ist1. Die schöpferische Leistung in der Erstellung eines Lastenhefts besteht neben der übersichtlichen Darstellung der vorhandenen Geschäftsprozesse vor allem darin, dass hierdurch auch die Abhängigkeiten und Wechselwirkungen zwischen einzelnen Geschäftsprozessen aufgezeigt werden. Folgerichtig besteht ein entsprechender Urheberschutz nicht nur für das 19 Lastenheft, sondern erst recht für das im weiteren Projektverlauf auf Grundlage des Lastenhefts entwickelte Pflichtenheft, also die eigentliche Feinspezifikation. In dieser Feinspezifikation werden insbesondere die im Rahmen der Parametrisierung abzubildenden Soll-Prozesse im Detail festgelegt. Da jedoch das Pflichtenheft in der Regel vom Anbieter in Zusammenarbeit mit dem Anwenderunternehmen erstellt wird2, wird im Gegensatz zum Lastenheft eher der Anbieter der originäre Rechteinhaber sein, wobei eine Miturheberschaft des Anwenderunternehmens naheliegt. Als Ausgangspunkt für die weitere Beurteilung der Rechtesituation ist 20 daher festzuhalten, dass die Dokumentation der Geschäftsprozesse in der Form eines Lastenhefts oder Pflichtenhefts grundsätzlich als Schriftwerk oder Darstellung technischer Art gem. § 2 Abs. 1 Nr. 1 und Nr. 7 UrhG geschützt sind. 2. Rechte an der Konfiguration der ERP-Software Das Ergebnis der Konfiguration der ERP-Software dürfte demgegenüber 21 infolge des Fehlens einer schöpferischen Leistung unter keinem Gesichtspunkt schutzfähig sein. Die bloße Auswahl von vorhandenen Modulen einer ERP-Software und die entsprechende Konfiguration dieser Module ist rein sachbedingt und wird deshalb meist nicht schutzbegründend sein können, da sie durch den vom Anwenderunternehmen vorgegebenen Funktionsumfang bestimmt ist3. 3. Rechte an der Parametrisierung der ERP-Software Wie bereits zuvor ausgeführt4, verfügt moderne ERP-Software über eine 22 immense Anzahl von Einstellungsmöglichkeiten, um die vom Anwenderunternehmen mitgeteilten Geschäftsprozesse softwareseitig abzubilden. Vor Durchführung der eigentlichen Parametrisierung wird vom Anbieter in einer Feinspezifikation dokumentiert, wie die Parametrisierung im Einzelnen erfolgen soll. An der Erstellung dieser Feinkonzeption wirkt das Anwenderunternehmen mit (z.B. durch gemeinsame Work1 2 3 4
Grützmacher in Wandtke/Bullinger, § 69a UrhG Rz. 9. Vgl. hierzu Redeker, IT-Recht, Rz. 302 ff. Vgl. Koch, ITRB 2005, 140. S. oben unter Rz. 8. Huppertz
149
§ 12
Rechte an Geschftsprozessdaten
shops). Allein der Aufwand für die Erstellung der Dokumentation der Feinkonzeption, deren Ergebnis oftmals vom Anwenderunternehmen förmlich abzunehmen ist, ist erheblich und ursächlich für einen Großteil der in einem ERP-Projekt entstehenden Gesamtkosten. Da bereits für die Dokumentation der Feinkonzeption nach der hier vertretenden Ansicht ein urheberrechtlicher Schutz in Betracht kommt, liegt es nahe, dass auch für die Umsetzung der Feinkonzeption durch die entsprechende Parametrisierung der ERP-Software ein gesonderter urheberrechtlicher Schutz in Betracht zu ziehen ist. Da letztendlich der Anbieter die Parametrisierung der ERP-Software durch seine hierauf spezialisierten Mitarbeiter vornimmt, wäre dieser auch Inhaber des ggf. hieraus resultierenden Schutzrechts. 23
Im Einzelnen kommen folgende Schutzrechte in Betracht: a) Urheberrechtlicher Schutz als Ausdrucksform eines Computerprogramms
24
In der älteren Literatur wurde vertreten, dass schon das Pflichtenheft als Entwurfsmaterial und damit als Teil eines Computerprogramms i.S.d. § 69a Abs. 1 UrhG geschützt ist1. Diese Ansicht dürfte unter Berücksichtigung der aktuellen Entscheidungen des EuGH in Sachen „BSA/Kulturministerium“2 und „SAS Institute“3 nicht mehr haltbar sein. Zum einen betont der EuGH, dass in erster Linie der Quellcode und der Objektcode eines Computerprogramms dessen Ausdrucksform sind, die nach der Softwarerichtlinie Schutz verdient4. Zum anderen stellt der EuGH in diesem Zusammenhang insbesondere klar, dass der Quellcode und der Objektcode ab dem Moment geschützt sein müssen, ab dem ihre Vervielfältigung die Vervielfältigung des Computerprogramms zur Folge hat und auf diese Weise der Computer zur Ausführung einer Funktion veranlasst werden kann. Hieraus folgerte der EuGH für Bedienungsanleitungen, Benutzerhandbücher oder Wartungshandbücher, dass diese nicht als Ausdrucksform des Computerprogramms geschützt sind, da mit ihnen das Computerprogramm grundsätzlich nicht vervielfältigt werden kann5. Da aber auch die Festlegungen in einer Feinspezifikation oder einem Lastenheft nicht unmittelbar der jeweiligen Hardware vorgeben, wie die betreffende Software zu vervielfältigen ist, können diese weder als Ent-
1 Vgl. Lehmann in Lehmann, Rechtsschutz und Verwertung von Computerprogrammen, I Rz. 5 Fn. 21; Fromm/Nordemann/Vink, § 69a UrhG Rz. 4. 2 EuGH v. 22.12.2010 – Rs. C-393/09, CR 2011, 221, Grafische Benutzeroberfläche. 3 EuGH v. 2.5.2012 – Rs. C-406/10, CR 2012, 428, SAS Institute. 4 EuGH v. 2.5.2012 – Rs. C-406/10, CR 2012, 428, Rz. 39–41, SAS Institute. 5 EuGH v. 2.5.2012 – Rs. C-406/10, CR 2012, 428, Rz. 63, SAS Institute; vgl. auch Marly, GRUR 2012, 773 (779).
150
Huppertz
§ 12
II. berblick Rechtesituation beim Customizing von ERP-Software
wurfsmaterial noch als sonstige Ausdrucksform des betreffenden Computerprogramms Schutz genießen1. Auch die Parametrisierung der ERP-Software weist aber keinen unmittel- 25 baren Bezug zum Quellcode oder Objektcode auf, sondern stellt vielmehr lediglich eine ohnehin schon von der Software vorgesehene Einstellungsmöglichkeit dar, mittels derer das Anwenderunternehmen die Funktion der Software nutzen kann. Im Ergebnis ist die bloße Parametrisierung der Software daher keine eigenständige Ausdrucksform des betreffenden Computerprogramms. Ein gesonderter Schutz der Parametrisierung über § 69a Abs. 1, Abs. 2 UrhG wird daher nicht gegeben sein. b) Urheberrechtlicher Schutz gem. § 2 Abs. 1 Nr. 1 und Nr. 7 UrhG Wie zuvor ausgeführt, kommt ein urheberrechtlicher Schutz gem. § 2 26 Abs. 1 Nr. 1 und Nr. 7 UrhG zumindest für die Dokumentation der Geschäftsprozesse in der Form eines Lastenhefts oder Pflichtenhefts in Betracht. Wird die Festlegung der Geschäftsprozesse und deren Zusammenwirken im Rahmen der Parametrisierung der ERP-Software durch entsprechende Auswahl der Parameter umgesetzt, stellt sich die Frage, ob sich der urheberrechtliche Schutz in der konkreten Ausprägung der dann entstehenden Version der ERP-Software nicht fortsetzt. Hiergegen könnte sprechen, dass anders als bei einer Dokumentation der Geschäftsprozesse in Schriftform die Wahrnehmbarkeit der einzelnen Geschäftsprozesse durch die Parametrisierung verloren geht. Dem ist jedoch entgegenzuhalten, dass das betreffende Werk – vorliegend die systematische und umfassende Abbildung der Geschäftsprozesse des Anwenderunternehmens – nur in irgendeiner Weise durch die menschlichen Sinne wahrnehmbar sein muss2. Denn mit dem Kriterium der Wahrnehmbarkeit soll letztendlich nur zu rein abstrakten Vorstellungen abgegrenzt werden, die noch keine Verkörperung erfahren haben. Die Geschäftsprozesse sind allerdings durchaus in der Software durch den geschulten Anwender sinnlich wahrnehmbar und daher auch verkörpert. Die nach § 2 UrhG erforderliche Wahrnehmbarkeit dürfte demnach bei der Nutzung der ERP-Software ohne weiteres gegeben sein3. Ferner ist in diesem Zusammenhang anerkannt, dass im Gegensatz zu den abstrakt vorhandenen Gestaltungsmöglichkeiten einer Software gerade die konkret mit Hilfe dieser Gestaltungsmöglichkeiten erstellten Inhalte gesondert schutzfähig sein sollen4. So liegt es auch hier, da die nach Parametrisierung in der 1 So auch die ohnehin bislang herrschende Meinung, vgl. nur Grützmacher in Wandtke/Bullinger, § 69a UrhG Rz. 9. 2 Vgl. Schulze in Dreier/Schulze, § 2 UrhG Rz. 13; Schricker/Loewenheim, § 2 UrhG Rz. 20. 3 Vgl. hierzu auch LG Frankfurt/M. v. 8.11.2012 – 2-03 O 269/12, CR 2013, 286; das LG Frankfurt stellte im Zusammenhang mit dem in einer XML-Datei enthaltenen Regelsätzen fest, dass für diese grundsätzlich urheberrechtlicher Schutz nach § 2 Abs. 1 Nr. 1 UrhG denkbar ist. 4 Schricker/Loewenheim, § 2 UrhG Rz. 21. Huppertz
151
§ 12
Rechte an Geschftsprozessdaten
ERP-Software abgebildeten Geschäftsprozesse in der Regel nicht ohne zusätzlichen schöpferischen Aufwand in die Software Eingang finden. c) Schutz als Datenbankwerk gem. § 4 Abs. 2 UrhG bzw. Schutz als Datenbank gem. §§ 87a ff. UrhG 27
Grundsätzlich könnte man auch darüber nachdenken, ob nicht infolge der Parametrisierung die abgebildeten Geschäftsprozesse systematisch oder methodisch angeordnet und über die Abfragemöglichkeiten der ERP-Software zugänglich gemacht werden. Gegen die Einordnung der Parametrisierung als Datenbankwerk i.S.v. § 4 Abs. 2 UrhG bzw. als Datenbank i.S.v. § 87a Abs. 1 UrhG spricht zunächst nicht, dass die Art und Weise der Strukturierung und systematischen Anordnung der Geschäftsprozesse letztendlich durch die in der ERP-Software vorgegebenen Einstellungsmöglichkeiten vorgegeben wird1. Aufgrund der Vielzahl von Einstellungsmöglichkeiten dürfte hinsichtlich der konkret im Rahmen der Parametrisierung zu treffenden Auswahlentscheidungen ein hinreichender Spielraum verbleiben, der das Vorliegen einer schöpferischen Eigenart der jeweiligen Parametrisierung rechtfertigt.
28
Dennoch dürfte ein Schutz der Parametrisierung über § 4 Abs. 2 UrhG bzw. §§ 87a ff. UrhG in der Regel nicht zu erzielen sein. Denn in beiden Fällen wird vorausgesetzt, dass die jeweiligen im Datenbankwerk bzw. in der Datenbank angeordneten Elemente einzeln zugänglich sein müssen2. In der Regel können aber die im Einzelnen mithilfe der ERP-Software abgebildeten Geschäftsprozesse nicht auf Knopfdruck visualisiert werden, da eine solche statische Dokumentation von Geschäftsprozessen nicht zum gängigen Funktionsumfang einer ERP-Software gehört. Ferner ist schon fraglich, ob es sich bei den einzelnen abgebildeten Geschäftsprozessen überhaupt um unabhängige Einzelelemente handelt, die auch voneinander getrennt werden können, ohne dass der Wert ihres informativen Inhalts dadurch beeinträchtigt wird. Zumindest für den Schutz als Datenbank gem. §§ 87a ff. UrhG wäre dies aber Voraussetzung3.
29
Ungeachtet dessen mag im Einzelfall dennoch eine Ausnahme möglich sein, wenn die jeweiligen Geschäftsprozesse als Datenbankelemente tatsächlich einzeln durch eine entsprechende Funktion in der Software aufgerufen und visualisiert werden können. In diesem Fall ist zu beachten, dass die Rechte an der Datenbank auseinanderfallen können. Denn als Datenbankhersteller i.S.d. § 87a Abs. 2 UrhG wird vorrangig das Anwenderunternehmen in Betracht kommen, da es in der Regel die wesentlichen Investitionen zur Erstellung der Datenbank getragen hat. Rechteinhaber des Datenbankwerks i.S.d. § 4 Abs. 2 UrhG wird demgegenüber in 1 Vgl. zum hierdurch ggf. einzuschränkenden Schutzumfang von elektronischen Datenbanken Dreier in Dreier/Schulze, § 4 UrhG Rz. 17. 2 Vgl. hierzu Dreier in Dreier/Schulze, § 4 UrhG Rz. 18. 3 BGH v. 21.7.2005 – I ZR 92/02, MMR 2005, 754, Hit Bilanz.
152
Huppertz
§ 12
III. Parametrisierung als Umarbeitung i.S.d. § 69c Nr. 2 UrhG
erster Linie der Anbieter sein, da er bei der Parametrisierung regelmäßig die entsprechende schöpferische Leistung erbracht hat1. Bei entsprechender vertraglicher Gestaltung dürfte sich dieses Dilemma allerdings interessengerecht auflösen lassen (s. hierzu unten unter Rz. 32)2. 4. Rechte an der Anpassung der ERP-Software Soweit der Anbieter für das Anwenderunternehmen eine nicht im Stan- 30 dard der ERP-Software vorhandene Zusatzfunktionalität durch eine entsprechende Individualprogrammierung ergänzt, besteht für diese Anpassungsmaßnahme ein eigenständiger Urheberrechtsschutz aus §§ 69a ff. UrhG, wenn diese Ergänzung nicht als nur trivial oder völlig banal zu bewerten ist3. Im Zusammenhang mit derartigen Individualprogrammierungen ist zudem zu bedenken, dass die Parteien in der überwiegenden Mehrzahl der Fälle hierzu eine entsprechende vertragliche Absprache treffen und insbesondere den Umfang der dem Anwenderunternehmen zustehenden Nutzungsrechte festlegen.
III. Parametrisierung als Umarbeitung i.S.d. § 69c Nr. 2 UrhG Selbst wenn man zu dem Ergebnis kommt, dass im Rahmen der Para- 31 metrisierung einer ERP-Software kein gesonderter urheberrechtlicher Schutz besteht, stellt sich dennoch die Frage, ob eine Parametrisierung eine Umarbeitung in Sinne des § 69c Nr. 2 UrhG der ERP-Software darstellt. Dies hätte zumindest für das Anwenderunternehmen weitreichende Folgen, da dieses ohne gesonderte Zustimmung des Anbieters eine eigenständige Parametrisierung der ERP-Software nicht durchführen dürfte. Zum Teil wird der Begriff der Umarbeitung in der Rechtsprechung sehr weit ausgelegt. Hiernach sollen auch Änderungen zur Anpassung an individuelle Benutzerwünsche, Programmverbesserungen und Erweiterungen des Funktionsumfangs – auch wenn diese nicht im Zusammenhang mit einer Änderung des Quellcodes stehen – als zustimmungspflichtige Umarbeitung zu qualifizieren sein4. Demgegenüber wird vertreten, dass für eine Umarbeitung i.S.v. § 69c Nr. 2 UrhG ein Eingriff in die Programmsubstanz, also insbesondere eine Bearbeitung des Quellcodes, erforderlich sei und daher in einer bloßen Datenveränderung im Rahmen eines von der Software ohnehin vorgesehenen Customizing keine urheberrechtsverletzende Umarbeitung zu sehen sei5. Im Ergebnis dürfte diese Ansicht für die hier betrachtete Parametrisierung von ERP-Software zutreffend sein. Kennzeichnend hierfür ist nämlich, dass die entspre1 2 3 4 5
S. hierzu bereits oben unter Rz. 19, 22. Vgl. hierzu Dreier in Dreier/Schulze, § 87a UrhG Rz. 22. Koch, ITRB 2005, 140; Grützmacher in Wandtke/Bullinger, § 69a UrhG Rz. 12. OLG Hamburg v. 13.4.2012 – 5 U 11/11, CR 2012, 503, Replay PSP. Grützmacher in Wandtke/Bullinger, § 69c UrhG Rz. 20; vgl. auch Spindler, CR 2012, 417 (418 f.). Huppertz
153
§ 12
Rechte an Geschftsprozessdaten
chende Parametrisierung bereits in der ERP-Software angelegt ist und es daher ohne Weiteres der bestimmungsgemäßen Benutzung i.S.d. § 69d Abs. 1 UrhG entspricht, wenn das Anwenderunternehmen die vorgegebenen Möglichkeiten zur Parametrisierung verwendet1.
IV. Fazit und Vorschlag für vertragliche Regelung 32
Als Fazit lässt sich festhalten, dass im Rahmen des Customizing von ERP-Software nicht nur die individuelle Programmierung von Zusatzfunktionalitäten urheberrechtlich relevant werden kann, sondern auch die bloße Parametrisierung der Software. Selbst wenn ein urheberrechtlicher Schutz der Parametrisierung nach § 2 Abs. 1 Nr. 1 und Nr. 7 UrhG nur im Zusammenhang mit einer komplexen und umfassenden kundenindividuellen Parametrisierung in Frage kommen wird, bietet es sich an, die hieraus resultierenden Rechtsfragen sauber vertraglich zu regeln. Eine für beide Seiten interessengerechte Regelung könnte z.B. wie folgt aussehen: In Ergnzung der vorstehend geregelten Rechteeinrumung vereinbaren die Parteien fr die im Rahmen der Parametrisierung der ERP-Software entstehenden Arbeitsergebnisse das Folgende: Der Auftraggeber erhlt an dem vom Auftragnehmer erstellten Pflichtenheft (Feinspezifikation) sowie am Ergebnis der Parametrisierung der ERP-Software das nicht-ausschließliche, zeitlich unbefristete, inhaltlich nicht beschrnkte unwiderrufliche und frei bertragbare Nutzungsrecht. Der Auftraggeber ist insbesondere berechtigt, die Parametrisierung der ERP-Software jederzeit selbst oder durch Dritte zu ndern, soweit sichergestellt ist, dass hierdurch kein Eingriff in den Quellcode der ERP-Software erfolgt. Ferner bernimmt der Auftragnehmer keine Gewhrleistung fr Softwaremngel, die nachweislich und unmittelbar durch die vom Auftraggeber zu verantwortende nderung der Parametrisierung verursacht wurden. Der Auftragnehmer ist berechtigt, das im Zusammenhang mit der Parametrisierung erlangte Branchen-Know-how uneingeschrnkt auch fr andere Kunden zu verwenden, soweit hierdurch die vorstehend in Ziffer … geregelte Vertraulichkeitsverpflichtung nicht verletzt wird.
1 So auch Schneider, Handbuch des EDV-Rechts, C Rz. 107 f.
154
Huppertz
§ 13 Schutz des Betriebs- und Geschäftsgeheimnisses (mit Schwerpunkt auf Daten und Datenbanken)
I. Einleitung . . . . . . . . . . . . . . . . . . . II. Gesetzlicher Geheimnisschutz im Allgemeinen. . . . . . . . . . . . . . . 1. Begriffsbestimmung . . . . . . . . . . . a) Know-how . . . . . . . . . . . . . . . . . b) Betriebs- und Geschäftsgeheimnis . . . . . . . . . . . . . . . . . c) Unterschied . . . . . . . . . . . . . . . . 2. Lauterkeitsrechtlicher Schutz . . . a) § 17 Abs. 1 UWG (Geheimnisverrat) . . . . . . . . . . . . . . . . . . b) § 17 Abs. 2 Nr. 1 UWG Ausspähen/Betriebsspionage . . . . . c) § 17 Abs. 2 Nr. 2 UWG Geheimnisverwertung . . . . . . . d) §§ 18, 19 UWG . . . . . . . . . . . . . e) Rechtsfolgen . . . . . . . . . . . . . . . 3. Schutz nach dem UrhG, §§ 4 Abs. 1, 87 ff. UrhG. . . . . . . . . . . . . 4. Schutz im Rahmen des BGB . . . . . 5. Sonstige Geheimhaltungsvorschriften . . . . . . . . . . . . . . . . . .
Rz.
Rz.
1
3. Abgrenzung zum nachvertraglichen Wettbewerbsverbot . . . . . . 57 4. Rechtsfolgen . . . . . . . . . . . . . . . . . 60
3 4 5 9 11 12 13 20 23 30 31 33 37 44
III. Gesetzlicher Geheimnisschutz im Arbeitsverhältnis . . . . . . . . . . . 46 1. Während des Arbeitsverhältnisses . . . . . . . . . . . . . . . . . . . . . . . 47 2. Nach Beendigung des Arbeitsverhältnisses . . . . . . . . . . . . . . . . . 49
IV. Vertraglicher Geheimnisschutz . . 1. Einleitung. . . . . . . . . . . . . . . . . . . . 2. Geheimhaltungsklauseln in (auf Datenbanken bezogenen) Verträgen . . . . . . . . . . . . . . . . . . . . a) Gegenstand der Geheimhaltung. . . . . . . . . . . . . . . . . . . . b) Öffnungsklauseln . . . . . . . . . . . c) Geheimhaltungs- und Nichtverwendungspflichten . . . . . . . d) Absicherung durch Vertragsstrafe bzw. pauschalierten Schadensersatz . . . . . . . . . . . . . e) Laufzeit des Vertrages und Dauer der Geheimhaltungsverpflichtung . . . . . . . . . . . . . . . f) Nachvertragliches Wettbewerbsverbot . . . . . . . . . . . . . . g) Hinterlegung . . . . . . . . . . . . . . . h) Herausgabe der Unterlagen . . . 3. Präventive innerbetriebliche Schutzmaßnahmen . . . . . . . . . . . . 4. Checkliste für die vertragliche Gestaltung . . . . . . . . . . . . . . . . . . .
63 63 67 67 70 72 74 77 78 86 87 88 93
I. Einleitung Der Wandel zur Informationsgesellschaft hat zur Folge, dass vielfach die 1 Erarbeitung und Verwertung nicht allgemein bekannter fachlicher, technischer oder sonstiger betrieblicher Informationen, zu denen auch Daten, Datenbanken und Datenbankwerke1 gehören, einen Schwerpunkt der betrieblichen Tätigkeit bilden2. Innerbetriebliches Wissen, Know-how und sonstige nicht öffentlich zugängliche Informationen zählen daher zumeist zu den wichtigsten Vermögenswerten eines Unternehmens3 bzw. stellen sogar das Hauptprodukt dar. Fallgestaltungen, in denen solche be1 Im Folgenden werden Daten, Datenbanken und Datenbankwerke als einheitlicher Schutzgegenstand unter der Bezeichnung „Datenbanken“ zusammengefasst, sofern es nicht auf die Unterscheidung zwischen diesen drei Begriffen dezidiert ankommt. 2 Westermann, Handbuch Know-how Schutz, Kap. 1 Rz. 1. 3 Bornkamm/Köhler in Köhler/Bornkamm, UWG, Vor §§ 17 bis 19 Rz. 1. Gennen
155
§ 13
Schutz des Betriebs- und Geschftsgeheimnisses
trieblichen Informationen, insbesondere in Form von Datenbanken, beabsichtigt oder unbeabsichtigt, an Dritte gelangen bzw. gelangen könnten, sind vielfältig, z.B.: – Ein Externer, der die IT-Systeme eines Unternehmens erstellt, wartet oder pflegt, erhält bisweilen technisch Zugriff auf dort vorgehaltene Datenbanken. – Unternehmen verschaffen sich illegal nicht öffentlich zugängliche betriebliche Informationen ihrer Konkurrenten. So kommt es, neben technischen Einbrüchen in IT-Systeme, zu Wirtschaftsspionage, Geheimnisverrat durch „Social Engineering“, Produktpiraterie und zum Abwerben von Arbeitnehmern. – In den letzten Jahrzehnten ist die durchschnittliche Dauer der Betriebszugehörigkeit eines Mitarbeiters zu einem bestimmten Beschäftigungsunternehmen stetig gesunken. Arbeitnehmer scheiden öfter aus Unternehmen aus und wünschen, ihr fachliches Wissen, z.B. Kundendaten bzw. Kundenlisten, im Rahmen der zeitlich nachfolgenden Beschäftigung weiter benutzen zu können. Damit besteht die Herausforderung, einen Ausgleich zwischen einerseits dem Interesse der Unternehmen an der Wahrung ihrer Wettbewerbsfähigkeit und andererseits dem Interesse der Arbeitnehmer, gewonnene Erfahrungen und Erkenntnisse auch nach einem Arbeitsplatzwechsel weiter verwenden zu können, zu schaffen. Das Bedürfnis nach Schaffung eines Interessenausgleichs spiegelt sich sowohl in der rechtspolitischen Diskussion als auch in höchstrichterlichen Entscheidungen wider1. – Zudem stellt die Zunahme von Kooperationen zwischen Unternehmen und das Outsourcing von betrieblichen Leistungen die Unternehmen und ihre Unternehmensinhaber vor neue Herausforderungen und führt zu dem Bedürfnis, zwangsläufig Dritten zugängliches Wissen bestmöglich zu schützen2. 2
Die absichtliche oder unabsichtliche Weitergabe nicht öffentlich zugänglicher betrieblicher Informationen kann Unternehmen in einem hohen Maße wirtschaftlich schädigen3. Nicht öffentlich zugängliche betriebliche Informationen können nur dann umfassend und bestmöglich geschützt werden, wenn das Unternehmen sowohl auf ein innerbetriebli-
1 Harte-Bavendamm in Gloy/Loschelder/Erdmann, Wettbewerbsrecht, § 77 Rz. 1. 2 Vgl. hierzu Grunewald, WRP 2007, 1307. 3 Einer Studie der Beratungsgesellschaft Corporate Trust „Industriespionage 2012 – Aktuelle Risiken für die deutsche Wirtschaft durch Cyberwar“ zufolge ist der finanzielle Gesamtschaden durch Industriespionage für die deutsche Wirtschaft in den letzten fünf Jahren um rund 50 % gestiegen; vgl. Gajo, GmbHR 2012, 209.
156
Gennen
§ 13
II. Gesetzlicher Geheimnisschutz im Allgemeinen
ches „Know-how-Schutzprogramm“ als auch auf sorgfältig ausgestaltete Geheimhaltungsvereinbarungen1 setzt.
II. Gesetzlicher Geheimnisschutz im Allgemeinen Der Schutz nicht öffentlich zugänglicher betrieblicher Informationen 3 wird insbesondere im Zusammenspiel straf-, wettbewerbs- und arbeitsrechtlicher Erwägungen und Normen bestimmt, deren Tatbestände nicht immer klar voneinander abzugrenzen sind2. Vor diesem Hintergrund stellt sich der Geheimnisschutz als Querschnittsmaterie dar, deren Grundsätze zunächst nachfolgend erläutert werden. Das Aufzeigen von Schwachstellen im gesetzlichen Geheimnisschutz kann die Bedürfnisse eines optimalen vertraglichen Schutzes verdeutlichen. 1. Begriffsbestimmung Zur Klarstellung bedarf es zunächst einer Definition der im Folgenden 4 zugrunde gelegten Begriffe „Know-how“ und „Betriebs- und Geschäftsgeheimnis“. a) Know-how Der Begriff Know-how gehörte ursprünglich zur ökonomischen Termino- 5 logie und ist rechtlich nicht verbindlich definiert3, weder im internationalen noch im deutschen Rechtsraum. Lediglich in Art. 1 Abs. (1) lit. i der Gruppenfreistellungsverordnung Technologietransfer (TT-GVO) sowie in anderen Gruppenfreistellungsverordnungen4 wird der Begriff „Know-how“ für Zwecke der kartellrechtlichen Bewertung definiert als
1 Im deutschsprachigen Raum auch Vertraulichkeitsvereinbarungen, Verschwiegenheitsvereinbarungen, Geheimhaltungsvereinbarungen und im englischsprachigen Raum auch Confidential Agreement oder Non-Discloure Agreement genannt. 2 Harte-Bavendamm in Gloy/Loschelder/Erdmann, Wettbewerbsrecht, § 77 Rz. 7. 3 Sosnitza in Piper/Ohly/Sosnitza, UWG, Vor §§ 17 bis 19 Rz. 1. 4 Verordnung (EG) Nr. 772/2004 der Kommission v. 27.4.2004 über die Anwendung von Art. 81 Abs. 3 EG-Vertrag auf Gruppen von Technologietransfer-Vereinbarungen. Im Übrigen ist diese Definition identisch mit der aus VertikalGVO, Verordnung (EG) Nr. 2790/1999 der Kommission v. 22.12.1999 über die Anwendung von Art. 81 Abs. 3 des Vertrages auf Gruppen von vertikalen Vereinbarungen und aufeinander abgestimmte Verhaltensweisen. Art 1 Abs. 1 lit. i) der Verordnung (EU) Nr. 1217/2010 der Kommission v. 14.12.2010 über die Anwendung von Artikel 101 Absatz 3 des Vertrags über die Arbeitsweise der Europäischen Union auf bestimmte Gruppen von Vereinbarungen über Forschung und Entwicklung, ABl. Nr. L 335 v. 18.12.2010, S. 36–42, definiert Know-how (unter Einschluss der Verweisungen in lit. i) gleich. Gennen
157
§ 13
Schutz des Betriebs- und Geschftsgeheimnisses
„eine Gesamtheit nicht patentierter praktischer Kenntnisse, die durch Erfahrungen und Versuche gewonnen werden und die (i) geheim, d.h. nicht allgemein bekannt und nicht leicht zugänglich sind, (ii) wesentlich, d.h. für die Produktion der Vertragsprodukte von Bedeutung und nützlich sind, und (iii) identifiziert sind, d.h. umfassend genug beschrieben sind, so dass überprüft werden kann, ob es die die Merkmale „geheim“ und „wesentlich“ erfüllt“.
6
Diese Definition greift für eine allgemeine Definition zu kurz1. Sinn und Zweck der GVOen ist die Durchsetzung eines wirksamen Wettbewerbs. Der Know-how-Schutz als Querschnittsmaterie geht aber darüber hinaus. Es soll nicht (nur) der Wettbewerb, sondern das Unternehmen geschützt werden.
7
Vorliegend soll unter Know-how das nicht durch die Schutzrechte gesicherte (betriebliche) Erfahrungswissen aus dem technischen oder kaufmännischen Bereich verstanden werden, das gegenüber Dritten einen Vorteil gewährt2 und nicht geheim sein muss. Bei dieser Definition wird auf die Voraussetzung des Vorliegens eines (absoluten) Geheimnisses verzichtet. In diesem Sinne kann Know-how auch eine Sammlung von aus vielen verschiedenen Quellen anderweitig erfahrbarem (technischem) Wissen sein, bei dem die Know-how-Eigenschaft bzw. der betriebliche Vorsprung lediglich dadurch entsteht, dass ein anderes Unternehmen über dieses Wissen nicht oder nicht in dieser Zusammensetzung verfügt. Diese weite Definition hat insbesondere für Daten und Datenbanken eine erhebliche Bedeutung. Denn immer mehr Geschäftskonzepte beruhen gerade auf der Idee, Daten, die für sich genommen jeweils offenkundig und für jeden recherchierbar sind, in noch nicht bekannter Weise zusammenzuführen und zu strukturieren, um Ausschnitte davon Dritten als Leistung zur Verfügung zu stellen, gleich, ob das z.B. (recherchierbare) Sammlungen von Kochrezepten sind oder Informationen über „Points of Interest“ bei sog. Location Based Services. Solchen Geschäftsideen liegen entweder Datenbanken als fachlich-technisches Mittel zugrunde oder es entsteht in Ausführung der Geschäftsidee und/oder durch die Mitwirkung vieler eine Datenbank. Die Datenbank als solche ist Dritten nicht zugänglich; wäre die Datenbank im Ganzen frei verfügbar, wäre die Geschäftsidee torpediert.
8
Von dem Begriff des Know-how sind insbesondere auch Informationen erfasst, deren Schutz auch vollständig oder partiell von gewerblichen Schutzrechten übernommen werden könnte3. Denn es gibt verschiedene praktische Gründe, warum man bestimmtes Know-how nicht durch ein gewerbliches Schutzrecht absichert. Ferner ist daran zu denken, dass für Erfahrungswissen ein Schutzrecht gesetzlich nicht vorgesehen ist oder 1 Sehirali, Schutz des Know-how nach türkischem, deutschem und europäischem Recht, S. 53. 2 Vgl. Bartenbach, Patentlizenz- und Know-how-Vertrag, Rz. 2545; Kraßer, GRUR 1970, 587. 3 Westermann, Handbuch Know-how Schutz, Kap. 1 Rz. 5.
158
Gennen
§ 13
II. Gesetzlicher Geheimnisschutz im Allgemeinen
aufgrund – z.B. bei technischem Erfahrungswissen unterhalb einer Schützbarkeitsschwelle – nicht erlangbar ist. b) Betriebs- und Geschäftsgeheimnis Abzugrenzen ist das Know-how von Geschäfts- und Betriebsgeheimnis- 9 sen (Unternehmensgeheimnis). Eine Legaldefinition existiert hierzu ebenfalls nicht. Unter Geschäfts- und Betriebsgeheimnissen versteht die h.M. jede im Zusammenhang mit dem Betrieb (Geschäft, Unternehmen) stehende Tatsache, die nicht offenkundig, sondern nur einem eng begrenzten Personenkreis bekannt ist und nach dem bekundeten Willen des Betriebsinhabers, der auf einem ausreichenden wirtschaftlichem Interesse beruht, geheim gehalten werden soll1. Eine Abgrenzung zwischen Geschäfts- und Betriebsgeheimnissen ist nicht 10 immer möglich, aber auch nicht notwendig2. Unter einem Geschäftsgeheimnis sind grundsätzlich kaufmännische Aspekte des Unternehmens zu verstehen, wie Warenbezugsquellen und Kreditwürdigkeiten, Inventuren, Bilanzen und Kalkulationen sowie Strategien und Ereignisse im Wettbewerbsbereich, Personaleinsätze, Gehälter, wie auch Informationen, die Arbeitnehmer persönlich betreffen3. Unter dem Begriff Betriebsgeheimnis sind hingegen technische Informationen einzuordnen, wie Produktionseinrichtungen und -verfahren, betriebliche technische Abläufe, technisches Wissen, (Arbeitnehmer-)Erfindungen, schutzfähige Gestaltungen und Werke und Computerprogramme4. Auch Daten und Datenbanken können selbstverständlich Betriebs- oder Geschäftsgeheimnisse in diesem Sinne sein. c) Unterschied Die Begriffe Know-how sowie Betriebs- und Geschäftsgeheimnis haben 11 mithin für die hier verfolgten Zwecke einen weitgehend ähnlichen Inhalt, sind aber nicht (zwangsläufig) gleichbedeutend5. Der Unterschied zeigt sich darin, dass das Geschäfts- und Betriebsgeheimnis eine geheime Information voraussetzt, Know-how aber nicht zwingend geheim sein muss.
1 BGH v. 27.4.2006 – I ZR 126/03, CR 2006, 810 m.w.N. – Kundendatenprogramm. 2 Sosnitza in Piper/Ohly/Sosnitza, UWG, § 17 Rz. 6. 3 Weitere Beispiele für Geschäfts- und Betriebsgeheimnisse finden sich bei Sosnitza in Piper/Ohly/Sosnitza, UWG, § 17 Rz. 7. 4 Die durch ein Computerprogramm gespeicherten Daten können ein gesondertes Betriebsgeheimnis neben dem Programm selbst darstellen. 5 Häufig wird der Begriff Know-how als Synonym für den Begriff Betriebs- und Geschäftsgeheimnis verwendet. Gennen
159
§ 13
Schutz des Betriebs- und Geschftsgeheimnisses
2. Lauterkeitsrechtlicher Schutz 12
Kern der gesetzlichen Verbotstatbestände bilden die lauterkeitsrechtlichen Strafnormen der §§ 17 ff. UWG zum Schutz von Betriebs- und Geschäftsgeheimnissen1 vor dem Verrat durch Beschäftigte sowie vor dem Ausspähen durch Dritte. § 17 UWG enthält drei Tatbestände, nämlich den Geheimnisverrat durch Beschäftigte gem. § 17 Abs. 1 UWG, das Ausspähen durch Beschäftigte und Dritte2 gem. § 17 Abs. 2 Nr. 1 UWG sowie die unbefugte, rechtswidrige Geheimnisverwertung gem. § 17 Abs. 2 Nr. 2 UWG. § 17 UWG sieht ausdrücklich nur strafrechtliche Rechtsfolgen vor. Von § 18 UWG wird die Vorlagenfreibeuterei erfasst. a) § 17 Abs. 1 UWG (Geheimnisverrat)
13
Sinn und Zweck des § 17 Abs. 1 UWG ist es, den Unternehmer vor dem Verrat von Geschäfts- und Betriebsgeheimnissen zu schützen.
14
Täter des Geheimnisverrats kann jede in einem Unternehmen beschäftigte Person sein3. Der Begriff der im Unternehmen beschäftigten Person ist weit auszulegen4. Täter kann jeder sein, der seine Arbeitskraft dem Unternehmen zur Verfügung stellt, insbesondere können es Arbeitnehmer sein. Handelsvertreter können ebenfalls Täter sein, wenn sie gem. § 84 Abs. 2 HGB als Angestellte gelten. Darüber hinaus werden auch Leiharbeiter hierunter subsumiert5. Als Täter des Abs. 1 kommen jedoch weder Gesellschafter einer OHG oder KG oder Aktionäre einer AG noch Wirtschaftsprüfer oder Steuerberater, die selbständig die Angelegenheiten des Unternehmens betreuen, in Betracht.
15
Der Begriff des Unternehmens ist weit auszulegen, so dass auch Unternehmen, die im Konzernverbund i.S.v. §§ 15 ff. AktG zueinander stehen, von der Anwendung des § 17 Abs. 1 UWG erfasst sind6.
16
Das Geheimnis muss dem Beschäftigten im Zusammenhang mit dem Dienstverhältnis anvertraut bzw. zugänglich sein. Anvertraut wird ein Geheimnis, wenn es dem Beschäftigten durch den Inhaber oder den Beauftragten des Unternehmens unter der ausdrücklichen oder konkludenten Verpflichtung zur Geheimhaltung mitgeteilt wird. Das gilt auch, wenn der Beschäftigte selbst das Betriebs- und Geschäftsgeheimnis in das Unternehmen eingebracht hat. Dabei spielt es keine Rolle, ob es gegen Zahlung oder unentgeltlich in das Unternehmen gelangt ist. Zugänglichkeit eines Geheimnisses setzt voraus, dass es der bei dem Unterneh1 S.o. unter I.1 zur Erläuterung des Begriffs Betriebs- und Geschäftsgeheimnis. 2 Auch unter dem Begriff der Betriebsspionage bekannt. 3 Der Wortlaut des § 17 Abs. 1 UWG (a.F.) sprach noch von „Angestellter, Arbeiter oder Lehrling“ und war damit enger als der heutige Wortlaut „Beschäftigter“. 4 Harte-Bavendamm in Gloy/Loschelder/Erdmann, Wettbewerbsrecht, § 77 Rz. 18. 5 Vgl. Bartenbach, Patentlizenz- und Know-how-Vertrag, Rz. 2572. 6 Köhler in Köhler/Bornkamm, UWG, § 17 Rz. 14.
160
Gennen
§ 13
II. Gesetzlicher Geheimnisschutz im Allgemeinen
men Beschäftigte im Rahmen des Dienstverhältnisses zur Kenntnis genommen hat. Keine Bedeutung hat dabei die Tatsache, ob der Betriebsinhaber oder die Unternehmensleitung von geheimhaltungsbedürftigen Tatsachen Kenntnis hat1. Darüber hinaus ist es nicht von Belang, auf welche Art und Weise das Geheimnis zugänglich gemacht wurde; ein Zusammenhang zum Tätigkeits- und Aufgabenkreis des Täters wird nicht vorausgesetzt2. Weitere Voraussetzung ist die unbefugte Mitteilung der geheimhaltungs- 17 bedürftigen Tatsache. Das Geheimnis muss zu Zwecken des Wettbewerbs, aus Eigennutz, zugunsten eines Dritten oder in der Absicht, dem Betriebsinhaber Schaden zuzufügen, mitgeteilt werden. Vom Tatbestand ist damit nicht die eigene Verwertung3, Vorbereitungshandlungen für eine spätere Weitergabe oder eigene Nutzung erfasst. Zu betonen ist, dass der Tatbestand nur Mitteilungen erfasst, die während des Dienstverhältnisses erfolgen. Dabei kommt es auf den rechtlichen Bestand des Dienstvertrages an. Für die Erfüllung der Tatbestandsvoraussetzung ist die Kenntnis aller 18 Merkmale des objektiven Tatbestandes erforderlich, da § 17 Abs. 1 UWG den Vorsatz voraussetzt. Das schließt die Kenntnis ein, dass es sich um eine geheimhaltungsbedürftige Tatsache handelt. § 17 Abs. 1 UWG erfasst nicht die Fälle, in denen ein ehemals Beschäftig- 19 ter die Tathandlung nach Beendigung des Dienstverhältnisses vornimmt, weil die Mitteilung während der Geltungsdauer des Dienstverhältnisses erfolgen muss. Damit kommt es darauf an, ob das Dienstverhältnis rechtlich oder jedenfalls faktisch bestand. b) § 17 Abs. 2 Nr. 1 UWG Ausspähen/Betriebsspionage Sinn und Zweck des § 17 Abs. 2 UWG ist die Vorverlagerung des Ge- 20 heimnisschutzes4. § 17 Abs. 1 Nr. 1 UWG erfasst Verhaltensweisen, die noch vor der Mitteilung des Betriebsgeheimnisses liegen. Nach § 17 Abs. 2 Nr. 1 UWG wird derjenige bestraft, der sich zu Zwecken des Wettbewerbs, aus Eigennutz, zugunsten Dritter oder in der Absicht, dem Inhaber des Unternehmens Schaden zuzufügen, ein Geschäfts- oder Betriebsgeheimnis durch Anwendung technischer Mittel, Herstellung einer verkörperten Wiedergabe des Geheimnisses oder Wegnahme einer Sache, in der das Geheimnis verkörpert ist, unbefugt verschafft oder sichert. Im Unterschied zu § 17 Abs. 1 UWG ist der Täterkreis nicht auf den Be- 21 schäftigten eines Unternehmens begrenzt, sondern erfasst jedermann. 1 2 3 4
BGH v. 18.2.1977 – I ZR 112/75, GRUR 1977, 539 – Prozessrechner. BGH v. 19.11.1982 – I ZR 98/80, GRUR 1983, 179 – Stapelautomat. BGH v. 19.11.1982 – I ZR 98/80, GRUR 1983, 179 f. – Stapelautomat. Harte-Bavendamm in Harte-Bavendamm/Henning-Bodewig, UWG, Rz. 18. Gennen
§ 17
161
§ 13
Schutz des Betriebs- und Geschftsgeheimnisses
Tatmittel sind die Anwendung technischer Mittel, die Herstellung einer verkörperten Wiedergabe des Geheimnisses oder die Wegnahme einer Sache, in der das Geheimnis verkörpert ist. Damit sind von dieser Form der Betriebsspionage nicht die Fälle erfasst, in denen der Täter Betriebsgeheimnisse ohne die Anwendung technischer Mittel wahrnimmt. 22
Ein Beispiel ist die unbefugte Verschaffung eines technischen Zugangs zu einer Vorrichtung zur Datenhaltung und der Abzug bzw. die Kopie dort lagernder Daten bzw. Datenbanken. Andererseits fällt das Social Engineering1, wie das zwischenmenschliche Aushorchen oder Spionieren genannt wird, nicht unter den Tatbestand. c) § 17 Abs. 2 Nr. 2 UWG Geheimnisverwertung
23
Sinn und Zweck dieses Tatbestandes ist es, alle Fälle unbefugter Geheimniserlangung abzudecken2. Jedoch führt auch § 17 Abs. 2 Nr. 2 UWG nicht zu einem absoluten Geheimnisschutz, da dieser Tatbestand nur greift, wenn die Art und Weise zu beanstanden ist, in der der Täter von den Betriebsgeheimnissen Kenntnis erlangt hat.
24
Gemäß § 17 Abs. 2 Nr. 2 UWG ist derjenige strafbar, der zu Zwecken des Wettbewerbs, aus Eigennutz, zugunsten eines Dritten oder in der Absicht, dem Inhaber Schaden zuzufügen, ein Geschäfts- oder Betriebsgeheimnis, das er durch eine der in Abs. 1 bezeichneten Mitteilungen durch eine eigene oder fremde Handlung nach § 17 Abs. 2 Nr. 1 UWG erlangt oder sich sonst unbefugt verschafft oder gesichert hat, unbefugt verwertet oder jemandem mitteilt.
25
§ 17 Abs. 2 Nr. 2 UWG bietet in zeitlicher Hinsicht auch Schutz nach Beendigung des Beschäftigungsverhältnisses. Als Täter kommt jede Person in Betracht, insbesondere auch ein früherer Arbeitnehmer, der noch während der Beschäftigungsdauer auf unredliche Weise geheimhaltungspflichtige Tatsachen erlangt hat oder der seinen eigenen, seinerzeit angefertigten Unterlagen Informationen entnimmt, mitteilt oder diese dann verwertet. Fälle, in denen der frühere Arbeitnehmer Wissen redlich erworben hat, werden vom Wortlaut des § 17 Abs. 2 Nr. 2 UWG im Grundsatz nicht erfasst.
26
Jedoch wurde der Anwendungsbereich von § 17 Abs. 2 Nr. 2 UWG durch die Rechtsprechung des BGH3 erweitert. Der Schutz soll auch dann eingreifen, wenn der ehemalige Mitarbeiter die Information zunächst befugt erhalten hat.
1 Auer-Reinsdorff, MMR 2009, 365. 2 Harte-Bavendamm in Harte-Bavendamm/Henning-Bodewig, UWG, § 17 Rz. 26. 3 BGH v. 18.12.2002 – I ZR 119/00, NJW-RR 2003, 833 – Verwertung von Kundenlisten.
162
Gennen
§ 13
II. Gesetzlicher Geheimnisschutz im Allgemeinen
Im Jahre 2002 entschied der BGH1, dass eine unzulässige Verwertung ei- 27 ner Kundenliste (die je nach Ausprägung und Umfang eine Datenbank darstellen kann) als Geschäftsgeheimnis eines Unternehmens auch dann gegeben ist, wenn Namen der Kunden im Rahmen der geschäftlichen Tätigkeit in die persönlichen Unterlagen eines Handelsvertreters gelangt sind und von diesem bei der Ausübung seiner Geschäftstätigkeit außerhalb des Unternehmens verwertet wurden. 2006 befand der BGH2, dass ein ausgeschiedener Mitarbeiter, der ein Ge- 28 schäftsgeheimnis seines früheren Arbeitgebers, das er schriftlichen Unterlagen entnommen hat, die er während des Dienstverhältnisses zusammengestellt und im Rahmen seiner Tätigkeit befugtermaßen bei seinen privaten Unterlagen aufbewahrt hat, nach dem Ausscheiden zu seinen eigenen Zwecken verwendet, sich dieses i.S.d. § 17 Abs. 2 Nr. 2 UWG unbefugt beschafft hat. Damit bleiben aber solche Geheimnisse nach § 17 Abs. 2 Nr. 2 UWG ungeschützt, die dem Beschäftigten während der Durchführung der Arbeit im Gedächtnis geblieben sind3 und ihm damit auch nicht in verkörperter Form zugänglich sind. Dies gilt aber nicht für die Fälle, in denen der Beschäftigte die Betriebsgeheimnisse regelrecht auswendig lernt – also nicht nur (als Arbeitnehmer) einfach im Gedächtnis behält4 – mit dem Ziel, sie nach Beendigung des Beschäftigungsverhältnisses zu verwerten5. Insbesondere im Fall eines Arbeitsplatzwechsels hat diese Norm nicht 29 nur Auswirkungen auf den Beschäftigten, sondern unter Umständen auch auf den neuen Arbeitgeber. Denn der neue Arbeitgeber kann sich durch die Mitteilung und Verwertung von Geheimnissen ebenso strafbar machen, soweit ihm ein vorsätzliches Verhalten vorzuwerfen ist. Vor diesem Hintergrund ist zu empfehlen, derartige Geheimnisse, die nicht dem Schutz unterworfen sind, einem Schutz durch die wirksame Gestaltung einer Geheimhaltungsvereinbarung zu unterwerfen. d) §§ 18, 19 UWG § 18 UWG regelt die Verwertung von Vorlagen oder technischen Vor- 30 schriften gesondert. Demnach ist strafbar, wer die ihm im geschäftlichen Verkehr anvertrauten Vorlagen oder Vorschriften technischer Art, insbesondere Zeichnungen, Modelle, Schablonen, Schnitte, Rezepte, zu Zwe1 BGH v. 27.4.2006 – I ZR 126/03 – Kundendatenprogramm, GRUR 2006, 1044; BGH v. 26.2.2009 – I ZR 28/06 – Versicherungsvertreter, GRUR 2009, 603. 2 BGH v. 27.4.2006 – I ZR 126/03, GRUR 2006, 1044 – Kundendatenprogramm. 3 BGH v. 14.1.1999 – I ZR 2/97, GRUR 1999, 934 – Weinberater. 4 Das BAG, s. hierzu nachfolgend Ziff. III., steht auf dem Standpunkt, dass ein Arbeitnehmer, der ein Betriebsgeheimnis redlich erworben hat, dieses nach seinem Ausscheiden weiter verwenden darf (BAG v. 19.5.1998 – 9 AZR 394/97, NZA 1999, 200). Die Abgrenzung zwischen dem „Auswendiglernen“ und einem „gewöhnlichen Erinnern“ dürfte schwierig zu treffen sein. 5 BGH v. 18.1.1982 – I ZR 99/80, GRUR 1983, 179 – Stapelautomat. Gennen
163
§ 13
Schutz des Betriebs- und Geschftsgeheimnisses
cken des Wettbewerbs oder aus Eigennutz unbefugt verwertet oder jemandem mitteilt. § 19 UWG stellt eine Erweiterung des Schutzes der §§ 17, 18 UWG dar, indem er in Anlehnung an § 30 StGB bereits Vorbereitungshandlungen, nämlich das Verleiten und Erbieten zum Verrat des Geheimnisverrats, mit Strafe bedroht. e) Rechtsfolgen 31
Bei Verletzung von Betriebs- und Geschäftsgeheimnissen sieht das UWG verschiedene zivilrechtliche Ansprüche gegen den Verletzer vor. § 8 Abs. 1 UWG gewährt einen Anspruch auf Beseitigung und Unterlassung. Gemäß § 9 Abs. 1 UWG kann der Verletzer auf Schadensersatz in Anspruch genommen werden. Hierfür müssen allerdings die Voraussetzungen des § 3 UWG vorliegen. §§ 17, 18 UWG entfalten keine Sperrwirkung1; damit muss die in Frage stehende Handlung eine Wettbewerbshandlung i.S.v. § 2 Abs. 1 Nr. 1 UWG darstellen. Ein Katalog von Beispielen verschiedener wettbewerbswidriger Handlungen findet sich in § 4 UWG. Ein Zuwiderhandeln gegen §§ 17 ff. UWG stellt einen Rechtsbruch2 i.S.v. § 4 Nr. 11 UWG dar. Sollte der Tatbestand von §§ 17 ff. UWG nicht vollständig erfüllt sein, besteht die Möglichkeit, einen Anspruch über die Anwendung des § 4 Nr. 9 UWG (ergänzender Leistungsschutz)3 oder § 4 Nr. 10 UWG (Behinderung) zu erhalten.
32
Als Schadensersatz ist bei einer Verletzung von Betriebs- und Geschäftsgeheimnissen der gesamte unter Einsatz des Know-hows erzielte Gewinn herauszugeben4. 3. Schutz nach dem UrhG, §§ 4 Abs. 1, 87 ff. UrhG
33
Ansammlungen von Daten können je nach Ausgestaltung und Zusammensetzung urheberrechtlichen Schutz gem. § 4 Abs. 1 UrhG (Datenbankwerk) oder nach § 87a Abs. 1 UrhG (Datenbank) genießen5. Der Schutz auf Grundlage des Urheberrechts setzt automatisch mit der Entstehung des Werkes bzw. der Datenbank ein. Damit kann der urheberrechtliche Schutz der Ausdrucksform parallel zum Know-how-Schutz der Information bzw. Informationssammlung bestehen6.
1 Sosnitza in Piper/Ohly/Sosnitza, UWG, Vor §§ 17 bis 19 Rz. 45 m.w.N. 2 BGH v. 27.4.2006 – I ZR 126/03, GRUR 2006, 1044 – Kundendatenprogramm. 3 Vgl. BGH v. 13.12.2007 – I ZR 71/05, GRUR 2008, 727 – Schweißmodulgenerator. 4 Bartenbach, Patentlizenz- und Know-how-Vertrag, Rz. 2574 m.w.N. Damit einher geht bei einer Stufenklage ein empfindlicher Anspruch auf Auskunft und Rechnungslegung, der sich letztlich auch auf die Informtionen bezieht, die notwendig sind, um den Umfang des Gewinns feststellen zu können. 5 Vgl. Auer-Reinsdorff/Grützmacher, § 15. 6 Westermann, Handbuch Know-how Schutz, Kap. 2 Rz. 43.
164
Gennen
§ 13
II. Gesetzlicher Geheimnisschutz im Allgemeinen
Der Know-how-Schutz ist für Daten und Datenbanken insbesondere 34 dann von großer Bedeutung, wenn zum einen gerade kein Schutz nach dem UrhG vorliegt, da die tatbestandlichen Voraussetzungen nicht erfüllt sind, oder wenn zum anderen der Schutz nach dem UrhG zwar besteht, dieser aber ggf. Einschränkungen durch urheberrechtliche Schranken erfährt. Beispielsweise wird in die Rechte des Datenbankherstellers nur dann eingegriffen, wenn es sich um die Verwertung eines in quantitativer oder qualitativer Hinsicht wesentlichen Teils der Datenbank i.S.v. § 87a UrhG handelt. Eine allgemein verbindliche Definition findet sich hierzu im UrhG jedoch nicht. Vor diesem Hintergrund geht die Rechtsprechung1 zumindest dann von einem unwesentlichen Teil aus, wenn lediglich einzelne Daten oder Informationseinheiten entnommen wurden. Anders formuliert kommt es bei der Verwertung eines in quantitativer Hinsicht wesentlichen Teils auf das entnommene und weiter verwendete Datenvolumen der Datenbank im Verhältnis zum Gesamtvolumen des Inhalts der Datenbank an. Dies macht deutlich, welche Unwägbarkeiten bei der Frage einer rechtswidrigen Verwertung von Datenbanken auftreten. Zudem gewährt das Urheberrecht kein uneingeschränktes Monopol. Das 35 Verwerten einer in freier Benutzung geschaffenen, neuen Ausdrucksform ist im Grundsatz erlaubt. Darüber hinaus erlischt das Urheberrecht eines Datenbankherstellers gem. § 87d UrhG 15 Jahre nach Erstellung bzw. Veröffentlichung der Datenbank. Das Recht des Urhebers eines Datenbankwerkes erlischt 70 Jahre nach dem Tod des Urhebers gem. § 64 UrhG. Vor diesem Hintergrund wird die Bedeutung eines parallelen Know-how- 36 Schutzes von Daten und Datenbanken besonders deutlich. Um einen optimalen Schutz für Daten und Datenbanken gewährleisten zu können, bietet es sich an, hierzu wirksame Bestimmungen innerhalb von Geheimhaltungsvereinbarungen zu treffen. 4. Schutz im Rahmen des BGB Es kann auch ein zivilrechtlicher Schutz des Know-how bzw. der Ge- 37 schäfts-/Betriebsgeheimnisse bestehen, der aus den vorbenannten Strafvorschriften abgeleitet wird. Eine Verletzung der §§ 17 ff. UWG kann auch eine Schadensersatzpflicht 38 nach § 823 Abs. 2 BGB auslösen, da es sich bei §§ 17 ff. UWG um Schutzgesetze handelt2. Ein Abwehranspruch kann sich aus § 1004 BGB (analog) ergeben3. 1 EuGH v. 9.11.2004 – Rs. C-203/02, MMR 2005, 29 – British Horseracing Board ./. William Hill. 2 Harte-Bavendamm in Gloy/Loschelder/Erdmann, Wettbewerbsrecht, § 77 Rz. 29. 3 Vgl. Richters/Wodtke, Schutz von Betriebs- und Geschäftsgeheimnissen, Rz. 161 f. Gennen
165
§ 13
Schutz des Betriebs- und Geschftsgeheimnisses
39
Eine Verletzung des § 826 BGB kann durch eine sittenwidrige Schädigung ebenfalls in Betracht kommen1.
40
Unabhängig vom Vorliegen der Voraussetzungen der §§ 17, 18 UWG kann der Geheimnisverrat als Verletzung eines absoluten Rechts nach § 823 Abs. 1 zu sehen sein2. Die Verwertung des Geheimnisses indiziert allerdings noch nicht die Rechtswidrigkeit. Vor diesem Hintergrund kann eine Verletzung erst auf Grundlage einer umfassenden Interessenabwägung festgestellt werden. Eine andere Ansicht sieht auch die Möglichkeit der Verletzung des § 823 Abs. 1 BGB vor, argumentiert allerdings mit dem Eingriff in das Recht am eingerichteten und ausgeübten Gewerbebetrieb3. In beiden Fällen ist entscheidend, dass von § 823 Abs. 1 BGB auch der fahrlässige Geheimnisverrat erfasst wird. Eine einheitliche Linie dazu ist weder in der Rechtsprechung noch in der Literatur vorhanden.
41
Weiter besteht auch ein Anspruch auf Herausgabe entwendeter Unterlagen, und zwar aus § 985 BGB oder aus dem Gesichtspunkt der Beseitigung. Dieser richtet sich auf die Vernichtung oder Herausgabe rechtswidrig hergestellter Aufzeichnungen, Dateien oder anderer Verkörperungen der geheimen Informationen4.
42
Darüber hinaus kommen Ansprüche aus Gewinnherausgabe wegen angemaßter Eigengeschäftsführung gem. §§ 687 Abs. 1, 681, 667 BGB und Ansprüche auf Herausgabe einer ungerechtfertigten Bereicherung gem. § 812 Abs. 1 Satz 1 Alt. 2 BGB in Betracht5.
43
Der sich aus § 242 BGB ergebende Auskunftsanspruch dient der Vorbereitung von Schadensersatzansprüchen oder der Geltendmachung eines Unterlassungsanspruchs. 5. Sonstige Geheimhaltungsvorschriften
44
§§ 93 Abs. 1, 116 AktG beschreiben die Pflicht für Vorstands- und Aufsichtsratsmitglieder, über vertrauliche Angaben und Geheimnisse der Gesellschaft, namentlich Betriebs- und Geschäftsgeheimnisse, die ihnen durch ihre Tätigkeit im Vorstand bekannt geworden sind, Stillschweigen zu bewahren.
45
Weitere Geheimnisschutznormen sind §§ 79, 120 BetrVG, 10 BPersVG, § 85 GmbHG, § 404 AktG, § 355 HGB und § 90 HGB für Handelsvertreter. Im Bereich der Datenverarbeitung tätige, gezielt einbezogene Mitwis1 Harte-Bavendamm in Gloy/Loschelder/Erdmann, Wettbewerbsrecht, Rz. 29. 2 BGH v. 25.1.1955 – I ZR 15/53, GRUR 55, 388; Mes, GRUR 1979, 584. 3 BGH v. 21.12.1962 – I ZR 47/61, GRUR 63, 367 – Industrieböden. 4 BGH v. 7.1.1958 – I ZR 73/57, GRUR 58, 297 – Petromax I. 5 Sosnitza in Piper/Ohly/Sosnitza, UWG, Vor §§ 17 bis 19 Rz. 50 m.w.N.
166
Gennen
§ 77
§ 13
III. Gesetzlicher Geheimnisschutz im Arbeitsverhltnis
ser und Außenstehende dürfen know-how-geschützte personenbezogene Informationen nicht unbefugt verschaffen, sichern, mitteilen oder verwerten, § 44 Abs. 1 i.V.m. § 43 Abs. 2 BDSG.
III. Gesetzlicher Geheimnisschutz im Arbeitsverhältnis Der Geheimnisschutz im Arbeitsverhältnis spielt im Rahmen des Know- 46 how-Schutzes eine besondere Rolle. Arbeitnehmer kommen fortlaufend während ihres Arbeitsverhältnisses mit einer Menge an (auch strukturierten) Daten, die für das Unternehmen von immenser wirtschaftlicher Bedeutung sind, in Berührung. Eine gesetzliche Norm, die sich mit dem zivilrechtlichen Geheimnisschutz zwischen Arbeitgeber und Arbeitnehmer befasst, gibt es jedoch nicht1. Wie in Ziff. II. deutlich wurde, wird der gesetzliche Schutz gegen eine unbefugte Verwendung von Geschäftsund Betriebsgeheimnissen im Wesentlichen durch strafrechtliche Vorschriften begründet. Der Arbeitnehmer ist aber zivilrechtlich über den Arbeitsvertrag zur Verschwiegenheit verpflichtet (arbeitsvertragliche Treuepflicht als Nebenpflicht). Dabei kommt es in Bezug auf die Reichweite der Verschwiegenheitspflicht insbesondere auf die zeitliche Komponente an – während und nach der Laufzeit des Arbeitsverhältnisses. 1. Während des Arbeitsverhältnisses Ein Arbeitsverhältnis stellt auch eine persönlich geprägte schuldrecht- 47 liche Beziehung zwischen dem Arbeitgeber und dem Arbeitnehmer dar2; die Arbeitsleistung ist persönlich zu erbringen, dem Arbeitgeber kommt es auf die Leistung des einzelnen Arbeitnehmers an. Die Treuepflicht3 gem. § 242 BGB ist eine Ausprägung dieser persönlich geprägten schuldrechtlichen Beziehung. Sie enthält das Gebot zur Rücksichtnahme, des Schutzes und der Förderung des Vertragszweckes4. Diesen Grundsatz betont auch § 241 Abs. 2 BGB5.
1 Überlegung zur Einführung solcher Regelungen: Der vom Arbeitskreis Deutsche Rechtseinheit im Arbeitsrecht vorgelegte Gesetzesentwurf ArbVG 92, mit Begründung abgedruckt im Band I Gutachten zum 59. Deutschen Juristentag Hannover 1992, sah in seinem § 90 die Verpflichtung des Arbeitnehmers vor, über Betriebs- und Geschäftsgeheimnisse und über bestimmte oder bestimmbare, vom Arbeitgeber aus berechtigtem Interesse als geheimhaltungsbedürftig bezeichnete Tatsachen Verschwiegenheit zu wahren. 2 Sehirali, Schutz des Know-how nach türkischem, deutschem und europäischem Recht, S. 176. 3 Der Begriff des „Ausflusses der Treuepflicht“ gilt in der Literatur als nicht mehr zeitgemäß. Vor diesem Hintergrund spricht die Literatur von „speziellen arbeitsvertraglichen Nebenpflichten“. Am Ergebnis ändert sich durch die Anwendung einer anderen Dogmatik allerdings nichts. 4 Preis in Erfurter Kommentar zum Arbeitsrecht, § 611 BGB Rz. 707. 5 Scheja/Mantz, CR 2009, 413. Gennen
167
§ 13 48
Schutz des Betriebs- und Geschftsgeheimnisses
Damit ist der Arbeitnehmer verpflichtet, bestimmte Informationen nicht offenzulegen. Diese Schweigepflicht bezieht sich in erster Linie auf Betriebs- und Geschäftsgeheimnisse i.S.v. § 17 UWG. Darüber hinaus erfasst sie aber auch sog. vertrauliche Angaben. Darunter sind solche Angaben zu verstehen, bei denen es sich nicht um Betriebs- und Geschäftsgeheimnisse i.S.d. § 17 UWG handelt, die durch den Arbeitgeber aber aus sachlichen betrieblichen Gründen als vertraulich benannt worden sind1. Um ein Ausufern der Verschwiegenheitspflicht zu vermeiden, ist die zwingende Voraussetzung für eine solche Verschwiegenheitspflicht das Vorliegen eines berechtigten Interesses aufseiten des Arbeitgebers2. Darüber hinaus sind von der Verschwiegenheitsverpflichtung auch persönliche Umstände und Verhaltensweisen des Arbeitgebers oder Kenntnisse über Kollegen erfasst3. Dabei kommt es für die Verschwiegenheitspflicht nicht darauf an, auf welche Art und Weise der Arbeitnehmer an bestimmte Informationen gelangt ist. Je weiter sich denkbare Pflichten von der Hauptpflicht entfernen, umso zurückhaltender sind entsprechende Nebenpflichten ohne ausdrückliche vertragliche Vereinbarung anzuerkennen4. Unwirksam sind daher sog. „Allklauseln“, die versuchen, alle Informationen, die der Arbeitnehmer im Rahmen seines Arbeitsverhältnisses zur Kenntnis erhalten hat, dem vertraglichen Schutz zu unterstellen5. 2. Nach Beendigung des Arbeitsverhältnisses
49
Der weit zu verstehende Begriff Geschäfts- und Betriebsgeheimnis, der Tatsachen von sehr unterschiedlichem Gewicht – von einzelnen Geschäftsvorgängen bis zu dem für den Betrieb bedeutsamen, kompletten Fabrikationsverfahren – umfasst, bringt es zwangsläufig mit sich, dass gerade im schwierigsten Bereich des Geheimnisschutzes, der Verwertung von redlich erlangten Geheimnissen nach Ende eines Beschäftigungsverhältnisses, eine umfassende und in ihrem Ergebnis oft schwer kalkulierbare Abwägung aller Umstände des Einzelfalls erforderlich ist, um den Konflikt zwischen aufeinanderstoßenden Interessen der (ehemaligen) Arbeitsvertragsparteien angemessen zu lösen6. Der ehemalige Arbeitgeber hat ein starkes Interesse daran, seine Unternehmensgeheimnisse auch im Falle des Ausscheidens eines Mitarbeiters gewahrt zu wissen. Der ehemalige Arbeitnehmer hingegen möchte über die Möglichkeit verfügen, auch bei einem Arbeitnehmerwechsel seine gewonnenen Erfahrungen einzusetzen. 1 2 3 4 5 6
Reinfeld in Moll, Münchener Anwaltshandbuch Arbeitsrecht, Rz. 10. Reinfeld in Moll, Münchener Anwaltshandbuch Arbeitsrecht, Rz. 10. Richters/Wodtke, NZW-RR 2003, 281. Preis in Erfurter Kommentar zum Arbeitsrecht, § 611 BGB Rz. 708. BAG v. 19.5.1998 – 9 AZR 394/97, NZA 1999, 200. Harte-Bavendamm in Harte-Bavendamm/Henning-Bodewig, UWG, § 17 Rz. 1, dies wird als Kardinalproblem im Zusammenhang mit der nachvertraglichen Geheimhaltungsverpflichtung gesehen.
168
Gennen
§ 13
III. Gesetzlicher Geheimnisschutz im Arbeitsverhltnis
Ob und in welchem Umfang der Arbeitnehmer über das Ende des Be- 50 schäftigungsverhältnisses hinaus zur Verschwiegenheit verpflichtet ist, wird weder in der Literatur noch in der Praxis einheitlich beurteilt. Die Dauer der Verschwiegenheitspflicht erscheint grundsätzlich auf die 51 Dauer des Beschäftigungsverhältnisses beschränkt. Diese Grundvorstellung ist jedenfalls § 17 Abs. 1 UWG zu entnehmen, der den Geheimnisschutz bewusst auf die Dauer des Beschäftigungsverhältnisses begrenzt1. Das Vorliegen einer nachvertraglichen Geheimhaltungsverpflichtung dürfte dann nur in solchen Fällen zu begründen sein, in denen besondere Umstände aufseiten des Arbeitgebers vorliegen, die eine solche Verpflichtung auslösen könnten. Damit hat in diesen Fällen eine Interessenabwägung zu erfolgen, die die 52 Interessen des Arbeitnehmers an seinem beruflichen Fortkommen sowie die Interessen des Arbeitgebers an der Geheimhaltung der Informationen in Ausgleich bringt2. Insbesondere können bei der Abwägung folgende Kriterien von Bedeu- 53 tung sein: – besonderes Vertrauensverhältnis zwischen Arbeitgeber und Arbeitnehmer, – Dauer des Beschäftigungsverhältnisses, – Grund der Beendigung des Beschäftigungsverhältnisses. Der BGH geht in seiner ständigen Rechtsprechung davon aus, dass die 54 während des Beschäftigungsverhältnisses redlich erworbenen Kenntnisse frei verwertet werden dürfen und die Verwertung solcher Kenntnisse durch einen früheren Arbeitnehmer nur in sehr beschränkten Fällen unzulässig ist3. Das BAG4 hielt demgegenüber eine nachwirkende Geheimhaltungs- 55 pflicht des Beschäftigten grundsätzlich für möglich, und zwar auch in den Fällen, in denen eine Interessenabwägung zwischen Arbeitgeber und Arbeitnehmer nicht vorgenommen wird. Dementsprechend entscheiden die ArbG5 durchaus häufig, dass ein ehemaliger Arbeitnehmer zu einer nachvertraglichen Geheimhaltung verpflichtet sei, und zwar auch dann, 1 BGH v. 16.11.1954 – I ZR 180/53, GRUR 1955, 402 – Anreißgerät. 2 Sehirali, Schutz des Know-how nach türkischem, deutschem und europäischem Recht, S. 179. 3 BGH v. 16.11.1954 – I ZR 180/53, GRUR 1955, 402 – Anreißgerät; BGH v. 1.7.1960 – I ZR 72/59, GRUR 1961, 40 – Wurftaubenpresse; BGH v. 14.1.1999 – I ZR 47/61, GRUR 1999, 934 – Weinberater; BGH v. 3.5.2001 – I ZR 153/99, WM 2001, 1824; BGH v. 21.12.1963 – I ZR 47/61, GRUR 1963, 367 ff. – Industrieböden. 4 BAG v. 16.3.1982 – 3 AZR 83/79, NJW 1983, 134; BAG v. 15.12.1987 – 3 AZR 474/86, NJW 1988, 1686. 5 BAG v. 15.6.1993 – 9 AZR/91, DStR 1993, 1113. Gennen
169
§ 13
Schutz des Betriebs- und Geschftsgeheimnisses
wenn es hierzu keine vertragliche Vereinbarung gab. Dennoch hat zwischenzeitlich die arbeitsrechtliche Rechtsprechung eine Einschränkung dahin gehend gefunden, dass der Arbeitnehmer seine rechtmäßig erlangten beruflichen Kenntnisse und Erfahrungen verwerten und zu seinem früheren Arbeitgeber in einen Wettbewerb treten darf1. 56
Dementsprechend besteht eine große Unsicherheit darüber, ob überhaupt und ggf. in welchem Umfang ohne besondere Vereinbarungen eine nachvertragliche Verschwiegenheitspflicht eines ausgeschiedenen Arbeitnehmers besteht. Da es zur Beurteilung des nachvertraglichen Geheimnisschutzes auf eine umfassende Abwägung – mit jeweils unsicherem Ergebnis – ankommt (Einzelfallentscheidung), ist eine Vereinbarung in Form einer Geheimhaltungsabrede von erheblicher Bedeutung. 3. Abgrenzung zum nachvertraglichen Wettbewerbsverbot
57
Die nachvertragliche Verschwiegenheitspflicht – soweit eine solche denn im Einzelfall besteht – ist für den Arbeitgeber, im Gegensatz zu einem nachvertraglichen Wettbewerbsverbot (§§ 74 ff. HGB), grundsätzlich kostenfrei. Eine Abgrenzung zwischen einem kostenpflichtigen nachvertraglichen Wettbewerbsverbot und einer kostenfreien nachvertraglichen Geheimhaltungsverpflichtung stellt den Arbeitgeber vor eine große Herausforderung.
58
In der Praxis ist trotz eines regelmäßigen Klärungsbedarfs eine klare Rechtsprechungslinie nicht vorhanden2. Der BGH3 hat aber deutlich gemacht, dass ein ehemaliger Arbeitnehmer die während des Beschäftigungsverhältnisses erworbenen Kenntnisse auch später verwenden darf, wenn er keinem Wettbewerbsverbot unterliegt.
59
Es erscheint zunächst ratsam, bei der Abgrenzung von der Definition der Wettbewerbsabrede in § 74 Abs. 1 HGB auszugehen4. Im Einzelfall hat dann eine Prüfung zu erfolgen, ob die Einhaltung der übernommenen Schweigepflicht eine tatsächliche Beschränkung der gewerblichen Tätigkeit des ehemaligen Arbeitnehmers (in einer einem Wettbewerbsverbot gleichkommenden Weise) bedeutet5. Davon ist grundsätzlich immer dann auszugehen, wenn der ehemalige Arbeitnehmer die Informationen nicht mehr weiter verwenden kann, die er in seinem Gedächtnis bewahrt hat6.
1 Salger/Breitfeld, BB 2005, 154; vgl. auch BAG v. 19.5.1998 – 9 AZR 394/97, NZA 1999, 200. 2 Reinfeld in Moll, Münchener Anwaltshandbuch Arbeitsrecht, § 30 Rz. 28. 3 BGH v. 3.5.2001 – I ZR 153/99, GRUR 2002, 91 – Spritzgießwerkzeuge. 4 Reinfeld in Moll, Münchener Anwaltshandbuch Arbeitsrecht, § 30 Rz. 33. 5 Reinfeld in Moll, Münchener Anwaltshandbuch Arbeitsrecht, § 30 Rz. 33. 6 BAG v. 15.6.1993 – 9 AZR 558/91, NZA 1994, 502 ff.
170
Gennen
§ 13
IV. Vertraglicher Geheimnisschutz
4. Rechtsfolgen Der Verrat von Geschäfts- und Betriebsgeheimnissen kann gem. § 626 60 BGB einen Grund für eine außerordentliche Kündigung (Kündigung aus wichtigem Grund) darstellen, wobei eine Abmahnung ggf. entbehrlich ist. Ggf. reicht in besonders gelagerten Fällen sogar bereits der Verdacht eines Geheimnisverrats aus (Verdachtskündigung), um eine Kündigung zu rechtfertigen. Ein solcher Verrat kann zudem die vorbenannten strafrechtlichen Sank- 61 tionen nach sich ziehen. Zivilrechtlich besteht darüber hinaus ein Anspruch auf Unterlassung 62 künftiger Verletzungshandlungen, der sich aus den §§ 8 Abs. 1, 3 UWG, bzw. bei fehlendem wettbewerbsrechtlichen Bezug aus den §§ 823, 1004 BGB, ergibt. Der Arbeitgeber kann zudem gegen den Arbeitnehmer auch Schadensersatzansprüche gem. §§ 823 Abs. 1, Abs. 2 BGB i.V.m. § 17 UWG, § 826 BGB geltend machen. Zudem kann gem. § 280 Abs. 1 BGB i.V.m. dem Arbeitsvertrag ein Schadensersatzanspruch bestehen. Zur Vorbereitung von Unterlassungs- und Schadensersatzklagen kann auch ein Auskunftsanspruch geltend gemacht werden.
IV. Vertraglicher Geheimnisschutz 1. Einleitung Aus Ziff. II. wird deutlich, dass die außervertraglichen Ansprüche wegen 63 der Verletzung von Unternehmensgeheimnissen nicht abschließend geregelt sind1, u.a.: (1) §§ 17, 18 UWG erfassen nicht alle möglichen Angriffsarten. Der umfassende lauterkeitsrechtliche Schutz ist z.B. dann nicht anwendbar, wenn der Täter des Geheimnisverrats nicht Beschäftigter ist und er die Informationen befugt vom Geheimnisträger erhalten hat. § 18 UWG beschränkt den Schutzbereich auf „Vorlagen“ und „Vorschriften technischer Art“. Finanzielle Informationen oder Kundenadressen fallen nicht hierunter2. Weitere Voraussetzung für die Strafbarkeit ist, dass die Tatobjekte dem Täter „anvertraut“ gewesen sein müssen, bevor er sie unbefugt verwertet oder jemandem mitteilt. Ein Anvertrauen liegt vor, wenn dem Empfänger vertraglich oder sonst ausdrücklich die Verpflichtung auferlegt wurde, die überlassenen Vorlagen der technischen Vorschriften nur im vereinbarten Interesse zu verwenden. Es können aber nur solche Informationen anvertraut sein, die nicht offenkundig sind.
1 A.A. Söbbing, GWR 2010, 237. 2 Köhler in Köhler/Bornkamm, UWG, § 18 Rz. 3. Gennen
171
§ 13
Schutz des Betriebs- und Geschftsgeheimnisses
(2) Deliktische Ansprüche führen gem. § 823 Abs. 2 BGB i.V.m. §§ 17, 18 UWG ebenfalls zu den vorbenannten Regelungslücken. (3) Ein schuldrechtlicher Anspruch setzt voraus, dass aus den Umständen des Einzelfalls der Wille des offenbarenden Vertragspartners oder Arbeitnehmers zur vertraulichen Behandlung der Information erkennbar war. (4) Die Einordnung des nachvertraglichen Geheimnisschutzes bereitet erhebliche Schwierigkeiten. (5) Insbesondere bei sondergesetzlich nicht geschütztem Know-how ist eine Geheimhaltungsvereinbarung die einzige Möglichkeit, Informationen zu schützen, die dem Arbeitnehmer oder der anderen Partei offenbart werden. 64
Vor diesem Hintergrund wird deutlich, dass es vertraglicher Absprachen1 bedarf, um zum einen den effektiven Geheimnisschutz gewähren zu können und zum anderen eine präventive Warnfunktion erfüllen zu können.
65
Vertraulichkeitsvereinbarungen unterfallen der AGB-rechtlichen Einbeziehungs- und Inhaltskontrolle gem. §§ 305 ff. BGB, wenn nicht (ausnahmsweise) eine Individualvereinbarung vorliegt. I.d.R. werden aber gerade Geheimhaltungsklauseln mehrfach verwendet bzw. sind zur mehrfachen Verwendung vorgesehen. Damit können Geheimhaltungsklauseln, die im Verhältnis zum gesetzlichen Geheimnisschutz lediglich deklaratorisch sind oder die bestehende Gesetzeslage näher konkretisieren, jederzeit vereinbart werden. Der Zweck ist in solchen Fällen lediglich auf eine Klarstellung und eine Appellfunktion begrenzt. Vereinbarungen, die über die gesetzlichen Regelungen hinausgehen, sind nicht ohne Weiteres zulässig. Im individualvertraglichen Bereich sind ihnen gem. §§ 138, 242 BGB Grenzen gesetzt.
66
Im Rahmen von Beschäftigungsverhältnissen ist insbesondere auf Folgendes zu achten: – Eine Erweiterung der Verschwiegenheitspflicht ist nur in den Grenzen der §§ 134, 138, 242 BGB zulässig. Die Abrede darf jedenfalls die Grenze zu einem Wettbewerbsverbot nicht überschreiten, da dieses nur in den Grenzen des §§ 74 ff. HGB zulässig ist. Verschwiegenheitsklauseln – vor allem solche, die den nachvertraglichen Bereich betreffen – dürfen nicht zu einer unzulässigen Einschränkung des Rechts auf freie berufliche Betätigung des Arbeitnehmers führen2. Andernfalls würden die Rechte des Arbeitnehmers aus Art. 12 GG beeinträchtigt werden. – Weiter ist die Ansicht des BAG zu berücksichtigen, wonach eine dem Arbeitnehmer auferlegte nachvertragliche Schweigepflicht, die sich 1 Vgl. zu Geheimhaltungsvereinbarungen in IT-Projekten Intveen, ITRB 2007, 239. 2 BAG v. 19.5.1998 – 9 AZR 394/97, NZA 1999, 200.
172
Gennen
§ 13
IV. Vertraglicher Geheimnisschutz
nicht auf ein oder mehrere konkret festgelegte Betriebsgeheimnisse bezieht, sondern unterschiedslos Geschäftsgeheimnisse bzw. ohne Konkretisierung alle im Arbeitsverhältnis übermittelten Informationen umfasst („Allklausel“), dem Arbeitnehmer faktisch jede berufliche Verwertung seiner in diesem Geschäftsbereich erworbenen Kenntnisse verwehrt. Dadurch werde auch die Grenze zum entschädigungspflichtigen und zeitlich auf höchstens zwei Jahre begrenzten Wettbewerbsverbot überschritten1. 2. Geheimhaltungsklauseln in (auf Datenbanken bezogenen) Verträgen a) Gegenstand der Geheimhaltung Eine besondere Bedeutung im Rahmen der Gestaltung von Geheimhal- 67 tungsvereinbarungen spielt die Bezeichnung des von der Geheimhaltung erfassten Gegenstands. Dessen Konkretisierung kann z.B. dadurch erfolgen, dass nur solches Wissen geheim zu halten ist, das durch einen entsprechenden Vermerk auf dem Dokument oder der Datei als „geheim“ gekennzeichnet wird, das in einer bestimmten Besprechung ausgetauscht wurde oder das während eines bestimmten Zeitraums übermittelt wird, das sich in einem bestimmten Ordner (körperlich oder auf einem Rechner) befindet usw. In Bezug auf mündlich übermittelte Informationen bietet es sich an, bei der Übermittlung einen mündlichen Geheimhaltungshinweis auszusprechen, auf den dann ein schriftliches Bestätigungsschreiben folgt2. Darüber hinaus sollte das offenzulegende Wissen – wenn es auch komplex und schwierig zu beschreiben ist – soweit wie möglich konkretisiert werden. Dadurch kann der Umfang der Geheimhaltungsverpflichtung hinreichend bestimmt werden, was für den Fall der Unterlassungsklage bei Zuwiderhandlung von Bedeutung ist. Denn ein etwaiger Unterlassungstitel muss vollstreckbar sein. Diese Konkretisierung kann z.B. als Aufzählung von Dokumenten in einem Anhang zur eigentlichen Geheimhaltungsvereinbarung erfolgen. Unbegrenzte Blanko-Verpflichtungen, die jegliche Informationen ohne weitergehende Konkretisierung der Geheimhaltung unterwerfen, sind kartellrechtlich problematisch und würden wohl auch einer Kontrolle nach § 307 Abs. 1 BGB nicht standhalten3. Zudem empfiehlt es sich, eine Regelung mit aufzunehmen, die die Zusi- 68 cherung des Empfängers enthält, dass ihm das offengelegte Know-how nicht bekannt war. Dies führt in der Konsequenz zu einer Beweislastumkehr. Soll das Know-how lediglich für einen bestimmten Zweck verwendet werden, bietet sich auch gleichzeitig die Eingrenzung durch Bestimmung des Zwecks an4. 1 2 3 4
BAG v. 19.5.1998 – 9 AZR 394/97, NZA 1999, 200. Kurz, Vertraulichkeitsvereinbarungen, S. 104. Mummenthey, CR 1999, 651. Loschelder in Ann/Loschelder/Grosch, Praxishandbuch Know-how-Schutz, 3 A Rz. 6. Gennen
173
§ 13 69
Schutz des Betriebs- und Geschftsgeheimnisses
Demnach ergibt sich insbesondere in Bezug auf Daten und Datenbanken das Erfordernis, diese, die für das Unternehmen beispielsweise im Rahmen einer Softwareentwicklung essenziell sind, so genau wie möglich zu bezeichnen (mindestens Dateiname, Dateigröße, Version und Versionsdatum) und auch zugleich den Zweck, für den diese verwendet werden sollen, mit anzugeben1. Zudem bietet es sich – je nach Fallgestaltung – an, eine Bestimmung aufzunehmen, die klarstellt, dass auch die einzelnen Daten innerhalb einer Datenbank von der Geheimhaltungsvereinbarung umfasst sind. b) Öffnungsklauseln
70
Für die AGB-Kontrolle und dem damit verbundenen Risiko der Unwirksamkeit ist es von besonderer Bedeutung, dass die Geheimhaltungsvereinbarung über eine Öffnungsklausel verfügt2, wonach bestimmte (Arten von) Informationen nicht geheim zu halten sind, z.B. offenkundiges Wissen, beim Empfänger im Zeitpunkt der Übermittlung bereits vorhandenes Wissen oder von ihm selbst ohne Kenntnis des übermittelten Wissens entwickeltes Wissen. Dies ist umso mehr zu beachten, je weiter und unspezifischer im Übrigen das bezeichnete Know-how und je länger die Dauer der Geheimhaltungsverpflichtung ist, und ist im Übrigen auch von Einfluss auf die kartellrechtliche Wirksamkeit solcher Geheimhaltungsvereinbarungen3.
71
I.d.R. wird die Beweislast vertraglich so verteilt, dass derjenige, der sich auf eine Ausnahme gemäß der Öffnungsklausel berufen möchte, die Tatsachen zu beweisen hat, die die Ausnahme rechtfertigen sollen4. Das ist naturgemäß der Informationsempfänger. c) Geheimhaltungs- und Nichtverwendungspflichten
72
Die Vereinbarung sollte ein Weitergabeverbot und Nutzungsbeschränkungen enthalten5. Hiernach dürfen Informationen nicht an Dritte weitergeben werden. Ferner sind übergebene Unterlagen sorgfältig aufzubewahren und nur für die abgestimmten Zwecke zu verwenden. Insbesondere können die Nutzung und die Weitergabe (i.e. innerhalb des Unternehmens des Empfängers oder in Bezug auf etwa von ihm eingeschaltete Subunternehmer) nach dem „Need to know-Prinzip“ eingeschränkt werden. Danach ist ein Zugriff auf die jeweilige Information nur insoweit gestattet, als diese auch für die tatsächlich zu erledigende Aufgabe verwendet werden muss oder als die Weitergabe lediglich nur 1 Vgl. zu der Frage, ob es sich bei Software um ein Geheimnis handelt in Roth, ITRB 2011, 115. 2 Vgl. vertieft hierzu Scheja/Mantz, CR 2009, 413. 3 Roth, ITRB 2001, 115. 4 Roth, ITRB 2001, 115. 5 Roth, ITRB 2001, 115.
174
Gennen
§ 13
IV. Vertraglicher Geheimnisschutz
unter der Beschränkung gestattet ist, dass die andere Partei sich schriftlich ihrerseits der Geheimhaltung unterworfen hat1. Zu empfehlen ist eine Regelung, wonach die Information für andere als 73 die in der Vereinbarung ausdrücklich beschriebenen keinesfalls (oder nur nach vorheriger ausdrücklicher Zustimmung des Informationsgebers) benutzt werden darf. Denn vielfach geht es bei der Geheimhaltung nicht nur darum, dass die Informationen nicht an außenstehende Dritte gelangen dürfen, sondern auch darum, dass der an der Information Berechtigte diese Information nur zu einem bestimmten Zweck verwenden darf (z.B. Aufbau einer bestimmten Datenbank, Durchführung einer Kooperation, Anbahnung einer Zusammenarbeit). d) Absicherung durch Vertragsstrafe bzw. pauschalierten Schadensersatz Von erheblicher praktischer Bedeutung ist die Absicherung der Geheim- 74 haltungs- und Nichtverwendungsabrede durch Vertragsstrafen oder pauschalierten Schadensersatz, auch aufgrund der abschreckenden Wirkung. Der bloße (zu vertretende) Verstoß gegen die Geheimhaltungsregelung zeitigt i.d.R. noch keinen Schaden; meist kann der Betroffene einen (nennenswerten) Schaden auch nicht nachweisen. Daher ist eine Vertragsstrafe das probate Mittel zur Absicherung. Schon ein pauschalierter Schadensersatz, der im Unterschied zur Vertragsstrafe neben dem Verstoß und dem Vertretenmüssen auch einen – noch so geringen – Schaden voraussetzt, ist gegenüber der reinen Vertragsstrafe ein deutlich schwächeres Mittel. Bei der formularmäßigen Vereinbarung von Vertragsstrafen ist wichtig, 75 dass es sich im Gesamterscheinungsbild nicht um eine überraschende Klausel handeln darf (§ 305c BGB). Zudem ergibt sich aus §§ 307, 305c BGB, dass eine verschuldensunabhängige Vertragsstrafe als AGB – anders als in individualvertraglichen Bestimmungen – grundsätzlich unwirksam ist. Damit sind folgende Kriterien2 zu beachten: – Sowohl der Verstoß, der zur Zahlungsverpflichtung führt, als auch die Höhe der zu zahlenden Vertragsstrafe müssen bestimmt bzw. bestimmbar sein. Ggf. ist daran zu denken, die Vertragsstrafe in das Ermessen des Gerichts zu stellen und in der Vereinbarung lediglich eine Mindeststrafe auszuweisen. – Ein Verzicht auf die Einrede des Fortsetzungszusammenhangs muss individuell vereinbart werden. – Eine Regelung, ob die zu zahlende Vertragsstrafe auf einen zusätzlichen Schadensersatzanspruch anzurechnen ist, sollte getroffen werden. § 343 Abs. 1 BGB sieht die grundsätzliche Anrechenbarkeit vor, 1 Roth, ITRB 2001, 115. 2 Loschelder in Ann/Loschelder/Grosch, Praxishandbuch Know-how-Schutz, 3 A Rz. 9. Gennen
175
§ 13
Schutz des Betriebs- und Geschftsgeheimnisses
so dass eine Klausel, wonach der zur Zahlung Verpflichtete die Vertragsstrafe neben einem eventuellen Schadensersatzanspruch zu zahlen hat, individuell zu vereinbaren ist. – Ist die Vertragsstrafe im Einzelfall überhöht, kann sie nach § 343 BGB gerichtlich angepasst werden. Dies gilt hingegen bei §§ 348, 351 HGB nicht, wenn der Verpflichtete Kaufmann ist. Dies ist in diesen Fällen abdingbar, findet seine Grenze aber in § 138 i.V.m. § 242 BGB. 76
Der pauschalierte Schadensersatz dient lediglich dazu, den Geschädigten vom Schadensbeweis zu entlasten. Soweit die Klausel an den §§ 305 ff. BGB zu messen ist, ist zu berücksichtigen, dass dem Schädiger die Möglichkeit offen gehalten werden muss, nachzuweisen, dass dem Vertragspartner kein oder ein geringerer Schaden als die Höhe des pauschalierten Schadensersatzes entstanden ist. e) Laufzeit des Vertrages und Dauer der Geheimhaltungsverpflichtung
77
Die Laufzeit von Geheimhaltungsverpflichtungen muss nicht zwingend begrenzt werden, wenngleich in der Praxis begrenzte Laufzeiten von zwischen zwei und fünf Jahren, in wenigen Fällen auch von zehn Jahren, nicht unüblich sind. Meist orientiert man sich am Innovationszyklus in der entsprechenden Branche; im IT-Bereich können insoweit recht kurze Laufzeiten anfallen. Es ist jedoch jedenfalls dann, wenn dem Informationsempfänger der Nachweis verbleibt, dass eine im Zeitpunkt der Übermittlung geheime Information durch andere Verhaltensweisen/Arbeiten als durch ein eigenes Fehlverhalten offenkundig geworden ist, möglich, auch eine zeitlich unbegrenzte Laufzeit der Geheimhaltungsverpflichtung anzunehmen. Dabei müssen zwei denkbare Arten von „Laufzeiten“ unterschieden werden, einmal die Zeit, innerhalb derer die Parteien Informationen austauschen, und zum anderen die Zeitspanne, während derer die Parteien die ausgetauschten Informationen geheim zu halten haben. Letztere ist hier gemeint. f) Nachvertragliches Wettbewerbsverbot
78
§§ 74 ff. HGB finden Anwendung auf bestimmte Personengruppen, nämlich den Handlungsgehilfen. Es ist allerdings anerkannt, dass §§ 74 ff. HGB analog für alle Arbeitnehmer Anwendung finden1. Eine Anwendbarkeit ist aber auch für freie Mitarbeiter gegeben. Für Organmitglieder besteht über die Geltung dieser Vorschriften Streit2.
1 BAG v. 9.1.1990 – 3 AZR 110/88, NJW 1990, 1870. 2 Gegen die Anwendbarkeit auf den GmbH-Geschäftsführer vgl. BGH v. 28.4.2008 – II ZR 11/07, DStR 2008, 1394.
176
Gennen
§ 13
IV. Vertraglicher Geheimnisschutz
Ein Wettbewerbsverbot gem. §§ 74 ff. HGB muss schriftlich gem. § 126 79 BGB vereinbart werden. Darüber hinaus ist die unterzeichnete Urkunde dem Arbeitnehmer/Handlungsgehilfen auszuhändigen gem. § 74 Abs. 1 HGB. Das Fehlen der Aushändigung der Urkunde führt zwar nicht zur Nichtigkeit. Allerdings hat der Verpflichtete die Wahl, ob er das Wettbewerbsverbot einhält und die Karenzentschädigung erhält oder nicht. Die verpflichtende Partei kann sich aber nicht auf die Verletzung der Formvorschrift berufen. Ein Wettbewerbsverbot gem. §§ 74 ff. HGB kann auch nur in den Fällen wirksam vereinbart werden, in denen als Gegenleistung für ein Wettbewerbsverbot eine Karenzentschädigung gem. § 74 Abs. 2 HGB gezahlt wird. Nach § 74 Abs. 2 HGB wird das Wettbewerbsverbot nur verbindlich ver- 80 einbart, wenn der Verpflichtende für die Dauer des Verbotes eine Entschädigung zahlt, die für jedes Jahr des Verbotes mindestens die Hälfte der von dem Handlungsgehilfen zuletzt bezogenen vertragsmäßigen Leistungen erreicht. Bei der Ausgestaltung von Wettbewerbsverboten ist insbesondere auf die 81 Einhaltung der inhaltlichen Grenzen gem. § 74a Abs. 1 HGB zu achten. Danach ist ein Wettbewerbsverbot insoweit unverbindlich, als es nicht dem Schutz eines berechtigten geschäftlichen Interesses des Arbeitgebers dient. Zusätzlich darf es keine unbillige Erschwerung des Fortkommens des Arbeitgebers nach sich ziehen. Letztlich schreibt § 74a HGB vor, dass das Verbot nicht auf einen Zeitraum von mehr als zwei Jahren, von der Beendigung des Dienstverhältnisses an, erstreckt werden kann. Bei dem Begriff des „berechtigten Interesses“ handelt es sich um einen 82 unbestimmten Rechtsbegriff, der durch die Gerichte vollständig überprüfbar ist. Das Wettbewerbsverbot muss in sachlicher, örtlicher und zeitlicher Hinsicht von einem berechtigten Interesse des Arbeitgebers gedeckt sein. An dieser Stelle ist immer eine Einzelfallprüfung vorzunehmen. Für die Praxis bedeutet dies, dass immer im konkreten Fall geprüft werden muss, ob ein solches berechtigtes Interesse überhaupt besteht. Bei der Ausgestaltung von Wettbewerbsverboten sollten vor dem Hinter- 83 grund der Wirksamkeit und der Schwierigkeit in Bezug auf eine nachträgliche Abänderbarkeit insbesondere folgende Punkte zwingend Beachtung finden: – Einhaltung der Schriftform in Bezug auf die Urkunde gem. § 74 Abs. 1 HGB i.V.m. § 126 BGB; – Aushändigung der schriftlichen Vereinbarung gem. § 74 Abs. 1 HGB; – Bestimmung des Schutzumfangs des Wettbewerbsverbotes: tätigkeitsbezogene oder unternehmensbezogene Ausgestaltung; – Bestimmung der räumlichen Geltung des Wettbewerbsverbots;
Gennen
177
§ 13
Schutz des Betriebs- und Geschftsgeheimnisses
– Bestimmung der zeitlichen Geltung des Wettbewerbsverbots (ohne besonderen Grund sollte der Geltungszeitraum von 2 Jahren nicht überschritten werden); – Bestimmung der Höhe einer Karenzentscheidung i.S.v. § 74 Abs. 2 HGB; – Vorliegen eines berechtigten Interesses für die Vereinbarung eines Wettbewerbsverbots gem. § 74a Abs. 1 Satz 1 HGB. 84
Für Organmitglieder kann ebenfalls eine Wettbewerbsvereinbarung getroffen werden, wobei der BGH eine solche nicht unbegrenzt zulässt. Die Wettbewerbsvereinbarung ist an § 138 BGB i.V.m. Art. 2, 12 GG zu messen. Ob darüber hinaus die Grundsätze aus den §§ 74 ff. HGB Anwendung finden, hat der BGH nicht abschließend entschieden. Jedenfalls zieht der BGH die Rechtsgedanken der §§ 74 ff. HGB zur Beurteilung der Wirksamkeit eines Wettbewerbsverbots nach § 138 BGB heran.
85
Bei Wettbewerbsverboten mit Organmitgliedern wird die Aufnahme einer salvatorische Klausel empfohlen. Mehrere OLG nehmen, soweit eine solche Klausel vereinbart wurde, eine geltungserhaltende Reduktion hinsichtlich der zeitlichen Geltungsdauer und der sachlichen Reichweite der Wettbewerbsvereinbarung vor. Bauer/Diller bezeichnen das Weglassen einer solchen Klausel als Kunstfehler1. Zu beachten ist aber, dass die AGB-rechtliche Wirksamkeit einer solchen Klausel umstritten ist, weil sie die Wirkung des § 306 Abs. 2 BGB unterläuft, wonach an die Stelle der unwirksamen Klausel die gesetzliche Regelung tritt. g) Hinterlegung
86
Sollten die Informationen von besonderer Bedeutung sein oder ist die Abgrenzung der überlassenen Informationen von anderen Informationen nur schwierig darzustellen, können diese mit Zustandekommen der Geheimhaltungsvereinbarung bzw. mit Abschluss der Übergabe der Informationen bei einem gewerblichen Hinterleger oder einem Notar verschlossen hinterlegt werden, um späteren Streit über die sachliche Reichweite der Geheimhaltungsreglung (möglichst) zu vermeiden. h) Herausgabe der Unterlagen
87
Zudem sollte aus der Sicht des Informationsgebers geregelt werden, dass auf Verlangen unverzüglich und jedenfalls nach Vertragsbeendigung überlassene Informationen, soweit sie körperlich vorhanden sind, zurückgegeben und Kopien oder sonstige Abschriften davon unwiederbringlich und unter Einhaltung der insoweit geltenden Standards (z.B. gemäß BSI-Standards) gelöscht werden. Dies sollte dann auch von der empfange-
1 Bauer/Diller, Wettbewerbsverbote, Rz. 737.
178
Gennen
§ 13
IV. Vertraglicher Geheimnisschutz
nen Partei bestätigt werden und zugleich eine Erklärung enthalten, dass der Verpflichtete alle relevanten Unterlagen abgegeben/vernichtet hat. 3. Präventive innerbetriebliche Schutzmaßnahmen Das Eingreifen rechtlicher Sanktionen für den Fall eines Geheimnis- 88 verrats oder der Nichteinhaltung von Geheimhaltungsvereinbarungen und Wettbewerbsverboten dient der Sicherung des Know-how auf rechtlicher Ebene. Erste Wahl zur Absicherung des Know-how sollte aber, dies sei hier nur der Vollständigkeit halber erwähnt, immer das präventive Eingreifen von technischen und fachlichen Sicherungsmaßnahmen sein. Denn es liegt in der Natur der Sache, dass derjenige, der keinen Zugang zum Know-how erhält, dieses auch nicht weitergeben oder verwenden kann. Dafür bedarf es insbesondere eines funktionierenden innerbetrieblichen 89 Sicherheitskonzepts. Dieses sollte aus einer personellen/organisatorischen und einer technischen Komponente bestehen. Innerbetrieblich bietet es sich insbesondere an, hierzu Verhaltensregelungen für die Mitarbeiter aufzustellen. In organisatorischer Hinsicht sollten ausreichend Sicherungsvorkehrun- 90 gen getroffen werden. Diese enthalten insbesondere:
91
– Benennung eines Sicherheitsbeauftragten, – Durchführung von Kontrollen, – Herausgabe detaillierter Anweisungen für Mitarbeiter. In technischer Hinsicht sollten ebenfalls ausreichend Sicherungsvorkeh- 92 rungen, wie insbesondere die folgenden, getroffen werden: – wirksame Zugriffsbeschränkungen in Bezug auf Daten, – sorgfältige Entsorgung von Materialien, Datenträgern, Schriftstücken und sonstigen Aufzeichnungen, – Fotografieverbot, Alarmanlagen, Überwachungsanlagen, ein Verbot der Mitnahme technischer Geräte sowohl zur privaten als auch zur gemischten Nutzung (BYOD)1, – Kennzeichnungssysteme in Bezug auf vertrauliche Informationen, – Sicherung der IT-Infrastruktur vor unbefugtem Zugriff von außen und innen, wie durch Passwörter, Virenscanner, Firewall, – Sicherung durch Data Loss Prevention.
1 Vertiefend zur Problematik des BYOD vgl. Bierekoven, ITRB 2012, 106; Kremer/ Sander, ITRB 2012, 275; Hörl, ITRB 2012, 106. Gennen
179
§ 13
Schutz des Betriebs- und Geschftsgeheimnisses
4. Checkliste für die vertragliche Gestaltung 93
Bei der Ausgestaltung von Geheimhaltungsvereinbarungen sollte insbesondere auf folgende regelungsbedürftigen Punkte, die sowohl für Daten und Datenbanken als auch für darüber hinaus gehendes Know-how Bedeutung haben, geachtet werden. – Bestimmung der geheimhaltungsbedürftigen Information, – Einbeziehung einer deklaratorischen Klausel, die eine klarstellende Wirkung hat und insbesondere auf die strafrechtlich relevanten Normen und ihre Rechtsfolgen hinweist, – Bezeichnung des geheimhaltungsbedürftigen Materials, – Festlegung darüber, ob und wie das geheimhaltungsbedürftige Material zu kennzeichnen ist, z.B. als „vertraulich“ oder „confidential“, – Bestimmung der Informationen/des Materials, die/das von der Geheimhaltungsverpflichtung ausgenommen sind/ist, sog. Öffnungsklausel oder Ausnahmeregelung. – Bestimmung der Geheimhaltungspflichten, – Positivregelung dazu, zu welchem Zweck die Information benutzt werden darf, – Bestimmung des Nutzungsumfangs und der Reichweite der Weitergabe, z.B. durch das „Need to know-Prinzip“, – Bestimmung von Pönalen, – Einführung von Vertragsstrafenbestimmungen oder Bestimmungen zum pauschalierten Schadensersatz, – Bestimmungen zur Laufzeit und Dauer der Geheimhaltungsverpflichtung, – Nachvertragliches Wettbewerbsverbot, – Einhaltung der Schriftform in Bezug auf die Urkunde gem. § 74 Abs. 1 HGB i.V.m. § 126 BGB, – Aushändigung der schriftlichen Vereinbarung gem. § 74 Abs. 1 HGB, – Bestimmung des Schutzumfangs des Wettbewerbsverbotes: tätigkeitsbezogene oder unternehmensbezogene Ausgestaltung, – Bestimmung der räumlichen Geltung des Wettbewerbsverbots, – Bestimmung der zeitlichen Geltung des Wettbewerbsverbots (ohne besonderen Grund sollte der Geltungszeitraum von 2 Jahren nicht überschritten werden), – Bestimmung der Höhe einer Karenzentscheidung i.S.v. § 74 Abs. 2 HGB, – Vorliegen eines berechtigten Interesses für die Vereinbarung eines Wettbewerbsverbots gem. § 74a Abs. 1 Satz 1 HGB, 180
Gennen
§ 13
IV. Vertraglicher Geheimnisschutz
– ggf. Bestimmung zur Hinterlegung einer Kopie der Informationen, – Gewerblicher Hinterleger oder Notar, – Bestimmungen zur Herausgabe und Löschung von Unterlagen, Daten usw. – Formulierung der einzuhaltenden technischen Standards bei der Vernichtung, – Herbeiführung einer Beweislastumkehr durch schriftliche Bestätigung.
Gennen
181
§ 14 Auslagerung von IT-Leistungen und § 203 StGB Rz. I. Einführung: Berufsgeheimnis im digitalen Zeitalter . . . . . . . . . . . . . 1 1. Sicherheit und Ordnungsmäßigkeit der IT verlangt den Einsatz von Spezialisten. . . . . . . . . . . . . . . 1 2. Spezialisierte IT-Dienstleister für Berufsgeheimnisträger . . . . . . 3 3. § 203 StGB und berufsrechtliche Regelungen im Verhältnis zum Datenschutz. . . . . . . . . . . . . . . . . . 6 a) Meinungsstand in Deutschland . . . . . . . . . . . . . . . . . . . . . . 6 b) Neuere EuGH-Rechtsprechung . . . . . . . . . . . . . . . . . . . . . 10 II. Der Tatbestand des § 203 StGB . . 1. Überblick zu Täterkreis und Tathandlung. . . . . . . . . . . . . . . . . . a) Schweigeverpflichtete . . . . . . . b) Geheimnis . . . . . . . . . . . . . . . . . c) Anvertraut/bekannt geworden d) Unbefugt . . . . . . . . . . . . . . . . . . e) Offenbaren. . . . . . . . . . . . . . . . .
14 14 14 16 17 18 20
Rz. 2. Die Tathandlung des § 203 StGB bei Auslagerung von IT-Leistungen . . . . . . . . . . . . . . . . . . . . . . a) Der IT-Dienstleister als „berufsmäßiger Gehilfe“ des nach § 203 StGB Verpflichteten? . . . b) „Offenbaren“ bei Vor-Ort-Terminen und Remote-Zugriffen . c) Zwischenergebnis . . . . . . . . . . . III. Rechtliche und technische Gestaltungsansätze . . . . . . . . . . . . . . 1. Technische Gestaltungsmöglichkeiten . . . . . . . . . . . . . . . . 2. Arbeitnehmerüberlassung . . . . . . 3. Doppelarbeitsverhältnis . . . . . . . . 4. Einwilligung, Schweigepflichtentbindung . . . . . . . . . . . . . . . . . . . 5. Besondere Geheimhaltungsregelungen im Vertrag mit dem Outsourcing-Anbieter . . . . . . . . . . 6. Fazit . . . . . . . . . . . . . . . . . . . . . . . .
21 21 30 34 36 37 39 43 44 50 51
I. Einführung: Berufsgeheimnis im digitalen Zeitalter 1. Sicherheit und Ordnungsmäßigkeit der IT verlangt den Einsatz von Spezialisten 1
Es ist kein Geheimnis, dass auch Berufsgeheimnisträger digital arbeiten, dass ihre IT-Systeme implementiert, administriert und gewartet werden müssen und dass die Datenvolumen, die sie erheben, verarbeiten und nutzen, rasant steigen1. Die Berufsgruppen, die nach verbreiteter Ansicht nicht sehr technik-affin sind, für die aber § 203 StGB ein erhebliches Erschwernis darstellt, IT-Leistungen auszulagern, sind (grob umrissen) neben dem öffentlichen Bereich (§ 203 Abs. 2 StGB), vor allem der größte Teil des nicht-öffentlichen Heil- und Sozialbereichs (einschließlich Arzt-/Zahnarzt-/Tierarzt-Praxen, Krankenhäuser, Apotheken, Berufspsychologen, staatlich anerkannte Sozialpädagogen/Sozialarbeiter und Beratungsstellen, private Verrechnungsstellen, private Kranken-, Unfallund Lebensversicherungen) sowie der Bereich der Rechtsanwälte, Patentanwälte, Notare, Steuerberater und Wirtschaftsprüfer und – nicht zu vergessen – die betrieblichen Beauftragten für den Datenschutz (§ 203 1 Manhart, CIO v. 12.7.2011, „Doppeltes Datenvolumen alle zwei Jahre“, abrufbar unter: http://www.cio.de/dynamicit/bestpractice/2281581/ (letzter Abruf: 23.9.2013).
182
Conrad/Witzel
§ 14
I. Einfhrung: Berufsgeheimnis im digitalen Zeitalter
Abs. 2a StGB). Der Einsatz von IT-Spezialisten ist für Berufsgeheimnisträger ebenso unabdingbar wie für andere Unternehmen, denn die Digitalisierung der Arbeitswelt lässt sich nicht zurückdrehen und gerade digitale Geheimnisse verlangen funktionsfähige und ordnungsmäßig arbeitende Datenverarbeitungssysteme und ein hohes IT-Sicherheitsniveau. Krankenhäuser, Versicherungen und internationale Großkanzleien sind 2 vielleicht in der Lage, eigene Rechenzentren und IT-Abteilungen zu unterhalten, wobei auch die „innerorganisatorische“ Mitteilung als Offenbarung im Sinne des § 203 StGB gelten kann1. Bisweilen beschäftigen auch mittelgroße Arztpraxen und Anwaltskanzleien einen eigenen IT-Administrator als Arbeitnehmer. Im Regelfall ist es jedoch wirtschaftlicher, und gerade für kleinere Einheiten von Berufsgeheimnisträgern überlebenswichtig, externe IT-Dienstleister einzusetzen, anstatt einen IT-Mitarbeiter anzustellen. Eine Information ist umso eher ein Geheimnis, je weniger Personen die Information kennen2. 2. Spezialisierte IT-Dienstleister für Berufsgeheimnisträger Der Markt für IT-Dienstleister, die sich auf Berufsgeheimnisträger spezia- 3 lisieren (etwa Anbieter von Anwaltssoftware, von KIS- oder RIS/PACSSoftware für Krankenhäuser oder spezialisierte Callcenter3 wie externe Anwaltssekretariate), wird immer größer. Doch nur wenige spezialisierte Anbieter liefern adäquate technisch-organisatorische Lösungen für den Konflikt zwischen zeitgemäßer Berufsausübung und Strafbarkeitsrisiko. Zwar bieten einige IT-Dienstleister an, z.B. durch ihre Gesellschaftsform (Gründung von Genossenschaften bestehend aus Berufsgeheimnisträgern4) oder Anstellung von Beschäftigten, die dem Berufsgeheimnis unterliegen (z.B. Rechtsanwaltsfachangestellte als Callcenter-Mitarbeiter in externen Anwaltssekretariaten5), oder durch arbeitsrechtliche Modelle wie Arbeitnehmerüberlassung an den Berufsgeheimnisträger den Konsequenzen des § 203 StGB zu entgehen. Ob diese Gestaltungsformen im Einzelfall dazu führen, dass der IT-Dienstleister als „berufsmäßig tätiger Gehilfe“ im Sinne von § 203 Abs. 3 StGB anzusehen und die Auslagerung somit straffrei ist, ist eher fraglich6. Allein die Tatsache, dass der Anbieter z.B. eine Genossenschaft von Berufsgeheimnisträgern ist, schließt ein 1 Hoenike/Hülsdonk, MMR 2004, 788; s. dazu sogleich unter II. 2. a). 2 Zu Betriebs- und Geschäftsgeheimnissen siehe Gennen, § 13. 3 Zu Callcenter-Verträgen und Datenschutzanforderungen im Callcenter s. Antoine/Fechtner/Hausen, § 50. 4 S. etwa http://www.datev.de/portal/ShowPage.do?pid=dpi&nid=79559. 5 Teilweise werben die Anbieter damit, dass z.B. die Rechtsanwaltsfachangestellten, die sie im Callcenter einsetzen, nachweislich in den Vorschriften des Berufsrechts, insbesondere in der Verschwiegenheitspflicht geschult, von einem Anwalt angeleitet werden und dass diese Mitarbeiter räumlich getrennt ausschließlich für Berufsgeheimnisträger arbeiten. 6 Dazu s. auch unten II. 2. a) und III. 2. Conrad/Witzel
183
§ 14
Auslagerung von IT-Leistungen und § 203 StGB
unbefugtes Offenbaren grds. nicht aus. Tatsächlich kommt ein Offenbaren auch dann in Betracht, wenn das Geheimnis einem anderen Berufsgeheimnisträger mitgeteilt wird, sofern dem anderen das Geheimnis nicht anvertraut wurde oder der Verfügungsberechtigte nicht eingewilligt hat. § 203 StGB gilt also grds. auch für Schweigepflichtige untereinander (z.B. innerhalb eines Krankenhauses). Entscheidend ist, welcher Funktionseinheit (Kanzlei, Praxis, Behörde) der Verfügungsberechtigte das Geheimnis anvertraut1. Manche Anbieter unterstützen daher ihre Kunden, indem sie Musterschweigepflichtentbindungserklärungen bzw. Informations- und Einwilligungsmuster zur Verfügung stellen2. 4
Vergleichsweise selten findet man IT-Anbieter, die den Schutz des Berufsgeheimnisses durch sichere, software-basierte Pseudonymisierungsund Anonymisierungskonzepte sicherstellen wollen. Ende-zu-Ende-Verschlüsselung mit einer Schlüsselverwaltung, die eine KenntnisnahmeMöglichkeit des Dienstleisters von Geheimnissen ausschließt, wäre nur ein Beispiel, das zwar nicht für alle IT-Leistungen passt, aber in Zeiten von Cloud-Computing immer wichtiger wird. Gerade bei externen Callcentern kommen grds. auch Einwilligungskonzepte und Pseudonymisierung von Daten (etwa Kalendereinträge, soweit das Callcenter auch zur Terminvergabe beauftragt ist) in Betracht3.
5
Der NSA-Skandal, der sich immer mehr ausweitet und inzwischen auch europäische Nachrichtendienste erfasst hat, mag zweifeln lassen, inwieweit es überhaupt noch Geheimnisse gibt. Diese Erkenntnisse scheinen an den Grundfesten und Kernbereichen der informationellen Selbstbestimmung, der Vertraulichkeit und Integrität informationstechnischer Systeme und des Anwalts-, Patienten- und Beichtgeheimnisses zu rütteln. Hinzu kommt, dass (auch) Berufsgeheimnisträger vergleichsweise unbekümmert Cloud-Dienste wie Webmail, Google-Kalender oder Smartphones mit diversen Apps mit Online-Funktionalität einsetzen, mittels derer sie Patienten-/Mandantendaten zu internationalen, häufig US-amerikanischen Anbietern auslagern. Diese eigene Unbedarftheit im Umgang mit digitalen Daten höhlt das Berufsgeheimnis weiter aus. Denn ein Beschlagnahmeschutz im Rechenzentrum eines US-Anbieters besteht nicht.
1 Maßgeblich dabei sei die objektive Sachlage, nicht die Sicht des Offenbarenden, siehe Schünemann in LK-StGB, § 203 Rz. 41. Str., nach anderer Ansicht gilt die innerbehördliche Weitergabe per se nicht als tatbestandsmäßig, anders als die Weitergabe im nicht-öffentlichen Bereich, s. w.N. bei Hoenike/Hülsdonk, MMR 2004, 788. 2 Zur Einwilligung, Schweigepflichtentbindungserklärung s. unten III. 4. 3 Im Einzelnen siehe Antoine/Fechtner/Hausen, § 50.
184
Conrad/Witzel
§ 14
I. Einfhrung: Berufsgeheimnis im digitalen Zeitalter
3. § 203 StGB und berufsrechtliche Regelungen im Verhältnis zum Datenschutz a) Meinungsstand in Deutschland Vom Grundsatz her stehen der Schutz von Geheimnissen1 und der 6 Schutz personenbezogener Daten nebeneinander. Naturgemäß gibt es Überlappungen, soweit Geheimnisse personenbezogen sind (was z.B. bei Mandantendaten nicht immer der Fall sein muss, aber im Sozial-2 und Gesundheitsbereich3 regelmäßig vorliegt). Soweit Unterschiede zwischen Geheimnis- und Datenschutz bestehen, etwa was die Schutzdauer betrifft, kommt im Zweifel die strengere Norm bzw. Regelung zum Tragen4. Zu den einzelnen Berufsgruppen des § 203 StGB gibt es jeweils berufsrechtliche Regelungen5 und teilweise sehr ausdifferenzierte bereichsspezifische Datenschutzvorschriften6. Der bereichsspezifische Datenschutz im Zusammenhang mit den Berufsgruppen des § 203 StGB ist weit weniger einheitlich als bei § 206 StGB. Inwieweit bei Berufsgeheimnisträgern neben den berufsspezifischen Regelungen datenschutzrechtliche und Fernmeldegeheimnis-Vorschriften (insbesondere § 4 Abs. 1, § 9 und § 11 BDSG sowie – hinsichtlich Privatnutzung von Telefon, E-Mail und Internet am Arbeitsplatz – auch §§ 88, 91 ff. TKG) zu beachten sind, ist teilweise umstritten. Vertreten wird, dass zumindest das BDSG oder
1 Z.B. § 206 StGB, § 203 StGB, § 201 StGB, §§ 17, 18 UWG, das Steuergeheimnis oder das – nach deutschem Recht – nur zivilrechtlich geschützte Bankgeheimnis. Zu §§ 17, 18 UWG Gennen, § 13. 2 Einzelheiten zum verwaltungsinternen und verwaltungsexternen Outsourcing in der Sozialverwaltung (v.a. Sozialversicherung) s. Werner in Bräutigam, IT-Outsourcing, S. 729 ff. 3 Werner in Bräutigam, IT-Outsourcing, S. 752 ff. Zu Empfehlungen zur ärztlichen Schweigepflicht, Datenschutz und Datenverarbeitung in der Arztpraxis (einschließlich technischer Anlage mit Hinweisen zu LAN, WLAN, VoiIP, Verschlüsselung Backup etc.) s. Bundesärztekammer/KBV, Deutsches Ärzteblatt 2008/19, A1026 ff., allerdingsteilweise veraltet, weil noch das Institut der mutmaßlichen Einwilligung vertreten wird (abrufbar unter www.bundesaerztekam mer.de). 4 Der Datenschutz gilt etwa auch dann, wenn das Vertragsverhältnis mit einem Dienstleister beendet ist und endet nicht etwa fünf Jahre nach Beendigung des Vertrages (wie in vielen vertraglichen Geheimhaltungsregelungen vorgesehen). Allerdings gibt es in diesem Zusammenhang einige streitige Fragen (vor allem beim Datenschutz in der Anwaltskanzlei). Denn gemäß § 1 Abs. 3 Satz 2 BDSG bleibt die „Verpflichtung zur Wahrung gesetzlicher Geheimhaltungspflichten oder von Berufs- oder besonderen Amtsgeheimnissen, die nicht auf gesetzlichen Vorschriften beruhen, … unberührt“. 5 Speziell bei Anwälten etwa § 43a Abs. 2 BRAO; speziell zur Abtretung von Vergütungsforderungen durch Anwälte an Nichtanwälte s. § 49 Abs. 4 BRAO; zum (externen) betrieblichen Datenschutzbeauftragten s. § 203 Abs. 2a StGB und § 4f Abs. 4a BDSG. 6 Vor allem beim Patienten- und Sozialdatenschutz etwa in verschiedenen Büchern des SGB, in den Landeskrankenhausgesetzen etc. Conrad/Witzel
185
§ 14
Auslagerung von IT-Leistungen und § 203 StGB
Teile1 davon bei Anwälten neben den berufsspezifischen Regelungen keine Anwendung finden2. 7
Die deutschen Datenschutzaufsichtsbehörden sehen das nach eigenem Bekunden anders, haben aber – soweit ersichtlich – bislang noch keine Betriebsprüfung in einer Anwaltskanzlei durchgeführt, wohl aber in Arztpraxen3: „Der Düsseldorfer Kreis begrüßt, dass die Bundesregierung in ihrer Stellungnahme zum 21. Tätigkeitsbericht des BfDI erklärt hat, dass die Erhebung und Verwendung personenbezogener – auch mandatsbezogener – Daten durch Rechtsanwälte den Vorschriften des BDSG unterliegt und dass die Aufsichtsbehörden der Länder zuständig sind, die Datenschutzkontrolle durchzuführen. Der Düsseldorfer Kreis sieht darin die Bestätigung seiner Auffassung, dass das BDSG – auch hinsichtlich mandatsbezogener Daten – auf Rechtsanwälte anwendbar ist. In der BRAO befinden sich aus datenschutzrechtlicher Hinsicht nur punktuelle Regelungen (§ 43a Abs. 2 BRAO Schweigepflicht, § 50 BRAO Handakten). Die Vorschriften des BDSG treten gemäß § 1 Abs. 3 BDSG lediglich insoweit zurück, als bereichsspezifische Datenschutzvorschriften bestehen. Durch das anwaltliche Berufsgeheimnis werden die Informationsrechte der Aufsichtsbehörden nach § 38 BDSG in Verbindung mit § 24 Abs. 6 und 2 BDSG nicht eingeschränkt.“4
8
Nach wohl überwiegender Ansicht finden im Grundsatz die Datenschutzvorschriften, insbesondere die Vorschriften zu den technischen und organisatorischen Maßnahmen und zur Auftragsdatenverarbeitung (§§ 9 und 11 BDSG), auch auf Anwälte Anwendung. Denn die berufsspezifischen Regelung sind insoweit (zumindest bislang) nicht hinreichend spezifisch, gerade was den Einsatz von IT-Dienstleistern betrifft. Sachgerecht ist jedoch, dass datenschutzrechtliche Betriebsprüfungen in Anwaltskanzleien von den Rechtsanwaltskammern vorgenommen werden sollten und nicht von den Datenschutzaufsichtsbehörden5. Anderenfalls wäre z.B. bei auf IT-Recht und Datenschutz spezialisierten Anwälten, die von ihren Mandanten (häufig per E-Mail) über IT- und Datenschutzproblemen informiert werden, das Mandatsgeheimnis ausgehöhlt.
1 Nämlich soweit Mandantendaten betroffen sind und sowie § 38 BDSG (Befugnisse der Datenschutzaufsichtsbehörden). 2 KG v. 20.8.2010 – 1 Ws (B) 51/07, CR 2011, 188 f. mit Anm. Breinlinger und dazu auch Anm. Wagner in BRAK-Mitteilungen 2011 (Heft 1), 2 ff.; für die Nichtanwendung des BDSG auf Anwälte: Rüpke, AnwBl 2004, 552, Härting, AnwBl 2005, 131; a.A. bzw. differenzierend s. Redeker, NJW 2009, 554 (555), Stellungnahme des DAV 2008-58, S. 3 (abrufbar unter www.dav.de); Schneider, AnwBl 2004, 618; Conrad in Auer-Reinsdorff/Conrad, Beck’sches Mandatshandbuch ITRecht, 2011, § 25 Rz. 66. 3 S. dazu etwa Tätigkeitsbericht 2011/2012 des Bayerischen Landesamts für Datenschutzaufsicht, S. 69. 4 Beschluss der obersten Aufsichtsbehörden für den Datenschutz im nicht öffentlichen Bereich am 8./9. November 2007 in Hamburg; Hervorhebungen durch die Autoren. 5 S. dazu Stellungnahme des deutschen Anwaltvereins Nr. 35/2010 (Stand: Juli 2010), abrufbar unter www.anwaltverein.de.
186
Conrad/Witzel
§ 14
I. Einfhrung: Berufsgeheimnis im digitalen Zeitalter
Leider hilft die Anwendbarkeit des Datenschutzrechts nicht darüber hin- 9 weg, dass IT-Services, die datenschutzrechtlich (im nicht-öffentlichen Bereich) etwa auf Basis von § 11 Abs. 1 oder § 11 Abs. 5 BDSB oder – bei Funktionsübertragung – § 28 Abs. 1 Satz 1 Nr. 2 BDSG erlaubt sein können, jedenfalls nach herrschender Ansicht keine gesetzliche Offenbarungsbefugnis nach § 203 StGB darstellen1. Das überrascht zunächst, da als Befugnis zur Offenbarung nicht nur die Zustimmung des Verfügungsberechtigten gilt, sondern grds. auch eine gesetzliche Erlaubnis oder Verpflichtung zur Geheimnisweitergabe. Üblicherweise werden im Strafrecht zur Auslegung des Merkmals „unbefugt“ Normen außerhalb des StGB herangezogen2. Die überwiegende Auffassung geht jedoch davon aus, dass die Erlaubnisvorschriften des BDSG nicht unmittelbar als Befugnisnormen im Sinne des § 203 StGB herangezogen werden können, weil insoweit § 203 StGB und die berufsrechtlichen Regelungen als strengere Regelungen vorgehen (§ 1 Abs. 3 Satz 2 BDSG)3. Als Befugnisnorm i.S.d. § 203 StGB kommen nach h.M. nur bereichsspezifische Datenschutzvorschriften in Betracht4, weil sonst der die strengeren berufsrechtlichen Regelungen und z.B. Auslagerungsverbote nach den Sozialdatenschutzvorschriften umgangen würden. Die Diskussion, inwieweit eine datenschutzkonforme, weisungsabhängige Datenverarbeitung im Auftrag strafrechtlich i.S.d. § 203 StGB zulässig ist, dreht sich daher weniger um das Merkmal der gesetzlichen Befugnis, als vielmehr um den Gehilfenbegriff5. b) Neuere EuGH-Rechtsprechung Aus europarechtlicher Sicht ist bemerkenswert, dass zumindest die Da- 10 tenschutzrichtlinie 95/46/EG6 zwar – wie auch das BDSG7 – besondere Arten von personenbezogenen Daten kennt, jedoch für Berufsgeheimnisträger keine strengeren Regelungen vorsieht, was die Auslagerung von Daten bzw. den Datenzugriff durch Dritte betrifft. Der EuGH hat in zwei Urteilen vom 24.11.20118 betont, dass die Richtlinie 95/46/EG vollharmonisierende Wirkung hat und somit die Mitgliedstaaten hinsichtlich der Anforderungen an eine gesetzliche Verarbeitung personenbezogener Daten von den Prinzipien der Richtlinie weder nach unten noch nach 1 A.A. und insoweit pragmatisch, wenn auch riskant, Hoenike/Hülsdonk, MMR 2004, 788 (791). 2 So hat etwa das OLG Nürnberg (v. 23.1.2013 – 1 Ws 445/12, CR 2013, 12 m. Anm. Agahamiri, ITRB 2013, 128) zur Auslegung des Datenverfügungsbefugnis im Zusammenhang mit § 303a StGB auf Vorschriften des UrhG abgestellt. 3 Werner in Bräutigam, IT-Outsourcing, S. 753, Rz. 63. 4 Werner in Bräutigam, IT-Outsourcing, S. 753, Rz. 63. 5 Dazu s. unten II. 2. a). 6 Art. 8 RL 95/46/EG. 7 § 3 Abs. 9 BDSG. 8 EuGH v. 24.11.2011 – C-70/10, CR 2012, 33 – Scarlet/SABAM; EuGH v. 24.11.2011 – C-468/10, CR 2012, 29 m. Anm. Freund – Associación Nacional de Establecimientos Financieros de Crédito. Conrad/Witzel
187
§ 14
Auslagerung von IT-Leistungen und § 203 StGB
oben abweichen dürfen. Diese Urteile wurden in Deutschland zumindest in der Praxis und im vorliegenden Kontext bislang erstaunlich wenig beachtet, obwohl für Berufsgeheimnisträger die Möglichkeit zur IT-Auslagerung gegenüber der RL 95/46/EG erheblich erschwert ist. 11
Ein weiteres EuGH-Urteil1 (vom 22.11.2012) zur Auslagerung von Verkehrsdaten durch TK-Unternehmen an Inkassoanbieter hat die Diskussion belebt, ob auch Berufsgeheimnisträger durch Einhaltung der Anforderungen der Datenschutzrichtlinie 95/46/EG an eine Auftragsdatenverarbeitung bereichsspezifisch geschützte Daten auslagern dürfen. Zwar hatte der EuGH in dieser Entscheidung einen Fall zu beurteilen, in dem es nach deutschem Recht eine gesetzliche Befugnis zur Datenauslagerung gab (§ 97 Abs. 1 Satz 3 TKG), was im Gesundheitswesen – von Sondervorschriften z.B. nach SGB X abgesehen2 – oder bei Anwälten häufig nicht zutrifft. Der EuGH stellt aber klar, dass selbst bei Vorliegen einer nationalen Befugnisnorm zur Datenauslagerung die europarechtlichen Datenschutzanforderungen eingehalten werden müssen. Der EuGH verlangt im Wesentlichen die Kernkriterien, die die RL 95/46/EG für einen Auftragsdatenverarbeitungsvertrag vorsieht3. Auftragsdatenverarbeitung muss nach RL 95/46/EG folgende Anforderungen erfüllen: (a) Weisungsgebundenheit des Datenimporteurs und der Personen, die mit den ausgelagerten Daten umgehen, sowie enge Zweckfestlegung mit Wahrung des Erforderlichkeitsprinzips (Art. 17 Abs. 3 RL 95/ 46/EG); (b) Technische und organisatorische Sicherheitsmaßnahmen (Art. 17 Abs. 1 RL 95/46/EG; ähnlich § 9 BDSG mit Anlage dazu); (c) Sorgfältige Auswahl des Datenimporteurs durch den Datenexporteur (Art. 17 Abs. 2 RL 95/46/EG); (d) Kontrolle des Datenimporteurs (Art. 17 Abs. 2 RL 95/46/EG); (e) Dokumentation (Art. 17 Abs. 4 RL 95/46/EG); (f) Löschungspflichten (Art. 6 Abs. 1 RL 2002/58/EG).
12
Dieses Abstellen des EuGH auf die allgemeinen Anforderungen der Auftragsdatenverarbeitung war aus zwei Gründen bemerkenswert. Zum einen gibt es für TK-Unternehmen auch europarechtlich Datenschutz-
1 EuGH v. 22.11.2012 – Rs. C-119/12 (Vorabentscheidungsverfahren), CR 2013, 25; dazu BGH v. 7.2.2013 – III ZR 200/11, CR 2013, 160; Neumann, CR 2012, 236; Schmitz, CR 2012, 577; Pohle, K&R 2013, 34; Conrad/Fechtner, CR 2013, 137. 2 Einzelheiten zu den gesetzlichen Grundlagen für IT-Outsourcing in der Sozialverwaltung und im Gesundheitswesen siehe Werner in Bräutigam, IT-Outsourcing, S. 729 ff. 3 Einzelheiten s. Conrad/Fechtner, CR 2013, 137 (140, 141).
188
Conrad/Witzel
§ 14
I. Einfhrung: Berufsgeheimnis im digitalen Zeitalter
sondervorschriften1. Zum anderen lag im konkreten Fall keine Auftragsdatenverarbeitung, sondern eine Datenübermittlungsvertrag (Funktionsübertragung) vor, weil das Inkassounternehmen (Factoringanbieter) die einzutreibenden Forderungen angekauft hat und somit die Daten der Betroffenen (zumindest insoweit) zu eigenen Geschäftszwecken verarbeitet, was nach herrschender Ansicht Auftragsdatenverarbeitung ausschließt2. Die Anforderungen aus Art. 16 RL 95/46/EG haben somit aus Sicht des EuGH sehr umfassend Geltung. Die Konsequenz daraus ist einerseits, dass vorsorglich allen Unternehmen, die Daten an Dienstleister auslagern, zu empfehlen ist, selbst in den Fällen der Funktionsübertragung den Vertrag mit dem Dienstleister an Art. 16 RL 95/46/EG zu orientieren3. Anderseits birgt die Rechtsprechung des EuGH eine Chance für Berufs- 13 geheimnisträger. Eine Übertragbarkeit der Rechtsprechung – auch zugunsten der Berufsgeheimnisträger – auf die Auslagerung von Daten im Sinne von § 203 StGB liegt nahe4 mit Blick auf das oben genannte EuGHUrteil vom 24.11.20115 zur vollharmonisierenden Wirkung der Richtlinie 95/46/EG. In Deutschland gelten jedoch für Berufsgeheimnisträger in vielen Fällen strengere Vorschriften oder die Bezugnahme auf die Anforderungen der Auftragsdatenverarbeitung ist nicht klar. Beispielsweise benötigt ein Anwalt nach § 49 Abs. 4 BRAO die ausdrückliche Einwilligung des Mandanten, sofern er eine Vergütungsforderung, die nicht rechtskräftig festgestellt worden ist, an Nichtanwälte abtritt6. Zwar sind wie erwähnt nicht alle von § 203 StGB geschützte Daten zugleich personenbezogene Daten. Doch zumindest im Sozial- und Gesundheitswesen dürfte sich aus den beiden EuGH-Urteilen Honig saugen lassen. Das gilt umso mehr, wenn die Richtlinie durch eine Datenschutz-Grundverordnung ersetzt wird, wobei jedoch der Kompromissvorschlag des LIBE-Ausschusses vom 21.10.20137 eine Öffnungsklausel für die Mitgliedstaaten vorsieht, nationale Sondervorschriften zum Sozialdatenschutz zu erlassen.
1 Insbesondere RL 2002/58/EG oder VO Nr. 611/2013 v. 24.6.2013; nach deutschem Recht v.a. Fernmeldegeheimnis § 88 TKG, bereichsspezifischer Datenschutz §§ 91 ff. TKG und § 206 StGB. 2 S. dazu auch Roth-Neuschild, § 44. 3 Diese Empfehlung ist wohl bislang schon gängige Praxis, insbesondere wenn nicht ganz klar ist, ob Auftragsdatenverarbeitung oder Funktionsübertragung vorliegt, was für Inkassoleistungen (Forderungseinziehung) insgesamt – und nicht nur bei Inkasso für TK-Anbietern – gilt. 4 Pohle, K&R 2013, 34; Conrad/Fechtner, CR 2013, 137. 5 EuGH v. 24.11.2011 – C-70/10. 6 BGH v. 19.6.2013 – XII ZB 357/11, BRAK-Mitt. 2013, 233. 7 Dazu s. Conrad/Schneider, § 69. Conrad/Witzel
189
§ 14
Auslagerung von IT-Leistungen und § 203 StGB
II. Der Tatbestand des § 203 StGB 1. Überblick zu Täterkreis und Tathandlung a) Schweigeverpflichtete 14
Der Täterkreis ist in § 203 Abs. 1 Nr. 1–6 StGB abschließend aufgezählt und zählt neben Vertretern der klassischen schweigepflichtigen Berufe, wie den Heilberufen und den rechts- und wirtschaftsberatenden Berufen, auch Angehörige von Berufen im sozialberatenden und psychologischen Bereich, aber auch Angestellte von Versicherungsträgern und Verrechnungsstellen. Bei letzteren wird die Schweigepflicht von den eigentlichen Schweigepflichtigen abgeleitet. Sie verarbeiten Geheimnisse, die nicht ihnen selbst, sondern Dritten anvertraut wurden, und bilden systematisch daher einen Sonderfall.
15
Gem. Abs. 3 des § 203 StGB stehen den originär zur Geheimhaltung Berufenen deren berufsmäßig tätigen Gehilfen gleich, also beispielsweise Praxiskräfte des Arztes oder die Rechtsanwaltsgehilfen. Inwieweit ITUnternehmen oder IT-Mitarbeiter des Berufsgeheimnisträgers Gehilfen sind, siehe unten Rz. 21 ff. b) Geheimnis
16
Geheimnisse nach § 203 StGB sind alle Tatsachen, die nur einem beschränkten Personenkreis bekannt sind und an deren Geheimhaltung derjenige, den sie betreffen, ein von seinem Standpunkt aus sachlich begründetes Interesse hat1. Kein Geheimnis liegt vor, wenn es für jedermann wahrnehmbar oder bereits offenkundig ist2. Ein sachlich begründetes Interesse muss nicht nachvollziehbar oder objektiv zu begründen sein, es liegt mithin vor, wenn es dem Willen des Geheimnisträgers entspricht. Dieses Kriterium dient der negativen Abgrenzung des Geheimnisbegriffs3. Fremd ist jedes Geheimnis einer anderen juristischen oder natürlichen Person. Der Begriff des Geheimnisses ist damit denkbar weit auszulegen. c) Anvertraut/bekannt geworden
17
Ein Geheimnis ist anvertraut, wenn ein Einweihen in ein Geheimnis erfolgt und sich aus den Umständen eine Pflicht zur Verschwiegenheit ergibt4. Dabei ist (noch) keine vertragliche Beziehung erforderlich. Erforderlich ist aber, dass der Täter tatsächlich Kenntnis vom Geheimnis nimmt5. Bekannt geworden ist dem Täter ein Geheimnis, wenn die 1 Lenckner in Schönke/Schröder, StGB, § 203 Rz. 5 m.w.N. 2 Lenckner in Schönke/Schröder, StGB, § 203 Rz. 6; vgl. auch § 43 Abs. 2 Satz 2 BRAO. 3 Lenckner in Schönke/Schröder, StGB, § 203 Rz. 7. 4 Fischer in Fischer, StGB, § 203 Rz. 8 m.w.N. 5 Fischer in Fischer, StGB, § 203 Rz. 8.
190
Conrad/Witzel
§ 14
II. Der Tatbestand des § 203 StGB
Kenntniserlangung aufgrund eigener oder fremder Handlung geschehen ist, welche sich gerade dadurch auszeichnet, dass es dem Täter nicht (zwingend) anvertraut worden ist1. d) Unbefugt Die Befugnis ist als tatbestandsausschließendes Einverständnis zu inter- 18 pretieren (str.)2. Eine solche Befugnis kann entweder ausdrücklich oder konkludent erteilt werden. Bei einer konkludenten Befugniserteilung muss der Wille des Geheimnisträgers jedoch immer hinreichend deutlich zum Ausdruck kommen3, so dass für eine andere Interpretation kein Raum mehr bleibt. Dies zeigt, dass die Befugnis auch formlos erteilt werden kann4, wobei jedoch die Erfordernisse des § 4a BDSG beachtet werden müssen, nachdem die Einwilligung grundsätzlich der Schriftform bedarf5. Für die Frage nach der Strafbarkeit des Handelnden ist jedoch eine Befugniserteilung in mündlicher Form auch bei vorgeschriebener schriftlicher Form nach § 4a BDSG nicht unbeachtlich. Soweit feststeht, dass der Geheimnisträger wusste, was er tat6, wird eine nicht der Form des § 4a BDSG genügende Befugniserteilung kaum eine Strafbarkeit begründen können. In der Praxis dürfte jedoch eher selten von eine konkludenten Befugniserteilung ausgegangen werden. Auch das Institut der mutmaßlichen Einwilligung ist hier grundsätzlich 19 einschlägig, jedoch dürften praktische Fälle hierzu selten zu finden sein. e) Offenbaren Offenbaren bedeutet, dass sowohl das Geheimnis als auch die Identität 20 des Geheimnisträgers7 in irgendeiner Weise an eine andere Person gelangt ist. Dabei ist es streitig, ob dies auch voraussetzt, dass die andere Person das Geheimnis (intellektuell oder akustisch) versteht oder überhaupt wahrnimmt8. Jedenfalls muss das Geheimnis den Kreis der zum Wissen Berufenen verlassen.
1 Fischer in Fischer, StGB, § 203 Rz. 9. 2 Dafür BGH v. 1.10.1953 – 4 StR 224/53, BGHSt 4, 355 (356); OLG Köln v. 19.10.1961 – Zs 859/60, NJW 1962, 686; dagegen OLG Bremen v. 27.8.1982 – Ws 71/82, MedR 1984, 112; Rogall, NStZ 1983, 1 (6); Fischer, StGB, § 203 Rz. 31. 3 So auch Lenckner in Schönke/Schröder, StGB, 27. Aufl. 2006, § 203 Rz. 28. 4 So auch Lenckner in Schönke/Schröder, StGB, 27. Aufl. 2006, § 203 Rz. 24a. 5 Vgl. Gola in Gola/Schomerus, BDSG, 9. Aufl. 2007, § 4a Rz. 13. 6 Lenckner in Schönke/Schröder, StGB, 27. Aufl. 2006, § 203 Rz. 24a. 7 Kühl in Lackner/Kühl, StGB, 26. Aufl. 2007, § 203 Rz. 17. 8 Für das Erfordernis eines Verstehens Cierniak/Pohlit in MünchKommStGB, § 203 Rz. 48; Schünemann in LK-StGB, § 203 Rz. 41; dagegen sprechen sich aus Lenckner in Schönke/Schröder, StGB, § 203 Rz. 72; Kühl in Lackner/Kühl, StGB, 26. Aufl. 2007, § 203 Rz. 17. Conrad/Witzel
191
§ 14
Auslagerung von IT-Leistungen und § 203 StGB
2. Die Tathandlung des § 203 StGB bei Auslagerung von IT-Leistungen a) Der IT-Dienstleister als „berufsmäßiger Gehilfe“ des nach § 203 StGB Verpflichteten? 21
Ein tatbestandliches „Offenbaren“ i.S.d. § 203 StGB kann nur dann vorliegen, wenn der externe Dienstleister nicht zum Kreis der „zum Wissen Berufenen“ i.S.d. § 203 Abs. 3 Satz 2 StGB zählt. Zum Wissen berufen ist, wer nach dem Willen des Berechtigten das Geheimnis als solches erfahren darf und wer in bestimmten Funktionseinheiten (z.B. Kanzlei, Arztpraxis) als Bediensteter Zugang zum Geheimnis hat1. Kein strafrechtlich relevantes Offenbaren ist z.B. die interne elektronische Aktenverwaltung, wenn sie durch eine angestellte Sekretärin oder Rechtsanwaltsfachangestellte bewerkstelligt wird.
22
Wie allerdings die Inanspruchnahme externer Dienstleister für solche Aufgaben zu bewerten ist, ist streitig. In dem Zusammenhang wird unterschiedlich beurteilt, welche inhaltlichen Anforderungen an die Gehilfeneigenschaft i.S.d. § 203 Abs. 3 Satz 2 StGB zu stellen sind. Nach überwiegender Auffassung wird zur Begründung einer Gehilfenstellung i.S.d. § 203 Abs. 3 Satz 2 StGB eine organisatorische Einbindung in den Betrieb des Berufsträgers vorausgesetzt, die mit der Weisungsabhängigkeit des Helfers einhergeht2. Dazu wird zwar nicht zwangsläufig das Vorliegen eines Arbeitsvertrages gefordert, allerdings sei eine vom Direktionsrecht bestimmte Tätigkeit vorausgesetzt, nach der insbesondere Inhalt, Ort und Zeit der Arbeitsleistung bestimmt werden können3. Nach dieser, wohl überwiegenden Ansicht scheiden selbständige Gewerbetreibende bzw. externe Dienstleister als Gehilfe aus. Begründet wird dies teilweise mit dem Verweis auf § 203 Abs. 1 Nr. 6 StGB („privatärztlichen, steuerberaterlichen oder anwaltlichen Verrechnungsstelle“), denn die Tätigkeit der privaten Verrechnungsstellen ließe sich als weisungsabhänge Auftragsdatenverarbeitung gestalten (und muss wohl den Anforderungen nach § 11 BDSG genügen)4.
23
Eine vermittelnde Position differenziert nach der Beziehung zum Aufgabenkreis des Schweigepflichtigen5. Danach sollen ausnahmsweise auch externe Dritte wie Sachverständige, Detektive oder Dolmetscher 1 Langkeit, NStZ 1994, 6 (7); Lenckner/Eisele in Schönke/Schröder, StGB, § 203 Rz. 19a; Schmitz, JA 1996, 772 (777). 2 Fischer in Fischer, StGB, § 203 Rz. 21; Schünemann in LK-StGB, § 203 Rz. 79, 80. 3 Fischer in Fischer, StGB, § 203 Rz. 21; Preis in ErfK ArbR, 13. Aufl. 2013, § 106 GewO Rz. 2; Werner in Bräutigam, IT-Outsourcing, S. 754, Rz. 65. 4 Werner in Bräutigam, IT-Outsourcing, S. 754, Rz. 65. Zu den strengen Anforderungen an eine Patienteneinwilligung hins. Datenübermittlung an eine privatärztliche Verrechnungsstelle s. BSG v. 10.12.2008 – B 6 KA 37/07 R. 5 Cierniak/Pohlit in MünchKommStGB, § 203 Rz. 125 unter Hinweis auf OLG Köln v. 1.3.1991 – 2 Ws 100/91, StV 1991, 506 – Unternehmensberater; LG Verden v. 6.3.1996 – 1 Qs 57/96, StV 1996, 371 – Dolmetscher; LG Frankfurt v. 7.11.1958 – 5/9 Qs 202/58, NJW 1959, 589 – Detektiv.
192
Conrad/Witzel
§ 14
II. Der Tatbestand des § 203 StGB
als Gehilfen angesehen werden können, wenn sie in den informationellen Schutzbereich des Berufsgeheimnisträgers eingebunden sind. Voraussetzung dabei ist, dass der Dritte mit Aufträgen betraut ist, die eine besonders enge Bindung zum Aufgabenkreis des Berufsgeheimnisträgers aufweisen. Ein neuerer Ansatz stellt darauf ab, ob der Schweigepflichtige die Herr- 24 schaft über die zur Verfügung gestellten Informationen behält und diese Herrschaft auch tatsächlich ausüben kann und ausübt1. Wenn auch keine arbeitsvertraglich begründete Weisungsbefugnis zum externen Dienstleister besteht, so hat der Berufsgeheimnisträger gegenüber den „Externen“ dennoch Befugnisse, diesem nach §§ 675, 665 Satz 1, 611 ff. BGB Handlungsanweisungen zu geben. Diese Weisungen nehmen in ähnlicher Weise Einfluss auf den Inhalt der Dienstleistung wie das Direktionsrecht des Arbeitgebers. Aus dem Wortlaut des § 203 Abs. 3 Satz 2 StGB („Gehilfe“) ergibt sich, 25 dass die Hilfsperson an der Berufstätigkeit des Schweigepflichtigen unterstützend teilzunehmen hat2. Die Hilfsperson muss dem Berufsträger in der von der Norm erfassten Funktion zuarbeiten3. Das Erfordernis einer organisatorischen Einbindung lässt sich nicht ohne weiteres ableiten4. § 53a StPO, der identische Schutzzwecke wie auch § 203 StGB verfolgt, 26 erstreckt das Zeugnisverweigerungsrecht der in der Norm genannten Hauptberufsträger auf deren Gehilfen. Mit Blick auf die Anforderungen an den Gehilfenbegriff wird allgemein kein festes Dienst- oder Arbeitsverhältnis vorausgesetzt5. Innerbetriebliche oder arbeitsvertragliche Ein-
1 Heghmanns/Niehaus, NStZ 2008, 57 (61); ähnlich, wenn auch weniger differenziert bereits Kilian, NJW 1987, 695 (697), der kritisiert, dass die Orientierung an Kriterien wie der organisatorischen Einbindung den Erfordernissen der modernen Arbeitswelt nicht gerecht werde. Unabhängig von der Organisationsform sei zu prüfen, ob eine effektive Kontrolle und Überwachung des Gehilfen möglich ist. 2 Hoenike/Hülsdunk, MMR 2004, 788 (789); Heghmanns/Niehaus, NStZ 2008, 57 (59). 3 Hoenike/Hülsdunk, MMR 2004, 788 (790). 4 Das Beispiel des von der jeweiligen Landesjustizverwaltung abgestellten Rechtsreferendars zeigt, dass es im Rahmen des § 203 nicht eines Arbeits- oder Dienstverhältnisses bedarf. Die innergesetzliche Systematik des § 203 spricht eher für eine extensive Auslegung des Gehilfenbegriffs. So erfasst § 203 Abs. 3 Satz 2 Var. 2 StGB neben den berufsmäßig tätigen Gehilfen ebenfalls Personen, die „zur Vorbereitung auf den Beruf“ tätig sind. A.A. wohl Ehmann, CR 1991, 293 (294), demzufolge eine organisatorische Einbindung erforderlich ist und bei Wartungspersonal regelmäßig schon daran scheitert, dass der Berufsgeheimnisträger dieses Personal gar nicht kennt. 5 Schmitt in Meyer-Goßner, StPO, § 53a Rz. 2; Ignor/Bertheau in Löwe-Rosenberg, StPO, 26. Aufl. 2008, § 53a Rz. 2. Conrad/Witzel
193
§ 14
Auslagerung von IT-Leistungen und § 203 StGB
gliederungen werden auch nicht im Rahmen von § 278 BGB (Erfüllungsgehilfe) oder § 831 BGB (Verrichtungsgehilfe) verlangt1. 27
Nach wohl herrschender Meinung, schützt § 203 StGB vor allen Dingen das Recht auf informationelle Selbstbestimmung als Teil des allgemeinen Persönlichkeitsrechts aus Art. 2 Abs. 1 i.V.m. Art. 1 GG2. Auch das Erfordernis eines Strafantrages durch den Geheimnisträger (§ 205 StGB) spricht für diese Schutzrichtung3.
28
Der in der Literatur vertretenen Ansicht, die eine Auslegung des Gehilfenbegriffs entsprechend den Vorschriften des BDSG über die Auftragsdatenverarbeitung propagiert, wird zu Recht entgegengehalten, dass die Regelungen des BDSG nicht ohne weiteres der strafrechtlichen Beurteilung zugrunde gelegt werden dürfen4. Die gesetzliche Wertung des Strafrechts dürfe nicht durch den Rückgriff auf allgemeinere Datenschutzgesetze unterlaufen werden5. Dementsprechend sollen die im BDSG geregelten Befugnisse keine Rechtfertigungsgründe für Straftaten darstellen6. Allerdings können Normen des Datenschutzes als Indiz verwendet werden, solange dies nicht mit einem Risiko für die Persönlichkeitsrechte des Betroffenen verbunden ist. Damit könnte also auch der Gedanke des § 11 BDSG als Auslegungskriterium zur Erörterung der Frage, wann i.S.d. § 203 StGB ein strafloses Überlassen von Geheimnissen an einen Gehilfen vorliegt, herangezogen werden.
29
Eine EU-Datenschutzrechtskonforme Auslegung spricht dafür, unter einem Gehilfen auch einen externen Dritten zu verstehen, der nicht obligatorisch in den Betrieb des Berufsgeheimnisträgers eingebunden ist, sofern eine effektive Kontrolle des Berufsgeheimnisträgers vereinbart ist und ausgeübt wird7.
1 Grüneberg in Palandt, BGB, § 278 Rz. 7 m.w.N.; Sprau in Palandt, BGB, § 831 Rz. 5 f. 2 BVerfGE 120, 274 (311 ff.); 65, 1 (43); BGHZ 115, 123 (125); Eser, ZStW 1997 (1985), 1 (41). Dafür sprechen nicht nur die Gesetzesüberschrift („Verletzung von Privatgeheimnissen“, nicht von „Berufsgeheimnissen“) und die systematische Stellung der Norm im 15. Abschnitt des StGB („Verletzung des persönlichen Lebens- und Geheimnisbereichs“). Vgl. ausführlich Ostendorf, JR 1981, 444 (446). 3 Zudem spricht auch der nach und nach ausgeweitete Katalog des § 203 Abs. 1 StGB für eine individualbezogene Rechtsgutbestimmung. Insbesondere § 203 Abs. 1 Nr. 6 StGB macht deutlich, dass der Gesetzgeber nicht das Vertrauen in bestimmte Berufsgruppen schützen wollte. 4 Heghmanns/Niehaus, NStZ 2008, 57 (59). 5 Heghmanns/Niehaus, NStZ 2008, 57 (59). 6 Heghmanns/Niehaus, NStZ 2008, 57 (59); Rogall, NStZ 1983, 1 (7). 7 Hoenike/Hülsdonk, MMR 2004, 788 (791); Conrad/Fechtner, CR 2013, 137 (145).
194
Conrad/Witzel
§ 14
II. Der Tatbestand des § 203 StGB
b) „Offenbaren“ bei Vor-Ort-Terminen und Remote-Zugriffen Bei Pflege/Wartung einschließlich Aktualisierung von IT-Systemen in ei- 30 ner Anwaltskanzlei durch einen externen IT-Dienstleister besteht im Regelfall eine Kenntnisnahme-Möglichkeit des externen Dienstleisters von Daten, die § 203 StGB unterliegen. Fraglich ist, ob es bereits ein „unbefugtes Offenbaren“ i.S.v. § 203 StGB darstellt, wenn der externe ITDienstleister zum Beispiel im Rahmen von Vor-Ort-Terminen oder bei Fernwartungszugriffen (Remote) eine Zugriffsmöglichkeit hat, ohne jedoch Mandantendaten tatsächlich zur Kenntnis zu nehmen1. In der strafrechtlichen Literatur werden die Voraussetzungen des Offenbarens je nach Art der Verkörperung des Geheimnisses unterschiedlich beurteilt2. Während bei einem nichtverkörperten Geheimnis die tatsächliche 31 Kenntnisnahme erforderlich sein soll, wird bei einem verkörperten Geheimnis für ausreichend erachtet, wenn einem Dritten der Gewahrsam hieran verschafft wird und der Dritte die Möglichkeit der Kenntnisnahme erhält3. Bei dieser weiten Auslegung ist der Einsatz von IT-Dienstleistern in der Anwaltskanzlei in der Regel mit einem „Offenbaren“ von Geheimnissen verbunden, selbst wenn der IT-Dienstleister faktisch keine Mandanteninformationen zur Kenntnis genommen hat, keine Mandantendaten ausgedruckt und auch keine Mandantendaten kopiert bzw. auf eigene Datenträgern gespeichert hat. Bereits der Name des Mandanten und das Bestehen eines Mandats- 32 verhältnisses ist von § 203 StGB geschützt4. Üblicherweise bezeichnen Anwälte ihre Akten neben dem Aktenzeichen auch mit dem Mandantennamen und legen entsprechende elektronische „Ordner“ (etwa im Explorer, in Outlook oder bei der elektronischen Aktenverwaltung spezieller Kanzleisoftware) mit dem Mandantennamen an. Daher erfolgt eine Kenntnisnahme von „Geheimnissen“ durch einen IT-Dienstleistern bereits dann, wenn der IT-Dienstleister die Ordnerstruktur des Anwalts im Explorer oder im Hinblick auf Mandanten-E-Mails die Ordnerstruktur in
1 „Offenbaren“ ist jede Mitteilung über geheim zu haltende Tatsachen an einen Dritten, dem diese Tatsachen bisher verborgen waren. Dazu gehört nach BGH v. 10.8.1995 – IX ZR 220/94, NJW 1995, 2915 (2916), regelmäßig auch jede sonstige Zugänglichmachung in einer Weise, dass dem Dritten ohne weiteres die Kenntnisnahme ermöglicht wird. Die Tatsache muss aus dem „Kreis der zum Wissen Berufenen herausgetragen“ werden (BGH v. 10.7.1991 – VIII ZR 296/90). 2 Ehmann, CR 1991, 293, differenziert bei Fernwartung durch Externe zwischen Wartung von Hardware, der keine Bedenken entgegen stehen sollen, und Wartung von Software, der § 203 StGB entgegenstehe. Cierniak/Pohlit in MünchKommStGB, § 203 Rz. 51, 52 m.w.N.; Spatscheck, AnwBl 2012, 478. 3 Cierniak/Pohlit in MünchKommStGB, § 203 Rz. 52; Langkeit, NStZ 1994, 6 (6); Heghmanns/Niehaus, NStZ 2008, 57 (58); zur anderen Ansicht, die eine reale Kenntnisnahme und somit ein Offenbaren verneint vgl. Spaschek, AnwBl 2012, 478 (479) m.w.N. 4 Cierniak/Pohlit in MünchKommStGB, § 203 Rz. 40. Conrad/Witzel
195
§ 14
Auslagerung von IT-Leistungen und § 203 StGB
Outlook sieht. Ein Öffnen von Dokumenten oder ein Lesen von Mandanten-E-Mails ist nicht erforderlich1. 33
„Offenbaren“ liegt spätestens dann vor, wenn der IT-Dienstleister etwa zum Zwecke der Mängelbeseitigung Mandantendaten (z.B. E-Mails bzw. Teile von Datenbanken) kopiert, um auf eigenen Datenträgern nach Mängeln zu suchen2. Offenbaren liegt auch bei Outsourcing der kompletten Datenverarbeitungsvorgänge an externe Dienstleister vor, sofern „die Übertragung der Aufgabe der inhaltlichen Bearbeitung der Daten zwangsläufig eine Kenntnisnahme durch den Auftragnehmer [erfordert]“3. Dies ist z.B. bei Auslagerung von Abrechnungsleistungen regelmäßig der Fall, nicht notwendigerweise aber bei Auslagerung von Infrastruktur-Leistungen wie Cloud-Storage. Hat der externe Dienstleister eine Zugriffsmöglichkeit auf personenbezogene Mandantendaten, obwohl diese nicht erforderlich wäre, um die Pflege/Wartungsarbeiten durchzuführen, fehlen erforderliche technische und organisatorische Sicherungsmaßnahmen i.S.v. § 11 Abs. 5, Abs. 2 BDSG i.V.m. § 9 BDSG4. Ob dies ein aktives „Offenbaren“ darstellt oder ein strafbares oder strafloses Unterlassen des Anwalts, scheint streitig5. Cierniak/Pohlit6 gehen bei digitalisierten Geheimnissen davon aus, dass der Anwalt seiner Pflichtenstellung i.S.d. § 13 StGB (Begehen durch Unterlassen) genügt, wenn er die betriebsnotwendigen Sicherheits- und Kontrollmaßnahmen nach § 11 Abs. 5 BDSG gegenüber dem Auftragnehmer ergreift. Legt man datenschutzrechtliche Beurteilungskriterien zugrunde, wäre denkbar, dass der Anwalt bei hinreichend sorgfältiger Auswahl des IT-Dienstleisters, was gem. § 11 Abs. 2 Satz 1 BDSG datenschutzrechtlich ohnehin erforderlich ist, und bei einer Umsetzung der übrigen Anforderungen des § 11 BDSG (v.a. hinreichend konkrete Festlegung von Weisungen, Kontrollen und Sicherheitsmaßnahmen) straflos ist, selbst wenn der IT-Dienstleister eine potentielle Zugriffsmöglichkeit auf Mandantendaten hat7. Etwas anderes dürfte gelten, wenn der IT-Dienstleister – mit Duldung des Anwalts – Mandanten-
1 Strittig, zum Meinungsstand Spatscheck, AnwBl 2012, 478 (479) m.w.N. 2 Das entspreche der Erlangung des Gewahrsams durch einen Dritten, vgl. Cierniak/Pohlit in MK-StGB, § 203 Rz. 52. 3 Cierniak/Pohlit in MK-StGB, 2. Aufl. 2012, § 203 Rz. 53. 4 S. dazu 3. oben. 5 Zum Meinungsstand Spatscheck, AnwBl 2012, 478 (479) unter Verweis auf Schünemann in LK-StGB, 12. Aufl. 2009, § 203 Rz. 41. 6 Cierniak/Pohlit in MünchKommStGB, § 203 Rz. 52. 7 Lencker/Eisele (in Schönke/Schröder, StGB, § 203 Rz. 20 m.w.N.) betonen, dass die Sonderpflicht des § 203 StGB nicht lediglich auf Verschwiegenheit, sondern auf Wahrung des Geheimnisses gerichtet ist. Ein Offenbaren durch Unterlassen könne jedoch nicht bereits bei „bloßem Herumliegenlassen mit der Möglichkeit der Kenntnisnahme durch Dritte“ angenommen werden. Die Zugriffsmöglichkeit durch Wartungspersonal bei Vort-Ort-Terminen oder Fernwartung sei mit diesem „Herumliegenlassen“ vergleichbar. Die Einhaltung von § 11 Abs. 5 BDSG genüge.
196
Conrad/Witzel
§ 14
III. Rechtliche und technische Gestaltungsanstze
daten kopiert oder ausdruckt oder der Anwalt ihm Kopien zur Verfügung stellt1. c) Zwischenergebnis Die datenschutzrechtlichen Probleme der Weitergabe personenbezogener 34 Daten (ohne besonderen zusätzlichen Schutz) an IT-Dienstleister sind vor allem über Auftragsdatenverarbeitungsverträge (§ 11 BDSG) lösbar2. Dies hilft aber dem Grunde nach nicht über das Offenbarungsproblem hinweg, denn § 203 StGB erlaubt nur eine Offenbarung gegenüber den in § 203 Abs. 3 StGB Genannten, wozu IT-Dienstleister – nach (noch) herrschender Ansicht im Strafrecht3 – nicht gehören4. Zwar ist teilweise streitig, was die Anforderungen an ein „Offenbaren“ 35 im Sinne von § 203 StGB sind5, und ob z.B. verschlüsselte Daten offenbart werden können. Nach wohl überwiegender Ansicht liegt etwa bei Auslagerung unverschlüsselter Daten im Rahmen von Software as a Service oder bei Zentralisierung von ITK-Leistungen auf eine konzernzentrale IT-Gesellschaft oder bei Softwarepflege und IT-Wartung (Fernwartungszugriffe u.ä.) üblicherweise eine „Offenbarung“ vor.
III. Rechtliche und technische Gestaltungsansätze Die Debatte über die einzelnen Tatbestandsmerkmale des § 203 StGB lie- 36 fert wenig Ergebnisse, die für die Praxis zu gebrauchen sind. Obwohl die Problematik längst nicht mehr neu ist, ist der Einsatz von externen ITLeistungen bei den Berufsgeheimnisträgern mit ungleich höheren rechtlichen Risiken verbunden, als in vielen anderen Berufsfeldern. Der Weg über Schweigepflichtentbindungserklärungen ist nur in wenigen Fällen
1 Koch, CR 1987, 284 (285). 2 Nicht jedes „Outsourcing“ von Datenverarbeitungsdienstleistungen ist als Auftragsdatenverarbeitung i.S.d. § 11 BDSG zu werten. Bei Pflege, Wartung und Prüfung von IT-Systemen durch Externe ist zwar regelmäßig § 11 Abs. 5 BDSG zu beachten. Wird jedoch z.B. die Funktion der IT-Abteilung eines Unternehmen auf eine rechtlich selbständige (Tochter-)Gesellschaft übertragen, kann dies entweder Funktionsübertragung an einen Dritten (§ 3 Abs. 8 Satz 2 BDSG) darstellen oder – zumindest in Teilbereichen – Auftragsdatenverarbeitung nach § 11 BDSG. S. Gola/Schomerus, BDSG, 10. Aufl. 2010, § 11 Rz. 13. 3 Dazu ausführlich Schünemann in LK-StGB, 12. Aufl. 2010, StGB, § 203 Rz. 41, 79. 4 Cekin, ZIS 2012, 425 (426); Sester, DB 2005, 375; BGH v. 10.2.2010 – VIII ZR 53/09, CR 2010, 332 = NJW 2010, 2509 (Versicherungsvertreter); BGH v. 5.12.1995 – X ZR 121/93, NJW 1996, 775 (Arzt); BGH v. 10.8.1995 – IX ZR 220/94, NJW 1995, 2915 (Rechtsanwalt); BGH v. 13.5.1993 – IX ZR 234/92, CR 1994, 28 = NJW 1993, 1912 (Rechtsanwalt). 5 Einen Überblick dazu liefert z.B. Bräutigam, CR 2011, 411 (412, 413); s.a. Cierniak/Pohlit in MünchKommStGB, § 203 Rz. 53. Conrad/Witzel
197
§ 14
Auslagerung von IT-Leistungen und § 203 StGB
praktikabel, die Wirksamkeit solche Erklärungen ist – unter Berücksichtigung der AGB-rechtlichen Vorgaben – häufig fraglich. 1. Technische Gestaltungsmöglichkeiten 37
Verschlüsselung als technischer Lösungsansatz liegt nahe. Verschlüsselung schließt jedoch die Kenntnisnahme durch die Mitarbeiter des ITOutsourcing-Anbieters nur dann aus, wenn der Anbieter keinen Zugriff auf die Schlüssel hat. Verschlüsselungslösungen mit entsprechenden Schlüsselkonzepten werden auf Anbieterseite zunehmend gesucht1.
38
Bislang ist bei manchen Verschlüsselungslösungen problematisch, dass zumindest den Systemadministratoren die Verschlüsselungsmethoden und Schlüssel zu Zwecken der Systemwartung bekannt sein werden2. Gegenüber diesen Mitarbeitern des Anbieters ist ein Offenbaren grds. gegeben, was zwar im Vergleich zu allen anderen mit den Daten des Berufsgeheimnisträgers etwaig umgehenden Mitarbeitern des Anbieters eine deutliche Verringerung darstellen mag, aber keine vollständige Gewähr der Unmöglichkeit des Offenbarens bietet. Schünemann3 stellt bei „Computer-Servicepersonal“ – außer in den Fällen des kompletten Outsourcing – darauf ab, ob eine reale Kenntnisnahme und nicht nur die theoretische Kenntnisnahme-Möglichkeit vorliegt. Diese Abgrenzung dürfte jedoch für den Berufsgeheimnisträger in vielen Fällen unpraktikabel sein, es sei denn, der Berufsgeheimnisträger überwacht jeden Datenzugriff des Dienstleister persönlich und stellt sicher, dass der Dienstleister z.B. keine Dateiennamen mit Mandantenbezeichnungen und keine Dateiinhalte mit Mandatsgeheimnissen liest. Das mag in Teilbereichen mit großem Aufwand zu bewerkstelligen sein, ist aber z.B. bei Fernwartung regelmäßig schwierig umzusetzen. 2. Arbeitnehmerüberlassung
39
Im Wege der Arbeitnehmerüberlassung stellt der Anbieter dem Auftraggeber, also den outsourcenden Geheimnisträger, die Arbeitskraft seiner Mitarbeiter im Wege der Arbeitnehmerüberlassung zur Verfügung. Dies hat für den Auftraggeber den Vorteil, dass die Vertragsverhältnisse gerade nicht mit übergehen, sondern beim Anbieter verbleiben. Kernstück einer solchen Arbeitnehmerüberlassung ist indes die Regelung bzgl. des Weisungsrechts des Geheimnisträgers gegenüber dem Arbeitnehmer, denn auf diesem Wege wird der Arbeitnehmer dermaßen in die Organisation des Berufsgeheimnisträgers eingebunden, dass er zum Kreis der zum Wis1 Vgl. nur das Angebot der DATEV e.G., http://www.datev.de/portal/ShowPage. do?pid=dpi&nid=104852 (letzter Abruf: 23.9.2013). Zu Verschlüsselung s. Kast, § 66. 2 Thalhofer in Auer-Reinsdorff/Conrad, Beck’sches Mandatshdb. IT-Recht, § 17 Rz. 225. 3 Schünemann in LK-StGB, 12. Aufl. 2010, § 203 Rz. 41.
198
Conrad/Witzel
§ 14
III. Rechtliche und technische Gestaltungsanstze
sen Berufenen hinzugezählt werden kann. Kehrseite ist indes die vertragliche Verpflichtung des entsendeten Mitarbeiters, die ihm im Rahmen der Überlassung bekannt gewordenen Geheimnisse nicht an den Anbieter preiszugeben, bei dem er beschäftigt ist. Während datenschutzrechtlich und im Hinblick auf das Berufsgeheimnis die Arbeitnehmerüberlassung eine gangbare Gestaltung ist, bestehen auf der vertragsrechtlichen Seite ggf. Nachteile für den outsourcenden Geheimnisträger: ihm obliegt die Steuerung der Leiharbeitnehmer. Wenn ihm dazu aber das fachliche oder technische Know-how fehlt und er auf die Steuerung und Erfolgsverantwortung des Anbieters angewiesen ist, sind Datenschutz und § 203 StGB nicht mit der gewünschten – werkvertraglichen oder dienstvertraglichen Konstellation – vereinbar. Hinzu kommt: Die Arbeitnehmerüberlassung hat ihren rechtlichen Rah- 40 men in den Regelungen des Arbeitnehmerüberlassungsgesetzes (AÜG). Dieses sieht eine Genehmigung der Arbeitnehmerüberlassung durch den entsendenden Betrieb vor (§ 2 AÜG), was mit hohem administrativen Aufwand verbunden sein kann1, zumal die Genehmigung und die Einhaltung der Vorschriften des AÜG jährlich zu prüfen ist. Ein Leiharbeitnehmer hat einen Arbeitsvertrag mit dem Verleiher, ist 41 aber für den Entleiher tätig. Im Datenschutzrecht wird ein Leiharbeitnehmer als Beschäftigter und somit Teil der verantwortlichen Stelle des Entleihers betrachtet, soweit er im Betrieb des Entleihers eingegliedert ist. Ist das nicht der Fall, weil der Leiharbeitnehmer z.B. vom Betrieb des Verleihers aus arbeitet und von dort aus Aufgaben des Entleihers erledigt, dann gilt der Leiharbeitnehmer datenschutzrechtlich nicht als Beschäftigter des Entleihers. Die Folge davon ist, dass der Entleiher z.B. einen Auftragsdatenverarbeitungsvertrag mit dem Verleiher abschließen müsste. Diese Abgrenzung dürfte im Ergebnis auf die entliehenen Gehilfen i.S.v. 42 § 203 Abs. 3 Satz 2 StGB (z.B. von einem IT-Unternehmen überlassenen IT-Mitarbeiter) übertragbar sein, was aber – soweit ersichtlich – in der Literatur bislang nicht im Detail diskutiert wurde. 3. Doppelarbeitsverhältnis Mit der entsprechenden Zustimmung des jeweiligen Arbeitnehmers ist 43 ein weiterer Ansatz die Vereinbarung eines zweiten Arbeitsverhältnisses zwischen dem Mitarbeiter des Anbieters (etwa des Systemadministrators) mit dem beauftragenden Berufsgeheimnisträger. Auf diese Weise wird der IT-Mitarbeiter zugleich Arbeitnehmer des Geheimnisträgers und zählt damit zu dessen Hilfspersonal, so dass tatbestandlich kein Offenbaren vorliegt. Für den Fall, dass nur einzelne Mitarbeiter mit den Geheimnissen in Berührung kommen ist dieses Instrument praktisch, 1 Thalhofer in Auer-Reinsdorff/Conrad, Beck’sches Mandatshandbuch IT-Recht, § 17 Rz. 229. Conrad/Witzel
199
§ 14
Auslagerung von IT-Leistungen und § 203 StGB
bringt jedoch das Risiko von arbeitsrechtlichen Auseinandersetzungen aufgrund des eingegangenen Arbeitsverhältnisses mit sich. Um den Kreis der mit den Geheimnisses umgehenden Personen, bei denen ein Doppelarbeitsverhältnis sinnvoll erscheint, gering zu halten, ist eine Kombination mit der Etablierung einer Verschlüsselungssystems anzustreben. 4. Einwilligung, Schweigepflichtentbindung 44
Ein unbefugtes Offenbaren von Geheimnissen liegt dann nicht vor, wenn der Verfügungsberechtigte wirksam eingewilligt hat. An eine ausdrückliche Einwilligung in die Offenbarung bzw. Übermittlung von Daten, die § 203 StGB unterliegen, und/oder besondere Arten von personenbezogenen Daten im Sinne von § 3 Abs. 9, § 4a Abs. 3 BDSG sind, werden von den Gerichten und Datenschutzaufsichtsbehörden hohe Anforderungen gestellt, die nur selten erfüllt werden1.
45
Jeder verständige Patient/Mandant muss wohl davon ausgehen, dass gerade kleine Einheiten von Berufsgeheimnisträgern einen IT-Dienstleister beschäftigen. Dies bedeutet jedoch nicht, dass der Berufsgeheimnisträger von technischen und organisatorischen Sicherheitsmaßnahmen befreit wäre (siehe § 11 BDSG i.V.m. § 43 Abs. 1 Nr. 2b BDSG). Im Übrigen ist die Annahme einer mutmaßlichen Einwilligung eine sehr riskante Lösung. Im Zusammenhang mit Patientendaten hat der BGH2 in seiner Entscheidung „Praxisverkauf“ einer mutmaßlichen Einwilligung, die im Strafrecht teilweise für wirksam gehalten wurde, angesichts der großen
1 BSG v. 10.12.2008 – B 6 KA 37/07 R, Leitsatz 4; Sester, DB 2005, 375 (377) m.w.N. Speziell zur Zustimmung als Rechtfertigungsgrund für die Verwendung strafrechtlich relevanter Daten (etwa bei Whistleblowing), allerding zu österreichischem Recht, siehe Fritz in Schweighofer/Kummer/Hötzendorfer, Abstraktion und Applikation, Tagungsband 16. IRIS Symposium 2013, S. 507 (512). 2 BGH v. 11.12.1991 – VIII ZR 4/91, CR 1992, 266 (267 unter I.3.c)aa)) mit vielen weiteren Nachweisen zum Meinungsstand in Rspr. und Lit. zur mutmaßlichen Einwilligung. Anders beurteilt der BGH unter I.3.c)cc) die Einwilligung durch „eindeutiges schlüssiges Verhalten“. Nach Lencker/Eisele (in Schönke/Schröder, StGB, Rz. 28) gilt dasselbe für den Verkauf einer Anwaltspraxis. Denkbar (aber nicht unproblematisch) sei, dass die Patienten-/Mandantenunterlagen in einem verschlossenen, nur mit dem Namen des Patienten/Mandanten gekennzeichneten Umschlag an den Praxisnachfolger übergeben und nur im Beisein des Mandanten/Patienten von diesem geöffnet werden. Nach Fischer (StGB, 58. Aufl. 2011, Rz. 36) gibt es in Notfällen (z.B. bei Unerreichbarkeit od. krankheitsbedingter Unfähigkeit des Berechtigten) einen schmalen Anwendungsbereich für die mutmaßliche Einwilligung. Nach BGH v. 13.6.2001 – VIII ZR 176/00, NJW 2001, 2462 f., ist der Verkauf einer Rechtsanwaltskanzlei, nach welcher der Erwerber in die bisher bestehende (Außen-)Sozietät eintritt, während der Veräußerer als freier Mitarbeiter für eine Übergangszeit weiterhin tätig sein soll, nicht wegen Verstoß gegen § 203 Abs. 1 Nr. 3 StGB i.V.m. § 134 BGB nichtig. Denn das einer Anwaltssozietät erteilte Mandat erstrecke sich i.d.R. auf alle Sozietätsmitglieder.
200
Conrad/Witzel
§ 14
III. Rechtliche und technische Gestaltungsanstze
Bedeutung des Rechts auf informationelle Selbstbestimmung und der Schutzbedürftigkeit der personenbezogenen Daten eine Absage erteilt1. Auch die Annahme eines stillschweigend oder schlüssig erklärten Ein- 46 verständnisses des Mandanten mit der Offenbarung seiner Daten gegenüber Dritten scheidet im Regelfall aus. Eine solches Einverständnis kann nach BGH wohl nicht damit begründet werden, dass der Einsatz externer IT-Dienstleister „in einem solchen Maße üblich und geradezu selbstverständlich geworden wäre, daß die Inanspruchnahme einer“ anwaltlichen Dienstleistung „vernünftigerweise und mit Rücksicht auf die Verkehrssitte nur als Zustimmung […] verstanden werden könnte“2. Obliegt es dem Anwalt, „die Zustimmung des Betroffenen zur Weitergabe seiner Unterlagen einzuholen, so ist es grundsätzlich nicht Sache des“ Mandanten, „dieser Weitergabe zu widersprechen, um den Eindruck eines stillschweigenden Einverständnisses zu vermeiden“3. Der Anwalt wird also im Streitfalle Schwierigkeiten haben, ein stillschweigendes Einverständnis nachzuweisen. Für eine auslagernde Anwaltskanzlei ist naheliegend, sich zumindest 47 vorsorglich die Auslagerung von Mandantendaten durch Einwilligungserklärungen der Mandanten „absegnen“ zu lassen. Bereits bisher haben manche Anwaltskanzleien in ihre allgemeinen Mandatsbedingungen Klauseln zur Mandantenkommunikation via E-Mail integriert (häufig als Opt-Out-Regelung, d.h. der Mandant muss ausdrücklich widersprechen, wenn er mit dem Anwalt nicht via E-Mail kommunizieren will). Ungeachtet der Frage, ob solche Klauseln wirksam sind, ist Gegenstand der Regelung regelmäßig nur die Art der Datenversendung und nicht die Datenweitergabe an einen Dritten. Ob und inwieweit man aus dem Einverständnis des Mandanten mit einer solchen Klausel oder bereits aus der Angabe eine Webmail-Adresse als Kontaktmöglichkeit (z.B. [email protected]) auf eine (mutmaßliche) Einwilligung zur Datenauslagerung „ins Internet“ und Einbindung entsprechender Anbieter schließen kann, ist zweifelhaft. Das BDSG verlangt im Regelfall Schriftform und Mindestanforderungen an den Inhalt der Einwilligung. Was die Form und
1 Was die Intimität und die Bedeutung des Rechts auf informationelle Selbstbestimmung betrifft, kann jedoch bei „B2B“-Mandaten im Wirtschaftsrecht ein Unterschied bestehen, s. oben III.1. am Ende. 2 So der BGH v. 11.12.1991 – VIII ZR 4/91, CR 1992, 266 (267) unter I.3.c)aa) – Veräußerung einer Arztpraxis nebst Patientenunterlagen. Der BGH geht davon aus, dass nicht einmal Hinweise im Wartezimmer, in der Presse u.ä. für die Annahme eines stillschweigenden Einverständnisses ausreichen. Auf die Kanzleiübergabe übertragend: Lencker/Eisele in Schönke/Schröder, StGB, § 203 Rz. 28; Fischer, StGB, § 203 Rz. 33a. Wenn auch nicht strafrechtlich, aber datenschutzrechtlich ist – ggf. mangels Personenbezugs – eine Differenzierung denkbar hins. Zugänglichmachung von Daten über Unternehmensmandate bei Zusammenschluss/Verkauf von Wirtschafts- bzw. Steuerberaterkanzleien (Due Diligence). 3 So der BGH v. 11.12.1991 – VIII ZR 4/91, CR 1992, 266 (267) unter I.3.c)bb). Conrad/Witzel
201
§ 14
Auslagerung von IT-Leistungen und § 203 StGB
den Inhalt der Mandanteneinwilligung betrifft, gelten für vorformulierte Einwilligungen (z.B. in allgemeinen Mandatsbedingungen) AGB-rechtliche Vorgaben. Dazu gehören auch das Verbot überraschender Klauseln, das Transparenzgebot und das Verbot der unangemessenen Benachteiligung (§§ 305c und 307 BGB). Ob eine Einwilligung zu IT-Outsourcing z.B. in Mandatsbedingungen überraschend ist, hängt vom Einzelfall ab. Im Regelfall wird man wohl von einer ausdrücklichen Hinweispflicht des Anwalts ausgehen müssen, denn IT-Outsourcing-Regelungen in Mandatsbedingungen sind jedenfalls nicht üblich. In Arztpraxen sind Schweigepflichtentbindungserklärungen üblicherweise gesonderte Formulare, die der Patient neben dem Heil- und Kostenplan erhält1. 48
Zudem müsste die Regelung transparent sein, was schon allein deshalb schwierig ist, weil viele Anwälte selbst nicht wissen, wie, von wem und wo ihre Mandantendaten durch externe Dienstleister im Einzelnen verarbeitet werden. Dass Einwilligungen nur dann wirksam sind, wenn der Einwilligende zuvor ausreichend aufgeklärt wurde (informed consent), ist nicht nur eine datenschutzrechtliche Anforderung, sondern auch eine AGB-rechtliche. Allerdings haben die Datenschutzaufsichtsbehörden besonders strenge und teilweise je nach Behörde bzw. Bundesland unterschiedliche Ansichten, welchen Detaillierungsgrad der Einwilligungstext und damit die Aufklärung haben muss. Für den Einwilligenden müssen vor Abgabe der Einwilligung die Daten(kategorien)2, die Phasen des Datenumgangs, die Nutzungszwecke und ggf. die Datenempfänger3 konkretisiert oder zumindest bestimmbar sind4. Soll eine Einwilligung des Mandanten zu IT-Outsourcing wirksam und – im Bestreitensfall – nach-
1 Eine einmalige Einwilligung beim ersten Kontakt mit der Arztpraxis, dem Krankenhaus oder der privaten Krankenversicherung dürfte im Hinblick auf Gesundheitsdaten regelmäßig nicht ausreichen, weil der Patient die Tragweite der Einwilligung – insbesondere die von der Einwilligung umfassten Daten über Diagnose und Therapien (z.B. bei Schnupfen stigmatisierende Wirkung anders gelagert als bei AIDS-Erkrankung), – nicht überblicken kann. Folgerichtig legen daher manche Arztpraxen mit jedem neuen Heil- und Kostenplan eine neue Schweigepflichtentbindungserklärung zur Unterschrift vor. 2 Üblicherweise genügen die Datenkategorien, bei besonderen Arten personenbezogener Daten nach § 3 Abs. 9 BDSG – vor allem Patientendaten – fordern die Aufsichtsbehörden die Angabe der Daten selbst. 3 In der Happy-Digits-Entscheidung hatte es der BGH (v. 11.11.2009 – VIII ZR 12/08, CR 2010, 87) – was allerdings nicht ganz klar ist – hinsichtlich § 4a BDSG genügen lassen, dass im Einwilligungstext eine Gruppe von Datenempfängern angegeben waren („D GmbH […] als Betreiberin des HappyDigits Programms und ihre Partnerunternehmen“). Möglicherweise war jedoch der Unterschied zur Identifikation der Datenempfänger im Einwilligungstext, der Gegenstand des Payback-Urteils war (BGH v. 16.7.2008 – VIII ZR 348/06, CR 2008, 720 m. Anm. Brisch/Laue), nicht ausreichend aufgefallen. 4 Simitis in Simitis, BDSG, § 4a Rz. 77; Taeger in Taeger/Gabel, BDSG, § 4a Rz. 29.
202
Conrad/Witzel
§ 14
III. Rechtliche und technische Gestaltungsanstze
weisbar sein, ist ein hohes Maß an zu dokumentierender Aufklärung des Mandanten erforderlich1. Auch damit der Mandant die Tragweite seiner Einwilligung überblicken 49 kann, müsste der auslagernde Anwalt durch Weisungen, Kontrollen, technischen/organisatorische Maßnahmen und insbesondere Löschpflichten sicherstellen, dass der Dienstleister tatsächlich nur die Daten zu Kenntnis nehmen und verarbeiten kann, die für die Auftragsdurchführung erforderlich sind. 5. Besondere Geheimhaltungsregelungen im Vertrag mit dem Outsourcing-Anbieter Anbieter, die z.B. für private Versicherer oder im Bereich Banken und Fi- 50 nanzdienstleister2, tätig sind, haben in ihren Verträgen häufig besonders umfassende Klauseln zur Geheimhaltung und zur Vertraulichkeit, in denen auf die besondere Sensibilität der Branche hingewiesen wird. Die Klauseln werden ergänzt durch gesonderte Verpflichtungserklärungen, die die bei einem bestimmten Kunden des Anbieters tätigen Mitarbeiter persönlich unterzeichnen sollen. Gegenstand dieser Verpflichtungserklärung ist die ausdrückliche Verpflichtung des Mitarbeiters auf die datenschutzrechtlichen Bestimmungen im Verhältnis zum Kunden. Solche Erklärungen sollen vertraglich eine zusätzliche Absicherung bieten. Im Hinblick auf die Besonderheiten des § 203 StGB für Berufsträger verbleibt es jedoch bei den oben unter Rz. 14 ff. diskutierten Problemen, denn auch mit Unterzeichnung einer gesonderten Erklärung, die jeder Mitarbeiter des Anbieters unterzeichnet, bleibt es grds. beim Offenbaren. Während sich ein IT-Service-Mitarbeiter gegenüber dem Kunden wohl schuldrechtlich auf das für den Kunden selbst schuldrechtlich bestehende Bankgeheimnis verpflichten kann, läuft eine schriftliche Verpflichtung auf § 203 StGB ins Leere, da es an der Eigenschaft als Berufsgeheimnisträger fehlt. 6. Fazit Die Probleme, die sich im Bereich des § 203 StGB im Zusammenhang 51 mit der Auslagerung von IT-Leistungen ergeben, sind mannigfaltig und eine klare Linie nicht zu erkennen. So ist es ausnehmend schwer, eine ei-
1 Eine solche Aufklärung kann auf Mandanten abschreckend wirken – was aber nicht per se gegen die Aufklärungspflicht spricht. Um die abschreckende Wirkung der Aufklärung abzumildern, müsste der Anwalt wohl die sorgfältige Auswahl seiner IT-Dienstleister und die Geeignetheit der technischen und organisatorischen Sicherheitsmaßnahmen sicherstellen und dem Mandanten darlegen können (etwa durch Nachweis von Zertifizierungen). 2 Banken und Finanzdienstleister sind zwar nicht Verpflichtete nach § 203 StGB, verpflichten sich aber schuldrechtlich gegenüber ihren Kunden zum Schutz des sog. Bankgeheimnisses. Conrad/Witzel
203
§ 14
Auslagerung von IT-Leistungen und § 203 StGB
nerseits praktisch tragfähige und andererseits rechtssichere Lösung zu erarbeiten. In jedem Einzelfall muss daher zunächst zwingend untersucht werden, welchen Umfang die IT-Auslagerung hat. Ausgehend von dem dabei ermittelten Ergebnis ist zu prüfen, inwieweit bestimmte IT-Zuständigkeiten beim Geheimnisträger verbleiben können (und müssen) und wenn ja, wie dies betriebswirtschaftlich sinnvoll abbildbar ist. Damit in Relation zu setzen sind Auslagerungskonzepte, die durch ausgefeilte technische und organisatorische Maßnahmen eine Offenbarung ausschließen – was regelmäßig nicht die billigsten Angebote sein werden. Beispielsweise kann die Anstellung eines zentral koordinativen Systemadministrators sinnvoll sein, der für mehrere kleiner Kanzleien oder Arztpraxen als „Doppelarbeitnehmer“ oder Leiharbeitnehmer tätig wird1 und z.B. die Verschlüsselung der auszulagernden Daten übernimmt. Größere Unternehmen entscheiden sich zunehmend, bei Software-Einführungsprojekten die Migration von Daten, die § 203 SGB unterliegen, selbst durchzuführen (und nicht durch den Implementierungspartner durchführen zu lassen), was unter IT-vertraglichen Gesichtspunkten nicht unproblematisch ist, weil gerade die Migration eine Kernschwierigkeit vieler IT-Projekte ist2.
1 Wobei jedoch diese Modelle die oben unter 2. und 3. erwähnten Anforderungen und Risiken haben. 2 Zur Migration siehe Sarre, § 3 und Bischof, § 38.
204
Conrad/Witzel
Zweiter Abschnitt Rechtsschutz von Datenbanken § 15 Schutz von Datenbanken und Datenbankwerken Rz. I. Datenbanken und Datenbankwerke . . . . . . . . . . . . . . . . . . . 1. Entwicklung der Datenbanksysteme . . . . . . . . . . . . . . . . . . . . . a) Schutzgut Datenbank. . . . . . . . b) Der Datensatz . . . . . . . . . . . . . . c) Datenbankmerkmale . . . . . . . . d) Lochkarten . . . . . . . . . . . . . . . . e) Strukturierte Datenbanken . . . f) Kommerzielle relationale Datenbanken . . . . . . . . . . . . . . . g) MySQL und NoSQL . . . . . . . . . h) Bedeutung von Datenbanken in der Informationsgesellschaft . . . . . . . . . . . . . . . . . . . . . 2. Datenbankschutz als Sui-generisSchutzrecht nach §§ 87a ff. UrhG a) Sui-generis-Schutzrecht . . . . . . b) Rechtslage vor Umsetzung der Datenbank-Richtlinie . . . . c) Auslegungsgrundsätze . . . . . . . d) Besonderheiten . . . . . . . . . . . . . e) Inhaber des Schutzes . . . . . . . . 3. Datenbankwerke als Werkschutz nach § 4 Abs. 2 UrhG . . . . . . . . . . 4. Internationaler Schutz . . . . . . . . . II. Datenbanken nach §§ 87a ff. UrhG . . . . . . . . . . . . . . . . . . . . . . . 1. Schutzvoraussetzungen . . . . . . . . a) Einzeln unabhängig aufrufbare Elemente . . . . . . . . . . . . . . . . . . b) Systematische oder methodische Anordnung. . . . . . . . . . .
Rz. c) Beschaffung, Überprüfung und Darstellung der Datenbankelemente . . . . . . . . . . . . . . d) Wesentliche Investition . . . . . . e) Neuheit bei wesentlicher Überarbeitung . . . . . . . . . . . . . . 2. Schutzumfang . . . . . . . . . . . . . . . . a) Wesentlicher Teil . . . . . . . . . . . b) Vervielfältigungshandlungen . . c) Sonstige Verwertungs- und Nutzungshandlungen . . . . . . . . d) Umgehung der Wesentlichkeitsschwelle . . . . . . . . . . . . . .
1 1 2 3 4 5 7 8 9 10 11 12 13 14 15 16 17 18 19 19 19 20
III. Datenbankwerke . . . . . . . . . . . . . . 1. Schutzvoraussetzungen . . . . . . . . a) Datenbanken . . . . . . . . . . . . . . . b) Werkcharakter aufgrund individuellen Schaffens . . . . . . aa) Auswahl . . . . . . . . . . . . . . . bb) Anordnung . . . . . . . . . . . . . cc) Insbesondere Schutz des Datenbankmodells . . . . . . . 2. Schutzumfang . . . . . . . . . . . . . . . . a) Vervielfältigungshandlungen . . b) Bearbeitungshandlungen . . . . . c) Verbreitungshandlungen . . . . . d) Öffentliche Wiedergabe bzw. Zugänglichmachung . . . . . . . . . 3. § 55a UrhG sowie sonstige Schranken . . . . . . . . . . . . . . . . . . . a) § 55a UrhG . . . . . . . . . . . . . . . . b) Sonstige Schranken. . . . . . . . . . 4. Schutzdauer . . . . . . . . . . . . . . . . . .
21 24 27 29 30 31 36 37 38 39 40 42 45 46 47 48 49 51 53 54 57 57 59 60
I. Datenbanken und Datenbankwerke 1. Entwicklung der Datenbanksysteme Datenbanken und Datenbanksysteme prägen jedes größere Software- 1 system in seiner Funktion und Funktionsfähigkeit. Egal ob Soziale Netzwerke, Webshops, Rechercheplattformen, Finanzbuchhaltung oder Content-Management-Systeme – Basis ist immer eine Datenbank oder ein Datenbankmanagementsystem. Eine Datenbank ist eine logische Einheit Auer-Reinsdorff
205
Zweiter Abschnitt Rechtsschutz von Datenbanken § 15 Schutz von Datenbanken und Datenbankwerken Rz. I. Datenbanken und Datenbankwerke . . . . . . . . . . . . . . . . . . . 1. Entwicklung der Datenbanksysteme . . . . . . . . . . . . . . . . . . . . . a) Schutzgut Datenbank. . . . . . . . b) Der Datensatz . . . . . . . . . . . . . . c) Datenbankmerkmale . . . . . . . . d) Lochkarten . . . . . . . . . . . . . . . . e) Strukturierte Datenbanken . . . f) Kommerzielle relationale Datenbanken . . . . . . . . . . . . . . . g) MySQL und NoSQL . . . . . . . . . h) Bedeutung von Datenbanken in der Informationsgesellschaft . . . . . . . . . . . . . . . . . . . . . 2. Datenbankschutz als Sui-generisSchutzrecht nach §§ 87a ff. UrhG a) Sui-generis-Schutzrecht . . . . . . b) Rechtslage vor Umsetzung der Datenbank-Richtlinie . . . . c) Auslegungsgrundsätze . . . . . . . d) Besonderheiten . . . . . . . . . . . . . e) Inhaber des Schutzes . . . . . . . . 3. Datenbankwerke als Werkschutz nach § 4 Abs. 2 UrhG . . . . . . . . . . 4. Internationaler Schutz . . . . . . . . . II. Datenbanken nach §§ 87a ff. UrhG . . . . . . . . . . . . . . . . . . . . . . . 1. Schutzvoraussetzungen . . . . . . . . a) Einzeln unabhängig aufrufbare Elemente . . . . . . . . . . . . . . . . . . b) Systematische oder methodische Anordnung. . . . . . . . . . .
Rz. c) Beschaffung, Überprüfung und Darstellung der Datenbankelemente . . . . . . . . . . . . . . d) Wesentliche Investition . . . . . . e) Neuheit bei wesentlicher Überarbeitung . . . . . . . . . . . . . . 2. Schutzumfang . . . . . . . . . . . . . . . . a) Wesentlicher Teil . . . . . . . . . . . b) Vervielfältigungshandlungen . . c) Sonstige Verwertungs- und Nutzungshandlungen . . . . . . . . d) Umgehung der Wesentlichkeitsschwelle . . . . . . . . . . . . . .
1 1 2 3 4 5 7 8 9 10 11 12 13 14 15 16 17 18 19 19 19 20
III. Datenbankwerke . . . . . . . . . . . . . . 1. Schutzvoraussetzungen . . . . . . . . a) Datenbanken . . . . . . . . . . . . . . . b) Werkcharakter aufgrund individuellen Schaffens . . . . . . aa) Auswahl . . . . . . . . . . . . . . . bb) Anordnung . . . . . . . . . . . . . cc) Insbesondere Schutz des Datenbankmodells . . . . . . . 2. Schutzumfang . . . . . . . . . . . . . . . . a) Vervielfältigungshandlungen . . b) Bearbeitungshandlungen . . . . . c) Verbreitungshandlungen . . . . . d) Öffentliche Wiedergabe bzw. Zugänglichmachung . . . . . . . . . 3. § 55a UrhG sowie sonstige Schranken . . . . . . . . . . . . . . . . . . . a) § 55a UrhG . . . . . . . . . . . . . . . . b) Sonstige Schranken. . . . . . . . . . 4. Schutzdauer . . . . . . . . . . . . . . . . . .
21 24 27 29 30 31 36 37 38 39 40 42 45 46 47 48 49 51 53 54 57 57 59 60
I. Datenbanken und Datenbankwerke 1. Entwicklung der Datenbanksysteme Datenbanken und Datenbanksysteme prägen jedes größere Software- 1 system in seiner Funktion und Funktionsfähigkeit. Egal ob Soziale Netzwerke, Webshops, Rechercheplattformen, Finanzbuchhaltung oder Content-Management-Systeme – Basis ist immer eine Datenbank oder ein Datenbankmanagementsystem. Eine Datenbank ist eine logische Einheit Auer-Reinsdorff
205
§ 15
Schutz von Datenbanken und Datenbankwerken
zusammengehörender Daten, ihrer Meta-Beschreibungen sowie zusätzlicher Informationen, die zur Verarbeitung und Bereitstellung dieser Daten benötigt werden. Physikalisch kann eine Datenbank in mehrere Einzelteile zerfallen, die Inhalte, die getrennt verwertet werden können, bilden jedoch nur gemeinsam eine Datenbank. Eine Datenbank ist also die elektronische Form eines Karteikastens. Es gibt hierarchische, relationale, multidimensionale und objektorientierte Datenbanken1. Die Datenbank wird üblicherweise von einem Datenbankverwaltungssystem (DBMS) verwaltet. Diese Software ermöglicht das Auffinden, Verknüpfen und Auswerten der Informationen. Ein DBMS zusammen mit einer oder mehreren Datenbanken nennt man Datenbanksystem (DBS). a) Schutzgut Datenbank 2
Beim rechtlichen Schutz von Datenbanken und Datenbankwerken geht es um die Auswahl der Daten und das Konzept, welches hinter der Datenbank oder dem Datenbanksystem liegt, und den Schutz des Aufwandes, die Daten zusammenzustellen und auswertbar aufzubereiten. Beim Schutz der Datenbank und des Datenbankwerkes geht es weder um die Frage der Schutzfähigkeit der Inhalte als Werke im Sinne des Urheberrechts oder anderer immaterieller Schutzgüter2, noch um die Schutzfähigkeit der Programmierleistungen, für die der Schutz für Computerprogramme3 (§§ 69a ff. UrhG) gilt. b) Der Datensatz
3
Das grundlegende Element einer Datenbank ist der Datensatz, der Inhalt, also die Information auf einem Zettel in einem Zettelkasten bei einer analogen Datenbank. Aus einer gewissen Anzahl von Datensätzen wird in der digitalen Welt eine Tabelle oder Liste gebildet. Mehrere Tabellen, die zu einer Gesamtheit zusammengefasst und untereinander verknüpft werden, sind dann eine Datenbank, so wie in einer papierbasierten Registratur ein Karteizettel einem Karteikasten und dieser wiederum der Registratur zugeordnet ist. c) Datenbankmerkmale
4
Folgende Merkmale kennzeichnen eine Datenbank unabhängig davon, ob diese analog oder digital erstellt und verfügbar ist: – Sie enthält eine gewisse Anzahl oder Menge von Daten über Personen, Vorgänge, Themen, Phänomene, sonstige Informationen, Objekte und Werke. 1 Siehe Hoppen, § 2 Rz. 1 ff. 2 Siehe Witte, § 16. 3 EuGH v. 1.3.2012 – Rs. C-604/10, MMR 2012, 828; Götting, GRUR-Prax. 2012, 141; Walter, MR-Int 2013, 24–29.
206
Auer-Reinsdorff
§ 15
I. Datenbanken und Datenbankwerke
– Diese Datensätze sind nach bestimmten Merkmalen und Regeln erfasst, geordnet, abgelegt und auffindbar. – Der Zugriff auf die Daten und deren Änderung ist ohne großen Aufwand möglich, wobei verschiedene Nutzergruppen unterschiedliche Zugriffs-, Bearbeitungs- und Änderungsrechte haben können. d) Lochkarten Die erste Generation der Datenbanken waren seit Mitte des 18. Jahrhun- 5 derts Lochkarten, welche bis zur Mitte der 70er Jahre die digitalisierte Verarbeitung prägten. Die Computerwoche berichtet am 9.10.19741 zur abschließenden Innovation im Bereich der Lochkartenverarbeitung: System 3 Modell 8 – 3340 am System 315 Stuttgart – Hervorragende Merkmale des neuen Modell 8 aus dem IBM-System 3 sind Tauglichkeit für Datenverarbeitung (Integrated Communication-Adapter) und, ganz im Gegensatz zu den früher angekündigten Modellen dieser Serie, der Verzicht auf Lochkartenein- und -ausgabe. Wie aus Stuttgart weiter verlautet, können nun die Platteneinheiten IBM 3340 (mit Plattenstapeln IBM 3348) auch an das System/3 Modell 15 angeschlossen werden. Das Modell 8 wird als Stand-alone-Anlage im Normalfall mit einer direkt angeschlossenen Diskette-Datenstation IBM 3741 eingesetzt werden oder bei OnlineBetrieb mit dem Bildschirmgerät IBM 3270 für Datenerfassung oder Datenabfrage. Der Halbleiter-Hauptspeicher kann in vier Stufen von 16 K auf 64 K erweitert werden. Befehlsvorrat, Zykluszeit und Zugriffszeit sind identisch mit dem größeren System/3 Modell 10, obwohl der Speicher im älteren Modell ein Kernspeicher ist.
Lochkarten waren zwar stabil und duplizierbar, aber relativ langsam und 6 fehleranfällig. Ferner waren diese nur sequentiell hintereinander lesbar, d.h. die Informationssammlungen mussten ausgelesen und verarbeitet werden, bis man die Speicherstelle der gesuchten Information gefunden hatte. e) Strukturierte Datenbanken In den 1960er Jahren wurden erstmals Daten durch eine separate 7 Softwareschicht zwischen Betriebssystem und Anwendungsprogramm verwaltet. Mit der Trennung der Datenverwaltung vom Anwendungsprogramm wurde es möglich, Daten von verschiedenen Anwendungsprogrammen aus derselben Quelle zu laden und zu verarbeiten, und das bis dahin erforderliche aufwendige Umkopieren, Mischen und Restrukturieren der Dateien fiel weg. Eines der ersten großen DBMS war IMS mit der Sprache DL/I (Data Language One)2, welches eine hierarchische Daten-
1 http://www.computerwoche.de/a/system-3-modell-8-3340-am-system-315,120 3127, 21.9.2013. 2 http://www-01.ibm.com/common/ssi/cgi-binssialias?infotype=dd&subtype=sm &appname=ShopzSeries&htmlfid=877/ENUS5746-XX1, 21.9.2013. Auer-Reinsdorff
207
§ 15
Schutz von Datenbanken und Datenbankwerken
bankstruktur hatte. Parallel dazu definierte CODASYL ein Modell für netzwerkartig strukturierte Datenbanken1. f) Kommerzielle relationale Datenbanken 8
Einen weiteren wesentlichen Fortschritt erzielte in den 1960er und 1970er Jahren Edgar F. Codd2 mit der Entwicklung des ersten experimentellen relationalen Datenbanksystems System R am IBM Almaden Research Center und verwendete die Abfragesprache SEQUEL (= Structured English Query Language). Oracle (damals noch unter den Firmennamen SDL und RSI) verwertete die Ergebnisse des System R und führte SQL zum kommerziellen Erfolg, gefolgt von IBM mit SQL/DS und DB2. Die relationalen Datenbanksysteme verdrängten in den 1980er Jahren die hierarchischen und netzwerkartigen Systeme. In den 1990er Jahren beherrschten wenige kommerzielle Datenbankhersteller den Markt (IBM, Informix, AshtonTate mit dBASE, Microsoft mit SQL Server und Oracle). g) MySQL und NoSQL
9
In den 2000ern erlangten die Open-Source-Datenbankmanagementsysteme vor allem MySQL und PostgreSQL signifikante Marktanteile, so dass die kommerziellen Hersteller nunmehr kostenfreie Versionen ihrer Datenbank-Software anbieten. Gleichzeitig wächst wegen der mangelnden Skalierbarkeit relationaler Datenbanken die Bedeutung der NoSQL-Bewegung3. h) Bedeutung von Datenbanken in der Informationsgesellschaft
10
Basis der heutigen Informationsgesellschaft sind technisch leistungsfähige Datenbanken, ohne die z.B. soziale Netzwerke nicht denkbar wären. Damit haben Datenbanken eine gesellschaftspolitische Dimension erlangt, in dem sie mit wenigen Klicks weltweit Informationen und Kontakte sowie Möglichkeiten zum Knüpfen von Netzwerken bieten. Hier sind Bewegungen wie der „Ägyptische Frühling“ sowie die Beteiligung interessierter Kreise an Willensbildungsprozessen direkt abbildbar. Jedermann kann mit geringem Aufwand seine Informationen bekanntmachen. Andererseits wird das Sammeln und Zusammenführen von Daten aus verschiedenen Datenquellen über das Individuum immer leichter. Dabei zeigen die Erkenntnisse über die Abhöraktivitäten der NSA (National Se1 Springer Gabler Verlag (Hrsg.), Gabler Wirtschaftslexikon, Stichwort: CODASYL, online im Internet: http://wirtschaftslexikon.gabler.de/Archiv/74952/cod asyl-v7.html. 2 http://www.seas.upenn.edu/~zives/03f/cis550/codd.pdf; http://www-03.ibm.com/ ibm/history/exhibits/builders/builders_codd.html, 21.9.2013. 3 Hasso-Plattner-Institut, Genealogy of Relational Database Management Systems, http://www.hpi.uni-potsdam.de/naumann/projekte/rdbms_genealogy. html; http://www.heise.de/open/artikel/NoSQL-im-Ueberblick-1012483.html, 21.9.2013.
208
Auer-Reinsdorff
§ 15
I. Datenbanken und Datenbankwerke
curity Agency) die Risiken, welche mit der Verfügbarkeit von Big DataAnwendungen verbunden sind: „Big Data heißt schließlich nichts anderes, als aus riesigen, auch heterogenen Datenmengen, die größtenteils für ganz andere Zwecke erhoben werden, Einsichten und Erkenntnisse zu generieren. Früher nannte man so etwas in einer primitiveren Urform „Rasterfahndung“ und beschrieb damit den Versuch, beispielsweise aus Transaktionsdaten von Zahlungssystemen auffällige Personen herauszufiltern. Der Ansatz wurde nach einigen Jahren in Data Mining umgetauft und ist seitdem natürlich technologisch nicht stehen geblieben. Aus den vielen tausend Datensätzen sind unterdessen Milliarden geworden, jede Minute.“1.
2. Datenbankschutz als Sui-generis-Schutzrecht nach §§ 87a ff. UrhG Mit der Umsetzung der Datenbank-Richtlinie (Richtlinie 96/9/EG des Eu- 11 ropäischen Parlaments und des Rates vom 11.3.1996 über den rechtlichen Schutz von Datenbanken, Abl. Nr. L 77 v. 27.3.1996, S. 20–28) durch das IuKDG (Informations- und Kommunikationsdienstegesetz v. 22.7.1997, BGBl. I, 1870) erfolgte mit Wirkung zum 1.1.1998 die Umsetzung und Schaffung des eigenen Schutzes für Datenbanken. Datenbankhersteller können für Datenbanken, die bereits vor Inkrafttreten hergestellt wurden, Schutz beanspruchen. Nach § 137g UrhG finden die am 1.1.1998 in Kraft getretenen Vorschriften zum Schutz des Datenbankherstellers auch auf Datenbanken Anwendung, die zwischen dem 1.1.1983 und dem 31.12.1997 hergestellt worden sind2. a) Sui-generis-Schutzrecht Die Richtlinie beschreibt in Kapitel III die Datenbank als den Gegen- 12 stand dem ein Schutz eigener Art (Sui-generis-Schutzrecht) gewährt wird. Die Betonung des eigenständigen Charakters dieses Schutzrechts hat ihren Hintergrund in den vorangegangenen Konsultationen und Feststellungen der wachsenden wirtschaftlichen Bedeutung von insbesondere elektronischen Datenbanken. Mit der Abgrenzung und Einführung eines neuen Schutzrechtes wird klargestellt, dass Datenbanken nicht vom Schutzgegenstand der internationalen Abkommen – RBÜ, WUA, RomAbkommen3 – umfasst sein sollen. Damit wurde im Sinne eines starken europäischen Marktes ein Anreiz geschaffen, Datenbankprojekte in der Europäischen Union zu entwickeln und die Vorteile des Investitions-
1 http://www.computerwoche.de/a/hier-spricht-der-chaos-computer-club,2546505, 17.11.2013; Dossierübersicht Telepolis http://www.heise.de/tp/artikel/39/39522/ 1.html, 17.11.2013. 2 BGH v. 19.5.2010 – I ZR 158/08, MMR 2011, 104. 3 Revidierte Berner Übereinkunft v. 9.9.1886, ergänzt am 28.9.1976; http://www. wipo.int/treaties/en/ip/berne/trtdocs_wo001.html, Welturheberabkommen v. 6.9.1952, revidiert am 24.7.1971, BGBl. 1973 II, 1111, http://www.wipo.int/trea ties/en/ip/wct/; Rom-Abkommen v. 26.10.1961, http://www.wipo.int/treaties/ en/ip/rome/trtdocs_wo024.html, 21.9.2013. Auer-Reinsdorff
209
§ 15
Schutz von Datenbanken und Datenbankwerken
schutzes zu erlangen1. Dies trägt der wachsenden Bedeutung von Datenbanken in der Informationsgesellschaft sowie der Leistungsfähigkeit der heutigen Datenbankmodelle Rechnung. b) Rechtslage vor Umsetzung der Datenbank-Richtlinie 13
Zugleich sollte der Schutzgegenstand derart konzipiert sein, dass die Mitgliedstaaten zur Umsetzung und Kreation eines eigenständigen Schutzrechtes angehalten waren, d.h. nicht bestehende urheberrechtliche oder wettbewerbsrechtliche Konzepte übernehmen sollten. Von diesem nur unzureichenden Zustand zum Schutze der Investitionen und der Anstrengungen der Datenbankhersteller sollte eine klare Stärkung der Rechtspositionen hervorgehen. Vor Umsetzung der Datenbank-Richtlinie konnten Datenbankhersteller in Deutschland sich entweder auf den Schutz von Sammelwerken nach § 4 a.F. UrhG berufen oder konnten aus dem Wettbewerbsrecht vorgehen. Die Inanspruchnahme des Schutzes von Sammelwerken erforderte jedenfalls die persönliche geistige Schöpfung i.S.d. §§ 2 Abs. 2, 4 UrhG, wobei streitig war, ob per se nur Datenbanken als Sammelwerke schutzfähig waren, deren Inhalte selbst schutzfähig waren2. Für die Inanspruchnahme von Dritten, welche die Datenbanken auswerteten, insbesondere ganz oder teilweise übernahmen, auf Basis wettbewerbsrechtlicher Vorschriften war erstens ein Wettbewerbsverhältnis erforderlich und zweitens nach § 1 UWG a.F. die wettbewerbliche Eigenart entscheidend; d.h. nur die sklavische Nachahmung im Sinne des heutigen § 3 UWG i.V.m. § 4 Nr. 9 UWG konnte zum Erfolg der Durchsetzung der Rechte sowie der Wahrung der wirtschaftlichen Verwertungsinteressen führen. c) Auslegungsgrundsätze
14
Bei der Anwendung und Auslegung der Vorschriften zum Datenbankschutz der §§ 87a ff. UrhG sind wegen der Entstehungsgeschichte der Regelungen im Rahmen der Umsetzung der Datenbank-Richtlinie die Auslegungsgrundsätze für harmonisiertes europäisches Recht anzuwenden. Trotz weitgehender Einbindung der Regelungen in die nationalen Regelwerke sind insbesondere neben den Entscheidungen des EuGH die Erwägungsgründe3 zur Datenbank-Richtlinie heranzuziehen sowie
1 Lehmann, NJW-CoR 1997, 249; Erwägungsgründe 11 und 12 sowie Evaluierungsbericht der Europäischen Kommission, http://ec.europa.eu/internal_market/co pyright/prot-databases/index_de.htm, 21.9.2013. 2 Katzenberger, GRUR 1990, 94. 3 Richtlinie 96/9/EG des Europäischen Parlaments und des Rates v. 11.3.1996 über den rechtlichen Schutz von Datenbanken, ABl. Nr. L 77 v. 27.3.1996, S. 20–28, http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:31996L0009:de: HTML, 21.9.2013; Raue/Bensinger, MMR 1998, 507; Tonikidis, JA 2013, 598; Auer, NJW 2007, 1106; Rosenkranz, EuZW 2007, 238; Dreier, GRUR-Int. 1992, 739.
210
Auer-Reinsdorff
§ 15
I. Datenbanken und Datenbankwerke
die Rechtsprechung in anderen Mitgliedstaaten1 zur Anwendungspraxis. d) Besonderheiten Eine Besonderheit des Datenbankschutzes ist, dass dieser anders als 15 sonstige dem Urheberrechtsgesetz geschützten Leistungen keinen persönlichkeitsrechtlichen Bezug hat und damit als rein wirtschaftliche Zuordnung zum Hersteller der Datenbank vollumfänglich übertragbar nach §§ 398, 413 BGB sowie vererblich nach § 1922 BGB ist2. Ferner können der Datenbankherstellerschutz und das Datenbankurheberrecht nebeneinander an einer Datenbank bestehen3. Dabei können Datenbankurheberrecht und der Investitionsschutz an zwei Rechteinhaber auseinanderfallen. Deren Rechte bestehen dann auch mit der unterschiedlichen Schutzdauer von 70 Jahren nach dem Tod des Urhebers (§ 64 UrhG) und 15 Jahren nach Veröffentlichung oder aber bei Unveröffentlichung binnen der 15-Jahresfrist 15 Jahre nach Herstellung (§ 87d UrhG). e) Inhaber des Schutzes Berechtigter an der Datenbank und damit Inhaber der Schutzrechte nach 16 § 87b UrhG ist der/sind die Datenbankhersteller4. Der Schutzumfang ergibt sich aus § 87b UrhG mit den Beschränkungen nach § 87c UrhG sowie bezüglich der Möglichkeit, Verträge über die Nutzung abzuschließen, nach den Regelungen des § 87e UrhG. Fraglich ist nach wie vor, ob bzw. inwieweit gemeinfreie amtliche Datenbanken auch in den Schutzbereich der §§ 87a ff. UrhG fallen5. Dies ist nicht der Fall, sofern der Schutzausschluss nach § 5 UrhG auf den Sui-generis-Schutz des Datenbankherstellers Anwendung findet. Die Vorlagefrage mit Beschluss vom 28.9.2006 an den EuGH6, wonach für eine „… im amtlichen Interesse zur allgemeinen Kenntnisnahme veröffentlichte amtliche Datenbank“ der Investitionsschutz des Datenbankherstellers nicht in Anspruch genommen werden kann, ist wegen Rücknahme der Revision unbeantwortet geblieben. 1 Sammlungen von nationalen Entscheidungen bis zum 13.12.2006, http://www. ivir.nl/files/database/index.html; UK case law, http://www.ip4all.co.uk/law/ case-law/database-rights.html, 21.9.2013. 2 Flechsig, ZUM 1997, 577; Vogel, ZUM 1997, 605; Leistner, GRUR-Int. 1999, 819. 3 Ehmann, GRUR 2008, 474; BGH v. 24.5.2007 – I ZR 130/04, CR 2007, 556. 4 BGH v. 30.4.2009 – I ZR 191/05; Stadler, K&R 2009, 584. 5 VGH Mannheim v. 7.5.2013 – 10 S 281/12; Koch, jurisPR-ITR 16/2013, Anm. 4 m.w.N. zur besonderen Fragestellung der Bereitstellung von Gerichtsentscheidungen und Leitsätzen an konkurrierende Datenbankbetreiber durch die Gerichte. 6 BGH, EuGH-Vorlage v. 28.9.2006 – I ZR 261/03; Leistner, GPR 2007, 190 (Anmerkung); EuGH v. 25.6.2008 – Rs. C-215/07, erledigt durch Streichung der Rechtssache. Auer-Reinsdorff
211
§ 15
Schutz von Datenbanken und Datenbankwerken
3. Datenbankwerke als Werkschutz nach § 4 Abs. 2 UrhG 17
Mit der Umsetzung der Datenbank-Richtlinie ist zur Übernahme des Kapitels 2 der Richtlinie § 4 Abs. 2 UrhG geschaffen worden, der den Schutz des Datenbankwerkes in Anlehnung an den zuvor bestehenden Schutz als Sammelwerk i.S.d. § 4 UrhG a.F. erweitert. In Abgrenzung zur rein wegen der Investition geschützten Datenbank hat der deutsche Gesetzgeber1 sich bei der Umsetzung entschieden, abweichend von der Datenbank-Richtlinie Datenbanken, welche hinsichtlich der Auswahl und der Anordnung auf einer persönlichen geistigen Schöpfung beruhen, als Datenbankwerke zu bezeichnen. Entsprechend konsequent sind die Regelungen zum Schutz von Datenbanken getrennt in das Urheberrechtsgesetz aufgenommen worden – als Recht sui generis im Teil 2 bei den verwandten Schutzrechten und als Datenbankwerke bei den Werkkategorien des Urheberrechts in Teil 1 des Urheberrechtsgesetz. 4. Internationaler Schutz
18
Auf europäischer Ebene ist mit der Datenbank-Richtlinie ein vereinheitlichter Schutz für Datenbanken geschaffen worden. Das deutsche Recht findet Anwendung nach § 127a UrhG zugunsten deutscher natürlicher und juristischer Personen mit Sitz im Geltungsbereich des UrhG sowie nach § 120 Abs. 2 UrhG auf Deutsche i.S.v. Art. 116 Abs. 1 GG sowie auf Staatsangehörige der EU- und EWR-Mitgliedstaaten. Eine Entsprechung im internationalen Kontext ist nicht vereinbart worden2. Die Europäische Union und ihre Mitgliedsstaaten3 hatten erneut im Anschluss an den Beschluss der Datenbank-Richtlinie bei der WIPO (World Intellectual Property Organization) angeregt, einen der Datenbank-Richtlinie entsprechenden Schutz insbesondere im Hinblick auf die nicht individuellen Datensammlungen im Sinne des Investitionsschutzes zu schaffen4. Der Erstentwurf vom 30.8.1996 eines Vertrags über den Datenbankschutz als Sui-generis-Schutzrecht wurde zwar diskutiert und in einigen Sitzungen analysiert, aber schließlich nicht weiter verfolgt. Außerhalb der Europäischen Union gilt es daher im Rahmen der Prüfung des Kollisionsrechts5 ebenso zu prüfen, ob das ggf. anwendbare nationale Recht den Schutz von Datenbanken überhaupt kennt6. Dabei ist wiederum zu unterscheiden zwischen Datenbanksammelwerken, welche nach herr1 A-Drucks. 13/611, ZUM 1997, 602; IuKDG v. 22.7.1997, BGBl. I, 1870; BTDrucks. 13/7934 v. 11.6.1997 zu Amtl. Begr. IuKDG (BT-Drucks. 13/7385, Gesetzesentwurf der Bundesregierung v. 9.4.1997, http://dip21.bundestag.de/dip21/ btd/13/073/1307385.pdf). 2 Hoeren, CR 1992, 243. 3 The legal protection of databases, Submission from the European Union and its Member States, http://ec.europa.eu/internal_market/copyright/docs/databases/ wipo-protection-db_en.pdf, 21.9.2013. 4 http://www.wipo.int/copyright/en/activities/databases.html, 21.9.2013. 5 S. Spindler, § 21 Rz. 5 ff. 6 Zum Beispiel für die Türkei Yarayan, GRUR Int. 2005, 388.
212
Auer-Reinsdorff
§ 15
II. Datenbanken nach §§ 87a ff. UrhG
schender Meinung der WIPO-Mitgliedsstaaten über Art. 2 V RBÜ als Sammelwerke geschützt sein können, und solchen Datenbanken, welche der Schaffung einer besonderen Schutzkategorie ohne Anforderung einer geistigen Schöpfungshöhe bedürfen (Non-Original Databases).
II. Datenbanken nach §§ 87a ff. UrhG 1. Schutzvoraussetzungen a) Einzeln unabhängig aufrufbare Elemente Unter den Datenbankschutz nach den §§ 87a ff. UrhG fallen elektroni- 19 sche und nichtelektronische Datenbanken, was sich aus dem Zusatz in § 87a Abs. 1 Satz 1 UrhG ergibt, dass die Daten mit elektronischen Mitteln oder auf andere Weise zugänglich sein müssen1. Das wesentliche Merkmal hierbei ist, dass die Daten einzeln abrufbar oder wahrnehmbar sein müssen. Inhalt einer Datenbank sind unabhängige Elemente z.B. Bild-, Musik- und Sprachwerke, personenbezogende Daten, Finanzdaten, Videos, Geodaten, Exponate, Bilddateien, Informationen etc. Unabhängig sind die Elemente dann, wenn sie sich getrennt voneinander verwerten lassen, ohne dass der Sinn bzw. der Unterhaltungs-, Informations-, Anwendungs- oder sonstige Wert abnimmt. Dabei bilden oftmals einzelne Daten ein Element wie z.B. bei der Datenbank des Online-Shops die Verbindung von Produktbeschreibung, Preis und Verkäufer2. b) Systematische oder methodische Anordnung Über die Anforderung der systematischen oder methodischen Anordnung 20 erfolgt die Abgrenzung von einer ungeordneten, für den Nutzer nicht systematisch oder methodisch zugänglichen Datenansammlung. Hierfür ist 1 OLG Köln v. 1.9.2000 – 6 U 43/00, MMR 2001, 165 – List of Presses; BGH v. 6.5.1999 – I ZR 199/96, CR 1999, 496 – Tele-Info-CD; EuGH v. 9.11.2004 – Rs. C-444/02, GRUR 2005, 254 – Fixtures-Fußballspielpläne II; LG Stuttgart v. 18.7.2006 – 17 O 633/05, NJOZ 2009, 335; OLG München v. 13.6.2013 – 29 U 4267/12, CR 2013, 562, entgegen LG München v. 9.11.2005 – 21 O 7402/02, GRUR 2006, 225; LG Stuttgart v. 18.7.2006 – 17 O 633/05, InstGE 7, 240; LG Leipzig v. 13.12.2012 – 05 O 3937/10, ZUM-RD 2013, 273. 2 LG Berlin v. 22.12.2005 – 16 O 743/05, ZUM 2006, 515, vorangegangen Beschl. v. 25.10.2005, CR 2006, 515; LG Berlin v. 27.10.2005 – 16 O 743/05, MMR 2006, 46 f.; OLG Köln v. 1.9.2000 – 6 U 43/00, MMR 2001, 165 f. – List of Presses; BGH v. 6.5.1999 – I ZR 199/96, CR 1999, 496 – Tele-Info-CD; EuGH v. 9.11.2004 – Rs. C-444/02, GRUR 2005, 254 – Fixtures Marketing Ltd/Organismos prognostikom agonon posdosfairou AE [OPAP], Fixtures-Fußballspielpläne II; LG Stuttgart v. 18.7.2006 – 17 O 633/05, NJOZ 2009, 335; OLG München v. 13.6.2013 – 29 U 4267/12, CR 2013, 562 entgegen LG München v. 9.11.2005 – 21 O 7402/02, GRUR 2006, 225; LG Stuttgart v. 18.7.2006 – 17 O 633/05, InstGE 7, 240 und LG Leipzig v. 13.12.2012 – 05 O 3937/10, ZUM-RD 2013, 273; BGH GRUR 2005, 940 – Marktstudien; BGH Gedichttitelliste I, WRP 2007, 989; Gedichttitelliste II, WRP 2007, 993, Gedichttitelliste III, NJW 2010, 778 f. S. auch Witte, § 16. Auer-Reinsdorff
213
§ 15
Schutz von Datenbanken und Datenbankwerken
weder ein strenger Maßstab anzusetzen noch ist die Art und Weise oder die Ordnung der Datenspeicherung an sich gemeint, sondern rein die Möglichkeit des Benutzers, Daten nach einem bestimmten System oder einer Methode zu recherchieren und wahrzunehmen. Eine solche Strukturierung kann auch bei geringen Datenbankelementen, -mengen und -sätzen gegeben sein. Eine systematische Darstellung ist nur bei einer Anordnung nach objektiv nachvollziehbaren Kriterien anzunehmen1, d.h. eine Auswahl und Sortierung der Daten aufgrund persönlicher Bewertung der Datenbankelemente begründet keine Schutzfähigkeit der Datenbank. c) Beschaffung, Überprüfung und Darstellung der Datenbankelemente 21
Der Datenbankschutz bezweckt den Schutz der Investition und des Aufwandes des Datenbankherstellers. Eine Datenbank, welche nicht nach § 4 Abs. 2 UrhG als Datenbankwerk schutzfähig ist, bei der aber die Beschaffung, Überprüfung und Darstellung der einzelnen Datenbankelemente eine wesentliche Investition erforderte, genießt den Investitionsschutz nach § 87a UrhG. Zur Feststellung der Schutzfähigkeit ist daher zunächst zu prüfen, ob die Investitionen, welche der Datenbankhersteller hatte, im unmittelbaren Zusammenhang mit der Beschaffung, Überprüfung und Darstellung der zur Verfügung gestellten Daten steht. Dabei umfasst „Beschaffung“ nicht die Erstellung der Datenbankelemente an sich, sondern nur das Recherchieren von vorhandenen Daten2 zur systematischen oder methodischen Aufbereitung. Vom Datenbankschutz nicht umfasst ist daher die Zweitverwertung bereits vorhandener Daten, wenn sie nicht weiter systematisch oder methodisch geordnet aufbereitet wurden3 oder sonstige spezifische Investitionen in die Darstellung in der Datenbank erfolgten.
22
Ähnlich ist der Aufwand für die Überprüfung nur dann berücksichtigungsfähig, wenn er sich auf die Verifikation der beschafften Daten bezieht und nicht auf die Erstellung oder Ergänzung von unvollständigen Elementen, welche Teil der Datenbank sind oder werden4.
23
Teil des Datenbankschutzes ist die Darstellung des Datenbankinhaltes. Dies beginnt mit dem Konzept der jeweiligen Datenbank zur systemati1 Haberstumpf, GRUR 2003, 14; Raue, MMR 1998, 507; BGH v. 25.3.2010 – I ZR 47/08, MMR 2011, 188 – Autobahnmaut; OLG Köln v. 15.12.2006 – 6 U 229/05, CR 2007, 802 – Wetterdatenbank. 2 EuGH v. 9.11.2004 – Rs. C-46/02, C-444/02, 338/02, 203/02, MMR 2005, 29 (m. Anm. Hoeren); Sendrowski, GRUR 2005, 369. 3 EuGH v. 9.11.2004 – Rs. C-203/02, MMR 2005, 29 (m. Anm. Hoeren) – BHB-Pferdewetten; EuGH v. 9.11.2004 – Rs. C-444/02, GRUR 2005, 254 – Fixtures Marketing Ltd/Organismos prognostikom agonon posdosfairou AE [OPAP], FixturesFußballspielpläne II; LG Stuttgart v. 18.7.2006 – 17 O 633/05, NJOZ 2009, 335. 4 EuGH v. 9.11.2004 – Rs. C-203/02, MMR 2005, 29 (m. Anm. Hoeren) – BHB-Pferdewetten; OLG Köln v. 14.11.2008 – 6 U 57/08, MMR 2009, 191.
214
Auer-Reinsdorff
§ 15
II. Datenbanken nach §§ 87a ff. UrhG
schen oder methodischen Bereithaltung, dem Anforderungskatalog an die Erstellung des die Datensammlung nutzbar machenden Computerprogramms und umfasst die Kosten der Herstellung oder des Erwerbs des steuernden Computerprogramms. Darüber hinaus ist die erforderliche technische Infrastruktur zur Speicherung und Erreichbarkeit der Datenbank gemeint1. d) Wesentliche Investition Sofern die Leistungen, für die der Datenbankhersteller Schutz begehrt, in 24 Bezug auf die Beschaffung, Überprüfung oder Darstellung von Daten erbracht wurden, so ist zu prüfen, ob die darauf verwandte Investition als wesentlich zu betrachten ist oder eine solche üblicherweise erfordert. Die Schutzhürde der Wesentlichkeit der Investition ist in der DatenbankRichtlinie nicht näher definiert. Damit erfolgt die nähere Beschreibung oder aber Eingrenzung dieser Kriterien durch die Rechtsprechung in den Mitgliedsstaaten. Hierbei ist aus der Richtlinie direkt abzuleiten, dass die Investition gerade in die Darstellung in Datenbankform erfolgen muss. Eine Datensammlung, welche rein der Darstellung des Produktoder Dienstleistungsangebotes dient, erlangt keinen Schutz nach § 87a UrhG, wenn keine weitergehende Investition in die Beschaffung, Überprüfung und/oder Darstellung der Daten mehr getätigt werden muss2. Streitig ist in Rechtsprechung3 und Literatur4, ob die Wesentlichkeit der 25 Investition weit auszulegen und damit als niedrigschwelliger Schutz oder 1 Raue/Bensinger, MMR 1998, 507 (509); Katzenberger, AfP 1997, 434; Haberstumpf, GRUR 2003, 14 (26); KG v. 9.6.2000 – 5 U 2172/00, CR 2000, 813; OLG Dresden v. 8.7.2000 – 14 U 1153/00, ZUM 2001, 596. 2 OLG München v. 10.5.2007 – 29 U 1638/06, MMR 2007, 525 (m. Anm. Gausling). 3 BGH v. 6.5.1999 – I ZR 199/96, MMR 1999, 543 (m. Anm. Gaster); OLG Celle v. 12.5.1999 – 13 U 38/99, NJW-RR, 2001, 334; OLG Düsseldorf v. 29.6.1999 – 20 U 85/98, ZUM-RD 1999, 492; KG v. 9.6.2000 – 5 U 2172/00, GRUR 2001, 155; OLG Köln v. 27.10.2000 – 6 U 71/00, NJW-RR 2003, 1512 = MMR 2001, 387; KG v. 24.7.2001 – 5 U 1112/00, MMR 2002, 483; LG München I v. 18.9.2001 – 7 O 6910/01, MMR 2002, 58 ff.; ÖOGH v. 27.11.2004 – 4 Ob 252/01i, MMR 2002, 376 ff. (m. Anm. Schanda); LG München I v. 1.3.2002 – 21 O 9997/01, MMR 2002, 760; LG Köln v. 8.5.2002 – 28 O 180/02, MMR 2002, 689; LG Düsseldorf v. 23.4.2003 – 12 O 157/02, MMR 2003, 539; EUGH v. 9.1.2004 – Rs. C-203/02, MMR 2005, 29 (m. Anm. Hoeren); OLG Köln v. 15.12.2006 – 6 U 229/05, ZUM 2007, 548; BGH v. 24.5.2007 – I ZR 130/04, MMR 2007, 589; BGH Vorlagebeschl. v. 24.5.2007 – I ZR 130/04, GRUR 2007, 688; BGH v. 13.8.2009 – I ZR 130/04, MMR 2010, 41; LG Köln v. 6.2.2008 – 28 O 417/07, MMR 2008, 418; OLG Köln v. 14.11.2008 – 6 U 57/08, MMR 2009, 191; OLG Hamburg v. 16.4.2009 – 2 U 47/08, MMR 2009, 395 (m. Anm. Maume); LG Berlin v. 29.3.2011 – 16 O 270/1, SpuRt 2011, 166; Röhl, SpuRT 2011, 147; KG v. 21.3.2012 – 24 U 130/10, MMR 2013, 52; zur Frage der Anknüpfung an die Feststellung des Orts der wesentlichen Investition zur Feststellung des Gerichtsstands: EuGH v. 18.10.2012 – Rs. C-173/11, MMR 2013, 108. 4 Leistner, GRUR Int. 1999, 819; Nack, GRUR Int. 2004, 227 (229). Auer-Reinsdorff
215
§ 15
Schutz von Datenbanken und Datenbankwerken
aber eng mit der Anforderung eines Aufwandes von substantiellem Gewicht zu verstehen ist. Hier wird der vermittelnden Ansicht der Vorzug gegeben, da aus dem Wortlaut, welcher eine wesentliche Investition verlangt, folgt, dass es nicht ausreicht, dass überhaupt Aufwand entstanden ist, sondern dieser ein solches Ausmaß angenommen haben muss, dass ein eigenständiges, verwertbares Wirtschaftsgut entstanden ist. Dabei hat wiederum außer Betracht zu bleiben, ob die einzelnen Elemente der Datenbank einen besonderen oder wesentlichen Wert haben, so dass auch eine Linksammlung1 eine schutzfähige Datenbank sein kann. Im Streitfall über die Rechtsverletzung dient insofern die englische Herangehensweise „What’s worth copying is prima facie worth protecting“2 nicht der Klärung, sondern es bedarf der Darlegung, welcher Aufwand an Zeit, Geld und/oder Personalleistungen erforderlich war und welchen wirtschaftlichen Wert dieser Gesamtaufwand hatte. 26
Der BGH hat in seiner Entscheidungen Automobil-Onlinebörse und Elektronischer Zolltarif3 klargestellt, dass es dem Schutzzweck der Datenbank-Richtlinie zuwider liefe, würde jeweils eine Investition von substantiellem Gewicht verlangt werden. Ziel der Richtlinie war es, Anreize zu schaffen für die Einrichtung von Systemen zur Speicherung und Verarbeitung vorhandener Informationen im Gebiet der Europäischen Union durch Etablierung eines entsprechenden Schutzrechts. Hinreichend ist die objektivierte Feststellung von mehr als ganz unbedeutenden, von jedermann leicht zu erbringenden Aufwendungen zur Erstellung der betreffenden Datenbank. e) Neuheit bei wesentlicher Überarbeitung
27
Nach § 87 Abs. 1 Satz 2 UrhG gilt eine Datenbank, deren Überarbeitung wiederum einer wesentlichen Investition bedurfte, als neue Datenbank. Mit dem Eintritt der damit verbundenen Fiktion der Neuheit kann der Hersteller der Datenbank wiederum die volle Schutzdauer von 15 Jahren nach § 87d UrhG für die erheblich umgearbeitete4, revidierte und/oder ergänzte Datenbank beanspruchen. Damit wird dem Umstand Rechnung getragen, dass der Wert, die Bedeutung sowie Sinn und Zweck einer systematischen und geordneten Aufbereitung von Datensammlungen darin liegt, diese dauerhaft und jeweils aktuell den Nutzern bereit zu halten.
1 AG Rostock v. 20.2.2001 – 49 C 429/99, MMR 2001, 631. 2 Der hergebrachte praktische Prüfsatz findet nach englischem Recht Anwendung, um die kleine Münze festzustellen und steht an sich nicht im Zusammenhang mit wirtschaftlichen Investitionen; s.: University of London Press, Limited v. University Tutorial Press, Limited. Chancery Division Ch D Peterson J., (1916) 2 Ch. 601. 3 BGH v. 22.6.2011 – I ZR 159/10, MMR 2012, 544; BGH v. 30.4.2009 – I ZR 191/05, MMR 2009, 615 (m. Anm. Rössel); Metzger, GRUR 2012, 118 (125). 4 Zur Vervielfältigung einer analogen Datenbank durch Digitalisierung: Haberstumpf, GRUR 2003, 14 (20).
216
Auer-Reinsdorff
§ 15
II. Datenbanken nach §§ 87a ff. UrhG
Die Pflege und damit die Aufrechterhaltung der Werthaltigkeit und Verwertbarkeit der Datenzusammenstellung sind somit vom Umfang des Investitionsschutzes umfasst. Dabei tritt die Wirkung der Fiktion ein, sobald eine wesentliche Ände- 28 rung der Datenbank nach Art und Umfang erfolgt ist, welche wiederum nicht nur einen ganz unwesentlichen wirtschaftlichen Aufwand erforderte. Wie bei der Ersterstellung ist die Mühe, welche mit der Erstellung, dem Schaffen der einzelnen Datenbankelemente verbunden ist, nicht berücksichtigungsfähig1. Durch fortlaufende Pflege der Datenbank erreicht der Hersteller einen ebenso durchgehenden Schutz und quasi ein Dauerrecht, welches je nach dem betriebenen Erhaltungs- und Erneuerungsaufwand weit über die 15-jährige Schutzdauer ab Erstbereitstellung hinausgehen kann. Dabei erlischt aber der Schutzumfang, soweit die laufenden Investitionen nicht alle Teile der Datenbank betreffen und diese zum Zeitpunkt eines etwaigen Streitfalles zum Teil länger als 15 Jahre zurückliegen2. 2. Schutzumfang Der Umfang des Schutzrechts ergibt sich aus § 87b UrhG in negativer 29 Abgrenzung zu den Schranken nach § 87c UrhG. a) Wesentlicher Teil Der Datenbankhersteller kann Dritte von der Nutzung der Datenbank 30 nur insofern ausschließen, als i.S.d. § 87b Abs. 1 Satz 1 UrhG wesentliche Teile der Datenbank genutzt werden. Die Bestimmung der Wesentlichkeit erfolgt dabei kumulativ oder alternativ quantitativ nach dem relativen Umfang der drittverwerteten Datenmenge als auch qualitativ nach der Art der entnommenen Datenbankelemente. Wo hingegen es bei der Feststellung der Schutzfähigkeit der Datenbank an sich auf die objektiv bestimmbare Wesentlichkeit der Investition ankommt, bezieht sich das Ausschlussrecht des Datenbankherstellers hinsichtlich der Nutzung auf einen wesentlichen Datenbankteil im Verhältnis3 zum Gesamtumfang ausschließlich der betreffenden Datenbank. Dies gilt auch für mehrere zusammengefasste Datenbanken bzw. eine Datenbank mit selbständigen jeweils an sich schutzfähigen Unterdatenbanken. Das qualitative Kriterium kann dann als Korrektiv wirken, wenn zwar wegen der Größe des in der Datenbanken aufbereiteten Datenbestandes der entnommene 1 LG München v. 9.11.2005 – 21 O 7402/02, GRUR 2006, 225 (227). 2 BGH v. 3.11.2005 – I ZR 311/02, GRUR 2006, 562; OLG München v. 21.11.2002 – 29 U 5766/01, CR 2003, 564; BGH v. 19.5.2010 – I ZR 158/08, CR 2001, 36; OLG München v. 4.9.2008 – 29 U 4480/07. 3 EuGH v. 9.11.2004 – Rs. C-203/02, MMR 2005, 29 (m. Anm. Hoeren) – BHB-Pferdewetten; EuGH v. 5.3.2009 – Rs. C-545/07; Sendrowski, MittdtschPatAnw 2011, 112 ff.; BGH v. 30.4.2009 – I ZR 191/05; Stadler, K&R 2009, 584 f. Auer-Reinsdorff
217
§ 15
Schutz von Datenbanken und Datenbankwerken
Teil unwesentlich wäre, aber der Datenbankhersteller gerade auf diesen Teil einen wesentlichen Aufwand betrieben hat1. b) Vervielfältigungshandlungen 31
Eine Vervielfältigungshandlung im Anwendungsbereich des Datenbankschutzes bedeutet neben der Eins-zu-eins-Übernahme der Datenbank die Entnahme eines wesentlichen Teils der Datenbank. Eine Entnahme2 im Sinne der Datenbank-Richtlinie ist die „ständige oder vorübergehende Übertragung“ mindestens eines wesentlichen Teils einer Datenbank „auf einen anderen Datenträger … ungeachtet der dafür verwendeten Mittel und der Form der Entnahme“. Insbesondere im Zusammenhang mit den modernen Datenbanktechnologien sowie der Auswertungsformen im Internet sind Fragen zum Entnahmebegriff aufgeworfen.
32
Der BGH hatte im Rahmen seiner Entscheidungen Gedichtstitellisten I – III dem EuGH die konkrete Frage vorgelegt, ob eine Übernahme von Daten aus einer geschützten Datenbank in eine andere Datenbank auch dann eine Entnahme i.S.d. der Datenbank-Richtlinie ist, wenn sie aufgrund von Abfragen der Datenbank nach einer Abwägung im Einzelnen vorgenommen wird, oder ob eine Entnahme im Sinne dieser Vorschrift einen Vorgang des (physischen) Kopierens eines Datenbestands voraussetzt. Der EuGH hat klargestellt, dass nach dem Sinn und Zweck der Datenbank-Richtlinie der Datenbankhersteller auch gerade angesichts der neuen Technologien gegen die Entnahme von wesentlichen Teilen geschützt sein soll unabhängig davon, ob die Entnahme eines strukturierten Datenbankteils oder einer ungeordneten wesentlichen Menge von Datenbankelementen erfolgt. Es bleibt bei der Feststellung einer schutzverletzenden Entnahme, auch wenn die Datenentnahme mit dem Ziel der Herstellung einer eigenen, ggf. wesentlich überarbeiteten Datenbank motiviert ist.
33
Der BGH3 hat zu Suchmaschinen, die über das Internet Datenbankinhalte durchsuchen, dargelegt, dass die Rechte des Datenbankherstellers nicht bereits beim wiederholten, umfangreichen Auswerten des Datenbestandes tangiert sind, sondern nur dann wenn diese Abfrageergebnisse von den Abfragenden im Zusammenwirken erzeugt und zu einer neuen Datensammlung zusammengefügt werden. Unerheblich ist aus urheberrechtlicher Wertung auch, ob die Suchenden zukünftig das eigentliche durch die Datenbank dargestellte Angebot nicht mehr direkt auf der Website wahrnehmen, sondern unter Nutzung der Suchmaschine des Drittanbieters. 1 LG Leipzig v. 13.11.2012 – 05 O 3937/10, ZUM-RD 2013, 273–277. 2 EuGH v. 9.10.2008 – Rs. C-304/07; Milbradt/Hülsewig, CR 2009, 4; EuGH v. 9.11.2004 – Rs. C-338/02, GRUR 2005, 252; EuGH v. 9.11.2004 – Rs. C-203/02, CR 2005, 10 m. Anm. Lehmann, GRUR 2005, 244. 3 BGH v. 22.6.2011 – I ZR 159/10, ZUM 2011, 839; Czychowski, GRUR-Prax 2011, 455 (Anmerkung).
218
Auer-Reinsdorff
§ 15
II. Datenbanken nach §§ 87a ff. UrhG
Die Methode des Auswertens von Datenbanken der Anbieter von Leis- 34 tungen und Produkten zur Darstellung auf Vergleichsportalen wird Sceen-Scraping genannt und ist erneut zum Aktenzeichen I ZR 224/12 Gegenstand eines BGH-Revisionsverfahrens zur Entscheidung des OLG Hamburg1. Hier kommt es einmal darauf an, ob die ausgewerteten Datenbanken überhaupt Gegenstand des Datenbankschutzes sind. Dies ist insbesondere bei der Veröffentlichung von Daten, welche das Unternehmen sowieso zur Erbringung der betreffenden Dienstleistungen erstellt und geordnet abrufbar macht, nicht der Fall. Das OLG Hamburg hat bei der Auswertung von Flugdaten den Datenbankschutz dem Grundsatz nach bejaht, da es eine wesentliche Investition in die besondere Bereitstellung der Daten zum Abruf und Buchung durch die potentiellen Kunden auf seiner Buchungswebsite getätigt habe. Allerdings leitet sich im konkreten Fall aus § 87b UrhG kein Unterlassungsanspruch ab, da im Einzelabruf zur Darstellung in der Flugsuchmaschine keine Entnahme eines wesentlichen Teils der Datenbank gesehen werden kann. Entsprechend hatte der BGH bereits bei der Bereitstellung von Daten über Hyperlinks2 entschieden. Die Auswertung von Daten mit der Big Data-Methode, also der Analyse 35 einer großen Datenmenge aus einer Vielzahl von unterschiedlichen Quellen, insbesondere Datenbanken, mit einer hohen Verarbeitungsgeschwindigkeit, stellt nicht per se eine unerlaubte Vervielfältigungshandlung dar. Dies ist nur der Fall, wenn die Big Data-Anwendung wesentliche Teile von Datenbanken derart bereit stellt, dass ein wirtschaftlicher Nutzen der Weiterverwertung entsteht oder aber wiederholt und systematisch unwesentliche Teile einer bestimmten Datenbank bereit gestellt werden3. c) Sonstige Verwertungs- und Nutzungshandlungen Neben dem Vervielfältigungsrecht sieht § 87b UrhG zugunsten des Da- 36 tenbankherstellers noch die Rechte zur Verbreitung und öffentlichen Wiedergabe vor. Während ersteres den physischen Vertrieb mittels Datenträgern betrifft, zielt letzteres insbesondere auf die Zugänglichmachung im Internet ab. Denn auch wenn insofern das Recht der öffentlichen Zugänglichmachung (§ 19a UrhG) nicht ausdrücklich erwähnt wird, ist dieses in Ansehung des Art. 7 Abs. 2 lit. b Datenbank-Richtlinie („jede Form öffentlicher Verfügbarmachung der Gesamtheit oder eines 1 OLG Hamburg v. 24.10.2012 – 5 U 38/10, ITRB 2013, 77 f.; Deutsch/Friedmann, GRUR-Prax. 2013, 174; s. auch Deutsch, GRUR 2009, 1027; OLG Frankfurt v. 5.3.2009 – 6 U 221/08, CR 2009, 390 f.; http://de.wikipedia.org/wiki/Screen_ Scraping, 5.10.2013. 2 BGH v. 17.7.2003 – I ZR 259/00, CR 2003, 920; Berger, CR 2004, 360; Wimmers, CR 2012, 663. 3 Zieger/Smirra, MMR 2013, 418 (420 f.); http://de.wikipedia.org/wiki/Big_Data, 5.10.2013; http://www.bitkom.org/files/documents/BITKOM_LF_big_data_2012 _online%281%29.pdf, 5.10.2013. Auer-Reinsdorff
219
§ 15
Schutz von Datenbanken und Datenbankwerken
wesentlichen Teils des Inhalts der Datenbank durch Online-Übermittlung oder durch andere Form der Übermittlung“) in § 87b UrhG hineinzulesen1. Zu beachten ist schließlich, dass in § 87b UrhG kein Bearbeitungsrecht vorgesehen ist. Zu prüfen ist im Einzelfall allenfalls, ob im Fall der Bearbeitung Vervielfältigungshandlungen i.S.v. § 87b UrhG vorgenommen werden. d) Umgehung der Wesentlichkeitsschwelle 37
§ 87 Abs. 1 Satz 3 UrhG stellt Handlungen, welche für sich keine wesentliche Entnahme aus der Datenbank darstellen, diesen gleich, sofern diese Nutzung unwesentlicher Datenbankteile wiederholt und systematisch erfolgen und mit einer unzumutbaren Beeinträchtigung der Rechte des Datenbankherstellers einhergehen. Eine solche Auswertung kann auch beim Screen-Scraping regelmäßig nicht angenommen werden, da der Abruf der einzelnen Datensätze bestimmungsgemäß erfolgt und nicht dazu dient, eine Datenbank mit ähnlichen Inhalten aufzubauen. Entsprechend hat das OLG Hamburg2 dazu ausgeführt, dass § 87 Abs. 1 Satz 2 UrhG Entnahmevorgänge untersagt, deren wiederholender und systematischer Charakter darauf hinauslaufen würde, ohne Zustimmung des Datenbankherstellers oder des Lizenznehmers nach § 87e UrhG, diese mindestens zu einem wesentlichen Teil zu kopieren oder zu nutzen. Ist schon keine einer Entnahme eines wesentlichen Teils gleichgestellte Umgehungsmaßnahme gegeben, kommt es auf die weitere Anforderung der (drohenden) unzumutbaren Beeinträchtigung des Rechteinhabers nicht mehr an.
III. Datenbankwerke 38
Auch wenn in der Praxis der Schutz gem. §§ 87a ff. UrhG einen größeren Raum einnimmt, bleibt immer auch zu prüfen, inwieweit ein Schutz gem. § 4 UrhG in Betracht kommt. Dies gilt insbesondere angesichts der Tatsache, dass dieser eine andere Schutzrichtung hat, nämlich die individuelle Auswahl und Anordnung von Daten bzw. Datenbankelementen schützt. Es tritt hinzu, dass auf diesem Wege neben der Datensammlung als solche auch der Schutz des Datenbankmodells denkbar ist.
1 Thum in Wandtke/Bullinger, UrhR, § 87b Rz. 48 f.; zur Frage der Erschöpfung s. unten unter Rz. 53 ff. 2 OLG Hamburg v. 24.10.2012 – 5 U 38/10, ITRB 2013, 77 f.; Deutsch/Friedmann, GRUR-Prax 2013, 174; s. auch Deutsch, GRUR 2009, 1027; OLG Frankfurt v. 5.3.2009 – 6 U 221/08, CR 2009, 390 f.; http://de.wikipedia.org/wiki/Screen_Scra ping, 5.10.2013.
220
Grtzmacher
§ 15
III. Datenbankwerke
1. Schutzvoraussetzungen Gemäß § 4 Abs. 2 Satz 1 UrhG ist das Datenbankwerk geschützt, und 39 zwar als Sammelwerk. Die abweichende Terminologie – gesprochen wird vom „Datenbankwerk“ anstatt wie in § 87a UrhG von der „Datenbank“ – verweist auf den urheberrechtlichen Charakter des Schutzes, während § 4 Abs. 2 Satz 1 UrhG im Übrigen nahezu identisch mit dem Begriff der Datenbank in § 87a UrhG ist. a) Datenbanken Auch wenn, wie gesagt, in § 4 Abs. 2 UrhG von Datenbankwerk die Rede 40 ist, so liegt eine Datenbank bzw. ein Datenbankwerk in diesem Sinne nur unter den gleichen Voraussetzungen wie in § 87a Abs. 1 Satz 1 UrhG vor: Erforderlich ist ebenfalls „eine Sammlung von Werken, Daten oder anderen unabhängigen Elementen, die systematisch oder methodisch angeordnet und einzeln mit Hilfe elektronischer Mittel oder auf andere Weise zugängig sind“1. Dass in § 4 Abs. 2 UrhG nicht von „Werken“ und „Daten“ und auch nicht von „unabhängigen“ Elementen die Rede ist, erklärt sich dadurch, dass genau diese fehlenden Begriffe bereits in § 4 Abs. 1 UrhG zur Legaldefinition des Sammelwerks herangezogen werden. Sie sind insofern in Ansehung des § 4 Abs. 2 UrhG („ist ein Sammelwerk“) in § 4 Abs. 2 UrhG hineinzulesen2. Mithin kann für das Vorliegen eines Datenbankwerkes insoweit auch hinsichtlich dieser Tatbestandsmerkmale auf die oben erfolgte Darstellung verwiesen werden3. Klargestellt wird ferner in § 4 Abs. 2 UrhG, dass das zur Erschaffung des Datenbankwerkes bzw. das zur Ermöglichung des Zugangs zu dieser verwendete Computerprogramm i.S.v. § 69a UrhG nicht Bestandteil des Datenbankwerkes ist. Dieses ist anders als bei § 87a UrhG deshalb erforderlich, weil es hier um den urheberrechtlichen Schutz geht, während bei § 87a UrhG klar ist, dass die urheberrechtlich geschützten Computerprogramme nicht von dem Schutzgegenstand des § 87a UrhG abzugrenzen sind. Letzteres hingegen bereitet im Bereich des Urheberrechtsschutzes sehr wohl Schwierigkeiten4. Nach dieser Maßgabe müssen also vorliegen:
41
– einzeln unabhängig aufrufbare Elemente, – eine systematische und methodische Anordnung derselben und
1 § 87a Abs. 1 Satz 1 UrhG. 2 Vgl. OLG München v. 13.6.2013 – 29 U 4267/12, CR 2013, 562 (564) – Geodaten; Bullinger in Wandtke/Bullinger, UrhR, § 4 Rz. 4. 3 S. oben Rz. 19–23. 4 S. dazu Grützmacher in Wandtke/Bullinger, UrhR, § 69a Rz. 16 m.w.N.; Ohst, Computerprogramm und Datenbank, Definition und Abgrenzung im Urheberrecht, passim; vgl. auch EuGH v. 2.5.2012 – Rs. C-406/10, CR 2012, 428 – SAS Institute. Grtzmacher
221
§ 15
Schutz von Datenbanken und Datenbankwerken
– ein einzeln mit Hilfe elektronischer Mittel oder auf andere Weise bestehender Zugang zu diesen. b) Werkcharakter aufgrund individuellen Schaffens 42
Zum Datenbankwerk wird eine diesen Voraussetzungen genügende Datensammlung aber erst dann, wenn eine ausreichend individuelle geistige Schöpfung vorliegt. Soweit insofern das Gesetz in § 4 Abs. 1 UrhG davon spricht, dass „eine persönliche geistige Schöpfung“ vorliegen muss und damit möglicherweise eine gewisse Schöpfungshöhe indiziert, ist es europarechtskonform auszulegen; denn die Datenbank-Richtlinie erfordert gem. Art. 3 Abs. 1 lediglich eine „eigene“ geistige Schöpfung1. Insofern wird auch die sog. „kleine Münze“ des Urheberrechts im Bereich der Datenbankwerke durchaus geschützt2. Es reicht also das individuelle Schaffen, welches in Hinblick auf das Merkmal „geistig“ auf menschlichem Handeln beruhen muss.
43
Ob ein solches individuelles Schaffen vorliegt, ist im Wesentlichen eine Frage bestehender Auswahl- und Gestaltungsspielräume. Diese sind mitunter dann nicht gegeben, wenn die Auswahl bzw. Gestaltung – bekannt und üblich, – allein auf Fachkenntnissen, Denkgesetzen bzw. technischen Notwendigkeiten beruht oder – durch die Zweckbestimmung der Datensammlung weitestgehend vorbestimmt ist3.
44
Insofern ist im Einzelfall also immer abzuwägen und zu analysieren, inwieweit derartige Umstände den Gestaltungs- und Auswahlspielraum derart reduzieren, dass eine ausreichend individuelle Schöpfung nicht mehr vorliegt. Dabei werden die Übergänge aber fließend sein und im Zweifelsfall auch nur mit Hilfe von Sachverständigen bestimmt werden können. aa) Auswahl
45
Ein individuelles Schaffen bzw. ein ausreichend individuelles Datenbankwerk kann aufgrund der entsprechenden Auswahl der Daten bzw. sonstigen Elemente gegeben sein. Keine die Schutzfähigkeit als solche begründende Auswahlleistung wird, wie durch entsprechende Rechtsprechung bestätigt ist, in der Regel vorliegen, wenn eine Datenbank darauf 1 So auch Nordemann/Czychowski, NJW 1998, 1603 (1606 f.); offenbar auch BGH v. 19.5.2010 – I ZR 158/08, GRUR 2011, 79 (81). 2 Vgl. BGH v. 24.5.2007 – I ZR 130/04, CR 2007, 556 (557) – Gedichttitelliste I; Bullinger in Wandtke/Bullinger, UrhR, § 4 Rz. 5. 3 Dazu näher Grützmacher, Urheber-, Leistungs- und Sui-generis-Schutz von Datenbanken, S. 190 f. m.w.N. zur Rechtsprechung.
222
Grtzmacher
§ 15
III. Datenbankwerke
ausgelegt ist, einen bestimmten Informationsstand vollständig zu dokumentieren1. Insoweit scheidet ein Schutz mit Blick auf die Auswahlleistung häufig aus. In der Rechtsprechung zugestanden wurde er demgegenüber etwa bei Linksammlungen im Internet2, einer Rezeptsammlung3, Sammlungen von Bildern4 oder auch der Sammlung literarischer Werke in elektronischer Form5. Hier liegt es im Ermessen des Urhebers, welche Daten und Werke er aufnimmt und welche nicht. bb) Anordnung Mit Blick auf die Anordnung der einzelnen Elemente einer Datenbank 46 kann ein Schutz auch dann in Betracht kommen, wenn die Datenbank als solche eigentlich tendenziell auf eine vollständige Abbildung ihres Sachgebietes gerichtet ist6. Dieses wurde von der Rechtsprechung etwa für Lexika entschieden sowie auch für eine Datenbank mit einer spezifischen Präsentationsstruktur7. Allerdings gibt es auch zahlreiche Entscheidungen, welche von einer mangelnden individuellen Anordnung ausgegangen sind8. Denn oft liegt auch diese fachlich nahe. cc) Insbesondere Schutz des Datenbankmodells Mit Blick sowohl auf die Auswahl als auch die Anordnung einzelner Ele- 47 mente fragt sich, inwieweit das Datenbankmodell als solches schutzfähig ist. Wie bereits von Hoppen dargestellt wurde9, erfolgt die Erstellung eines Datenbankmodells in mehreren Schritten. Hierbei geht es im Rahmen des sog. Entitäten-Relationen-Modells darum, die Daten in Tabellenform so zu strukturieren, dass deren wechselseitige Zuordnung erfolgt und ggf. Redundanzen vermieden werden. Bis zu einem gewissen Grad wird diese Tätigkeit dabei i.d.R. durch den zu dokumentierenden Datenbestand vorbestimmt. Daher stellt sich im Einzelfall die Frage, inwieweit entsprechend dem oben Gesagten ein ausreichender Gestal1 BGH v. 6.5.1999 – I ZR 199/96, CR 1999, 496 (498) – Tele-Info-CD; BGH v. 19.5.2010 – I ZR 158/08, CR 2011, 36 (38) – Markenheftchen; OLG Hamburg v. 6.5.1999 – 3 U 246/98, GRUR 2000, 319 (320) – Börsendaten; vgl. zudem OLG Hamburg v. 22.2.2001 – 3 U 247/00, CR 2001, 704; OLG Karlsruhe v. 11.11.1998 – 6 U 29/98, CR 2000, 169. 2 LG Köln v. 25.8.1999 – 28 O 527/98, CR 2000, 400 – kidnet.de. 3 LG Frankfurt v. 28.3.2012 – 2-06 O 387/11, ZUM 2013, 151. 4 Vgl. BGH v. 27.3.2012 – I ZR 9/12, BB 2013, 2625 – SUMO. 5 BGH v. 24.5.2007 – I ZR 130/04, CR 2007, 556 (557) – Gedichttitelliste I. 6 BGH v. 19.5.2010 – I ZR 158/08, CR 2011, 36 (38 f.) – Markenheftchen. 7 OLG Frankfurt v. 17.9.2002 – 11 U 67/00, CR 2003, 50; OLG Frankfurt v. 19.6.2001 – 11 U 66/00, MMR 2002, 687; OLG Hamburg v. 22.2.2001 – 3 U 247/00, CR 2001, 704. 8 BGH v. 6.5.1999 – I ZR 199/96, CR 1999, 496 (497 f.) – Tele-Info-CD; OLG Hamburg v. 6.5.1999 – 3 U 246/98, GRUR 2000, 319 (320) – Börsendaten; OLG Düsseldorf v. 29.6.1999 – 20 U 85/98, CR 2000, 184. 9 Hoppen § 2 Rz. 8 ff.; s. dazu ausführlich Grützmacher, Urheber-, Leistungsund Sui-generis-Schutz von Datenbanken, S. 30 ff. Grtzmacher
223
§ 15
Schutz von Datenbanken und Datenbankwerken
tungsspielraum besteht bzw. inwieweit die Datenbankmodellierung in die Nähe des gem. Art. 9 GATT TRIPS ausgeschlossenen Schutzes von Ideen gerät1. Andererseits wird von Hoppen auch dargelegt, dass sehr wohl bei der genaueren Bestimmung der einzelnen Elemente eine individuelle Ausgestaltung im Sinne einer Auswahl bzw. Anordnung in Betracht kommt2. Es ist mithin keinesfalls fernliegend, dass im Einzelfall ein Schutz in Betracht kommt3. 2. Schutzumfang 48
Mit Blick auf die Verwertungs- und Nutzungsrechte werden Datenbankwerke anders als Datenbanken i.S.v. §§ 87a ff. UrhG wie übliche Werke geschützt. D.h., dass die §§ 15 ff. UrhG einschlägig sind. Einzig im Rahmen des § 23 Satz 2 UrhG gibt es eine gewisse Abweichung zum normalen Kanon der Verwertungs- und Nutzungsrechte. a) Vervielfältigungshandlungen
49
Dementsprechend ist zunächst einmal die 1:1-Kopie von Datenbankwerken geschützt, unabhängig davon ob diese von einem Datenträger oder online erfolgt. Weiter erfasst § 16 UrhG auch den Download einer Datenbank, sei es in ganzen oder in wesentlichen, d.h. schutzfähigen Teilen4. Zu beachten ist mit Blick auf die Vervielfältigungshandlung jeweils, dass sowohl die Auswahl als auch die Anordnung geschützt sein kann. Wird also beispielsweise der Inhalt einer (selektiven) Datenbank nachgesammelt, so wird mitunter eine Vervielfältigungshandlung mit Blick auf die Auswahl vorliegen; das gilt aber schon dann nicht mehr, wenn die Daten in einem ganz anderen Datenpool nur mit aufgenommen werden5. Demgegenüber trifft die Nachahmung einer Datenbank mit Blick auf ihre Datenbankstruktur und sonstige datenbezogene Gestaltung im Zweifelsfall eher die Anordnung i.S.v. § 4 UrhG. Im Einzelfall wird zu prüfen sein, inwieweit zudem gegen das Bearbeitungsrecht i.S.v. § 23 UrhG verstoßen wird6.
50
Nicht ohne Weiteres zu beantworten ist die Frage, inwieweit die Benutzung einer Datenbank bereits in das Vervielfältigungsrecht i.S.v. § 16 1 Grützmacher, Urheber-, Leistungs- und Sui-generis-Schutz von Datenbanken, 212. 2 Hoppen, § 2 Rz. 8 ff. und 39 ff. 3 Metzger, § 18; Leistner, Der Rechtsschutz von Datenbanken im deutschen und europäischen Recht, 2000, S. 74 f., 77 ff.; Grützmacher, Urheber-, Leistungsund Sui-generis-Schutz von Datenbanken, S. 212 ff. 4 S. dazu auch Koch, § 42; Grützmacher, Urheber-, Leistungs- und Sui-generisSchutz von Datenbanken, S. 228 f.; Leistner, Der Rechtschutz von Datenbanken im deutschen und europäischen Recht, 2000, S. 97. 5 Dazu im Detail Leistner, Der Rechtschutz von Datenbanken im deutschen und europäischen Recht, 2000, S. 90 ff., 115 ff.; Grützmacher, Urheber-, Leistungsund Sui-generis-Schutz von Datenbanken, S. 239 f. 6 S. dazu unter Rz. 51.
224
Grtzmacher
§ 15
III. Datenbankwerke
UrhG eingreift1. Relativ klar ist dieses lediglich, wenn eine vollständige Kopie der Datenbasis im Arbeitsspeicher abgelegt wird. Allerdings ist diese weder bei Offline-Datenträgern noch bei einem Online-Angebot einer Datenbank zwingend, bei ersterem aber technisch wahrscheinlicher. Wird eine solche Kopie nicht vorgenommen, stellt sich im Übrigen noch die Frage, ob das Zwischenspeichern (Caching) einzelner und größerer Datensätze zu einer Vervielfältigung eines urheberrechtsfähigen Teils eines Datenbankwerkes führt. Demgegenüber ist das sequenzielle Laden einzelner Datensätze im Zweifel für sich noch keine Vervielfältigung i.S.d. § 16 UrhG2. Anders als § 87b UrhG kennt der Urheberechtsschutz von Datenbankwerken auch keine Regelung, nach der das wiederholte und systematische Laden oder Kopieren einzelner Datenbankelemente als Vervielfältigungshandlung betrachtet würde. Insoweit bleibt die weitere Rechtsprechung abzuwarten. Schließlich ist zu bedenken, dass ggf. auch § 55a UrhG3 eingreifen würde. b) Bearbeitungshandlungen Anders als bei anderen Werken ist gem. § 23 Satz 2 UrhG bei Daten- 51 bankwerken bereits das Herstellen einer Bearbeitung urheberrechtsrelevant. Hier ist im Einzelfall zu fragen, inwieweit etwa Übersetzungen, Aktualisierungen, Fusionen von Datenbeständen oder deren Portierungen in andere Umgebungen Handlungen darstellen, welche zu einer Bearbeitung des Datenbankwerkes führen4. So lässt sich hören, dass je nach Art des Zusammenführens verschiedener Datenbestände, soweit einer der Bestände hinsichtlich seiner Auswahl Schutz genießt, dieses zu einer Veränderung der Auswahl und damit zu einem Eingriff in das Bearbeitungsrecht führt. Gleiches gilt evtl. für Aktualisierungen. Portierungen der Datenbestände in andere Datenstrukturen hingegen könnten im Einzelfall zu einer Veränderung der Anordnung führen. Auch in all diesen Fällen ist wiederum zu fragen, inwieweit entsprechende Nutzungshandlungen ggf. nach § 55a UrhG erlaubt sind. Nicht gelten wird dieses im Zweifel für Veränderungen oder Ergänzun- 52 gen eines als solches im Einzelfall schutzfähigen Datenbankmodells.
1 Dazu im Detail Leistner, Der Rechtschutz von Datenbanken im deutschen und europäischen Recht, 2000, S. 90 ff., 115 ff.; Grützmacher, Urheber-, Leistungsund Sui-generis-Schutz von Datenbanken, S. 230 ff. 2 Grützmacher, Urheber-, Leistungs- und Sui-generis-Schutz von Datenbanken, S. 230. Etwas anderes mag gelten, wenn einzelne Datensätze bzw. deren Formate bereits gem. § 4 UrhG geschützt sind oder auch wenn einzelne Daten Werke oder sonst nach dem Urheberrecht schutzfähige Elemente enthalten. 3 Dazu unten unter Rz. 57 f. 4 Dazu näher Grützmacher, Urheber-, Leistungs- und Sui-generis-Schutz von Datenbanken, S. 241; vgl. auch Leistner, Der Rechtschutz von Datenbanken im deutschen und europäischen Recht, 2000, S. 100. Grtzmacher
225
§ 15
Schutz von Datenbanken und Datenbankwerken
c) Verbreitungshandlungen 53
Mit Blick auf § 17 UrhG gilt auch für Datenbanken, dass deren Angebot auf physischen Datenträgern bzw. deren anschließender Vertrieb eine Verbreitungshandlung im Sinne des Gesetzes darstellt. Wird eine Datenbank auf diesem Wege erstmalig in den Verkehr gebracht, erschöpfen sich in der Folge gem. § 17 Abs. 2 UrhG die Rechte aus § 17 UrhG. Ausgenommen hiervon ist gem. § 17 Abs. 2 und 3 UrhG lediglich die Vermietung bzw. gem. § 27 UrhG der Verleih eines entsprechenden Datenträgers. In Ansehung der EuGH-Rechtsprechung zu Computerprogrammen ist hingegen ungeklärt, inwieweit bei einer dauerhaften Online-Übertragung eines Datenbestandes bzw. Datenbankwerkes gegen eine Einmalzahlung analog § 17 UrhG von einer Erschöpfung auszugehen ist. Der EuGH hat diese Frage explizit offen gelassen. Er hat angedeutet, dass hier zwischen Computerprogrammen und anderen Werken zu unterscheiden ist, aber auch tendenziell zu erkennen gegeben, dass er wohl eher dazu neigt, seiner Rechtsprechung zu Computerprogrammen zu folgen1. Insofern spricht einiges dafür, dass auch beim Verkauf von Datenbankwerken per Download eine Erschöpfung i.S.v. § 17 Abs. 2 UrhG eintritt2. d) Öffentliche Wiedergabe bzw. Zugänglichmachung
54
Etwas anders stellt sich dieses mit Blick auf das Recht der öffentlichen Wiedergabe (§ 15 Abs. 3 UrhG) und der öffentlichen Zugänglichmachung (§ 19a UrhG) dar. Dieses Verwertungs- und Nutzungsrecht, welches insb. beim Online-Angebot von Datenbanken im Internet relevant ist, erschöpft als solches nicht. Eine von einem Datenbankanbieter bzw. im Internet angebotene Datenbank darf also lediglich den lizenzierten Nutzern zugänglich gemacht werden und nicht etwa im Ergebnis repliziert werden3. Dabei reicht nach h.M.4 bereits das reine Angebot aus, um eine Verletzungshandlung i.S.v. § 19a UrhG anzunehmen, was aber nicht bedeutet, dass sich die urheberrechtsrelevante Handlung hierin erschöpft. Vielmehr ist auch die Übertragung als solche entgegen vereinzelten Stimmen in der Literatur5 als solche urheberrechtsrelevant. Von Bedeutung ist dieses insbesondere dann, wenn entsprechende Angebote aus dem Ausland – genauer aus sog. Urheberrechts-Oasen – heraus erfolgen6. In diesen Fällen können nämlich die Rechte entweder bei anderen Rechteinhabern liegen oder aber ein Schutz überhaupt nicht bestehen. Geht 1 EuGH v. 3.7.2012 – C-128/11, CR 2012, 498 – UsedSoft; s. dazu Schneider/Spindler, CR 2012, 489 (497); Grützmacher, ZGE 2013, Band 5, 46 (80). 2 A.A. Koch, § 42. 3 Vgl. Erwägungsgrund 29 InfoSoc-Richtlinie. 4 Statt vieler v. Gerlach, ZUM 1999, 278 (279); Dreier in Dreier/Schulze, UrhG, § 19a Rz. 6; Grützmacher in Wandtke/Bullinger, UrhR, § 69c Rz. 53, 60 m.w.N. 5 A.A. etwa Koch, § 42. 6 Vgl. v. Gerlach, ZUM 1999, 278 (279); Grützmacher in Wandtke/Bullinger, UrhR, § 69c Rz. 53, 60 m.w.N.
226
Grtzmacher
§ 15
III. Datenbankwerke
man insofern mit der h.M. und in Übereinstimmung mit der sog. BogschTheorie1 davon aus, dass auch der Übertragungsakt als solcher zur Verletzung des § 19a UrhG führt, bietet sich entsprechend dem sog. Schutzlandprinzip ein Anknüpfungspunkt für eine Rechtsverletzung in Deutschland an (inwieweit man eine entsprechende Verletzung dann auch vollstrecken kann, ist natürlich eine andere Frage). Zu beachten ist, dass man darüber streiten kann, ab wann die Übertra- 55 gung einzelner Datensätze bzw. das bloße Sichten von Datenbanken im Internet bereits eine öffentliche Zugänglichmachung darstellen2; denn schließlich wird hier nicht das gesamte Datenbankwerk, sondern allenfalls ein Datensatz öffentlich zugänglich gemacht. Von besonderer Relevanz ist die Frage der öffentlichen Wiedergabe bzw. 56 Zugänglichmachung auch dann, wenn Datenbanken zentral im Unternehmen genutzt und den Mitarbeitern angeboten werden. In diesen Fällen fragt sich, ob und in welchem Umfang Mitarbeiter als Teil der Öffentlichkeit angesehen werden können, ob es sich also um einen ausreichend verbundenen Personenkreis handelt, wovon nach der Rechtsprechung des BGH im Zweifel nicht auszugehen ist3. 3. § 55a UrhG sowie sonstige Schranken a) § 55a UrhG Entsprechend § 69d UrhG für Computerprogramme findet sich auch für 57 Datenbankwerke eine Ausnahmenorm für die Benutzung eines Datenbankwerkes, nämlich in § 55a UrhG. Danach sind Eigentümer eines mit Zustimmung des Urhebers veräußerten Vervielfältigungsstücks oder sonstige Berechtigte bzw. Lizenznehmer berechtigt, Bearbeitungen und Vervielfältigungen vorzunehmen, „wenn und soweit die Bearbeitung oder Vervielfältigung für den Zugang zu den Elementen des Datenbankwerkes und für dessen übliche Benutzung erforderlich ist“. Hierunter werden also die üblichen Nutzungshandlungen zu subsumieren sein, die sich gem. § 55a Satz 3 UrhG dann auch nicht verbieten lassen. Der Erwerber einer Datenbank darf mit anderen Worten diese installieren, soweit es um eine Offline-Version geht, bzw. im Übrigen zum Recherchieren benutzen. Weniger klar ist, inwieweit er gem. § 55a Satz 1 UrhG auch zur Anfertigung von Sicherungskopien berechtigt ist4. Hierfür spricht letztlich im Fall von Offline-Datenträgern, dass DVDs und CDs sehr empfindlich und auch nicht von unbegrenzter Haltbarkeit sind; aber 1 Zu dieser grundlegend Dietz, UFITA 108 (1988), 73; LG Stuttgart v. 21.4.1994 – 17 O 539/93, GRUR Int. 1995, 412 (413) – Satelliten-Rundfunk. 2 Dazu Grützmacher, Urheber-, Leistungs- und Sui-generis-Schutz von Datenbanken, S. 252, 262 f. 3 BGH v. 14.6.1955 – V ZR 120/53, BGHZ 17, 367 (380 f.) – Betriebsfeier; dazu näher Koch, § 42 Rz. 89 ff. 4 Ablehnend Koch, § 42. Grtzmacher
227
§ 15
Schutz von Datenbanken und Datenbankwerken
auch sonstige Sicherungen im Rahmen eines üblichen RZ-Betriebs dürften danach gem. § 55a UrhG wohl zulässig sein. Rechtsprechung hierzu ist leider bisher nicht ersichtlich1. 58
Weniger klar ist, in welchem Umfang Bearbeitungen zulässig sind. In Betracht kommt hier wie gesagt – ggf. abhängig vom konkreten Datenbankinhalt – die Aktualisierung von Datenbeständen oder auch deren Kombination bzw. Verschmelzung. Allerdings ist in all diesen Situationen kritisch zu hinterfragen, ob derartige Bearbeitungshandlungen überhaupt erforderlich sind. b) Sonstige Schranken
59
Im Übrigen gelten auch für Datenbanken die üblichen Schranken der §§ 45 ff. UrhG. Von besonderer Relevanz dürften insofern die Tatbestände des § 53 UrhG sein, insbesondere die Schrankenbestimmungen zu Privatkopien und Vervielfältigungen zu Archivzwecken. Allerdings sind diese gem. § 53 Abs. 5 UrhG allenfalls beschränkt auf Datenbankwerke anwendbar; sie gelten ebenso wie die Regelungen zur Unterrichtung über Tagesfragen und Nutzung in Schulen und Hochschulen lediglich für nichtelektronische Datenbanken. 4. Schutzdauer
60
Geschützt sind Datenbankwerke nach den allgemeinen Regelungen der §§ 64 ff. UrhG. Ihnen kommt insofern der lange urheberrechtliche Schutz über einen Zeitraum von 70 Jahren post mortem auctoris zu.
1 S. dazu Grützmacher, Urheber-, Leistungs- und Sui-generis-Schutz von Datenbanken, S. 269 und Grützmacher in Wandtke/Bullinger, UrhR, § 69d Rz. 55.
228
Grtzmacher
§ 16 Abgrenzung von Datenbank und Datenbankinhalt Rz.
Rz.
I. Einführung . . . . . . . . . . . . . . . . . . . 1. Hintergrund der Richtlinie . . . . . . 2. Inhalt der Richtlinie . . . . . . . . . . .
1 3 4
II. Datenbank und -inhalt . . . . . . . . . 1. Abgrenzung bei Sammelwerken . 2. Abgrenzung bei Datenbanken . . .
5 5 6
a) Grundsatz der gesonderten Verwertbarkeit . . . . . . . . . . . . . 7 b) Eigenständigkeit als Kriterium 8 c) Ordnungsprinzip als Kriterium . . . . . . . . . . . . . . . . . . 10 III. Werteverschiebung und Ausblick
12
I. Einführung Wie die Regelungen zum Urheberrechtschutz an Computerprogrammen 1 beruhen die Regelungen der durch Art. 7 IuKDG zum 1.1.1998 in Kraft getretenen §§ 4 Abs. 1, 23 und 55a sowie §§ 87a ff. UrhG zum Schutz von Datenbanken auf europäischem Recht, nämlich der Richtlinie zum Schutz von Datenbanken vom 13.3.19961, die Schutzdivergenzen zwischen den unterschiedlichen Rechtsordnungen der Mitgliedstaaten der EU beseitigen sollte. Sammelwerke, bei denen die Anordnung oder Auswahl der aufgenom- 2 menen Beiträge Ausdruck einer persönlich geistigen Schöpfung waren, wurden zwar schon in der ersten Fassung des UrhG von 1965 nach § 4 UrhG als eigenständige Werkkategorie geschützt, allerdings wurden die Schutzvoraussetzungen nur selten erreicht2. War die Zusammenstellung von Objekten ohne geistigen Inhalt (wie Briefmarken, Münzen usw.) künstlerisch wertvoll, etwa in einer Ausstellung oder in einem Bildband, kam auch ein Schutz als Kunstwerk nach § 2 Abs. 1 Nr. 4 UrhG in Betracht. Nicht schöpferische Sammelwerke – der Begriff einer Datenbank, der „Daten“ und damit etwas „Elektronisches“ impliziert, war seinerzeit noch nicht geläufig – waren jedoch außerhalb der besonderen Unlauterkeitsmerkmale des UWG, namentlich der sklavischen Leistungsübernahme und der Rufausbeutung praktisch schutzlos und der BGH beschäftigte sich erstmals in den diversen Verfahren zum Schutz von Telefonbucheinträgen mit derartigen elektronischen Sammlungen, immer noch unter wettbewerbsrechtlichen Gesichtspunkten3. Das Wettbewerbsrecht bot aber weder ein Ausschließlichkeitsrecht, verlangte es doch nach einem Wettbewerbsverhältnis und einer wettbewerblichen Eigenart der übernommenen Elemente, noch ein ausreichendes Sanktions1 ABl. Nr. L 77/20 v. 27.3.1996. 2 Bejaht beispielsweise für Fachzeitschriften: OLG Hamm v. 26.2.2008 – 4 U 157/07, GRUR-RR 2008, 276, verneint: OLG München v. 10.5.2007 – 29 U 1638/06, MMR 2007, 525; vgl. auch Schricker in Schricker/Loewenheim, UrhG, § 4 Rz. 5 ff.; Vor §§ 87a ff. Rz. 3. 3 Vgl. etwa BGH v. 6.5.1999 – I ZR 199/06, GRUR 1999, 923 – Tele-Info-CD. Witte
229
§ 16
Abgrenzung von Datenbank und Datenbankinhalt
regime, etwa ein Verbot der Herstellung oder die Vernichtung. Diese, durch die technologische Entwicklung entstandene Schutzlücke wurde daher für unbefriedigend gehalten. 1. Hintergrund der Richtlinie 3
Die Bemühungen der EU-Kommission, das Rechtsgefälle zwischen den Mitgliedstaaten in dieser Frage zu harmonisieren, begannen in den späten 80er-Jahren und führten letztlich zum Erlass der Richtlinie im Jahre 1996, die in Deutschland fristgerecht zum 1.1.1998 in nationales Recht umgesetzt wurde1. Das neue Datenbankrecht trägt insoweit gleich mehreren Bedürfnissen Rechnung: es vereint die früheren urheber- und wettbewerbsrechtlichen Ansätze zum Schutz von Datenbankherstellern durch einen Schutz sui generis und berücksichtigt die durch die Digitaltechnik veränderten Verhältnisse. 2. Inhalt der Richtlinie
4
Das Konzept der Richtlinie ist zweigliedrig: Die Richtlinie lässt einerseits den im deutschen Recht bereits traditionell verankerten urheberrechtlichen Schutz von Datenbankwerken mit wenigen Modifikationen zugunsten der Rechtsinhaber unberührt (Art. 1 Abs. 1 RL). Sie schafft andererseits einen neuen Schutz sui generis der Investition für Datenbanken, die die erforderliche Schöpfungshöhe nicht erreichen, aber die Voraussetzungen des Art. 7 Abs. 1 RL (§ 87a UrhG) erfüllen, als weiteres Leistungsschutzrecht oder Datenbankherstellerrecht. Der Schutz der Datenbankinhalte bleibt hiervon unberührt (Art. 3 Abs. 2, Art. 7 Abs. 4). Es handelt sich um ein Recht ohne Vorbild, das nicht unter Konventionsrecht fällt und Angehörigen von Drittstaaten keine Inländerbehandlung gewährt. Zugleich stellt es eine abschließende Regelung dar.
II. Datenbank und -inhalt 1. Abgrenzung bei Sammelwerken 5
Die Abgrenzung zwischen Sammlung und Inhalt fiel schon nach alter Rechtslage bzw. bei überkommenen Sammelwerken nicht immer leicht: so ist es denkbar, dass der Schwerpunkt der schöpferischen Tätigkeit in den verbindenden Elementen der Sammlung liegt, etwa in übergreifenden Texten, so dass ein Schutz neben § 4 UrhG auch als Sprachwerk nach § 2 UrhG in Betracht kommt2. Letztlich konnte somit die Ausgabe eines besonders aufwendig gestalteten Ausstellungskatalogs oder eine in-
1 Vgl. Schricker/Vogel in Schricker/Loewenheim, UrhG, Vor §§ 87 ff. Rz. 8. 2 Vgl. BGH v. 11.4.2002 – I ZR 231/99, GRUR 2002, 958 – Technische Lieferbedingungen.
230
Witte
§ 16
II. Datenbank und -inhalt
dividuell gestaltete Zeitung urheberrechtlich geschützte Beiträge enthalten und gleichzeitig Sprach-, Sammel- und Kunstwerk sein. 2. Abgrenzung bei Datenbanken Bei Datenbanken fällt diese Differenzierung noch schwerer: Datenban- 6 ken sind Unterfälle von Sammlungen (§ 4 Abs. 2 UrhG). Eine Datenbank muss voneinander unabhängige, einzeln erkennbare Elemente gleich welcher Natur, Mischung und Anzahl enthalten, wenngleich eine gewisse Mindestanzahl1 erforderlich ist. Im Übrigen können einzelne Elemente einer Sammlung – sollten sie selbst einen Urheberschutz erreichen – unterschiedlichen Werkkategorien angehören, solange sie einander nur selbständig gegenüber stehen. a) Grundsatz der gesonderten Verwertbarkeit Das Merkmal der Unabhängigkeit und Unterscheidbarkeit wird dabei 7 durch den Grundsatz der gesonderten Verwertbarkeit bestimmt2. Dies ist wichtig, um Sammelwerk und Miturheberschaft voneinander zu trennen, vor allem aber um Unklarheiten bei ineinander verschmolzenen, ehemals eigenständigen Werken wie Filmen und Multimediawerken (hier sind Bild, Text und Ton zu einer Einheit geworden und können daher kein Sammelwerk mehr darstellen) zu vermeiden. Gleiches gilt für Webseiten, die keine Sammlung von Befehlen darstellen, sondern ein einheitliches Ganzes, es sei denn, sie enthalten Linksammlungen3. b) Eigenständigkeit als Kriterium Die „unterste Grenze“ der Unterscheidbarkeit liegt bei Datenbanken in- 8 dessen weder in dem Kriterium der gesonderten Verwertbarkeit noch bei einzelnen Bits, sondern bei der Frage, ob ein Element einen eigenständigen Informationsgehalt hat. So wird man einen Börsenkurs (mit Bezug zu einem Wertpapier und einem Datum) als eigenständig ansehen müssen, obwohl erst eine längere Zeitreihe solcher Kurse eine Aussage über die Entwicklung eines Wertpapiers zulässt4. Der EuGH hat es insoweit ausreichen lassen, dass Ort, Datum, Uhrzeit und Identitäten der Mannschaften eines Fußballspiels selbständige Elemente eines daraus entwickelten Spielplans sind, auch wenn sich das Interesse der Öffentlichkeit erst auf den vollständigen Spielplan als Ganzes richtet5. Waren die einzelnen Elemente der Spielpläne nicht urheberrechtsfähig, konnte doch der „Ersteller“ sich gleichwohl darauf berufen, dass es sich um eine Datenbank han1 Die Rechtsprechung spricht von einer Vielzahl, vgl. EuGH v. 9.11.2004 – C-444/02, GRUR 2005, 254 – Fußballspielpläne II. 2 Vgl. Schricker/Vogel in Schricker/Loewenheim, UrhG, § 87a Rz. 8. 3 Umstr., vgl. Schricker/Vogel in Schricker/Loewenheim, UrhG, § 87a Rz. 28, 39. 4 Offen gelassen: OLG Hamburg v. 6.5.1999 – 3 U 246/98, ZUM 1999, 849. 5 Vgl. EuGH v. 9.11.2004 – C-444/02, GRUR 2005, 254. Witte
231
§ 16
Abgrenzung von Datenbank und Datenbankinhalt
delte. Der Schutz der Richtlinie wurde allerdings verwehrt, weil der Begriff einer mit der Beschaffung des Inhalts einer Datenbank verbundenen „Investition“ i.S.v. Art. 7 Abs. 1 der Richtlinie 96/9 nicht auf die Mittel bezogen ist, die der Auswahl bereits vorhandener Elemente und deren Zusammenstellung in der Datenbank dienen. Er umfasst nicht die Mittel, die eingesetzt werden, um die Elemente (hier die Kosten der Aufstellung der Spielpläne) selbst zu erzeugen. Für die Beschaffung des Inhalts eines Spielplans von Fußballbegegnungen bedurfte es nach Meinung des EuGH keiner Investition, die im Verhältnis zu der Investition, die das Erzeugen der in diesem Kalender enthaltenen Daten erfordert, selbständig gewesen wäre1. 9
Ob insofern aber die Entscheidung des LG München richtig ist, Landkarten als Sammlung einer Vielzahl von Einzeldaten zur Beschaffenheit der Erdoberfläche im jeweiligen Kartengebiet als Datenbank i.S.v. § 87a UrhG einzustufen, ist daher zu hinterfragen2. c) Ordnungsprinzip als Kriterium
10
Eine Datenbank setzt weiter voraus, dass die eigenständigen Daten so abgelegt sind, dass sie nach irgendeinem Ordnungsprinzip wiedergewonnen werden können. Das ist allerdings bereits der Fall, wenn die Einzeldaten nach Zeit, Ort, Zahl oder Alphabet angeordnet sind, etwa auch bei dem Index einer Internet-Suchmaschine3. Daran wird freilich erkennbar, dass einerseits die Sachlogik vieler Datenbanken für eine schöpferische Tätigkeit bei der Auswahl, vor allem aber bei der Anordnung der Daten, wenig Raum lässt, andererseits aber die Voraussetzungen des Schutzes sui generis recht schnell greifen.
11
Denkbar ist insoweit auch, dass erst durch den Filterprozess, etwa mittels einer (unabhängig hiervon geschützten) Software erstmals eine Datenbank geschaffen wird, für die dann die hier geschilderten Kriterien gelten. Datenbankhersteller ist dann derjenige, der die spezielle Software eingesetzt hat, um die Datenbank zu schaffen.
III. Werteverschiebung und Ausblick 12
Während bei „analogen“ Sammelwerken eine schöpferisch wertvolle Auswahl und Anordnung der Elemente noch eher die Regel war, liegt heute der Schwerpunkt bei Datenbanken einerseits in der digitalen Zurverfügungstellung bereits vorhandenen analogen Wissens, welches lediglich digitalisiert wurde (beispielsweise die Abkehr vom Printmedium zur 1 EuGH v. 9.11.2004 – C-444/02, GRUR 2005, 254 Rz. 49 – Fußballspielpläne II. 2 LG München v. 9.11.2005 – 21 O 7402/02, GRUR 2006, 225; LG München v. 22.7.2009 – 21 O 13768/05, GRUR-RR 2010, 92 (94); a.A. OLG München v. 13.6.2013 – 29 U 4267/12, CR 2013, 562. 3 Vgl. Haberstumpf, GRUR 2003, 14 ff.
232
Witte
§ 16
III. Werteverschiebung und Ausblick
Onlinezeitung einschließlich deren Archive mit dem Schwerpunkt der Volltextsuche) und andererseits in der Anhäufung großer, zunächst ungeordneter, nicht urheberrechtsfähiger Datenmengen (Big Data), die erst später anhand einfacher Ordnungskriterien wiedergefunden und in eine sinnvolle Reihenfolge gebracht werden sollen. Auch beim Schutz des Datenbankinhalts findet eine gewisse Wertever- 13 schiebung statt. Während frühere Sammlungen ihren Schwerpunkt eher noch in der kreativen Darbietung von Material hatten, das selbst dem Urheberschutz zugänglich war, handelt es sich bei Datenhaufen (Big Data) um ungeordnete gesammelte Einzeldaten, die ihren eigentlichen Sinn erst durch Filterung und Verknüpfung mittels einer geeigneten Auswertungssoftware erhalten, so dass hier der Schwerpunkt im Softwareschutz und im Wert der „informativ angereicherten“ Daten im Rahmen der neu geschaffenen Verknüpfungen liegt. Man wird bezweifeln dürfen, ob die vom EuGH vorgezeichneten Grundsätze zur Eigenständigkeit von Daten bei „Big Data“ bereits erfüllt sind, weil es hier um ungeordnete Datenhaufen geht1. Die Anordnung von Stellenanzeigen nur nach Größe und Branche reichte nach Auffassung des KG2 jedenfalls nicht für eine systematisierte Anordnung i.S.d. § 87a UrhG aus.
1 Vgl. Schricker/Vogel in Schricker/Loewenheim, UrhG, § 87a Rz. 15; KG v. 26.5.2000 – 5 U 1171/00, GRUR-RR 2001, 102 sowie OLG München v. 9.11.2000 – 6 U 2812/00, ZUM 2001, 255 zur Übernahme von Stellenanzeigen durch Dritte. 2 KG v. 26.5.2000 – 5 U 1171/00, GRUR-RR 2001, 102. Witte
233
§ 17 Nutzergenerierte Inhalte zwischen Urheberrecht und Datenbankschutz Rz. I. Nutzergenerierte Inhalte (UGC) in sozialen Netzwerken . . . . . . . . 1 1. Soziale Netzwerke . . . . . . . . . . . . 1 2. Schutz nutzergenerierter Inhalte . 7 a) Inhalte als Werke . . . . . . . . . . . 7 b) Schöpfungshöhe und „kleine Münze“ . . . . . . . . . . . . . . . . . . . 9 c) Werkformen . . . . . . . . . . . . . . . 12 d) Urheberrechtliche Befugnisse . 20 e) Wiki und Urheberrecht . . . . . . 25
Rz. II. UGC-Plattformen und Datenbankschutz . . . . . . . . . . . . . . . . . . . 1. Datenbanken und Fremdinhalte . 2. Datenbankwerk (§ 4 Abs. 2 UrhG) . . . . . . . . . . . . . . . . . . . . . . . 3. Einfacher Datenbankschutz (Suigeneris-Schutz, §§ 87a ff. UrhG) . 4. Datenbankschutz ohne Daten? . .
28 28 32 34 40
I. Nutzergenerierte Inhalte (UGC) in sozialen Netzwerken 1. Soziale Netzwerke 1
Unser Umgang mit dem Internet wandelt sich. Noch vor nicht allzu langer Zeit war das Web zumindest für diejenigen, die keine eigene Homepage betrieben haben, hauptsächlich ein Medium, dass der eigenen Information oder Unterhaltung dienen konnte (Rezeption von Inhalten). Mit der Entwicklung des schlagwortartig so bezeichneten Web 2.0 tritt neben diese Rezeption zunehmend die Interaktion: Wer über einen Computeranschluss oder ein Smartphone verfügt, hat heute nicht nur die Möglichkeit, Netzinhalte zu rezipieren, sondern auch dazu, an der Kommunikation im Web teilzunehmen und so den Inhalt des Netzes ohne weiteren technischen Aufwand selbst zu beeinflussen1. Maßgeblich an dieser Entwicklung beteiligt sind soziale Netzwerke2: vorkonfigurierte Plattformen, die es den einzelnen Nutzern ermöglichen, eigene Inhalte gleich welcher Art innerhalb einer vorgegebenen Netzwerkstruktur einzugeben, auf diese Weise unmittelbar im Netz zu veröffentlichen sowie ggf. zu pflegen und zu aktualisieren3.
2
Interaktion in Netzwerken erfüllt einerseits einen sozialen Zweck: Sie versetzt die Mitglieder in die Lage, herkömmlich flüchtige soziale Beziehungen im Zuge der Institutionalisierung digitaler Verbindungen und
1 Lichtnecker, GRUR 2013, 135. 2 In der Netzwerktheorie spricht man von abgegrenzten Mengen von Knoten oder Elementen (in diesem Fall Mengen einzelner Nutzer), verbunden mit einer Anzahl an Kanten zwischen diesen Knoten. Mit Hilfe dieser Kanten lassen sich Interaktion und Verhältnis zwischen den Knoten beschreiben; vgl. Jansen, Einführung in die Netzwerkanalyse, 58. 3 Bullinger in Wandtke/Bullinger, UrhR, § 2 Rz. 159.
234
M. Hassemer
§ 17
I. Nutzergenerierte Inhalte (UGC) in sozialen Netzwerken
Austauschverhältnisse zu stabilisieren1. Sie bringt andererseits aber auch einen Rollen- und Bedeutungswechsel mit sich: Aus reinen „Nutzern“ werden „Prosumer“, ebenso wie aus statisch vorgegebenen Netzinhalten eine dynamische Menge einzelner nutzergenerierter Inhalte wird, die inzwischen als „User Generated Content“ (UGC)2 bezeichnet werden. Im Vergleich zu herkömmlichen Veröffentlichungswegen zeichnen sich 3 diese Mitwirkungsmöglichkeiten an sozialen Netzwerken im Übrigen dadurch aus, dass sie in der Regel frei von Gatekeepern sind. Redaktionelle Auswahl findet nicht oder nur eingeschränkt statt; zahlreichen Nutzern steht es frei, „ihre eigenen Inhalte völlig selbständig und unkontrolliert“3 der Netzöffentlichkeit zugänglich zu machen. Bereitgestellt wird diese Möglichkeit durch UGC-Provider: Internet Ser- 4 vice Provider, die es den Nutzern erlauben, Inhalte auf ihren Plattformen zu veröffentlichen. Reine UGC-Provider stellen selbst also keine relevanten Inhalte ein, sondern liefern lediglich eine bestimmte Struktur, durch die sich die einzelnen UGC-Plattformen auszeichnen und voneinander unterscheiden. Beispiele hierfür sind Plattformen zum Veröffentlichung von Videodateien und Bildern (YouTube, Flickr), von sprachlichen Äußerungen (Foren, Wikis) oder kombinierende soziale Netzwerke, wie insbesondere Facebook4. Aus dem Zusammenspiel von bereitgestellten sozialen Plattformen und 5 den in diesen enthaltenen nutzergenerierten Inhalten bildet sich ein gewisses Spannungsverhältnis: Zum einen können die Inhalte unter Umständen selbst urheberrechtsfähig sein, zum anderen bilden sie möglicherweise Elemente von als solchen schutzfähigen Datenbanken5. In subjektiver Hinsicht stehen sich dann zwei Spieler gegenüber: Der Anbieter des sozialen Netzwerks (und mögliche Begünstigte eines ggf. bestehenden Datenbankschutzes) als UGC-Provider auf der einen Seite, und der inhaltegenerierende Nutzer als möglicher Urheber auf der anderen. Mit dem erwähnten Rollen- und Bedeutungswandel im sozialen Netz än- 6 dert sich auch der rechtliche Blickwinkel auf die Teilnehmer: Während der Nutzer vor noch nicht allzu langer Zeit in erster Linie als potentieller Rechtsverletzer betrachtet wurde, erscheint er nun in einer neuen Funktion, nämlich der eines möglichen Rechtsinhabers. Sein Verhalten wird damit nicht mehr ausschließlich im Hinblick darauf relevant, ob er mit schutzfähigen Gegenständen Dritter rechtmäßig umgeht oder Drittrechte verletzt, sondern, inwiefern Nutzer vermittels ihrer Beiträge eigene 1 Die Urform dieser netzbasierten Interaktionsformate geht auf die Chatrooms der 90er Jahre zurück; vgl. Bauer, User Generated Content, 7. 2 Zuvor „user-generated content“; vgl. Bauer, User Generated Content, 7. 3 Bauer, User Generated Content, 17. 4 Hierzu ausführlich Internationale Vereinigung für den Schutz des Geistigen Eigentums (AIPPI), GRUR-Int. 2011, 905 (908). 5 Marquardt in Wandtke/Bullinger, UrhR, § 4 Rz. 13. M. Hassemer
235
§ 17
Nutzergenerierte Inhalte
Urheber- und Leistungsschutzrechte generieren. Es liegt auf der Hand, dass fortschreitende Beteiligungsmöglichkeiten auch diese Perspektivenverschiebung weiter vorantreiben werden: Der Nutzer tritt aus seiner „reinen“ Nutzerrolle heraus, und die Beteiligtentrias1 im Urheberrecht verliert zumindest partiell ihre Fähigkeit, die Realität angemessen abzubilden2. 2. Schutz nutzergenerierter Inhalte a) Inhalte als Werke 7
Mit den angesprochenen Möglichkeiten der Nutzer, an der Gestaltung des Web 2.0 mitzuwirken, entsteht das Phänomen der nutzergenerierten Werke, also derjenigen Inhalte, die ihrerseits urheberrechtlich schutzfähig sind. Im Rahmen von UGC kommen bislang insbesondere Werkformen wie Musik, Filmwerke, Fotografienschutz (einschließlich des einfachen Lichtbilderschutzes, Leistungsschutzrecht) und Sprachwerke in Betracht. Je zügiger die Entwicklung dreidimensionaler Drucker fortschreitet, desto relevanter werden künftig auch weitere Kunstformen wie die Bildhauerei werden, die bislang kaum Beachtung finden.
8
Bislang war von „nutzergenerierten Inhalten“ die Rede. Insofern es um deren urheber- oder leistungsschutzrechtliche Schutzfähigkeit geht, ist der Terminus „Inhalte“ jedoch mit einer gewissen Vorsicht zu genießen, weil er leicht zu einem im urheberrechtlichen Kontext typischen Missverständnis führt. Wenn es, wie hier, um den Urheberrechtsschutz nutzergenerierter Elemente geht (insbesondere im Fall von sprachlichen Beiträgen), so wird das Urheberrecht gerade nicht die (informativen) Inhalte3, sondern nur die menschliche Ausdrucksform (expression) schützen. Das Wort „Inhalte“ sollte demzufolge strikt dahingehend verstanden werden, dass Nutzer zwar „Inhalte“ (also eigene Elemente) in Plattformen bereitstellen, diese jedoch im Hinblick auf ihre konkrete Ausdrucksform und nicht hinsichtlich ihres abstrakten Inhalts geschützt sind. b) Schöpfungshöhe und „kleine Münze“
9
Das Urheberrecht folgt dem Prinzip, dass erst die persönliche geistige Schöpfung in Literatur, Wissenschaft oder Kunst eine menschliche Äußerung zum geschützten Werk erhebt und somit aus einem freien einen geschützten Beitrag macht (§ 2 Abs. 2 UrhG). Die damit entscheidende Frage nach der eigenpersönlichen Schöpfung ist eine graduelle, über die notwendigerweise unterschiedliche Meinungen bestehen werden, die jedoch letztlich nur im Einzelfall bestimmt werden kann. Sie kann sich bei nutzergenerierten Netzinhalten insbesondere aus der Art und Weise 1 Urheber, Verwerter, Nutzer. 2 Hierzu Hilty, GRUR 2009, 633. 3 Bullinger in Wandtke/Bullinger, UrhR, § 2 Rz. 159.
236
M. Hassemer
§ 17
I. Nutzergenerierte Inhalte (UGC) in sozialen Netzwerken
der Darstellung, sprachlicher Kreativität oder Gewandtheit, gestalterischen Merkmalen und weiteren künstlerischen Elementen ergeben1. Zumindest im Rahmen der nicht-gewerblichen Schöpfungen besteht eine 10 gewisse Einigkeit darüber, dass auch Werke geringer Schöpfungshöhe als urheberrechtlich schutzfähig anzusehen sind (Schutz der „kleinen Münze“)2. Dem Urheberrecht bleibt auf diese Weise die – oftmals sehr subjektive, zeitgebundene und damit fehlerbehaftete – Qualitätsbeurteilung von Literatur, Wissenschaft und Kunst erspart. Übertragen auf UGC bedeutet dies, dass auch solche Nutzerexpressio- 11 nen, die möglicherweise ohne „künstlerische“ oder „literarische“ Intention im Netz bereitgestellt werden, durchaus urheberrechtsfähig sein können – zu denken wäre beispielsweise an Reisetagebücher, Reime o.Ä., solange diese Äußerungen nur genug eigenschöpferische Anteile aufweisen3. Wenn das Urheberrecht in der analogen Welt Heiratsannoncen4, zahnmedizinische Abbildungen5 und qualifizierte Mietpreisspiegel6 schützt, kann in der digitalen Welt nichts anderes gelten. c) Werkformen Portale wie MyOwnMusic und zahlreiche weitere bieten den Nutzern 12 die Möglichkeit, eigene Musik der Öffentlichkeit zur Verfügung zu stellen. Gerade auf solchen Seiten wird die nach § 2 Abs. 2 UrhG erforderliche Schöpfungshöhe der nutzergenerierten Musikstücke in der Regel erreicht sein. „Filmwerke einschließlich der Werke, die ähnlich wie Filmwerke ge- 13 schaffen werden“ (§ 2 Abs. 1 Nr. 6 UrhG) sind urheberrechtsfähig, wenn sie „persönliche geistige Schöpfungen“ darstellen (§ 2 Abs. 2 UrhG). Die erfolgreichste Plattform für die Bereitstellung nutzergenerierter Filme (Video-Sharing-Plattform) ist nach wie vor das zur der Google Inc. gehörende Videoportal YouTube7. Nicht jeder dort eingestellte Urlaubsfilm ist allerdings urheberrechtsfähig; erst bei entsprechender Schöpfungshöhe kommt ein Schutz als Filmwerk in Betracht. Dies wird insbesondere dann anzunehmen sein, wenn Filme, und seien sie auch von technisch minderer Qualität, durch Gestaltungselemente wie ihre Handlung, den Einsatz schauspielerischer Mittel, Schnitt und weitere Bearbeitungen schöpferischen Charakter aufweisen8. 1 2 3 4 5 6 7
Reinemann/Remmertz, ZUM 2012, 216. Reinemann/Remmertz, ZUM 2012, 216. Hierzu Bullinger in Wandtke/Bullinger, UrhR, § 2 Rz. 159. LG München I v. 12.11.2008 – 21 O 3262/08. LG Düsseldorf v. 19.11.2008 – 12 O 409/08. LG Stuttgart v. 12.1.2010 – 17 O 387/09. Weitere Beispiele sind Sevenload, Clipfish und MyVideo; hierzu Bauer, User Generated Content, 68. 8 Bullinger in Wandtke/Bullinger, UrhR, § 2 Rz. 159. M. Hassemer
237
§ 17
Nutzergenerierte Inhalte
14
Fotos sind entweder als Lichtbildwerke (§ 2 Abs. 1 Nr. 5 UrhG) oder, bei fehlender Schöpfungshöhe, als einfache Lichtbilder (§ 72 UrhG) schutzfähig. Damit ist – anders als in anderen Werkkategorien – der Fotografienschutz des Urheber- und Leistungsschutzrechts insgesamt nahezu flächendeckend.
15
Die Urform der Nutzerbeteiligung im Netz ist die sprachliche Mitwirkung: Chats und Foren bilden gewissermaßen die historische Wurzel des Web 2.0. Rein sprachliche Beteiligung im Netz erfordert zudem den geringsten technischen Aufwand und dürfte in der Regel auch am weitesten von schöpferischem Gehalt i.S.d. Urheberrechts entfernt sein: Beiträge in Chats und Foren reichen oftmals nicht über alltägliche Kommunikation hinaus, wie auch die häufigen persönlichen Angaben in sozialen Netzwerken („über mich“) kaum Werkqualität aufweisen dürften1.
16
Damit ist es jedoch nicht getan: Eine Buchkritik oder ein Testbericht zu einem Musikinstrument kann, je nach Gestaltung, ohne weiteres eigenpersönlichen Charakter aufweisen; Diskussionsbeiträge in sachorientierten (politischen, wissenschaftlichen, technischen etc.) Foren können ebenfalls urheberrechtsfähig sein, wenn sie schöpferischen Gehalt aufweisen: Foren, Facebook und sogar Twitter bieten Raum für Gedichte (wobei diese bei Twitter auf 140 Zeichen beschränkt zu sein hätten).
17
Schutzfähig dürften darüber hinaus zahlreiche Nutzerbeiträge aus dem Bereich des sog. Graswurzeljournalismus sein2, in dessen Rahmen Bürger in – oft von traditionellen Presseunternehmen bereitgestellten – „Nutzer-Zeitungen“ eigene Artikel einstellen können, die gelegentlich sogar ihren Weg in analoge Printmedien finden.
18
Weite Verbreitung erfahren inzwischen auch kombinierende Plattformen (Multimedia-Plattformen). Hierunter fallen diejenigen Netzangebote, die es den Nutzern ermöglichen, verschiedene Inhaltsformen einzuspeisen. Facebook ist ein derartiges Angebot, da die Mitglieder hier sowohl Fotos als auch Texte und Videos veröffentlichen können; die Plattform Instagram (Fotos und Videos) gehört ebenfalls in diese Kategorie, aber auch Versteigerungs- und Verkaufsplattformen bieten die Kombination aus verschiedenen Elementen an (wenn in letzterem Fall auch eher für eingestellte Bilder als für die Verkaufstexte Urheberrechtsschutz in Frage kommt).
19
Diese nutzerseitige Werkschöpfung geschieht, wie oben bereits gesagt wurde, häufig ohne urheberrechtliches Bewusstsein: Nutzer begreifen sich oftmals auch dann noch als „reine“ Nutzer, wenn sie es bereits nicht mehr sind und die Schwelle zum Schöpfer überschritten haben. Dennoch wird eine Person, die beispielsweise einen ausführlichen Test zu einem anspruchsvollen Gegenstand verfasst und veröffentlicht hat 1 Bullinger in Wandtke/Bullinger, UrhR, § 2 Rz. 159. 2 So z.B. die Webseite koeln.de; hierzu Bauer, User Generated Content, 34, 48.
238
M. Hassemer
§ 17
I. Nutzergenerierte Inhalte (UGC) in sozialen Netzwerken
(ggf. angereichert durch Fotografien), wenig Vergnügen dabei empfinden, Text und Bilder ohne Herkunftsnennung (§ 13 UrhG) durch Dritte, ggf. zu kommerziellen Zwecken, vervielfältigt zu sehen (§ 16 UrhG). d) Urheberrechtliche Befugnisse Insofern nutzergenerierten Inhalten urheberrechtlicher Werkschutz zu- 20 kommt, entsteht hieraus eine Reihe von Rechtspositionen. Diese unterteilen sich, getreu der urheberrechtlichen Systematik, in zwei Bereiche, nämlich urheberpersönlichkeitsrechtliche Befugnisse und ausschließliche Verwertungsbefugnisse. Für bereits veröffentlichten UGC sind zwei der insgesamt drei urhe- 21 berpersönlichkeitsrechtlichen Befugnisse von Belang. Nutzer, die schutzfähige Inhalte in soziale Netzwerke eingespeist haben, können sich erstens gegen deren Entstellung zur Wehr setzen, sofern diese dazu geeignet ist, ihre „berechtigten geistigen oder persönlichen Interessen am Werk zu gefährden“ (§ 14 UrhG). Dies muss nicht notwendigerweise das Werk als solches betreffen; Entstellung kann auch durch diskreditierende Umkontextierung geschehen1. Insoweit es sich um Nutzervideos (Filmwerke) handelt, ist jedoch zu beachten, dass nur „gröbliche“ Entstellungen vom Urheberpersönlichkeitsrecht umfasst sind (§ 93 Abs. 1 UrhG). Zum Zweiten haben Nutzer das Recht auf Anerkennung ihrer Urheber- 22 schaft (§ 13 UrhG), landläufig als Namensnennungsrecht bekannt. Auch wenn Verstöße hiergegen im Web 2.0 fast schon als sozialüblich angesehen werden müssen (Retweets, Übernahme fremder Lichtbilder), so besteht dennoch der grundsätzliche Anspruch darauf, dass bei jedweder Weiterverbreitung im Netz (und sei es nur durch Verlinkung), der Urheber zumindest erkennbar zu sein hat2. § 15 UrhG ordnet dem Urheber zudem eine umfassende und ausschließ- 23 liche Verwertungsbefugnis hinsichtlich seines Werks zu. Wer also von Nutzern eingestellte Musik, Lichtbilder, Videos, schutzfähige Sprachwerke (insbesondere im oben erwähnten Graswurzeljournalismus) weiterverwerten will, bedarf hierfür eines durch den Rechtsinhaber erteilten Nutzungsrechts (§§ 31 ff. UrhG). UGC-Provider lassen sich derartige Nutzungsrechte zwar zumeist bereits per Teilnahme-AGB einräumen3. Dennoch kann grundsätzlich weder ein traditionelles journalistisches Medium, das nutzergenerierte Online-Artikel an anderer Stelle veröffentlichen möchte, noch ein Radio, das nutzergenerierte Musik aus dem Netz in sein Programm aufnehmen will, dies ohne Rechtseinräumung durch den Urheber tun.
1 Reinemann/Remmertz, ZUM 2012, 216 (221). 2 Ebenso Reinemann/Remmertz, ZUM 2012, 216 (221). 3 Reinemann/Remmertz, ZUM 2012, 216 (220). M. Hassemer
239
§ 17 24
Nutzergenerierte Inhalte
Sollte ein Nutzungsrecht übertragen worden sein, so steht dieses unter dem Vorbehalt der Zweckübertragungslehre (§ 31 Abs. 5 UrhG), derzufolge der Urheber „im Zweifel keine weitergehenden Rechte überträgt, als es der Zweck der Verfügung erfordert“1. Nutzungsrechtseinräumungen sind folglich eng auszulegen. e) Wiki und Urheberrecht
25
Einen durch das herkömmliche Urheberrecht nur schwer fassbaren Sonderfall nehmen die sog. Wiki-Portale ein: Hypertext-Systeme für Webseiten, deren Inhalte durch die Nutzer nicht nur erstellt, sondern darüber hinaus auch frei geändert werden können. (Bekanntestes Beispiel ist Wikipedia; daneben bestehen aber auch zahlreiche weitere Portale wie z.B. die fachspezifische Investopedia etc.) In der Theorie sind zahlreiche der Wiki-Texte zumindest in ihrer ursprünglichen Form urheberrechtsfähig. In der Praxis wird es jedoch desto schwieriger, mögliche Urheber zu identifizieren, je häufiger ein Text geändert wurde, je größer die Anzahl der Personen ist, die diese Änderungen vorgenommen haben, und je weiter sich die jeweilige aktuelle Ausdrucksform vom Ausgangspunkt des Textes entfernt hat. Das Wiki-Prinzip (Schwarmintelligenz) versteht sich auch gerade als Ausdruck kollektiven Wissens und steht auf diese Weise mit dem Urheberrecht, dessen geistesgeschichtlicher Kern das schöpferische Individuum ist, in einem natürlichen Widerspruch.
26
Dies gilt im Übrigen nicht nur für Wiki-typische Sprachwerke, sondern auch für andere kollektiv erstellte und zur Bearbeitung freigegebene Werkformen, wie beispielsweise bestimmte Mashups in der Musik.
27
Ganz allgemein lässt sich am Phänomen des kollektiv, in Schwarmform erstellten Werks ein grundlegendes Problem des Urheberrechts im Netzzeitalter erkennen: Das Subjekt verliert seine Position als Schöpfer im Urheberrecht, ebenso wie auf der anderen Seite der ehemalige Nutzer aus der ihm zugewiesenen Rolle heraustritt2. An beide Positionen treten zunehmend sowohl schaffende als auch nutzende nicht-individuelle Entitäten, die zudem nicht mehr nur auf menschliche Geisteskraft angewiesen sind (sei es im Schöpfungsakt oder bei der Werkrezeption), sondern ihrerseits durch das Netz unterstützt werden: Nahezu die Hälfte der im Juni des Jahres 2013 in der schwedischen Wikipedia-Seite enthaltenen Einträge war Bot-generiert, also in automatisierter Form verfasst3.
1 Statt vieler Schulze in Dreier/Schulze, UrhG, § 31 Rz. 110. 2 Hierzu bereits Rz. 6 oben. 3 So der Zeitungsbericht von Hauck, SZ v. 19.6.2013.
240
M. Hassemer
§ 17
II. UGC-Plattformen und Datenbankschutz
II. UGC-Plattformen und Datenbankschutz 1. Datenbanken und Fremdinhalte Auch die Plattformen, in welche nutzergerierte Daten eingestellt werden 28 können, sind oftmals rechtlich geschützt – hieraus resultiert das eingangs erwähnte Spannungsverhältnis. Davon, dass UGC-Plattformen als Datenbanken im weitesten Sinne schutzfähig sind, wird allgemein ausgegangen1. Dies wird insbesondere nicht dadurch gehindert, dass die eingestellten Elemente nicht auf vom Datenbankbetreiber selbst erzeugten Elementen beruhen2. Der Datenbankschutz kann sich jedoch auf zwei vollständig unterschied- 29 liche Weisen verwirklichen: Einmal als Schutz der Plattform als Datenbankwerk (Schutz der schöpferischen Leistung, § 4 Abs. 2 UrhG), und einmal als Schutz des Herstellers einer einfachen Datenbank (Schutz der wirtschaftlichen Leistung, Sui-generis-Schutz, §§ 87a ff. UrhG)3. Aus diesen beiden unterschiedlichen Schutzrichtungen (Schöpfung vs. Investition) lässt sich bereits ersehen, dass ggf. auch beide Schutzsysteme kumulativ eingreifen können. Der Sui-generis-Schutz einfacher Datenbanken kann darum nicht als Mi- 30 nus im Verhältnis zum Schutz von Datenbankwerken verstanden werden, da Berechtigung und Rechtsfolgen weitgehend unterschiedlichen Richtungen folgen: So gehört der Schutz des Datenbankwerks zum originären Urheberrecht und ist damit unveräußerlich an die natürliche Person (den Schöpfer) geknüpft, während der Schutz nichtschöpferischer Datenbanken dem Investor zukommt, bei dem es sich ohne weiteres um ein nicht-natürliches Rechtssubjekt handeln kann4. Daneben ist auch die Schutzfrist unterschiedlich angelegt: Der Schutz 31 der Datenbankwerke nach § 4 Abs. 2 UrhG unterliegt der allgemeinen urheberrechtlichen Frist der 70er Jahre post mortem auctoris (§ 64 UrhG), während der einfache Datenbankschutz nach § 87d UrhG einer an und für sich 15-jährigen Frist unterworfen ist (die durch regelmäßige Neugestaltung allerdings nahezu beliebig verlängert werden kann). 2. Datenbankwerk (§ 4 Abs. 2 UrhG) Nach § 4 Abs. 2 UrhG liegt ein Datenbankwerk in einem „Sammelwerk, 32 dessen Elemente systematisch oder methodisch angeordnet und einzeln mit Hilfe elektronischer Mittel oder auf andere Weise zugänglich sind“. 1 So z.B. Bauer, User Generated Content, 124, Thum in Wandtke/Bullinger, UrhR, § 87a Rz. 29, Reinemann/Remmertz, ZUM 2012, 216 (220). 2 Thum in Wandtke/Bullinger, UrhR, § 87a Rz. 7. 3 Thum in Wandtke/Bullinger, UrhR, vor §§ 87a ff. Rz. 28. 4 Thum in Wandtke/Bullinger, UrhR, vor §§ 87a ff. Rz. 21; s. Lehmann, § 11 und Auer-Reinsdorff/Grützmacher, § 15. M. Hassemer
241
§ 17
Nutzergenerierte Inhalte
Mit dem – in der Datenbankrichtlinie1 nicht vorgesehenen – Suffix „-werk“ verdeutlicht der deutsche Gesetzgeber, dass es sich bei dem Schutzobjekt „Datenbankwerk“ wiederum um eine eigenpersönliche Schöpfung handeln muss2: Auswahl oder Anordnung der in der Sammlung enthaltenen Elemente müssen also auf einer schöpferischen Leistung beruhen3, die allerdings auch in der Datenbankkonzeption liegen kann. 33
UGC-Portale dürften in vielen Fällen Sammelwerke mit systematischer oder methodischer Ordnung darstellen – auszunehmen wären wohl nur Foren, deren Aufmachung nicht inhaltlicher Natur ist, sondern beispielsweise rein chronologisch konzipiert ist. Dennoch wird der Schutz von UGC-Portalen als Datenbankwerk nach § 4 Abs. 2 UrhG regelmäßig daran scheitern, dass bei sozialen Webseiten nicht die eigenpersönliche Schöpfung des Datenbankerstellers, sondern die Funktionalität der Datenbank im Hinblick auf die einzustellenden Beiträge der Nutzer im Vordergrund steht4. 3. Einfacher Datenbankschutz (Sui-generis-Schutz, §§ 87a ff. UrhG)
34
Der Datenbankschutz sozialer Medien wird sich darum in erster Linie über das Herstellerrecht verwirklichen (Investitionsschutz). Dieses Leistungsschutzrecht schützt Sammlungen von „unabhängigen Elementen, die systematisch oder methodisch angeordnet und einzeln mit Hilfe elektronischer Mittel oder auf andere Weise zugänglich sind und deren Beschaffung, Überprüfung oder Darstellung eine nach Art oder Umfang wesentliche Investition erfordert“ (§ 87a Abs. 1 Satz 1 UrhG).
35
Die oben bereits angesprochene allgemeine Einigkeit darüber, dass Nutzerportale Datenbankschutz genießen, bezieht sich in erster Linie auf diese Schutzform: Aufgrund der investitionsbezogenen Schutzrichtung ist prinzipiell von einem weiten Datenbankbegriff auszugehen, so dass „nahezu jede geordnete Sammlung“5 (für UGC: Musikportale, Wikis6 und sonstige Nutzerplattformen) schutzfähig ist, solange sie nur auf einer wesentlichen Investition beruht7. Dieses wirtschaftliche Investitionserfordernis stellt sich damit als die ernsthafteste Schutzvoraussetzung für UGC-Plattformen heraus und dürfte insbesondere bei ohne größeren Aufwand zu erstellenden und zu pflegenden Nutzerforen (wie z.B. aussensaiter.de) nur selten erfüllt sein.
1 2 3 4 5 6 7
Richtlinie 96/9/EG. Marquardt in Wandtke/Bullinger, UrhR, § 4 Rz. 3. Marquardt in Wandtke/Bullinger, UrhR, § 4 Rz. 8. So im Ergebnis auch Reinemann/Remmertz, ZUM 2012, 216 (220). Thum in Wandtke/Bullinger, UrhR, § 87a Rz. 5. Thum in Wandtke/Bullinger, UrhR, § 87a Rz. 29. Dreier in Dreier/Schulze, UrhG, § 87a Rz. 19.
242
M. Hassemer
§ 17
II. UGC-Plattformen und Datenbankschutz
Gemäß § 87b Abs. 1 UrhG erstreckt sich das Ausschließlichkeitsrecht 36 des Datenbankherstellers grundsätzlich darauf, „(…) die Datenbank insgesamt oder einen nach Art oder Umfang wesentlichen Teil der Datenbank zu vervielfältigen, zu verbreiten und öffentlich wiederzugeben.“ Bei der Beurteilung der Wesentlichkeit von Teilen einer Datenbank ist auf Art, Umfang, Qualität und wirtschaftlichen Wert des entnommenen Teils abzustellen; dies dürfte es nahelegen, dass bei UGC-Plattformen die Übernahme einzelner Inhalte durch Dritte üblicherweise keinen unzulässigen Eingriff in das Datenbankherstellerrecht darstellt1. Falls es sich bei der Vervielfältigung, Verbreitung oder öffentlichen Wie- 37 dergabe nur um unwesentliche Teile der Datenbank handelt, so müssen diese Handlungen, um in das Herstellerrecht einzugreifen, „wiederholt und systematisch“ sein und „einer normalen Auswertung der Datenbank zuwiderlaufen oder die berechtigten Interessen des Datenbankherstellers unzumutbar beeinträchtigen“ (§ 87b Abs. 1 Satz 2 UrhG). Hiermit intendiert das Gesetz, der Gefahr einer Informationsmonopolisierung zugunsten der Datenbankhersteller vorzubeugen2. Derartiges ist bei sozialen Medien, die gerade darauf angelegt sind, Inhalte interaktiv zu verbreiten und hieraus ihren wesentlichen Nutzen ziehen, so gut wie undenkbar3. Festzuhalten bleibt demzufolge, dass das Herstellerrecht sich nicht auf 38 die einzelnen nutzergenerierten Elemente erstreckt – diese sind, soweit schutzfähig, den Nutzern als Schöpfer zugeordnet4. Die Rechtsbereiche von investierenden UGC-Providern auf der einen Seite und schöpferischen Nutzern auf der anderen erscheinen somit relativ deutlich voneinander abgegrenzt. Hieraus begründet sich das oben dargestellte Interesse der UGC-Provider an der Einräumung von Nutzungsrechten. Was die Schutzfrist betrifft, so besteht der einfache Datenbankschutz 39 zwar nur für 15 Jahre (§ 87d UrhG); „wesentlich geänderte“ Datenbanken gelten jedoch als jeweils neue Datenbanken, so dass die regelmäßige Pflege und Aktualisierung von Datenbanken zu einem faktisch unbegrenzten Schutz führen werden5. Dies gilt insbesondere im Bereich sozialer Medien, die aus ihrer Aktualität einen Großteil ihrer Anziehungskraft beziehen können. 4. Datenbankschutz ohne Daten? Bei reinen Nutzerportalen drängt sich die Frage auf, ob der Datenbank- 40 schutz bereits vor Einstellen dieser Inhalte durch die Nutzer eingreift. Ist also ein noch leeres Nutzerportal schon eine schutzfähige Datenbank oder bedarf der UGC-Provider der Dateneinstellung durch Dritte, durch 1 2 3 4 5
Bauer, User Generated Content, 124. Thum in Wandtke/Bullinger, UrhR, vor §§ 87a ff. Rz. 25. So auch Bauer, User Generated Content, 125. Thum in Wandtke/Bullinger, UrhR, § 87a Rz. 3. Thum in Wandtke/Bullinger, UrhR, § 87d Rz. 2. M. Hassemer
243
§ 17
Nutzergenerierte Inhalte
die ihm der Datenbankschutz erst zuwachsen würde? Keine der beiden Alternativen erscheint gänzlich schlüssig, denn im ersten Fall entstünde ein „Datenbankschutz ohne Daten“, im zweiten entstünde er ohne Zutun des Berechtigten. 41
Es dürfte sich anbieten zu differenzieren: Im Hinblick auf einen echten Datenbankwerkschutz (§ 4 Abs. 2 UrhG, im UGC-Bereich ohnehin eine Seltenheit) wird die Schutzfähigkeit einer noch nicht durch Nutzer befüllten Plattform mangels Elementen zu verneinen sein. Bullinger spricht wohl aus diesem Grund auch von einem „sich im Laufe der Zeit“ ergebenden Datenbankwerk1.
42
Für den einfachen Datenbankschutz (§§ 87a ff. UrhG) liegt allerdings das gegenteilige Ergebnis nahe: Immerhin liegt der Schutzgrund hier ja nicht in der Schöpfung, sondern in der Investition. Auch beziehen sich die Rechtsfolgen des Datenbankrechts, wie oben ausgeführt, gerade nicht auf die in die Datenbank eingestellten Elemente. Da ganz generell Datenbankschutz und der Schutz der Inhalte also ein je unabhängiges Schicksal erfahren2, liegt es möglicherweise nahe, auch das Entstehen des Investitionsrechts von den Inhalten abzukoppeln. Der einfache Datenbankschutz bestünde dann bereits, bevor die ersten Nutzer Inhalte generieren: als geschützte Datenbank ohne Daten.
1 Bullinger in Wandtke/Bullinger, UrhR, § 2 Rz. 159. 2 Thum in Wandtke/Bullinger, UrhR, vor §§ 87a ff. Rz. 32.
244
M. Hassemer
§ 18 Urheberrechtsschutz von Datenmodellen, Dateiformaten und Schnittstellen Rz. I. Einleitung . . . . . . . . . . . . . . . . . . . II. Rechtsschutz von Datenmodellen . . . . . . . . . . . . . . . . . . . . 1. Datenmodelle aus technischer Sicht . . . . . . . . . . . . . . . . . . . . . . . . 2. Urheberrechtsschutz von Datenmodellen . . . . . . . . . . . . . . . a) Allgemeine Grundsätze . . . . . . b) Der Schutz von Datenmodellen nach § 4 UrhG. . . . . . . . . . . 3. Sui-generis-Schutz für Datenmodelle . . . . . . . . . . . . . . . .
1 2 2 3 3 4 5
Rz. III. Rechtsschutz von Dateiformaten 1. Dateiformate aus technischer Sicht . . . . . . . . . . . . . . . . . . . . . . . . 2. Urheberrechtsschutz von Dateiformaten . . . . . . . . . . . . . . . . IV. Rechtsschutz von Schnittstellen . 1. Datenbankschnittstellen aus technischer Sicht . . . . . . . . . . . . . . 2. Urheberrechtsschutz von Datenbankschnittstellen . . . . . . . . . . . .
6 6 7 8 8 9
V. Fazit . . . . . . . . . . . . . . . . . . . . . . . . 10
I. Einleitung Der urheberrechtliche Schutz von Datenbanken ist nach der Konzeption 1 der Richtlinie 96/9/EG über den rechtlichen Schutz von Datenbanken immer dann problemlos durchzusetzen, wenn die gesamte Datenbank übernommen wird, wenn also sowohl die zur Verwaltung und Entnahme der Daten verwendete Software als auch die Daten selbst vollumfänglich kopiert werden. Wie gestaltet sich aber der Rechtsschutz, wenn nur einzelne Elemente der Datenbank entnommen werden? Für die Datenbanksoftware greift dann (immer noch) der Rechtsschutz für Computerprogramme ein1. Bei den Daten selbst gilt es zu differenzieren: Sie können entweder als solches Urheberrechtsschutz genießen oder – in isolierter Form – aus dem Schutzbereich des Urheberrechts herausfallen2. Für die Datenbanksoftware und Datenbasis ist die gesetzliche Konzeption also klar. Wie sieht es aber mit dem Rechtsschutz der weiteren Elemente der Datenbank aus, insbesondere mit Datenmodellen, Dateiformaten und Schnittstellen? Jochen Schneider weist in seinem opus magnum zutreffend darauf hin, dass die Datenbank-Richtlinie den Rechtsschutz von Datenbanken verbessert hat, indem sie einen über die einzelnen Elemente der Datenbank hinausgehenden Schutz für die Datenbank insgesamt geschaffen hat3. Aber greift dieser Schutz auch, wenn die genannten Datenbankelemente isoliert entnommen werden? Oder kann auch insoweit auf den Computerprogrammschutz oder das allgemeine Urheberrecht zurückgegriffen werden? 1 Der Rechtsschutz der Datenbanksoftware richtet sich ohnehin nach den für Computerprogramme geltenden Vorschriften, s. Art. 1 Abs. 3 Datenbank-Richtlinie. 2 S. Art. 3 Abs. 2 Datenbank-Richtlinie. 3 Schneider, Handbuch des EDV-Rechts, C, Rz. 567 f. Metzger
245
§ 18
Datenmodelle, Dateiformate und Schnittstellen
II. Rechtsschutz von Datenmodellen 1. Datenmodelle aus technischer Sicht 2
Mit dem Begriff Datenmodell wird gemeinhin ein Modell zur Beschreibung eines Ausschnitts der realen Welt bezeichnet, welches in einer Datenbank umgesetzt werden soll1. Bei der Datenmodellierung werden verschiedene Phasen unterschieden. Insoweit kann auf den Beitrag von Hoppen in diesem Band verwiesen werden, der den Prozess der Datenmodellierung in mehreren Schritten vom Abstrakten zum Konkreten beschreibt und hierbei konzeptionelle, logische und physische Datenmodelle unterscheidet2. Bei der konzeptionellen Datenmodellierung werden die Gegenstände der realen Welt, die in der Datenbank abgebildet werden sollen, ihre Attribute und ihre Beziehungen zueinander abgebildet. Dies erfolgt typischerweise in grafischer Form, bei der die Gegenstände („Entitäten“) und ihre Beziehungen („Relationen“) beispielsweise durch Boxen und Verbindungslinien veranschaulicht werden können. Das so entstehende Schema wird auch als „Entity-Relationship-Modell“ bezeichnet. Aufbauend auf diesem Schema wird das logische Datenmodell erstellt, welches die Daten für die Erfassung durch ein Datenbankmanagementsystem vorbereitet, in dem die für die Speicherung verwendeten Objektattribute („Datenfelder“) ausdifferenziert und benannt, Objektrelationen in Tabellenform abgebildet und mehrfach genannte Informationen vereinfacht werden. Dieser Schritt ist bereits weitgehend durch die technischen Voraussetzungen des Datenmodells und des Datenbankmanagementsystems geprägt. Als letzter Schritt erfolgt schließlich die Erstellung des physischen Datenmodells, bei dem die Daten in die Syntax des Datenbankmanagementsystems gebracht werden. Dies erfordert eine Übersetzung oder Ergänzung der Datensätze in die vom Datenbankmanagementsystem lesbare Form. Auch wird der Datensatz nunmehr um Indexierungen zur leichteren Auffindbarkeit der Daten ergänzt. Dieser dritte Schritt wird weitgehend automatisiert von dem Datenbankmanagementsystem vollzogen, kann aber auch in Form von herstellerunabhängigen Skripten auf Basis der Datenbanksprache SQL erfolgen und dadurch von verschiedenen Datenbankmanagementsystemen verstanden werden.
1 S. Gerhardt in Wiebe/Leupold (Hrsg.), Recht der elektronischen Datenbanken, Teil I, Kap. A, Rz. 61 sowie den Eintrag „Datenmodell“ bei Wikipedia. 2 S. Hoppen, § 2 Rz. 8 ff. Vgl. auch die ältere Darstellung von Gerhardt in Wiebe/ Leupold (Hrsg.), Recht der elektronischen Datenbanken, Teil I, Kap. A, Rz. 85 ff.; Grützmacher, Urheber-, Leistungs- und Sui-generis-Schutz von Datenbanken, 30 ff.
246
Metzger
§ 18
II. Rechtsschutz von Datenmodellen
2. Urheberrechtsschutz von Datenmodellen a) Allgemeine Grundsätze Gemäß § 4 UrhG genießen Datenbankwerke Schutz als Sammelwerke, 3 wenn sie aufgrund der Auswahl oder Anordnung der Elemente eine persönliche geistige Schöpfung darstellen. Dieser Schutz gilt unbeschadet eines an den einzelnen Elementen gegebenenfalls bestehenden Urheberrechts oder verwandten Schutzrechts. Abzugrenzen ist auch das zur Schaffung des Datenbankwerkes oder zur Ermöglichung des Zugangs zu dessen Elementen verwendete Computerprogramm. Der Urheberrechtsschutz von Datenbanken ist gem. Art. 3–6 der Datenbank-Richtlinie harmonisiert. Dementsprechend sind die Richtlinie und die einschlägige EuGH-Judikatur bei der Auslegung des deutschen Rechts zu beachten. Ob die Auswahl der Daten das Kriterium der persönlich geistigen Schöpfung – oder wie es in der Richtlinie heißt – der „eigenen“ geistigen Schöpfung erfüllt, kann nur von Fall zu Fall beurteilt werden und ist letztlich unabhängig von den hier interessierenden Datenmodellen zu entscheiden. Für diese kommt – unabhängig von der Auswahl der Daten – ein Schutz aufgrund der Anordnung der Daten in Betracht, sofern es sich hierbei um eine eigene geistige Schöpfung des Urhebers handelt. Hierfür kommt es gem. Art. 3 Abs. 2 und Erwägungsgrund 16 der Richtlinie auf die Originalität der Datenbank an, während andere Kriterien, insbesondere die Qualität oder der ästhetische Wert, außer Betracht bleiben. Der EuGH hat die Schutzvoraussetzungen von Datenbankwerken in der Entscheidung „Football Dataco/Yahoo“1 kürzlich dahingehend präzisiert, dass das Kriterium der Originalität erfüllt ist, wenn der Urheber bei der Auswahl oder Anordnung der in einer Datenbank enthaltenen Daten seine schöpferischen Fähigkeiten in eigenständiger Weise zum Ausdruck bringt, indem er freie und kreative Entscheidungen trifft und ihr damit seine „persönliche Note“ verleiht. Dagegen ist das Kriterium nicht erfüllt, „wenn die Erstellung der Datenbank durch technische Erwägungen, Regeln oder Zwänge bestimmt wird, die für künstlerische Freiheit keinen Raum lassen“2. b) Der Schutz von Datenmodellen nach § 4 UrhG Wendet man die genannten Kriterien auf die oben genannten Daten- 4 modelle an, so ist ein entsprechender Freiraum für kreative Entscheidungen vor allem bei der Erstellung des konzeptionellen Datenmodells erkennbar. Damit ist wohlgemerkt nicht eine abstrakte Handlungsanweisung für die Erstellung von Datenbanken gemeint3, sondern – wie 1 EuGH v. 1.3.2012 – Rs. C-604/10 – Football Dataco/Yahoo, Rz. 38 f. 2 EuGH v. 1.3.2012 – Rs. C-604/10, Rz. 39. 3 Es geht also nicht um den Rechtsschutz abstrakter Ideen, Methoden oder Formate; tendenziell kritisch insofern Grützmacher, Urheber-, Leistungs- und Sui-generis-Schutz von Datenbanken, 212 ff., der aber grundsätzlich auch von einer Schutzfähigkeit des konzeptionellen Datenmodells im Einzelfall ausgeht. Metzger
247
§ 18
Datenmodelle, Dateiformate und Schnittstellen
oben ausgeführt – die konkrete, auf einen bestimmten Datensatz bezogene Konzeption der Datenbank. Auf der Stufe der konzeptionellen Datenmodellierung erfolgt nicht nur die Auswahlentscheidung, welche Daten aufgenommen werden sollen, sondern auch die Entwicklung der Attribute, der Zuordnungskriterien und der Verknüpfungen zwischen den verschiedenen Datensätzen. Natürlich ergeben sich die für die Anordnung geeigneten Eigenschaften der Datensätze in manchen Fällen schon von selbst; auch können sich Zuordnungen und Verknüpfungen wie selbstverständlich aus den Datensätzen ergeben. Kann der Datenbankurheber aber die Datensätze mit verschiedenen Attributen versehen und auf unterschiedliche Weise verknüpfen, so besteht Freiraum für kreative Entscheidungen im Sinne der EuGH-Rechtsprechung. Hierbei ist auch zu beachten, dass der Gerichtshof ein geringes Maß an Originalität für die Zuerkennung von Urheberrechtsschutz ausreichen lässt1. Bei konsequenter Anwendung der EuGH-Rechtsprechung dürfte der Urheberrechtsschutz konzeptioneller Datenmodelle deswegen oftmals zu bejahen sein. Hierfür spricht im Übrigen auch, dass das konzeptionelle Datenmodell letztlich den einzig geeigneten Schutzgegenstand für einen eigenständigen urheberrechtlichen Schutz der Datenbank bietet, der bei der Anordnung der Daten ansetzt2. Der Rechtsschutz der Daten selbst sowie des Datenbankmanagementsystems ist gem. Art. 3 Abs. 2, Erwg. 23 der Richtlinie vom Rechtsschutz der Datenbank unabhängig und scheidet somit als Anknüpfungspunkt aus. Auch die logische und die physische Datenmodellierung dürften zumeist als Grundlage für die Zuerkennung von Urheberrechtsschutz ausscheiden, da die Modellierung hier von technischen Regeln und Zwängen bestimmt ist, und nur wenig oder gar keinen Freiraum für kreative Entscheidungen lässt3. Allerdings sollte hier nicht schematisch vorgegangen, sondern im Einzelfall betrachtet werden, ob die Festlegung der Merkmale der einzelnen Datenfelder und Datenformate4 rein technisch bedingt ist, oder doch eine kreative Leistung beinhaltet. 3. Sui-generis-Schutz für Datenmodelle 5
Steht nicht echter Urheberrechtsschutz, sondern der Schutz über das Datenbankherstellerrecht gem. §§ 87a ff. UrhG bzw. Art. 7 bis 11 der Richt1 Hierzu ist die Lektüre der bisherigen Rechtsprechung des EuGH zum Werkbegriff bei anderen Werkarten instruktiv, s. EuGH v. 16.7.2009 – Rs. C-5/08 – Infopaq, Rz. 33–37; EuGH v. 22.12.2010 – Rs. C-393/09 – Bezpecnostní softwareová asociace/Ministerstvo kultury; EuGH v. 4.11.2011 – Rs. C-403/08 u.a. – Football Association Premier League/Murphy; EuGH v. 1.12.2011 – Rs. C-145/10 – Painer/Standard, Rz. 85–99. S. hierzu auch Leistner, ZGE 2013, 4 ff.; Metzger, GRUR 2012, 118 (120 ff.). 2 Ebenso Leistner, Der Rechtsschutz von Datenbanken im deutschen und europäischen Recht, 77 ff. 3 Ebenso Grützmacher, Urheber-, Leistungs- und Sui-generis-Schutz von Datenbanken, 211 f. 4 Zum Begriff des Datenformats vgl. den Beitrag von Hoppen, § 2 Rz. 29 f.
248
Metzger
§ 18
III. Rechtsschutz von Dateiformaten
linie in Frage, so sind die Kriterien bekanntlich andere. Hier ist nicht die persönliche oder eigene geistige Schöpfung eines Urhebers als Schutzvoraussetzung zu prüfen, sondern eine für die Beschaffung, Überprüfung oder Darstellung der Daten erforderliche wesentliche Investition. Nach der EuGH-Entscheidung „British Horseracing Board/William Hill“1 sind bei der Ermittlung der für den Schutz erforderlichen „wesentlichen Investition“ all diejenigen Mittel einzubeziehen, „die der Ermittlung von vorhandenen Elementen und deren Zusammenstellung in dieser Datenbank gewidmet werden“, nicht aber „die Mittel, die eingesetzt werden, um die Elemente zu erzeugen, aus denen der Inhalt einer Datenbank besteht.“2 In der Entscheidung „Fixtures Marketing/Svenska Spel“ vom gleichen Tag heißt es weiter, dass sich „der Begriff der mit der Darstellung des Inhalts der Datenbank verbundenen Investition“ auf die Mittel beziehe, „mit denen dieser Datenbank ihre Funktion der Informationsverarbeitung verliehen werden soll, d.h. die Mittel, die der systematischen oder methodischen Anordnung der in der Datenbank enthaltenen Elemente und der Organisation der individuellen Zugänglichkeit dieser Elemente gewidmet werden.“3 Selbst bei Anlegung eines engen Maßstabs ist es wohl kaum zu bestreiten, dass alle mit der Erstellung des Datenmodells verbundenen Kosten der strukturierten Darstellung der Daten in der Datenbank dienen und damit in den Kernbereich der zu berücksichtigenden Investitionen gehören4. Übersteigen diese und die weiteren berücksichtigungsfähigen Aufwendungen die Wesentlichkeitsschwelle, so ist Schutz gem. § 87a UrhG zu gewähren.
III. Rechtsschutz von Dateiformaten 1. Dateiformate aus technischer Sicht Als Dateiformat bezeichnet man die Syntax und Semantik von Daten in- 6 nerhalb einer Datei5. Die Kenntnis des Dateiformats ist erforderlich, um die in einer Datei gespeicherten Informationen lesen zu können. Das Betriebssystem kann anhand des Dateiformats das Anwendungsprogramm auswählen, welches die in der Datei gespeicherten Informationen verarbeiten und darstellen kann. Dateiformate können als Industriestandards öffentlich bekannt und frei nutzbar sein, sie können aber auch von 1 EuGH v. 9.11.2004 – Rs. C-203/02 – British Horseracing Board u.a./William Hill. S. auch die Parallelverfahren C-444/02, C-338/02, C-46/02. 2 Kritisch zu der vorgenommenen Abgrenzung Aplin, Intellectual Property Quarterly 2005, 204 (211 f.); Gaster, CRi 2005, 129 (134 f.). 3 EuGH v. 9.11.2004 – Rs. C-338/02 – Fixtures Marketing/Svenska Spel. 4 S. hierzu auch BGH v. 25.3.2010 – I ZR 47/08, GRUR 2010, 1004 – Autobahnmaut; BGH v. 22.6.2011 – I ZR 159/10, GRUR 2011, 1018 – Automobil-Onlinebörse, Rz. 31; Thum in Wandtke/Bullinger, UrhR, § 87a Rz. 38; Dreier in Dreier/ Schulze, UrhG, § 87a Rz. 12 ff. 5 S. zum Folgenden nur den Begriff „Dateiformat“ in der Wikipedia, lhttp://de.wi kipedia.org/wiki/DateiformatL. Hiervon abzugrenzen ist der Begriff des „Datenformats“, s. hierzu den Beitrag von Hoppen, § 2 Rz. 29 f. Metzger
249
§ 18
Datenmodelle, Dateiformate und Schnittstellen
einzelnen Herstellern unter Verschluss gehalten werden, um Nutzer an die eigenen Programme zu binden. XML („Extensible Markup Language“), welches für den plattform- und implementationsunabhängigen Austausch von Daten eingesetzt wird, ist selbst kein vollständiges Dateiformat, sondern wird von Dateiformaten einbezogen1. Als nicht-öffentliche Dateiformate gelten bspw. die von Microsoft-Access-Datenbanken genutzten Dateiformate ACCDB (Access 2007 und Access 2010) und MDB (Access 2003 und ältere Versionen), dagegen sind das ebenfalls von Microsoft entwickelte Open XML Dateiformat2 und das SQLite Dateiformat3 frei zugänglich. 2. Urheberrechtsschutz von Dateiformaten 7
Die Speicherung von Daten in einem bestimmten Dateiformat ist ebenso wie der Export oder Import von Daten Aufgabe des Datenbankmanagementsystems. Es liegt deswegen nahe, das Dateiformat als Teil des Datenbankmanagementsystems und damit als Computerprogramm zu schützen. Ansatzpunkt könnte dabei § 69a Abs. 2 UrhG sein, wonach der Urheberrechtsschutz für Computerprogramme für „alle Ausdrucksformen eines Computerprogramms“ gilt, wobei „Ideen und Grundsätze, die einem Element eines Computerprogramms zugrunde liegen“, nicht geschützt sind. Die Vorschrift geht auf Art. 1 Abs. 2 der Computerprogramm-Richtlinie 2009/24 (vormals 91/250/EG) zurück, so dass auch insoweit die Rechtsprechung des EuGH zu beachten ist. Dieser hat sich gerade jüngst in der Entscheidung „SAS Institute/World Programming“ mit dem Rechtsschutz von Dateiformaten auseinandergesetzt und einen solchen Schutz explizit abgelehnt4. Würde man zulassen, so der Gerichtshof, dass die Funktionalität eines Computerprogramms urheberrechtlich geschützt wird, so würde dies zum Schaden des technischen Fortschritts und der industriellen Entwicklung die Möglichkeit eröffnen, Ideen zu monopolisieren. Bei der Programmiersprache und dem Dateiformat handele es sich um „Elemente dieses Programms, mittels derer die Nutzer bestimmte Funktionen des Programms nutzen“5. Der Gerichtshof verweist das Dateiformat damit auf die Ebene der nicht urheberrechtsschutzfähigen Ideen und Grundsätze. Hierfür spricht in der Tat, dass es sich bei einem Dateiformat letztlich um Anweisungen für die Erstellung kompatibler Dateien handelt, die zwangsläufig in jeder zu bearbeitenden Datei enthalten sein müssen6. Wenn es in der Entscheidung 1 Zur Schutzfähigkeit von XML-Dateien s. LG Frankfurt v. 8.11.2012 – 2-03 O 269/12, CR 2013, 286 (nicht rechtskräftig): In der Entscheidung ging es um eine XML-Datei als solche, nicht um ein Dateiformat. 2 S. lde.wikipedia.org/wiki/Office_Open_XMLL. 3 S. lwww.sqlite.org/fileformat.htmlL. 4 EuGH v. 2.5.2012 – Rs. C-406/10 – SAS Institute/World Programming. 5 EuGH v. 2.5.2012 – Rs. C-406/10, Rz. 42. 6 Vgl. hierzu BGH v. 26.6.2003 – I ZR 176/01, GRUR 2003, 876 (878) – Sendeformat: „Ein Werk i.S.d. § 2 UrhG und damit Gegenstand des Urheberrechtsschutzes kann aber nur sein das Ergebnis der schöpferischen Formung eines bestimm-
250
Metzger
§ 18
IV. Rechtsschutz von Schnittstellen
weiter heißt, dies lasse die Möglichkeit eines allgemeinen urheberrechtlichen Schutzes nach der Richtlinie 2001/29 zum Urheberrecht in der Informationsgesellschaft unberührt1, so dürfte sich dies wohl eher auf Programmiersprachen beziehen2. Es wird in der Literatur zudem zutreffend darauf hingewiesen, dass sich der Gerichtshof bereits bei der parallelen Fragestellung zu grafischen Benutzeroberflächen sehr restriktiv geäußert und alle Elemente von der Schutzfähigkeit ausgenommen hat, die durch eine technische Funktion gekennzeichnet sind3. Wendet man diesen Test auf das Dateiformat an, so wird man hier kaum zur Schutzfähigkeit gelangen können, weil das Dateiformat letztlich gänzlich von technischen Überlegungen geprägt ist4.
IV. Rechtsschutz von Schnittstellen 1. Datenbankschnittstellen aus technischer Sicht Datenbanken kommunizieren mit der Außenwelt über Datenbank- 8 schnittstellen5. Hierbei handelt es sich um diejenigen Teile des Datenbankmanagementsystems, die dafür sorgen, dass externe Anwendungsprogramme Daten aus der Datenbank auslesen oder verändern können. Die Schnittstelle übersetzt hierfür die Anfragen des jeweiligen Anwendungsprogramms in die Sprache der Zieldatenbank. Für relationale Datenbanken6 ist SQL als Basissprache von besonderer Bedeutung, weil die meisten Datenbanken auf SQL-Dialekten aufbauen und dementsprechend häufig SQL als Abfragesprache verwendet werden kann. Weit verbreitet ist die Standard-Datenbankschnittstelle ODBC („Open Database Connectivity“), die SQL als Datenbanksprache verwendet. ODBC wurde von Microsoft entwickelt, hat sich aber mittlerweile als Standard durchgesetzt und wird von vielen Datenbankherstellern verwendet7. Es gibt jedoch auch sprachunabhängige Schnittstellen, etwa OpenDBX8.
1 2 3 4 5 6 7 8
ten Stoffes. Daran fehlt es bei einer vom Inhalt losgelösten bloßen Anleitung zur Formgestaltung gleichartiger anderer Stoffe.“ EuGH v. 2.5.2012 – Rs. C-406/10 – SAS Institute/World Programming. S. hierzu auch Grützmacher in Wandtke/Bullinger, UrhR, § 69a Rz. 30 zur Diskussion vor der EuGH-Entscheidung SAS Institute/World Programming. S. hierzu EuGH v. 22.12.2010 – Rs. C-393/09 – Bezpecnostní softwareová asociace/Ministerstvo kultury, Rz. 48 f. Treffend Marly, Der Schutzgegenstand des urheberrechtlichen Softwareschutzes: Zugleich Besprechung zu EuGH v. 2.5.2012 – Rs. C-406/10 – SAS Institute, GRUR 2012, 773 (779). S. hierzu Gerhardt in Wiebe/Leupold (Hrsg.), Recht der elektronischen Datenbanken, Teil I, Kap. A, Rz. 61 sowie den Eintrag „Datenbankschnittstelle“ bei Wikipedia. S. hierzu Gerhardt in Wiebe/Leupold (Hrsg.), Recht der elektronischen Datenbanken, Teil I, Kap. A, Rz. 73 ff. S. den englischsprachigen Eintrag „ODBC“ bei Wikipedia. S. den Eintrag „OpenDBX“ bei Wikipedia. Metzger
251
§ 18
Datenmodelle, Dateiformate und Schnittstellen
2. Urheberrechtsschutz von Datenbankschnittstellen 9
Datenbankschnittstellen sind – so wie das gesamte Datenbankmanagementsystem1 – nicht als Datenbankwerk geschützt, können aber nach den Vorschriften über Computerprogramme gem. §§ 69a ff. UrhG und der Computerprogramm-Richtlinie geschützt sein, sofern sie die Voraussetzungen hierfür erfüllen2. Bei der Schutzfähigkeit von Schnittstellen als Computerprogramm ist zu differenzieren zwischen der Programmierung der Schnittstelle und den Grundsätzen, die der Schnittstelle zugrunde liegen. In § 69a Abs. 2 Satz 2 UrhG – und quasi wortlautgleich in Art. 1 Abs. 2 der Computerprogramm-Richtlinie – heißt es: „Ideen und Grundsätze, die einem Element eines Computerprogramms zugrunde liegen, einschließlich der den Schnittstellen zugrunde liegenden Ideen und Grundsätze, sind nicht geschützt.“ Dies bedeutet im Umkehrschluss, dass die konkrete Umsetzung der Idee in Form des Quelltexts und des Binärcodes durchaus geschützt sein kann, sofern es sich um eine persönliche (oder in der Diktion der Richtlinie „eigene“) geistige Schöpfung handelt. Nach der Rechtsprechung des EuGH3 ist dieses Kriterium erfüllt, wenn der Urheber seine schöpferischen Fähigkeiten in eigenständiger Weise zum Ausdruck bringt, indem er freie und kreative Entscheidungen trifft. Dagegen ist das Kriterium nicht erfüllt, wenn die Erstellung des Quelltexts durch technische Erwägungen, Regeln oder Zwänge bestimmt wird, die für freie Entscheidungen des Urhebers keinen Raum lassen. In der Literatur wird zu Recht darauf hingewiesen, dass gerade bei Schnittstellen der Gestaltungsspielraum durch technische Erfordernisse, vereinheitlichte Spezifikationen und Standardisierungen eingeengt ist4. Urheberrechtlicher Schutz ist dadurch zwar nicht kategorisch ausgeschlossen, bedarf im Einzelfall aber einer sorgfältigen Begründung und ist wohl eher auf Ausnahmefälle beschränkt5.
1 S. Erwägungsgrund 23 der Datenbank-Richtlinie. 2 S. hierzu Leistner, Der Rechtsschutz von Datenbanken im deutschen und europäischen Recht, 58 f. sowie Leistner in Wiebe/Leupold (Hrsg.), Recht der elektronischen Datenbanken, Teil II, Kap. A, Rz. 22. 3 EuGH v. 1.3.2012 – Rs. C-604/10, Football Dataco/Yahoo, Rz. 38 f.; EuGH v. 16.7.2009 – Rs. C-5/08, Infopaq, Rz. 33–37; EuGH v. 22.12.2010 – Rs. C-393/09, Bezpecnostní softwareová asociace/Ministerstvo kultury; EuGH v. 4.11.2011 – Rs. C-403/08 u.a., Football Association Premier League/Murphy; EuGH v. 1.12.2011 – Rs. C-145/10, Painer/Standard, Rz. 85–99. S. hierzu auch Leistner, ZGE 2013, 4 ff.; Metzger, GRUR 2012, 118 (120 ff.). Der EuGH geht bisher für alle Werkarten von einem in den Grundzügen einheitlichen Werkbegriff aus, d.h. die für Sprachwerke, grafische Werke, Fotografien und Datenbankwerke entwickelten Kriterien sind auch für Computerprogramme maßgeblich. 4 So jüngst im Lichte der EuGH-Rechtsprechung Marly, GRUR 2011, 204 (208). 5 So Marly, GRUR 2011, 204 (208); ebenso Loewenheim in Schricker/Loewenheim, UrhR, § 69a Rz. 13. Zurückhaltend auch Grützmacher in Wandtke/Bullinger, UrhR, § 69a Rz. 31.
252
Metzger
§ 18
V. Fazit
V. Fazit Das konzeptionelle Datenmodell genießt Schutz als Datenbankwerk, 10 wenn es sich um eine eigene geistige Schöpfung des Urhebers handelt. Dies ist immer dann der Fall, wenn der Datenbankurheber bei der Anordnung der Daten Spielraum für kreative Entscheidungen hat, und nicht die gesamte Gestaltung schon technisch oder sachlich durch die Datenbasis vorgegeben ist. Das Datenmodell kann zudem durch ein Sui-generis-Datenbankrecht geschützt sein. Dagegen kommt für Dateiformate und Datenbankschnittstellen kein Schutz über die Datenbankvorschriften in Betracht. Denkbar ist allenfalls ein Schutz als Computerprogramm, sofern es im Einzelfall kreative Spielräume jenseits der technischen Erfordernisse, Spezifikationen und Standardisierungen gegeben hat. Dies dürfte aber nur in Ausnahmefällen zu bejahen sein.
Metzger
253
§ 19 DRM-Schutz von Datenbanken
I. Ausgangslage . . . . . . . . . . . . . . . . . 1. Von analogem zu digitalem Rights Management . . . . . . . . . . . 2. Rechtlicher Schutz von DRM . . . 3. DRM und Datenbanken . . . . . . . . II. Unmittelbarer Schutz von Datenbanken durch DRM . . . . . . . . . 1. Schutz vor unerlaubter Vervielfältigung der Datenbank . . . . . . . . 2. Schutz vor unerlaubtem Zugang zu der Datenbank . . . . . . . . . . . . . a) Geographische Zugangskontrollen . . . . . . . . . . . . . . . . . b) Personenbezogene Zugangskontrollen . . . . . . . . . . . . . . . . . 3. Schutz vor unerlaubter Nutzung der Datenbank . . . . . . . . . . . . . . . . 4. Die Bedeutung der Ausschließlichkeitsrechte für den Umgehungstatbestand . . . . . . . . . . . . . .
Rz.
Rz.
1
a) Grundsatz der Schutzrechtsrelevanz . . . . . . . . . . . . . . . . . . . 26 b) Anwendung bei Zugangskontrollen? . . . . . . . . . . . . . . . . 28 5. Vermischung von Datenbanken und Computerprogrammen . . . . . 30
2 4 7 9 11 13 16 18 20
III. Mittelbarer Schutz von Datenbanken durch DRM-Schutz abgerufener Daten . . . . . . . . . . . . . 34 1. Schutz gegen unerlaubtes Speichern abgerufener Daten. . . . . . . . 37 2. Schutz gegen unerlaubte Nutzung und Vervielfältigung abgerufener Daten . . . . . . . . . . . . . 42 IV. Datenschutzrechtliche Aspekte von DRM . . . . . . . . . . . . . . . . . . . . 46 V. Fazit . . . . . . . . . . . . . . . . . . . . . . . . 54
24
I. Ausgangslage 1
Der Begriff des Digital Rights Management (DRM) ist ein wenig beschönigend. Den Nutzern räumt DRM weder zusätzliche Rechte ein, noch ermöglicht es ihnen die Verwaltung ihrer bestehenden Rechte. Im Mittelpunkt stehen vielmehr die Rechte der Anbieter, die aber weniger verwaltet als vielmehr gegenüber den Nutzern durchgesetzt werden sollen. Dies geschieht durch die technische Beschränkung der Nutzung elektronischer Systeme und Inhalte. 1. Von analogem zu digitalem Rights Management
2
Ein solches Rights Management gab es schon vor der massenhaften Nutzung digitaler Medien. So entwickelte das Unternehmen Macrovision in den 80er Jahren ein Verfahren, mit dem Videokassetten so präpariert werden konnten, dass es beim Überspielen zu Bildstörungen auf der Kopie kam, während Fernsehgeräte die Originalkassetten störungsfrei abspielen konnten. Später verschlüsselten Premiere und Canal+ das analoge Fernsehbild ihrer Bezahlsender durch das gezielte Vertauschen von Bildzeilen. Ohne passenden Decoder sahen die Zuschauer nur einen eigentümlichen Bildsalat.
3
Auch DRM kann dazu eingesetzt werden, das unberechtigte Kopieren physischer Medien zu verhindern und die Nutzung eines Dienstes auf ei254
Meyer
§ 19
I. Ausgangslage
nen bestimmten Personenkreis zu beschränken. Darüber hinaus ermöglicht die digitale Technik es, weitere Inhalte zu schützen, etwa Bücher und Spiele, sowie die Befugnisse der Nutzer deutlich feinkörniger zu regeln. 2. Rechtlicher Schutz von DRM DRM hat jedoch den Nachteil, dass der Anbieter den berechtigten Nut- 4 zern die Mittel zur Verfügung stellen muss, die sie für die Nutzung der Inhalte und damit für die erlaubte Überwindung des Schutzes benötigen. Im Zeitalter des Personalcomputers verfügen damit zahlreiche Nutzer über die technischen und fachlichen Voraussetzungen, den Schutz vollends auszuschalten. Ist es einmal so weit gekommen, dann können beliebig viele Kopien von einwandfreier Qualität hergestellt und einer beliebigen Anzahl unbefugter Personen die Nutzung ermöglicht werden. Lawrence Lessig erkannte früh: „These protections are built into the systems through code. But code can also be used to circumvent such protections.“1 Die so drohende, weitgehende Wirkungslosigkeit von DRM schaffte das 5 Bedürfnis nach einem besonderen rechtlichen Schutz gegen unerlaubte Umgehung. Den Grundstein hierfür legte der im Jahr 1996 verabschiedete WIPO-Urheberrechtsvertrag (WCT). Er verpflichtet die Unterzeichnerstaaten zum Schutz technischer Maßnahmen, welche der Verhinderung nicht genehmigter Nutzungshandlungen dienen. Die USA erfüllten diese Verpflichtung im Jahr 1998 durch den Erlass des Digital Millenium Copyright Act (DMCA). Die EU kam ihr in der InfoSoc-Richtlinie 2001/29/EG nach, welche der deutsche Gesetzgeber im Jahr 2003 in den §§ 95a ff. UrhG umsetzte. Inhalte werden seitdem in dreierlei Hinsicht geschützt: unmittelbar 6 rechtlich durch das Urheber- und Leistungsschutzrecht, unmittelbar faktisch durch technische Schutzmaßnahmen sowie mittelbar rechtlich durch das Verbot der Umgehung solcher Maßnahmen, eine Art „Metaschutz“2. Wer in solche technischen Maßnahmen eingreift, kann nicht nur zivilrechtlich, sondern auch wegen einer Straftat oder Ordnungswidrigkeit belangt werden (§§ 108b, 111a UrhG). 3. DRM und Datenbanken Datenbanken standen in der öffentlichen Diskussion um DRM lange 7 Zeit im Hintergrund. Zum einen mag das daran liegen, dass sie aus Verbrauchersicht nur selten als greifbares Wirtschaftsgut in Erscheinung treten. Zum anderen finden bei ihnen Sicherungssysteme Anwendung, die man nicht in erster Linie mit dem Begriff „DRM“ in Verbindung bringt. 1 Lessig, Code: And Other Laws of Cyberspace, 1999, S. 49. 2 Peukert in Loewenheim, Handbuch des Urheberrechts, § 33 Rz. 7. Meyer
255
§ 19
DRM-Schutz von Datenbanken
Wie sich aber zeigen wird, kommen gerade auch die Anbieter von Datenbanken in den Genuss des Schutzes der §§ 95a ff. UrhG. Dieser Umstand wird in Zukunft wesentlich an Bedeutung gewinnen, denn die schnellen Kommunikationsnetze verlagern immer mehr Nutzungshandlungen weg von den Endgeräten der Nutzer hin zu zentralen Datenspeichern. 8
Datenbanken können selbst unmittelbar durch technische Maßnahmen geschützt sein (II.). Mittelbar kommt es ihnen zugute, wenn die aus ihnen abgerufenen Daten ebenfalls so geschützt werden (III.). Soweit technische Maßnahmen personenbezogene Daten der Datenbanknutzer verarbeiten, sind datenschutzrechtliche Aspekte zu beachten (IV.). Der Beitrag schließt mit einem kurzen Fazit (V.).
II. Unmittelbarer Schutz von Datenbanken durch DRM 9
An Datenbanken können sowohl Leistungsschutzrechte (§§ 87a, 87b Abs. 1 UrhG) als auch Urheberrechte (§ 4 Abs. 2 Satz 1 UrhG) bestehen. Soweit sie danach „geschützte Werke“ oder „geschützte Schutzgegenstände“ sind, genießen die zu ihrer Sicherung eingesetzten technischen Maßnahmen nach § 95a Abs. 1 UrhG rechtlichen Schutz.
10
Solche Maßnahmen können auch bei Datenbanken der Verhinderung unbefugter Vervielfältigung dienen (1.). Gerade bei der Online-Nutzung von Datenbanken dürfte aber die Beschränkung von Zugriff (2.) und Nutzung (3.) im Vordergrund stehen. Von wesentlicher Bedeutung ist, ob auch Umgehungshandlungen verboten sind, die nicht in die Ausschließlichkeitsrechte nach dem Urheber- oder Leistungsschutzrecht eingreifen (4.). Ein Sonderproblem ergibt sich bei der Vermischung von Datenbanken und Computerprogrammen, denn letztere sind vom Anwendungsbereich der §§ 95a ff. UrhG ausdrücklich ausgenommen (5.). 1. Schutz vor unerlaubter Vervielfältigung der Datenbank
11
Wie der Begriff „Copyright“ schon andeutet, steht das Vervielfältigungsrecht regelmäßig im Zentrum des wirtschaftlichen und ideellen Interesses der Rechteinhaber. Demgemäß dienen viele DRM-Maßnahmen der Durchsetzung gerade dieses Ausschließlichkeitsrechts, so etwa der Kopierschutz von CDs und DVDs. Sie können dann als „Mechanismus zur Kontrolle der Vervielfältigung“ geschützt sein (§ 95a Abs. 2 Satz 2 UrhG).
12
Die praktischen Anwendungsfälle, in denen eine Datenbank im klassischen Sinn speziell gegen unerlaubte Vervielfältigung geschützt werden soll, waren nie besonders zahlreich. Sie dürften noch seltener geworden sein, nachdem Datenbanken heutzutage überwiegend online genutzt werden. Zu denken ist aber etwa an juristische Zeitschriftenarchive auf
256
Meyer
§ 19
II. Unmittelbarer Schutz von Datenbanken durch DRM
DVD oder an Sammlungen von Personendaten für die Verwendung im Direktvertrieb. 2. Schutz vor unerlaubtem Zugang zu der Datenbank Häufiger sollen technische Maßnahmen nicht nur die Vervielfältigung 13 des Datenträgers, sondern bereits den unbefugten Zugriff auf die dort gespeicherte Datenbank verhindern. Statt eines Kopierschutzes kommen hier vorrangig Verschlüsselungstechniken zum Einsatz. Diese werden in § 95a Abs. 2 Satz 2 UrhG ebenfalls ausdrücklich genannt. Bei Wechselmedien ist eine Verschlüsselung etwa sinnvoll beim physi- 14 schen Transport vertraulicher Unternehmensdaten im Rahmen von E-Discovery oder einer Unternehmens-Due Diligence1. Daneben werden sowohl lokal als auch online genutzte Datenbanken immer häufiger auf Festplatten- oder Dateisystemebene verschlüsselt, um im Fall des Diebstahls der Festplatte oder gar des ganzen Servers einen unbefugten Zugriff auf die Daten abzuwenden2. Bei physischen Unterhaltungsmedien wird in der Regel nicht versucht, 15 die Nutzung durch andere Personen als den Ersterwerber zu verhindern. Zumindest wertungsmäßig würde dies auch der Erschöpfung des Verbreitungsrechts widersprechen und deshalb bei den Verbrauchern auf Protest stoßen. Zudem könnten so ungewollt auch berechtigte Nutzungen verhindert werden, was einen Gewährleistungsfall darstellen dürfte3. a) Geographische Zugangskontrollen Die bei DVDs, Blu-ray Discs und Konsolenspielen eingesetzten regio- 16 nalen Nutzungsbeschränkungen sind dagegen personenunabhängig und werden deutlich kenntlich gemacht. Bei ihnen handelt es sich in erster Linie um eine „Zugangskontrolle“ i.S.d. § 95a Abs. 2 Satz 2 UrhG4. Geographische Zugangskontrollen werden auch bei Datenbanken häufig 17 verwendet. Online-Dienste wie Youtube eröffnen den weltweiten Zugriff auf Medienbibliotheken. Die ihnen eingeräumten Lizenzen sind jedoch regelmäßig örtlich eingeschränkt. Deshalb wird versucht, anhand der IPAdresse des jeweiligen Nutzers dessen Standort zu ermitteln und den Zu1 Bei einer Due Diligence dienen die technischen Maßnahmen der Erfüllung der gegenüber der Zielgesellschaft bestehenden Geheimhaltungspflicht sowie dem Schutz der personenbezogenen Daten ihrer Mitarbeiter; Göpfert/Meyer, NZA 2011, 486 (489). 2 Hoppen, § 2 Rz. 52 f. 3 Tatsächlich konnten kopiergeschützte CDs in manchen Geräten nicht abgespielt werden und gab es deshalb im Jahr 2003 in Frankreich Ermittlungen gegen ein Plattenlabel und eine Handelskette. 4 Bei Computerspielen allerdings unter dem Vorbehalt des § 69a Abs. 5 UrhG, s. unten Rz. 30 ff. Meyer
257
§ 19
DRM-Schutz von Datenbanken
griff gegebenenfalls zu verhindern („Dieses Video ist in deinem Land nicht verfügbar.“). Solche Sperren können zwar durch Nutzung eines VPN leicht umgangen werden. Sind sie aber dennoch wirksam i.S.d. § 95a Abs. 2 Satz 2 UrhG und wird das eingesetzte VPN damit beworben, dass es für die Umgehung der geographischen Zugangskontrolle eingesetzt werden kann, dann könnte die Erbringung der VPN-Dienstleistung gem. § 111a Abs. 1 Nr. 1 Buchst. b i.V.m. § 95a Abs. 3 Nr. 1 UrhG als Ordnungswidrigkeit zu ahnden sein. Auch die zum Ausschluss von Maschinennutzern (Bots) eingesetzten CAPTCHAs1 stellen eine „unpersönliche“ Zugangskontrolle dar. Das deutsche Unternehmensregister verhindert damit das automatisierte Auslesen von Unternehmenspflichtveröffentlichungen aus seiner Online-Datenbank. b) Personenbezogene Zugangskontrollen 18
Soll der Zugang dagegen auf einen bestimmten Personenkreis beschränkt werden, kommt vorwiegend die klassische Authentifizierung mit Benutzername und Passwort zum Einsatz2. Viele kommerzielle Datenbanken werden so geschützt, etwa juristische Datenbanken oder Zeitungswebseiten mit Paywall. Hinzu kommen sämtliche Online-Datenbanken, in denen die Nutzer ihre eigenen Daten ablegen können und die heutzutage auch unter dem Begriff „Cloud“ zusammengefasst werden, also etwa Fotoalben, E-Mail-Postfächer (mit und ohne Webinterface), Dateisysteme oder Online-Datenräume.
19
Der Schutz von Passwortabfragen und sonstigen Authentifizierungsmechanismen als Zugangskontrollen i.S.d. § 95a Abs. 2 Satz 2 UrhG ist nicht auf öffentlich zugängliche Online-Dienste beschränkt3. Er gilt auch für ein solchermaßen gesichertes Unternehmens-Intranet, das Dateien, E-Mails oder andere strukturiert abgelegte Daten bereithält. 3. Schutz vor unerlaubter Nutzung der Datenbank
20
Auch wenn ein Nutzer grundsätzlich zum Zugriff auf eine Datenbank berechtigt ist, können seine Befugnisse doch dem Umfang nach beschränkt sein, sowohl in qualitativer wie in quantitativer Hinsicht. So kann es ihm verwehrt sein, auf bestimmte vertrauliche Informationen zuzugreifen oder Daten zu verändern4. Oder es wird eine besonders intensive Nutzung der Datenbank nur gegen Entgelt zugelassen. 1 „Completely Automated Public Turing test to tell Computers and Humans Apart“. 2 Hoppen, § 2 Rz. 55 f. 3 Zu der davon zu trennenden Frage, wann eine nach § 95a Abs. 1 UrhG verbotene Umgehung vorliegt, s. unten Rz. 28. 4 S. zur Beschränkung der Zugriffsrechte des Nutzers auf Ebene des Datenbankservers Hoppen, § 2 Rz. 55 ff., zur homomorphen Verschlüsselung von Daten Kast, § 66 Rz. 18 f. sowie generell zur Verschlüsselung auf Ebene der Daten ebd., § 66 Rz. 41.
258
Meyer
§ 19
II. Unmittelbarer Schutz von Datenbanken durch DRM
Konkrete Beispiele sind leicht zu finden: In einem elektronischen Daten- 21 raum kann der Zugriff der bei einer Due Diligence tätigen Berater auf die für sie jeweils relevanten Informationen beschränkt sein. Online-Foren gestatten häufig nur registrierten Nutzern die Verwendung der Suchfunktion. In sozialen Netzwerken sind bestimmte Profildaten nur für engere „Freunde“ sichtbar oder, wenn das Netzwerk einen beruflichen Schwerpunkt hat, möglicherweise auch für Personalvermittler. Werden solche Beschränkungen der erlaubten Nutzung durch wirksame 22 technische Maßnahmen durchgesetzt, so ist deren Umgehung nach § 95a Abs. 1 UrhG grundsätzlich1 ebenso verboten wie die Umgehung einer möglicherweise vorgeschalteten Zugangskontrolle in Form einer Passwortabfrage. § 95a Abs. 2 Satz 1 UrhG gestattet nämlich auch die Verhinderung oder Einschränkung einzelner „Handlungen“. Nach § 95a Abs. 2 Satz 2 UrhG können technische Maßnahmen bereits dann wirksam sein, wenn die Nutzung des Werks oder Schutzgegenstands „unter Kontrolle gehalten wird“. Es muss also nicht jegliche Nutzung unterbunden sein. Kontrolliert etwa der Anbieter einer Online-Datenbank mit Hilfe von 23 Session-IDs, dass nur solche Besucher auf die Datenbank zugreifen können, die zuvor eine (meist mit Bannerwerbung bestückte) Portalseite besucht haben, dann handelt es sich auch dabei um eine technische Schutzmaßnahme2. Das OLG Hamburg hielt sie zwar nicht für wirksam i.S.d. § 95 Abs. 2 Satz 2 UrhG, da sie von Personen mit Programmierkenntnissen leicht umgangen werden könne3. Richtigerweise ist aber von Wirksamkeit auszugehen, denn es genügt, wenn die Schutzmaßnahme den durchschnittlichen Nutzer der Datenbank an der unzulässigen Nutzung hindert4. Ein absolut sicherer Schutz ist nicht erforderlich5. 4. Die Bedeutung der Ausschließlichkeitsrechte für den Umgehungstatbestand Das Leistungsschutzrecht des Datenbankherstellers ist erst dann ver- 24 letzt, wenn ein wesentlicher Teil der Datenbank vervielfältigt oder wenn seine berechtigten Interessen auf andere Weise unzumutbar beeinträch1 Voraussetzung ist allerdings, dass die Handlungen urheberrechts- bzw. leistungsschutzrechtsrelevant sind; s. dazu sogleich Rz. 24 ff. 2 So wohl auch BGH v. 29.4.2010 – I ZR 39/08, CR 2011, 41, Abs. 31 – SessionID. 3 OLG Hamburg v. 20.2.2008 – 5 U 68/07, CR 2010, 125. Der BGH konnte dies offenlassen, da es in dem Fall nur auf die Verletzung des Urheberrechts, nicht auch auf die Umgehung der technischen Maßnahme ankam, BGH v. 29.4.2010 – I ZR 39/08, CR 2011, 41, Abs. 33 – Session-ID. 4 Allgemein Wandtke/Ohst in Wandtke/Bullinger, Urheberrecht, § 95a Rz. 50 m.w.N. 5 Peukert in Loewenheim, Handbuch des Urheberrechts, § 34 Rz. 12; Schack, Urheber- und Urhebervertragsrecht, Rz. 832; Wandtke/Ohst in Wandtke/Bullinger, Urheberrecht, § 95a Rz. 47. Meyer
259
§ 19
DRM-Schutz von Datenbanken
tigt werden (§ 87b Abs. 1 UrhG)1. Die bloße Abfrage von Daten ist dagegen regelmäßig noch kein Eingriff2. Bei Datenbankwerken wiederum erstreckt sich das Urheberrecht nicht auf den Inhalt der Datenbank3, so dass eine Entnahme erst dann einen Eingriff darstellt, wenn die übernommenen Teile aufgrund ihrer Auswahl oder Anordnung selbständig schutzfähig sind4. Unterhalb dieser Schwellen verletzt eine Nutzung weder Urheber- noch Leistungsschutzrecht. 25
Mit Hilfe technischer Maßnahmen lassen sich dagegen jegliche Nutzungshandlungen unterbinden. Dann ist fraglich, ob § 95a Abs. 1 UrhG auch die Umgehung solcher technischer Hindernisse verbietet, die über den Umfang der Ausschließlichkeitsrechte an der Datenbank hinausgehen. a) Grundsatz der Schutzrechtsrelevanz
26
Allein dem Gesetzeswortlaut nach müsste dies zu bejahen sein, denn die durch die technischen Maßnahmen verhinderten Handlungen müssen das Werk oder den Schutzgegenstand lediglich „betreffen“ (§ 95a Abs. 2 Satz 1 UrhG). Von einem Eingriff oder einer Verletzung ist dabei keine Rede. Dann aber hätten die Rechteinhaber es in der Hand, durch technische Maßnahmen ihre Ausschließlichkeitsrechte faktisch neu zu definieren und zu erweitern und so eine Art „Pseudo-Urheberrecht“5 zu schaffen6.
27
Nach der wohl überwiegenden Auffassung ist die Umgehung technischer Maßnahmen dagegen nur verboten, soweit sie die dem Urheber oder dem Inhaber des Leistungsschutzrechts grundsätzlich7 vorbehaltenen Ausschließlichkeitsrechte abbilden8. Rechtspolitisch ist diese Auffassung verständlich. Soweit technische Maßnahmen Unterlassungsansprüche des Anbieters umsetzen, die sich erst aus einer vertraglichen Vereinbarung mit dem Nutzer, nicht aber aus dem dinglichen Ausschließlichkeitsrecht ergeben, sollten sie nicht mittelbar über § 95a Abs. 1 UrhG 1 Dazu ausführlich Grützmacher in Lehmann/Meents, FA-Hdb. IT-Recht, 2. Aufl. 2011, Kap. 18 Rz. 192. 2 BGH v. 22.6.2011 – I ZR 159/10, CR 2011, 757, Rz. 63 – Automobil-Onlinebörse; Schneider, Handbuch des EDV-Rechts, C Rz. 619. 3 Bullinger in Wandtke/Bullinger, Urheberrecht, § 4 Rz. 19. 4 Loewenheim in Schricker/Loewenheim, Urheberrecht, § 4 Rz. 49; Grützmacher in Lehmann/Meents, FA-Hdb. IT-Recht, 2. Aufl. 2011, Kap. 18 Rz. 167 f. 5 Schack, Urheber- und Urhebervertragsrecht, Rz. 838. 6 Dieses hätte zumindest den Vorteil, dass es weltweit einheitlich ausgestaltet wäre, vgl. Arlt, Digital Rights Management Systeme, S. 56. 7 Die Behandlung von Schrankenbestimmungen wie des Rechts auf die Privatkopie (§ 53 UrhG) wird an dieser Stelle bewusst ausgeklammert. 8 Mittenzwei, Informationen zur Rechtewahrnehmung im Urheberrecht, S. 158 (mit ausführlicher Begründung); Peukert in Loewenheim, Handbuch des Urheberrechts, § 34 Rz. 3; Wandtke/Ohst in Wandtke/Bullinger, Urheberrecht, § 95a Rz. 11.
260
Meyer
§ 19
II. Unmittelbarer Schutz von Datenbanken durch DRM
straf- oder ordnungswidrigkeitenrechtlich bewehrt sein (§§ 108b, 111a UrhG). b) Anwendung bei Zugangskontrollen? Aus der vorgenannten Auffassung könnte nun geschlossen werden, dass 28 etwa Zugangskontrollen nur dann geschützt sind, wenn schon der bloße Zugang zu der Datenbank in ein Ausschließlichkeitsrecht eingreift. Nach § 95a Abs. 1 UrhG reicht es aber bereits aus, dass durch die Umgehung „eine dem Rechtsinhaber gesetzlich vorbehaltene Nutzung ermöglicht wird.“1 Eine Umgehungshandlung ist also auch dann verboten, wenn sie selbst noch keine urheberrechtlich vorbehaltene Nutzung darstellt, eine solche aber im Raum steht2. Deshalb darf auch eine Zugangskontrolle nicht umgangen werden, wenn es dadurch möglich wird, einen wesentlichen Teil der Datenbank abzurufen und zu vervielfältigen. Selbst wenn das nicht der Fall ist, dann lässt sich ein Umgehungsverbot in der Regel darauf stützen, dass die technische Maßnahme neben der Datenbank auch andere Werke schützt, etwa die konkret genutzten Daten, und dass wenigstens eine rechtswidrige Nutzung dieser Werke ermöglicht wird. Sofern eine verbotene Umgehungshandlung nicht ausschließlich dem 29 „privaten Gebrauch“ dient, kann sie nach § 108b Abs. 1 Nr. 1, Abs. 3 UrhG mit bis zu einem Jahr Freiheitsstrafe geahndet werden, bei gewerbsmäßiger Begehung mit bis zu drei Jahren. Jedenfalls in den vorgenannten Fällen geschützter Online-Datenbanken rückt diese Strafvorschrift damit in die Nähe des sog. Hacking-Paragraphen § 202a StGB3. 5. Vermischung von Datenbanken und Computerprogrammen Auf Computerprogramme finden die §§ 95a ff. UrhG gem. § 69a Abs. 5 30 UrhG keine Anwendung. So soll gewährleistet werden, dass der berechtigte Nutzer seine Mindestrechte nach §§ 69d Abs. 2, 69e UrhG ausüben kann, ohne mit dem Umgehungsverbot in § 95a Abs. 1 UrhG in Konflikt zu geraten. Dieser Konflikt ist aber in Wirklichkeit unvermeidbar, sobald Computer- 31 programme und andere Werke oder Schutzgegenstände miteinander vermischt werden4. Enthält etwa ein durch Verschlüsselung geschütztes Softwarepaket auch eine Datenbank, dann ist eine Umgehung der Verschlüsselung verboten, weil dadurch eine dem Urheber vorbehaltene Ver1 Peukert in Loewenheim, Handbuch des Urheberrechts, § 34 Rz. 3 (Hervorhebung nicht im Original). 2 Peukert in Loewenheim, Handbuch des Urheberrechts, § 34 Rz. 15. 3 S. zu dieser Strafvorschrift I. Hassemer, § 67. 4 Die Frage, wie mit derartigen Fällen „hybrider Produkte“ umzugehen ist, wurde für Computerspiele vom BGH dem EuGH vorgelegt (BGH v. 6.2.2013 – I ZR 124/11, GRUR 2013, 1035 – Videospiel-Konsolen). Meyer
261
§ 19
DRM-Schutz von Datenbanken
vielfältigung der Datenbank ermöglicht würde. Dieser Fall ist auch umgekehrt vorstellbar, etwa wenn Computerprogramme zum Zweck der Leistungssteigerung unmittelbar in einer Datenbank abgelegt werden1. 32
Zur Lösung dieses Konflikts könnte man darauf abstellen, ob das Computerprogramm oder die Datenbank den Schwerpunkt des Pakets bilden, und in Abhängigkeit davon entweder § 69a Abs. 5 oder § 95a Abs. 1 UrhG umfassend den Vorrang einräumen2. Dieser Ansatz hat aber zwei Nachteile: Er schafft praktische Unwägbarkeiten3 und beraubt den Nutzer des Computerprogramms gegebenenfalls völlig seiner Mindestrechte.
33
Statt einer Schwarz-Weiß-Lösung könnte versucht werden, beide Positionen im Wege praktischer Konkordanz soweit als möglich miteinander zu vereinbaren. Man könnte etwa erwägen, die Mindestrechte nach §§ 69d Abs. 2, 69e UrhG als Rechtfertigungstatbestände anzusehen. Sie würden dann das für die Datenbank geltende Umgehungsverbot in § 95a Abs. 1 UrhG ausnahmsweise punktuell aufheben4. Der Anbieter müsste zwar eine Einschränkung des Schutzes seiner technischen Maßnahmen hinnehmen, aber eben nur wenn und soweit die Umgehung zur Ausübung der Mindestrechte erforderlich ist.
III. Mittelbarer Schutz von Datenbanken durch DRM-Schutz abgerufener Daten 34
Der wirtschaftliche Wert einer Datenbank liegt nicht nur in der Anordnung ihrer Elemente5, sondern auch in der Summe dieser Elemente. Werden sie zunächst zwar mit entsprechender Berechtigung aus der Datenbank abgerufen, dann aber unter Verstoß gegen eine vertragliche Abrede oder gegen die dinglichen Ausschließlichkeitsrechte genutzt, so kann dadurch auch im Hinblick auf den Betrieb und die Verwertung der Datenbank ein wirtschaftlicher Schaden entstehen.
35
Beispielsweise wird für das einmalige Streaming eines Films in der Regel weniger zu bezahlen sein als für die dauerhafte Speicherung. Und die unerlaubte Weitergabe eines heruntergeladenen Films an Dritte kann jene davon abhalten, den Film selbst gegen Entgelt aus der Datenbank abzuru1 S. zur Einbindung von Codes als aktive Objekte in Datenbanken Hoppen, § 2 Rz. 31 ff. 2 So Grützmacher in Wandtke/Bullinger, Urheberrecht, § 69a Rz. 83. 3 So auch Arlt, Digital Rights Management Systeme, S. 110, sowie Heinemeyer/ Nordmeyer, CR 2013, 586 (589). Letztere schlagen vor, alle in einem Computerspiel enthaltenen Werke einheitlich als Computerprogramme zu behandeln, lassen aber offen, wie sich die dann erforderliche Abgrenzung zwischen Computerspielen und anderen multimedialen Inhalten von der Suche nach einem Schwerpunkt unterscheiden würde. 4 In diese Richtung auch BGH v. 6.2.2013 – I ZR 124/11, GRUR 2013, 1035, Abs. 24 – Videospiel-Konsolen. 5 Vgl. §§ 4 Abs. 2 Satz 1, 87a Abs. 1 Satz 1 UrhG.
262
Meyer
§ 19
III. Mittelbarer Schutz von Datenbanken
fen. Aber auch wenn Daten nicht in erster Linie wegen ihres wirtschaftlichen Werts, sondern wegen ihrer Geheimhaltungsbedürftigkeit geschützt werden, kann eine unbefugte Offenlegung gegenüber Dritten einen erheblichen Schaden verursachen. Um solche Schäden abzuwenden, werden häufig auch die aus der Daten- 36 bank abgerufenen Daten selbst durch technische Maßnahmen geschützt. Dabei kann wie in den vorgenannten Beispielen danach unterschieden werden, ob schon eine Speicherung dieser Daten (1.) oder erst eine weitere Nutzung verhindert werden soll (2.). 1. Schutz gegen unerlaubtes Speichern abgerufener Daten Vertrauliche Unterlagen, die zum Zweck einer Unternehmens-Due Dili- 37 gence in einem Online-Datenraum zur Verfügung gestellt werden, dürfen häufig nur angesehen, aber nicht lokal abgespeichert werden. Dadurch soll die Weiterverbreitung der Informationen an Dritte verhindert werden. Dieser Schutz erschöpft sich nicht nur darin, dass keine Option zum Herunterladen der Informationen existiert. Zudem wird in der Regel ein Browser-Plugin installiert, der insbesondere die Screenshot-Funktion des Computers abschaltet. Solche technischen Maßnahmen schützen die Datenbank des Online- 38 Datenraums nicht unmittelbar vor unbefugtem Zugriff. Geschützt werden vielmehr die ihr entnommenen Daten. Aufgrund des besonderen Geheimhaltungsinteresses sind die Maßnahmen für gewöhnlich so ausgereift, dass sie grundsätzlich als wirksam i.S.d. § 95a Abs. 2 Satz 2 UrhG anzusehen sind. Eine Manipulation des verwendeten Browsers oder Betriebssystems mit dem Ziel, die Screenshot-Funktion wieder zu aktivieren, wäre deshalb verboten. Jedenfalls nach § 95a Abs. 1 UrhG nicht verboten wäre freilich ein analoges Abfotografieren des Bildschirminhalts, denn insoweit bieten die vorgenannten Maßnahmen keinen wirksamen Schutz1. Online-Datenräume stellen nicht den einzigen Fall dar, in dem ein Ab- 39 speichern abgerufener Daten durch den Nutzer verhindert werden soll. So haben die derzeit beliebten Angebote zum Streaming von Musik oder Filmen die wirtschaftliche und lizenzrechtliche Grundlage, dass der Nutzer die abgerufenen Daten nicht lokal abspeichern darf. Jedoch kommt es vor, dass diese rechtliche Nutzungsbeschränkung nicht durch technische Maßnahmen gesichert wird. Dann kann es möglich sein, die heruntergeladenen Daten mit Hilfe von Standard-Browserfunktionen dauerhaft abzuspeichern. Auch wenn dazu ein eigentlich nur für Entwickler vorgesehener Menüpunkt verwendet werden muss, fehlt es dann an der Umgehung einer wirksamen technischen Maßnahme.
1 Vgl. Schack, Urheber- und Urhebervertragsrecht, Rz. 832. Meyer
263
§ 19
DRM-Schutz von Datenbanken
40
Werden die abgerufenen Daten dagegen auf dem Übertragungsweg verschlüsselt1, so ist dies in der Regel eine wirksame technische Maßnahme. Ein solches Verfahren setzt etwa Adobe bei seinem proprietären RTMPE-Protokoll ein. Gegen die Software „rtmpdump“, welche das Abspeichern verschlüsselter Streams gestattete, ging Adobe im Mai 2009 in den USA unter Berufung auf den DMCA erfolgreich vor2. In Deutschland wurden Herstellung und Verbreitung zweier ähnlicher Programme kürzlich untergerichtlich mit der Begründung untersagt, dass es sich bei RTMPE um eine wirksame technische Schutzmaßnahme handele3. Setzt ein solches Umgehungsprogramm nicht erst bei den abgerufenen Daten an, sondern gibt es sich schon gegenüber der Datenbank fälschlicherweise als zulässiges Abspielprogramm aus, um den erforderlichen Schlüssel zu erlangen, dann liegt bereits eine unmittelbare Umgehung der bei der Datenbank eingesetzten Zugriffskontrolle vor (dazu oben II.2.).
41
Ähnlich wie bei Online-Datenräumen stellt sich auch beim Streaming von Musik und Filmen die Frage, gegen welche Nutzerhandlungen die Maßnahmen einen wirksamen Schutz bieten. Soweit sie es nicht zu verhindern suchen, dass der Nutzer auf Betriebssystemebene den Bildschirminhalt oder den abgespielten Ton digital abfilmt oder mitschneidet, dürfte ein solches Vorgehen nicht gegen § 95a Abs. 1 UrhG verstoßen. Erst recht würde das für eine analoge Vervielfältigung gelten. 2. Schutz gegen unerlaubte Nutzung und Vervielfältigung abgerufener Daten
42
Während ein Schutz gegen unerlaubtes Abspeichern noch verhältnismäßig einfach zu verwirklichen ist, verkompliziert sich die technische Aufgabenstellung erheblich, sobald dem Nutzer ein Abspeichern der Daten gestattet ist, er sie aber nur selbst nutzen und nicht an Dritte weitergeben können soll. Betroffen sind hier vorrangig Unternehmen, die den Erwerb oder sonst die Offline-Nutzung elektronischer Güter wie z.B. E-Books anbieten. Ein ähnliches Schutzbedürfnis kann aber auch dann gegeben sein, wenn im Unternehmensbereich verhindert werden soll, dass vertrauliche Unterlagen an Unbefugte weitergegeben und von diesen eingesehen werden (Enterprise DRM).
43
Als erste Möglichkeit der Bindung von Daten an eine bestimmte zugriffsberechtigte Person kommt ein einfacher Passwortschutz in Betracht. Werden die Daten an Dritte weitergegeben, können diese die Daten ohne das Passwort nicht einsehen oder verändern. Bei Textdokumenten, insbesondere in Unternehmen, ist ein solcher Passwortschutz durchaus gebräuchlich. Bei Konsumenten von Musik und Filmen würde er allerdings 1 S. dazu Kast, § 66 Rz. 52 ff. 2 c’t News-Meldung v. 25.5.2009, http://heise.de/-219989. 3 LG Hamburg v. 25.4.2013 – 310 O 144/13, CR 2013, 544 – JDownloader2; LG München I v. 26.7.2012 – 7 O 10502/12, ZUM-RD 2013, 76 (79) – TubeBox.
264
Meyer
§ 19
IV. Datenschutzrechtliche Aspekte von DRM
nur auf geringe Akzeptanz stoßen. Überdies haben Verbraucher, anders als die Mitarbeiter eines Unternehmens, in der Regel kein eigenes wirtschaftliches Interesse an der Aufrechterhaltung des Schutzes. Sie könnten ihn daher ganz einfach dadurch umgehen, dass sie die Daten gemeinsam mit dem Passwort an die Dritten weitergeben. Die zweite Möglichkeit wäre eine Bindung der Daten an einen bestimm- 44 ten Computer. Ein Leseprogramm könnte dazu etwa eine in der jeweiligen Datei gespeicherte Signatur mit den Merkmalen des von dem Nutzer eingesetzten Rechners vergleichen und den Lesevorgang nur zulassen, wenn beides übereinstimmt. Eine solche Lösung wäre jedoch – jedenfalls für sich genommen – nur wenig praktikabel. Zwar bräuchte der Nutzer nicht bei jedem Lesevorgang ein Passwort einzugeben. Es müssten aber weitere Signaturen erzeugt und die Daten erneut abgerufen werden, wenn der Nutzer seinen Rechner austauscht oder wenn er mehrere Rechner verwendet1. Durchgesetzt hat sich eine Kombination der beiden vorgenannten Metho- 45 den, nämlich die Bindung der Daten an ein Benutzerkonto der zugriffsberechtigten Person. Die ständige Neueingabe des Benutzerpassworts ist überflüssig, wenn das jeweils verwendete Gerät mit dem Benutzerkonto verknüpft ist und damit über die für die Entschlüsselung der Daten erforderlichen Informationen verfügt. Über das Benutzerkonto wiederum kann die berechtigte Person neue Geräte autorisieren und nicht mehr verwendete Geräte abmelden2.
IV. Datenschutzrechtliche Aspekte von DRM Erschöpft sich eine technische Maßnahme in einem passiven Kopier- 46 schutz oder in der Lösung einer CAPTCHA-Aufgabe oder wird nur die Eingabe eines Passworts verlangt, das keiner bestimmten Person zugeordnet ist, so kommt es von vornherein nicht zur Erhebung oder Verarbeitung personenbezogener Daten. Soweit technische Maßnahmen aber zur Erfüllung ihres Schutzauftrags personenbezogene Daten verarbeiten, müssen sie die Vorgaben des Datenschutzrechts einhalten3. Das könnte schon dann der Fall sein, wenn zwecks Durchsetzung einer 47 geographischen Zugangsbeschränkung die IP-Adresse des Nutzers erhoben wird. Zwar hat das LG Berlin kürzlich entschieden, dass eine dyna1 Unter Vorgriff auf den folgenden Abschnitt ist darauf hinzuweisen, dass die für die Erzeugung von Signaturen erforderliche Verarbeitung von Merkmalen der Rechner des Nutzers einen datenschutzrechtlichen Erlaubnistatbestand voraussetzen würde, wenn der jeweilige Anbieter den Nutzer – wie regelmäßig – identifizieren kann. 2 S. zur technischen Funktionsweise eines solchen Systems Hoppen, CR 2013, 9 (10 ff.). 3 Erwägungsgrund 57 der Infosoc-Richtlinie 2001/29/EG; Spindler, CR 2003, 534. Meyer
265
§ 19
DRM-Schutz von Datenbanken
mische IP-Adresse nur dann Personenbezug hat, wenn die erhebende Stelle sie mit verhältnismäßigem Aufwand einer Person zuordnen kann1, und steht diese Entscheidung im Einklang sowohl mit der wohl herrschenden Literaturmeinung2 als auch mit dem Entwurf der europäischen Datenschutz-Grundverordnung3. Allerdings sind nicht wenige praktische Fälle denkbar, in denen der Betreiber eines Online-Dienstes eine IPAdresse aufgrund eines früheren Kontakts mit dem Nutzer oder über Dritte doch mit vertretbarem Aufwand zuordnen kann4. Dann setzt ihre Verarbeitung einen datenschutzrechtlichen Erlaubnistatbestand voraus. 48
In jedem Fall findet Datenschutzrecht Anwendung, wenn die technische Maßnahme den Nutzer eines Online-Dienstes anhand eines Benutzerkontos identifiziert und auf dieser Grundlage über seine Zugriffs- und Nutzungsberechtigung befindet. Für Telemedien gelten dabei die besonderen datenschutzrechtlichen Vorgaben der §§ 12 ff. TMG. So dürfen „Merkmale zur Identifikation des Nutzers“ nach § 15 Abs. 1 Nr. 1 TMG als Nutzungsdaten verwendet5 werden, wenn dies erforderlich ist, um die Inanspruchnahme des Telemediums zu ermöglichen6. Für die Verwendung als Bestandsdaten kann dann nichts anderes gelten7.
49
Gehört der Online-Dienst zu einem Unternehmens-Intranet und wird er von den Beschäftigten auch beruflich genutzt, dann kommen nach § 11 Abs. 1 TMG insgesamt die Vorschriften des BDSG zur Anwendung, gegenüber abhängig Beschäftigten auch und gerade die Spezialregelung zum Beschäftigtendatenschutz (§ 32 BDSG). In Unternehmensverbünden ist dabei zu beachten, dass das BDSG kein Konzernprivileg kennt8. 1 LG Berlin v. 31.1.2013 – 57 S 87/08, CR 2013, 471 (473); ähnlich bereits OLG Hamburg v. 3.11.2010 – 5 W 126/10, CR 2011, 126, Abs. 9 (juris) („mit normalen Mitteln ohne weitere Zusatzinformationen“); AG München v. 30.9.2008 – 133 C 5677/08, CR 2009, 59, Abs. 22 (juris) („mit den [der datenspeichernden Stelle] normalerweise zur Verfügung stehenden Kenntnissen und Hilfsmitteln und ohne unverhältnismäßigen Aufwand“); a.A. VG Wiesbaden v. 27.2.2009 – 6 K 1045/08.WI, K&R 2009, 354, Abs. 39 (juris) („alle Mittel [zu berücksichtigen], die vernünftigerweise […] von einem Dritten eingesetzt werden könnten“); AG Berlin-Mitte v. 27.3.2007 – 5 C 314/06, K&R 2007, 600, Abs. 13 f. (juris) (dazu Anm. Köcher, MMR 2007, 800). 2 Gerlach, CR 2013, 478 (479) m.w.N.; Gola/Schomerus, BDSG, § 3 Rz. 10; Dammann in Simitis, BDSG, § 3 Rz. 32 ff.; a.A. Schild in Wolff/Brink, DatenschutzR, 2013, § 3 BDSG Rz. 21; Weichert in Däubler/Klebe/Wedde/Weichert, BDSG, 3. Aufl. 2010, § 3 Rz. 13 („Bestimmbarkeit ist nicht relativ, sondern objektiv zu bestimmen.“). 3 Nach Erwägungsgrund 24 des Verordnungsvorschlags v. 25.1.2012, KOM (2012) 11, sind IP-Adressen nicht zwangsläufig als personenbezogene Daten anzusehen, da die Identifizierung einer Person zusätzliche Informationen voraussetzt. 4 S. die ausführliche Darstellung bei Gerlach, CR 2013, 478 (482 ff.). 5 Zum Begriff des „Verwendens“ s. Schneider, Handbuch des EDV-Rechts, B Rz. 675 ff. 6 Dix/Schaar, BeckRTD-Komm, 2013, § 15 TMG Rz. 51. 7 Dix, BeckRTD-Komm, 2013, § 14 TMG Rz. 24. 8 Gola/Schomerus, BDSG, § 32 Rz. 20; Simitis, BDSG, § 2 Rz. 147.
266
Meyer
§ 19
IV. Datenschutzrechtliche Aspekte von DRM
Erwirbt der Nutzer in einem Online-Shop ein E-Book, so nimmt er inso- 50 weit ein Telemedium in Anspruch1 und bestimmt sich die Zulässigkeit der Datenverarbeitung vorrangig nach dem TMG. Werden auch nach dem Erwerbsvorgang noch personenbezogene Daten verarbeitet, so gilt hingegen BDSG. Dieser Fall tritt etwa ein, wenn der Nutzer ein DRM-geschütztes E-Book öffnen möchte und das Leseprogramm zur Prüfung seiner Berechtigung auf sein Benutzerkonto zugreift. Komplizierend kommt hinzu, dass bei dem Erwerb und der Nutzung 51 DRM-geschützter elektronischer Güter die Datenverarbeitung häufig nicht nur bei derjenigen Person stattfindet, die dem Nutzer gegenüber als Anbieter der Güter auftritt. Soll etwa der Lizenzvertrag nicht mit dem Anbieter, sondern mit einem Dritten zustandekommen, muss auch dieser Dritte Bestandsdaten des Nutzers verarbeiten. Hier ist zu beachten, dass § 14 Abs. 1 TMG das Recht zur Verwendung der Daten auf die Anbahnung von Verträgen mit dem Diensteanbieter beschränkt2. Eine Auftragsdatenverarbeitung nach § 11 BDSG ist zwar auch im Anwendungsbereich des TMG möglich3. Der Dritte würde die Nutzerdaten aber nicht für den Diensteanbieter verarbeiten, sondern zu eigenen Zwecken, nämlich für Abschluss und Durchführung des Lizenzvertrags mit dem Nutzer. Aufgrund der strengen Zweckbindung4 bleibt daher hier nur die Möglichkeit, eine Einwilligung des Nutzers einzuholen5. Weitere dritte Personen können bei der Zahlungsabwicklung und der 52 Aufbringung des DRM-Schutzes eingebunden sein. § 15 Abs. 5 Satz 1 TMG gestattet zwar dem Diensteanbieter die Übermittlung von Daten zu Abrechnungszwecken. Für die Übermittlung zwecks Implementierung von DRM gibt es dagegen keinen Erlaubnistatbestand. Dieser Vorgang fällt jedoch von vornherein nicht mehr in den Anwendungsbereich des TMG, denn das Herunterladen des erworbenen elektronischen Guts nach Abwicklung der elektronischen Bestellung ist keine Inanspruchnahme eines Telemediums mehr6 und es werden zudem nur noch Inhaltsdaten ausgetauscht7. Die Zulässigkeit der Datenverarbeitung richtet sich daher insoweit nach dem BDSG.
1 Pfeiffer/Weller/Nordmeier in Spindler/Schuster, Recht der elektronischen Medien, § 3 TMG Rz. 3. 2 Spindler/Nink in Spindler/Schuster, Recht der elektronischen Medien, § 14 TMG Rz. 5. 3 Dix/Schaar, BeckRTD-Komm, § 15 TMG Rz. 82. 4 Dix, BeckRTD-Komm, § 14 TMG Rz. 42. 5 Ausführlich zur datenschutzrechtlichen Einwilligung im Rahmen des TMG Schneider, Handbuch des EDV-Rechts, B Rz. 651, 689 ff., sowie speziell im Zusammenhang mit Authentifizierungssystemen bereits Spindler, CR 2003, 534 (536 f.). 6 Dix/Schaar, BeckRTD-Komm, § 15 TMG Rz. 36. 7 Spindler/Nink in Spindler/Schuster, Recht der elektronischen Medien, § 12 TMG Rz. 4. Meyer
267
§ 19 53
DRM-Schutz von Datenbanken
Sollen in den vorgenannten Fallgruppen Daten in das Nicht-EU-Ausland übermittelt werden, dann sind die zusätzlichen Anforderungen der §§ 4b Abs. 2, 4c BDSG einzuhalten. Dies gilt auch bei der Inanspruchnahme von Telemedien1, denn das TMG enthält insoweit keine tatbestandsgleichen Vorschriften und findet die Subsidiaritätsklausel in § 1 Abs. 3 BDSG deshalb keine Anwendung. Bei der Inanspruchnahme von Telemedien muss der Nutzer nach § 13 Abs. 1 TMG außerdem von der Übermittlung in das Nicht-EU-Ausland unterrichtet werden.
V. Fazit 54
DRM war zu Beginn des Jahrtausends in Bezug auf Unterhaltungsmedien häufig in der öffentlichen Diskussion präsent. Die Rechteinhaber fürchteten damals, ohne DRM erhebliche wirtschaftliche Einbußen zu erleiden. Die Nutzer dagegen bangten um liebgewordene Freiheiten, die ihnen die PC-Revolution und das Internet beschert hatten. Mittlerweile hat sich herausgestellt, dass der Kampf gegen illegale Nutzungen mit juristischen Mitteln allein nicht zu gewinnen ist. Im Gegenteil ist bei digitaler Musik der DRM-freie Vertrieb zu einem Verkaufsargument geworden und hat insoweit der Markt für eine Korrektur gesorgt.
55
Parallel hat die Nutzung aller Arten von Online-Datenbanken rapide zugenommen und kulminiert derzeit in der „Cloud“. Der Einsatz technischer Schutzmaßnahmen wird hier gerne hingenommen, denn er kommt vor allem den berechtigten Nutzern zugute. Der in der öffentlichen Wahrnehmung häufig negativ besetzte Begriff „DRM“ wird dabei eher nur noch im Bereich der Unternehmens-IT verwendet.
56
Nach der hier vertretenen Auffassung unterfallen die zum Schutz von Online-Datenbanken eingesetzten technischen Maßnahmen in den meisten Fällen dem Umgehungsverbot des § 95a Abs. 1 UrhG. Dies gilt auch dann, wenn technische Maßnahmen nur im Umfang der Ausschließlichkeitsrechte geschützt sind. Letztendlich erfahren hier einseitig festgelegte Nutzungs- und Zugangsregeln einen zusätzlichen rechtlichen Schutz, vorausgesetzt, sie werden mit technischen Mitteln durchgesetzt.
1 Spindler/Nink in Spindler/Schuster, Recht der elektronischen Medien, § 12 TMG Rz. 16.
268
Meyer
§ 20 Kartellrechtliche Grenzen des Schutzes von Datenbanken Rz. I. Einführung . . . . . . . . . . . . . . . . . . . 1. Wirtschaftliche Betrachtung . . . . 2. Gewährleistung des Daten- und Informationsflusses. . . . . . . . . . . . 3. Monopolistische Strukturen im Datenbankmarkt . . . . . . . . . . . II. Begrenzung des Schutzes durch das Kartellrecht . . . . . . . . . . . . . . . 1. Art. 102 AEUV. . . . . . . . . . . . . . . .
1 2 3 4 8 9
Rz. a) Vorrang des Kartellrechts . . . . . b) EuGH-Rechtsprechung zur Lizenzverweigerung und zur Frage der Zwangslizenz . . . . . . 2. Sonstige kartellrechtliche Vorschriften des GWB . . . . . . . . . . . . . 3. Zwangslizenzeinwand . . . . . . . . . 4. Sonstige Kartellrechtsaspekte . . .
10 11 23 24 27
III. Zusammenfassung . . . . . . . . . . . . 28
I. Einführung Dem Schutz von Datenbanken durch § 87a UrhG – oder auch § 4 UrhG1 1 – sowie dem mittelbaren Schutz durch DRM-Systeme können in der Praxis Grenzen durch das Kartellrecht gesetzt sein. Das Kartellrecht schützt in diesem Sinne auch vor Informationsmonopolen. 1. Wirtschaftliche Betrachtung Der Aufbau von Datenbanken erfordert mitunter enorme Investitionen. 2 Daten müssen gesammelt, erhoben, überprüft, korrigiert und sodann in IT-Systemen gespeichert werden. Datenmodelle sind zu erstellen bzw. zu analysieren und ergründen. Datenbanksoftware ist anzupassen, Datenbank-Queries auf Basis der Datenbankabfragesprachen sind zu formulieren. All dieses verursacht Einmalkosten. Im Vergleich zu diesen Fixkosten sind die Stückkosten für den späteren Vertrieb bzw. die Bereitstellung zum Online-Abruf einer Datenbank marginal2. Hier geht es nur darum, Datenträger herzustellen oder bei Online-Angeboten entsprechende IT-Systeme vorzuhalten sowie ggf. die Telekommunikationskosten zu tragen. Dementsprechend besteht bei einmal geschaffenen Datenbanken zumindest dann, wenn sie durch ein Schutzrecht oder anderweitig vor der unautorisierten Übernahme durch Dritte geschützt sind, mehr oder minder ein faktisches bzw. natürliches Monopol3. Denn die hohen Einmalinvestitionen zu Beginn, d.h. im Rahmen des Aufbaus 1 S. dazu Auer-Reinsdorff/Grützmacher, § 15 Rz. 38 ff. 2 Grützmacher, Urheber-, Leistungs- und Sui-generis-Schutz von Datenbanken, 1999, S. 115 f., 378. Vgl. auch OLG Düsseldorf v. 8.6.2011 – VI-U (Kart) 2/11, U (Kart) 2/11, juris, Rz. 57 ff. 3 Grützmacher, Urheber-, Leistungs- und Sui-generis-Schutz von Datenbanken, 1999, S. 378; s. speziell für Suchmaschinen Pollock, „Is Google the next Microsoft? Competition, Welfare and Regulation in Internet Search“, University of Cambridge, April, 2009 (http://rufuspollock.org/papers/search_engines.pdf). Grtzmacher
269
§ 20
Kartellrechtliche Grenzen des Schutzes von Datenbanken
einer Datenbank, führen aufgrund versunkener Kosten zu Marktzutrittsschranken (barriers to entry)1. Alle Datenbanken, die auf die vollständige Datensammlung angelegt sind, lassen sich über die Qualität – ausgenommen Fehlerfreiheit und Aktualität – im Regelfall nicht weiter differenzieren. Daher profitiert derjenige, welcher den Markt zuerst betritt, von seinem Headstart in ganz besonderem Maße. Ist ein Datenbankanbieter erst für ein bestimmtes Marktsegment etabliert, kann er praktisch, nachdem er einen Teil seiner Investitionen re-amortisiert hat, die Kosten senken und somit Dritte vom Marktzutritt abhalten2. Er wird auf diesem Wege schnell marktbeherrschend bzw. besitzt praktisch ein De-facto-Monopol. 2. Gewährleistung des Daten- und Informationsflusses 3
Derartige Monopole sind im Ergebnis Informationsmonopole über die in der Datenbank dokumentierten Daten bzw. Informationen. Sie resultieren wie gesagt aus dem gemäß § 87a UrhG vorgesehenen Sui-generisSchutz für Datenbanken. Dieser sollte aber nicht unbeschränkt greifen. Und so hat auch der Gesetzgeber erkannt, dass im Grundsatz insbesondere die Informationsfreiheit und der Informationsfluss zu schützen sind. Folgerichtig schützt § 87b UrhG nur gegen wesentliche Übernahmen bzw. unwesentliche Übernahmen, die im Wege systematischer wiederholter Vervielfältigungen einer wesentlichen Übernahme gleichkommen. – Als wesentliche Übernahmen sind nach bzw. aufgrund der BGH-Rechtsprechung3 allenfalls Übernahmen von zumindest 10 % des Datenbankinhalts oder mehr anzusehen. Die Rechtsprechung des BGH fußt auf der EuGH-Entscheidung William Hill, der sich entnehmen lässt, dass die Beurteilung der Frage einer wesentlichen quantitativen Entnahme in Relation zur Gesamtgröße einer Datenbank zu beantworten ist4. 3. Monopolistische Strukturen im Datenbankmarkt
4
Gleichwohl ist der Informationsfluss nicht ungefährdet. Schon immer gab es im Datenbankmarkt Tendenzen zu Monopolen. So bestand bereits in den 80er Jahren eine Abhängigkeit von US-amerikanischen Datenbankanbietern, die 90 % des Marktes – in den 90er dann noch über 50 %
1 Dazu ausführlich Grützmacher, Urheber-, Leistungs- und Sui-generis-Schutz von Datenbanken, 1999, S. 115 f., 378. 2 Grützmacher, Urheber-, Leistungs- und Sui-generis-Schutz von Datenbanken, 1999, S. 115 f., 378. 3 Laut der Entscheidung BGH v. 1.12.2010 – I ZR 196/08, WRP 2011, 927 – Zweite Zahnarztmeinung II sind jedenfalls 10 % noch nicht ausreichend. Mehr als ausreichend aber ist eine Übernahme von 75 % (vgl. BGH v. 13.8.2009 – I ZR 130/04, CR 2010, 190 f. – Gedichttitelliste III). 4 EuGH v. 9.11.2004 – Rs. C-203/02, CR 2005, 10, Rz. 70 – The British Horseracing Board Ltd. u.a./William Hill Organization Ltd.
270
Grtzmacher
§ 20
I. Einfhrung
des Marktes1 – beherrschten und unter denen die Datenriesen Chemical Abstracts, National Library of Medicine und Dun & Bradstreet hervorstachen2. Was in den USA in den seinerzeit die Mead Data Central war3, ist bzw. war hierzulande Juris. Auch Juris war zumindest in den 90er Jahren nicht bloß ein Informationsquelle, sondern für Rechtsinformationen in Deutschland ein Informationsmonopol4. Noch vor Inkrafttreten der Datenbankrichtlinie bestand in Großbritanien 5 für Datenbanken bereits ein Schutz durch das insoweit ähnlich weitreichende britische Copyright. Vor diesem Hintergrund hatte die britische Monopolies and Mergers Commission (MMC) in der Untersuchung Historical On-Line Database Services geprüft, ob FT Profile, gestützt auch auf die Marktmacht des Mutterkonzerns Financial Times Ltd. im Bereich der Printmedien, bzw. eine ganze Gruppe von Content Providern den für Wirtschafts- und Finanzinformationen relevanten Markt der Onlinedaten beherrschte5. Im Ergebnis wurde ein Wettbewerbsverstoß (nur) aufgrund alternativer Informationsquellen verneint6. Überhöhte Preise für Yellow Pages finanzierende Werbung wurden in Großbritannien in dem Fall BT Yellow Pages (BTYP) untersucht. Hier ging es insbesondere um die Frage, ob aufgrund des hohen Marktanteils von 84 % von BTYP, des First-Mover-Vorteils und der Tatsache, dass für vollständige Informationssammlungen nur ein einmaliges Bedürfnis besteht, sowie dem mangelnden Interesse von Kunden an einem Konkurrenzwerk eine marktbeherrschende Stellung bestand. BTYP hatte zudem das Urheberrecht bzw. Copyright auf die Telefon- und Adressdaten, welches auf eine Marktzutrittschance auf den abgeleiteten Markt der Geschäftsverzeichnisse führte. All dieses brachte BTYP in eine Position, überhöhte Preise und restriktive Lizenzbedingungen im Markt durchsetzen zu können, so dass die MMC zu dem Ergebnis gelangte, dass BTYP sich als marktbeherrschendes Unternehmen kartellrechtswidrig verhielt7. 1 Grützmacher, Urheber-, Leistungs- und Sui-generis-Schutz von Datenbanken, 1999, S. 79. 2 Gergely, Die Zeit v. 2.11.1984, Nr. 45 (http://www.zeit.de/1984/45/abhaengigvom-monopol). 3 Gergely, Die Zeit v. 2.11.1984, Nr. 45 (http://www.zeit.de/1984/45/abhaengigvom-monopol). 4 VGH Mannheim, GRUR 2013, 821 (827, 828 f.); Berkemann, VerwArch 87 [1996], 362 (368, 387); s. dazu auch http://www.zeit.de/2013/24/bundesverfas sungsgericht-rechtsdatenbank-juris-monopol sowie Albrecht, Probleme bei der Privatisierung staatlicher Informationspflichten am Beispiel der juris GmbH, 2002, passim; der Verfasser kann sich noch sehr gut daran, wie der Jubilar in dieser Zeit an der LMU in München eine speziell auf juris ausgerichtete Übungsvorlesung hielt. 5 MMC, „Historical On-Line Database Services“, Cmnd. 2554 (May 1994), S. 35 ff., 71 f. und 77 f. 6 MMC, „Historical On-Line Database Services“, Cmnd. 2554 (May 1994), S. 79 f. 7 Vgl. MMC, „Classified Directory Advertising Services“, Cmnd. 3171 (March 1996), S. 3 ff. Grtzmacher
271
§ 20
Kartellrechtliche Grenzen des Schutzes von Datenbanken
6
Schon diese zwei britischen Fälle zeigen, dass eine Begrenzung des Suigeneris-Schutzes angezeigt war und ist. § 87a UrhG ist dementsprechend über die Beschränkung auf wesentliche Übernahmen bzw. diesen gleich kommende systematische wiederholte Übernahmen hinaus zu begrenzen. Diskutiert wurde im Gesetzgebungsverfahren, ob es insofern einer Regelung über eine Zwangslizenz bedarf, wie diese als Art. 11 des Richtlinienvorschlags der Kommission1 vorgeschlagen wurde. Man hielt dann allerdings eine gesetzliche Zwangslizenzregelung in Ansehung der Magill-Entscheidung2 für nicht mehr erforderlich, sondern vertraute, wie auch aus Erwägungsgrund 47 der Richtlinie ersichtlich ist, voll und ganz auf das Eingreifen des Kartellrechts.
7
Dass Informationsmonopole auch unabhängig von den §§ 87a ff. UrhG entstehen können, zeigt eindrucksvoll die wohl nicht lediglich marktbeherrschende Stellung von Google3. So ist bei Suchmaschinen wohl von einem natürlichen Monopol auszugehen4, zumal sich Google im Zweifel in Ansehung von § 127a UrhG nicht auf § 87a UrhG berufen kann5.
II. Begrenzung des Schutzes durch das Kartellrecht 8
Neben gesetzlichen Lizenzierungspflichten können sich Zwangslizenzen auch aus dem Kartellrecht ergeben, und zwar sowohl aus dem europäischen wie auch aus dem deutschen. Im Fokus stehen hierbei die Regelung des Art. 102 AEUV sowie im deutschen Recht die §§ 19 und 20 GWB. 1. Art. 102 AEUV
9
Art. 102 AEUV sorgt für eine gewisse Begrenzung des Sui-generis-Schutzes von Datenbanken. Dabei kann heute als geklärt gelten, dass das Kar1 Vgl. COM (93)464 endg., ABl. Nr. C 308 v. 15.11.1993, S. 1 ff. 2 EuGH v. 6.4.1995 – Rs. C-241/91 P und C-242/91 P, GRUR Int. 1995, 490 – Magill. 3 Vgl. dazu Haucap/Kehder, „Working Paper Suchmaschinen zwischen Wettbewerb und Monopol: Der Fall Google“, DICE Ordnungspolitische Perspektiven, Juni 2013, Nr. 44. (http://econstor.eu/bitstream/10419/76802/1/751556580.pdf); Brinkmann, „Monopolvorwürfe – Googles Datenmacht zahlt sich aus“, sueddeutsche.de v. 2.9.2013 (http://www.sueddeutsche.de/digital/monopolvorwuer fe-googles-datenmacht-zahlt-sich-aus-1.1760220). 4 Pollock, „Is Google the next Microsoft? Competition, Welfare and Regulation in Internet Search“, University of Cambridge, April, 2009 (http://rufuspol lock.org/papers/search_engines.pdf); Bernau, „Gefährliche Internet-Monopole – Google und Facebook sind zu mächtig. Die Überwachung funktioniert nicht“, FAZ v. 11.3.2013 (http://www.faz.net/aktuell/wirtschaft/analyse-gefaehrliche-in ternet-monopole-12109725.html). 5 S. zum Schutz von Suchmaschinen über § 87a UrhG Grützmacher in Lehmann/ Meents, Handbuch des Fachanwalts Informationstechnologierecht, 2. Aufl. 2011, S. 930 f.
272
Grtzmacher
§ 20
II. Begrenzung des Schutzes durch das Kartellrecht
tellrecht insofern vor dem Schutzrecht Vorrang genießt1. Auch ist der Tatbestand des Art. 102 AEUV mit Blick auf den Kontrahierungszwang weitestgehend geklärt2. Von der EuGH-Rechtsprechung bisher aber nicht wirklich geklärt und heftig umstritten ist, unter welchen Verhältnissen gegenüber einem Verletzungstatbestand ein Zwangslizenzeinwand eingreifen kann3. a) Vorrang des Kartellrechts Lange Zeit wurde im europäischen Recht darum gerungen, ob das Kar- 10 tellrecht Vorrang vor dem gesetzlich normierten Monopol gewerblicher und sonstiger Schutzrechte haben könnte4. Dieses wurde schließlich in zahlreichen Entscheidungen, die zunächst auf den sog. spezifischen Gegenstand des Schutzrechtes5 abstellten, später auf die wesentliche Funktion des Schutzrechtes6 sowie schließlich auf außergewöhnliche Umstände im Sinne der sog. Missbrauchslehre7 anerkannt. So heißt es in Magill, „dass das ausschließliche Recht der Vervielfältigung zu den Vorrechten des Urhebers gehört, so dass die Verweigerung einer Lizenz als solche keinen Missbrauch einer beherrschenden Stellung darstellen kann“, dass aber die „Ausübung … unter außergewöhnlichen Umständen ein missbräuchliches Verhalten“ darstelle8. Mithin stellt sich lediglich die Frage, wann solche Umstände anzunehmen sind.
1 Dazu in der Folge Rz. 10. 2 Dazu in der Folge Rz. 11 ff. 3 Immenga/Mestmäcker/Ullrich/Heinemann, EU-Wettbewerbsrecht, 5. Aufl. 2012, Rz. 62; dazu in der Folge 3. 4 S. dazu die Darstellung der Entwicklung und verschiedenen Positionen bei Heinemann, GRUR 2006, 705 ff. m.w.N. 5 EuGH v. 13.7.1966 – Rs. 56 u. 58/64, Slg. 1966, 321 – Consten und Grundig; EuGH v. 8.6.1971 – Rs. 78/79, Slg. 1971, 487 – Deutsche Grammophon; EuGH v. 29.2.1968 – Rs. 24/67, Slg. 1968, 85 – Parke, Davis and Co./Probel; EuGH v. 18.2.1971 – Rs. 40/70, Slg. 1971 – „Sirena/EDA“. Diese Lehre basierte auf der Unterscheidung von Bestand und Ausübung der Schutzrechte. Nur in ersteren durfte nicht eingegriffen werden; mitunter wettbewerbswidrig war aber die Ausübung des Schutzrechts außerhalb seines spezifischen Gegenstands. 6 EuGH v. 18.3.1980 – Rs. 62/79, Slg. 1980, 881 – Coditel; EuGH v. 17.10.1990 – Rs. C-10/89, Slg. 1990, I-3711 – Hag II; EuG v. 10.7.1991 – Rs. T-76/89, Slg. 1991, II-575, 601 – ITP; EuGH v. 22.6.1994 – Rs. C-9/93, Slg. 1994, I-2789 – Ideal Standard. 7 EuGH v. 6.4.1995 – Rs. C-241/91 P und C-242/91 P, GRUR Int. 1995, 490 Rz. 46 ff. – Magill; s. auch EuGH v. 13.7.1966 – Rs. 56 u. 58/64, Slg. 1966, 321 – Consten und Grundig. 8 EuGH v. 6.4.1995 – Rs. C-241/91 P und C-242/91 P, GRUR Int. 1995, 490 Rz. 49 f. – Magill. Grtzmacher
273
§ 20
Kartellrechtliche Grenzen des Schutzes von Datenbanken
b) EuGH-Rechtsprechung zur Lizenzverweigerung und zur Frage der Zwangslizenz 11
Denn der Tatbestand des für Unternehmen geltenden1 Art. 102 AEUV schweigt sich hierüber weitestgehend aus. In diesem heißt es nur: „Mit dem Binnenmarkt unvereinbar und verboten ist die missbräuchliche Ausnutzung einer beherrschenden Stellung auf dem Binnenmarkt oder auf einem wesentlichen Teil desselben durch ein oder mehrere Unternehmen, soweit dies dazu führen kann, den Handel zwischen Mitgliedstaaten zu beeinträchtigen. Dieser Missbrauch kann insbesondere in Folgendem bestehen: … b) der Einschränkung der Erzeugung, des Absatzes oder der technischen Entwicklung zum Schaden der Verbraucher; c) der Anwendung unterschiedlicher Bedingungen bei gleichwertigen Leistungen gegenüber Handelspartnern, wodurch diese im Wettbewerb benachteiligt werden; …“
12
Hieraus lässt sich in keinerlei Weise ableiten, wann nun eine Lizenzierungspflicht besteht bzw. der Zwangslizenzeinwand dem Datenbankrecht gegenüber eingreifen kann und wann nicht. Dieses ist vielmehr eine Frage, die letztlich anhand des entsprechenden Case Laws, maßgeblich anhand diverser EuGH-Entscheidungen zu beurteilen ist.
13
Es ist nach der Rechtsprechung des EuGH anerkannt, dass nicht nur die Geschäftsverweigerung, also die Weigerung im Rahmen eines bestehenden Geschäftsverhältnisses, sondern auch die Leistungsverweigerung (von Anfang an) kartellrechtswidrig sein kann2. Allerdings ist ein derartiges Verhalten der Geschäftsverweigerung noch vor Aufbau eines Geschäftsverhältnisses weniger wettbewerbsschädlich, so dass es besonderer wettbewerbsrechtlich zu missbilligender Umstände bedarf, um den Kartellrechtsverstoß zu begründen. So kann die Geschäftsverweigerung missbräuchlich aufgrund zweierlei Umstände sein, zum einen im Fall des Abbruchs einer Geschäftsbeziehung, also im Sinne eines aktiven Tuns, und zum anderen im Falle der Nichtaufnahme, also des Unterlassens einer Geschäftsbeziehung, bei der dann aber weitere Umstände nötig sind, um eine Pflicht zu begründen.
1 Die Tätigkeit eines Hoheitsträgers ist mitunter keine wirtschaftliche und mithin unternehmerische Tätigkeit in diesem Sinne, und zwar laut EuGH-Rspr. auch bei einer entgeltlichen Gewährung der Datenbankeinsicht (vgl. EuGH v. 12.07.2012 GRUR 2013, 191 – Compass-Datenbank). 2 Vgl. dazu auch EuGH v. 6.3.1974 – Rs. 6 und 7/73, Slg 1974, 223 – Commercial Solvents; EuGH v. 14.2.1978 – Rs. 27/76, Slg. 1978, 207 – United Brands; EuGH v. 11.11.1986 – Rs. 226/84, Slg. 1986, 3297 – British Leyland; EuGH v. 31.5.1979 – Rs. 22/78, Slg. 1979, 1886 – Hugin.
274
Grtzmacher
§ 20
II. Begrenzung des Schutzes durch das Kartellrecht
Zu Letzterem und der Frage der marktbeherrschenden Stellung hat der 14 EuGH in der Entscheidung Magill1 grundlegend Stellung genommen. Das Urteil lässt sich übertragen auf Datenbanken wie folgt zusammenfassen: Die Inhaberschaft an exklusiven Rechten (§ 4 UrhG) oder Sui-generis-Rechten (§ 87a UrhG) mit Blick auf eine Datenbank begründet allein noch keine marktbeherrschende Stellung. Bei einem faktisches Monopol an den Informationen bzw. Daten hingegen besteht die Möglichkeit, einen wirksamen Wettbewerb auf dem Markt zu verhindern2. Mit Blick auf die Frage des Missbrauchs gilt, dass das Verhalten eines Unternehmens mit beherrschender Stellung nicht schon deshalb jeder Beurteilung anhand von Art. 102 AEUV entzogen ist, weil es Teil der Ausübung eines – im Fall von § 4 UrhG oder § 87a UrhG sogar harmonisierten – Rechts ist, das als „Urheberrecht“ anerkannt ist3. Weiter trifft es laut EuGH zu, dass die Verweigerung einer Lizenz als solche keinen Missbrauch einer beherrschenden Stellung darstellt, selbst wenn sie von einem Unternehmen in marktbeherrschender Stellung ausgehen sollte; die Ausübung der ausschließlichen Rechte gemäß § 4 UrhG bzw. § 87a UrhG durch den Inhaber kann jedoch unter außergewöhnlichen Umständen ein missbräuchliches Verhalten darstellen4. Dieses ist nach der Magill-Entscheidung jedenfalls beim Vorliegen von drei Bedingungen anzunehmen: – Erforderlich ist zunächst, dass sich der Rechteinhaber auf das Urheber- bzw. Sui-generis-Recht beruft und dadurch verhindert, dass ein neues Datenbankoder sonstiges auf der geschützten Datenbank beruhendes Produkt hergestellt wird, wenn es keinen tatsächlichen oder potentiellen Ersatz für das Produkt gibt und wenn es sich bei der geschützten Datenbank um die einzige Quelle für die Grundinformationen bzw. die Daten handelt, diese also das unentbehrliche Ausgangsmaterial für die Herstellung eines neuen Produktes bildet5. Es stellt mithin einen Missbrauch dar, wenn die urheberrechtliche Vorschriften gestützte Weigerung des Rechteinhabers, Grundinformationen bzw. -daten zur Verfügung zu stellen, ein neues Erzeugnis verhindert, dass er selbst nicht anbietet und nach dem eine potentielle Nachfrage der Verbraucher besteht6. – Hinzukommen muss weiter, dass die Weigerung nicht sachlich zu rechtfertigten ist7. – Schließlich muss nach der Entscheidung hinzutreten, dass die Rechteinhaber sich durch ihr Verhalten einen abgeleiteten Markt vorbehalten, indem sie jeden Wettbewerb auf diesem Markt ausschließen, nämlich insbesondere wenn sie
1 EuGH v. 6.4.1995 – Rs. C-241/91 P und C-242/91 P, GRUR Int. 1995, 490, Rz. 46 ff. – Magill. 2 EuGH v. 6.4.1995 – Rs. C-241/91 P und C-242/91 P, GRUR Int. 1995, 490, Rz. 46 und 47. 3 EuGH v. 6.4.1995 – Rs. C-241/91 P und C-242/91 P, GRUR Int. 1995, 490, Rz. 48. 4 EuGH v. 6.4.1995 – Rs. C-241/91 P und C-242/91 P, GRUR Int. 1995, 490, Rz. 49 und 50. 5 EuGH v. 6.4.1995 – Rs. C-241/91 P und C-242/91 P, GRUR Int. 1995, 490, Rz. 51–53. 6 EuGH v. 6.4.1995 – Rs. C-241/91 P und C-242/91 P, GRUR Int. 1995, 490, Rz. 54. 7 EuGH v. 6.4.1995 – Rs. C-241/91 P und C-242/91 P, GRUR Int. 1995, 490, Rz. 55. Grtzmacher
275
§ 20
Kartellrechtliche Grenzen des Schutzes von Datenbanken
den Zugang zu den Grundinformationen, also dem unentbehrlichen Ausgangsmaterial für die Herstellung eines neuen Produktes verweigern1.
15
Klar ist danach, dass auch und gerade mit Blick auf Datenbanken im Grundsatz die Ausnutzung einer markbeherrschenden Stellung auf einem abgeleiteten Sekundärmarkt kartellrechtlich problematisch ist. Entscheidend ist aber weiter auch die Frage, wann der EuGH davon ausgeht, dass im Sinne dieser durch die Magill-Entscheidung erstmalig ausgestalteten Kriterien davon auszugehen ist, dass ein neues Erzeugnis verhindert wird.
16
Dieser Fragestellung hat sich der EuGH in den Entscheidungen Bronner praktisch nicht2, dann aber im Detail in IMS Health angenommen; nach IMS Health gilt3: „[D]ie Weigerung eines Unternehmens, das eine beherrschende Stellung innehat und Inhaber eines Rechts des geistigen Eigentums an [Daten bzw. einer Datenstruktur] ist, die für die Präsentation von Daten […] in einem Mitgliedstaat unerlässlich ist, einem anderen Unternehmen, das ebenfalls derartige Daten in diesem Mitgliedstaat anbieten will, eine Lizenz zur Verwendung dieser [Daten bzw. einer Datenstruktur] zu erteilen, [stellt] einen Missbrauch einer beherrschenden Stellung i.S.v. Art. 82 EG [= Art. 102 AEUV] dar[], wenn folgende Bedingungen erfüllt sind: – Das Unternehmen, das um die Lizenz ersucht hat, beabsichtigt, auf dem Markt für die Lieferung der betreffenden Daten neue Erzeugnisse oder Dienstleistungen anzubieten, die der Inhaber des Rechts des geistigen Eigentums nicht anbietet und für die eine potenzielle Nachfrage der Verbraucher besteht; – die Weigerung ist nicht aus sachlichen Gründen gerechtfertigt; – die Weigerung ist geeignet, dem Inhaber des Rechts des geistigen Eigentums den Markt für die Lieferung der Daten über den Absatz von Arzneimitteln in dem betreffenden Mitgliedstaat vorzubehalten, indem jeglicher Wettbewerb auf diesem Markt ausgeschlossen wird.“ Bezogen auf das Erfordernis eines neuen Erzeugnisses „kann die Weigerung eines Unternehmens in beherrschender Stellung, Zugang zu einem durch ein Recht des geistigen Eigentums geschützten Erzeugnis zu gewähren, obwohl dieses Erzeugnis für die Tätigkeit auf einem abgeleiteten Markt unerlässlich ist, nur dann als missbräuchlich eingestuft werden, wenn sich das Unternehmen, das um die Lizenz ersucht hat, nicht im Wesentlichen darauf beschränken will, Erzeugnisse oder Dienstleistungen anzubieten, die vom Inhaber des Rechts des geistigen Eigentums bereits auf dem abgeleiteten Markt angeboten werden, sondern beabsichtigt, neue Erzeugnisse oder Dienstleistungen anzubieten, die der Inhaber nicht anbietet und für die eine potenzielle Nachfrage der Verbraucher besteht.“
1 EuGH v. 6.4.1995 – Rs. C-241/91 P und C-242/91 P, GRUR Int. 1995, 490, Rz. 56. 2 EuGH v. 26.11.1998 – Rs. C-7/97, GRUR Int. 1999, 262, Rz. 40 f. – Bronner. Der EuGH forderte dort auch die „Unentbehrlichkeit“ des Zugangs zu dem Gut, vorliegend ggf. der Daten, für die Ausübung der Tätigkeit des Wettbewerbers. 3 EuGH v. 29.4.2004 – Rs. C-418/01, GRUR 2004, 524 Rz. 48, 52 – IMS Health.
276
Grtzmacher
§ 20
II. Begrenzung des Schutzes durch das Kartellrecht
Schon in dieser Entscheidung wird deutlich, dass der EuGH das Erforder- 17 nis der Neuheit offenbar nicht ganz so strikt sieht, wie es nach der Magill-Entscheidung zunächst den Anschein hatte. Das EuG hat sich überdies mit diesem Aspekt im Rahmen der Microsoft- 18 Entscheidung befasst1. Auch diesem Urteil lässt sich eine deutliche Tendenz zu einer aus Sicht des Lizenzsuchenden großzügigen Annahme einer Lizenzierungsplicht entnehmen. Dort heißt es nämlich: „621 Microsoft trägt unter Bezugnahme auf […] angeführten Urteils IMS Health vor, es sei nicht erwiesen, dass die ihr zur Last gelegte Weigerung das Auftreten eines neuen Produkts verhindert habe, für das ein ungedeckter Bedarf der Verbraucher bestehe. 622 Sie vertreibe bereits Server-Betriebssysteme, die die fraglichen Kommunikationsprotokolle implementierten, und ihre Konkurrenten vertrieben ihre eigenen Server-Betriebssysteme, die die von ihnen für die Erbringung von Arbeitsgruppendiensten gewählten Kommunikationsprotokolle verwendeten. 623 Wie auch aus […] der angefochtenen Entscheidung hervorgehe, solle die angefochtene Entscheidung es ihren Konkurrenten ermöglichen, deren Produkte in genau der gleichen Weise wie die Windows-Betriebssysteme für Server arbeiten zu lassen. Die Kommission wolle, dass ihre Kommunikationsprotokolle von ihren Konkurrenten genutzt würden, um Server-Betriebssysteme zu entwickeln, die in unmittelbaren Wettbewerb mit ihren Produkten träten, indem sie deren Funktionen „nachahmten“. […]“
Das Gericht hingegen hat dazu in seiner Würdigung ausgeführt:
19
„643 Die Tatsache, dass das gerügte Verhalten das Auftreten eines neuen Produkts auf dem Markt verhindert, ist im Kontext von Art. 82 Abs. 2 Buchst. b EG [a.F.= Art. 102 Abs. 2 Buchst. B AEUV] zu berücksichtigen, der Missbräuche verbietet, die in „der Einschränkung der Erzeugung, des Absatzes oder der technischen Entwicklung zum Schaden der Verbraucher“ bestehen. 644 Daher hat der Gerichtshof in [dem] angeführten Urteil[] Magill entschieden, dass die Weigerung der dort betroffenen Fernsehanstalten als missbräuchlich im Sinne der genannten Vorschrift einzustufen war, da sie das Auftreten eines neuen Erzeugnisses verhinderte, das sie selbst nicht anboten und nach dem eine potenzielle Nachfrage der Verbraucher bestand. […] 647 Das Auftreten eines neuen Produkts, auf das somit in den oben in [den] angeführten Urteilen Magill und IMS Health Bezug genommen wird, kann nicht der einzige Parameter sein, anhand dessen geklärt werden kann, ob eine Weigerung, für ein Recht des geistigen Eigentums eine Lizenz zu erteilen, den Verbrauchern im Sinne von Art. 82 Abs. 2 Buchst. b EG schaden kann. Nach dem Wortlaut dieser Vorschrift kann ein solcher Schaden nicht nur bei einer Einschränkung der Erzeugung oder des Absatzes eintreten, sondern auch dann, wenn die technische Entwicklung eingeschränkt wird. […] 653 […] Aus einem von Microsoft im Verwaltungsverfahren vorgelegten Schriftstück ergibt sich, dass die innovativen Merkmale und der Mehrwert, den PC NetLink den Windows-Arbeitsgruppennetzen brachte, von Sun als Verkaufsargument für dieses Produkt verwendet wurde […]. Desgleichen hob Novell in ihren Marketingunterlagen die neuen Merkmale hervor, die NDS for NT – eine von ihr mittels 1 EuG v. 17.9.2007 – Rs. 201/04, Slg. 2007 II-3601 = CRi 2007, 148, Rz. 621 ff. – Microsoft. Grtzmacher
277
§ 20
Kartellrechtliche Grenzen des Schutzes von Datenbanken
Reverse Engineering entwickelte Software – zur Windows-Domänenarchitektur, im konkreten Fall zu Windows NT, beisteuerte […]. 655 Die Kommission hat in diesem Zusammenhang betont, dass es „eine Vielzahl von Differenzierungs- und Innovationsmöglichkeiten über die Gestaltung der Schnittstellenspezifikationen hinaus gibt“ […]. Ein und dieselbe Spezifikation kann mit anderen Worten von Softwareentwicklern in vielfältiger verschiedener und innovativer Weise implementiert werden. 656 Die angefochtene Entscheidung beruht somit auf dem Gedanken, dass die Konkurrenten von Microsoft nach der Beseitigung des Hindernisses, das für sie der unzureichende Interoperabilitätsgrad mit der Windows-Domänenarchitektur darstellt, Betriebssysteme für Arbeitsgruppenserver werden anbieten können, die keineswegs eine bloße Kopie der bereits auf dem Markt befindlichen Windows-Systeme sind, sondern sich von ihnen in Bezug auf Parameter unterscheiden werden, die die Verbraucher als wichtig ansehen […].“
20
Das EuG hat also die Maßstäbe zur Beurteilung der Neuheit weitestgehend relativiert, stellt in Frage, ob dieses Merkmal überhaupt relevant ist, und führt im Übrigen aus, dass jedenfalls neue Produktmerkmale konkurrierender Produkte ausreichen. Diese relativ niedrige Hürde sollte auch für Datenbanken und erst Recht für auf diesen fußende Produkte relativ leicht zu überspringen sein.
21
Zusammenfassend lässt sich daher festhalten: – Entscheidend ist, dass ein Produkt angeboten wird, das sich von dem Produkt Dritter im Markt unterscheidet. Eine missbräuchliche Lizenzverweigerung liegt dann vor, wenn der Lizenzsuchende „beabsichtigt“, Waren oder Dienstleistungen mit anderen Merkmalen herzustellen bzw. zu erbringen, die – auch wenn sie mit denen des Rechteinhabers konkurrieren – besondere Bedürfnisse des Verbrauchers erfüllen, die von der existierenden Ware oder Dienstleistung nicht befriedigt werden1. Nicht erforderlich ist hingegen absolute Neuheit. Im Graubereich liegen Produkte, die ähnlich sind oder auch nur qualitativ (deutlich) besser; hier ist noch ungeklärt, inwieweit ein „neues“ Produkt angenommen werden kann2. Im Ergebnis wird man um eine Prüfung im Einzelfall kaum herumkommen. – Andersherum ist von einem kartellrechtswidrigen Vorgehen immer dann auszugehen, wenn sich der Rechteinhaber überhaupt noch nicht auf dem angestrebten Produktmarkt „tummelt“. Entscheidend ist also nicht, dass ein neuer Markt erschlossen wird, ausreichend ist vielmehr, dass der Lizenzsuchende neue Produktmerkmale hinzufügt3.
1 Schlussanträge des Generalanwalts Tizzano, Slg. 2004, I-5042, Rz. 62 und 66 – IMS Health. 2 S. dazu Immenga/Mestmäcker/Ullrich/Heinemann, EU-Wettbewerbsrecht, 5. Aufl. 2012, Rz. 59 m.w.N. (insb. Fn. 416); noch großzügiger Leistner, ZWeR 2005, 138 (152, 160 f.): besseres Preis-Leistungsverhältnis reicht. 3 Walz, GRUR Int. 2013, 718 (722).
278
Grtzmacher
§ 20
II. Begrenzung des Schutzes durch das Kartellrecht
Die Frage ist, was dieses für Datenbankprodukte bedeutet. Soweit es um 22 die Frage geht, wie Daten einer Datenbank ausgewertet werden können, wie sie also in andere Softwareapplikationen einfließen, spricht alles dafür, dass für neue Software, die ihrer Art nach auf dem Markt bisher noch nicht erhältlich ist, eine entsprechende Lizenz zu erteilen ist. Andererseits wird man wohl nicht davon ausgehen, dass allein die Ergänzung von Datenbanken um einen geringen Anteil Daten dazu führt, dass ein neues Produkt angeboten wird. Ausreichend ist nach der Kommission und des Europäischen Gerichts erster Instanz, dass neue wesentliche Merkmale das Produkt kennzeichnen, die auf eigene Anstrengungen des Lizenzsuchers zurückzuführen sind1. Gerade die Microsoft-Entscheidung2 erscheint vergleichsweise großzügig, wenn es um die Frage geht, ab wann ein neues Produkt vorliegt. 2. Sonstige kartellrechtliche Vorschriften des GWB Ähnliches ergibt sich aus §§ 19 und 20 Abs. 1 GWB. Auch hier sind nach 23 der Literatur und Rechtsprechung Konstellationen denkbar, die zu einer Lizenzierungspflicht führen3. Gerade im Rahmen von § 20 Abs. 3 GWB – d.h. bei sog. relativer Marktmacht – kann der Aspekt der Diskriminierung besonders relevant werden4. 3. Zwangslizenzeinwand Weitestgehend ungeklärt ist nach europäischem Recht einerseits und 24 dem Urheberrecht andererseits, in welchem Umfang einem Unterlassungsanspruch die Lizenzierungspflicht entgegengehalten, wann also ein Zwangslizenzeinwand erhoben werden kann5. Hier gibt es nach deutschem Recht eine mehr oder minder eindeutige 25 Rechtsprechung zu sog. standardessenziellen Patenten, bei denen unter sehr eingeschränkten Bedingungen eine Lizenzierungspflicht bestehen
1 EuG v. 17.9.2007 – Rs. 201/04, Slg. 2007 II-3601 = CRi 2007, 148, Rz. 626 ff., 643 – Microsoft. 2 EuG v. 17.9.2007 – Rs. 201/04, Slg. 2007 II-3601 = CRi 2007, 148, Rz. 621 ff. – Microsoft. 3 Grundlegend BGH v. 13.7.2004 – KZR 40/02, GRUR 2004, 966 – Standard-Spundfaß – m. Anm. Götting, LMK 2004, 226; im Einzelnen ist vielen streitig, insbesondere auch, ob § 19 Abs. 1 oder § 19 Abs. 4 Nr. 4 GWB einschlägig ist (zum Streitstand Klees in Kilian/Heussen, Computerrecht, 31. Ergänzungslieferung 2012, Rz. 57 Fn. 2 m.w.N.; Möschel in Immenga/Mestmäcker, Wettbewerbsrecht: GWB, Bd. 2., § 19, 4. Aufl. 2007, Rz. 218 f.). 4 Vgl. aus Sicht des öffentlichen Rechts VGH Mannheim, GRUR 2013, 821 (822 ff.) – juris (s. dazu auch http://www.zeit.de/2013/24/bundesverfassungsge richt-rechtsdatenbank-juris-monopol). S. weiter OLG Hamburg v. 26.9.2008 – 408 O 131/08, CR 2009, 771 (772 ff.) – Computerreservierungsdienstleistungen. 5 Dazu Immenga/Mestmäcker/Ullrich/Heinemann, EU-Wettbewerbsrecht, 5. Aufl. 2012, Rz. 62; Walz, GRUR Int. 2013, 718 (723 ff.). Grtzmacher
279
§ 20
Kartellrechtliche Grenzen des Schutzes von Datenbanken
kann1. Aber auch diese Rechtsprechung ist derzeit noch unter weiterer Überprüfung durch den EuGH2. Hinterfragt wird in der Literatur insbesondere, ob das Hinterlegungsmodell des BGH entsprechend dessen Orange-Book-Urteil3, d.h. die Pflicht zur Hinterlegung mutmaßlicher Lizenzgebühren, mit dem unionsrechtlichen Effektivitätsgrundsatz vereinbar ist4. Es mag durchaus sein, dass der Zwangslizenzeinwand sogar ausgeweitet wird. 26
Auch was das Urheberrecht anbelangt, fehlt es an einschlägiger, eindeutiger Rechtsprechung. Dieses heißt aber nicht, dass bei entsprechender Lizenzierungsverpflichtung nicht doch zumindest der Einwand gem. § 242 BGB erhoben werden kann, wie auch ältere Rechtsprechung5 zeigt und wie sich ja letztlich auch aus der „Orange Book“-Entscheidung6 ergibt. 4. Sonstige Kartellrechtsaspekte
27
Überhöhte Lizenzpreise für Datenbanken sind mitunter, und zwar gewissermaßen als Minus zur vollständigen Verweigerung, kartellrechtswidrig7. Als Gegenstück zur Lizenzierungsverpflichtung kann im Übrigen Pflicht zur Aufnahme bestimmter Informationen in eine marktbeherrschende Datenbank bestehen8.
III. Zusammenfassung 28
Wie aufgezeigt entwickelt sich die EuGH-Rechtsprechung weg von dem einstigen Dogma, dass eine Behinderung auf einen abhängigen (Sekundär-)Markt erfolgen muss und nur für absolut neue Produkte gilt. Letztlich sind nach der EuGH-Rechtsprechung Zwangslizenzen im weiteren Maße denkbar als nach Entwurf des Art. 11 des Richtlinienvorschlags
1 S. etwa BGH v. 6.5.2009 – KZR 39/06, GRUR 2009, 694 ff. – Orange-Book-Standard; OLG Karlsruhe v. 27.2.2012 – 6 U 126/11, GRUR 2012, 736 (738 f.) – GPRSZwangslizenz II; OLG Düsseldorf v. 6.6.2013 – I-2 U 60/11, 2 U 60/11, juris. 2 LG Düsseldorf v. 21.3.2013 – 4b O 104/12, GRUR-RR 2013, 196 – LTE-Standard. 3 BGH v. 6.5.2009, GRUR 2009, 694 (697 f.) – Orange-Book-Standard. 4 Immenga/Mestmäcker/Ullrich/Heinemann, EU-Wettbewerbsrecht, 5. Aufl. 2012, Rz. 62; s.a. die Kritik der EU-Kommission, Pressemitteilung v. 6.5.2013 (http:// europa.eu/rapid/press-release_IP-13-406_de.htm). 5 In diesem Sinne auch RG v. 29.12.1906 – Rep. I 521/05, RGZ 65, 40 (45); s. auch Möhring/Nicolini/Spautz, UrhG, 2. Aufl. 2000, § 34 Rz. 12: „exceptio doli“. 6 BGH v. 6.5.2009 – KZR 39/06, GRUR 2009, 694 – Orange-Book-Standard. 7 Vgl. etwa OLG Düsseldorf v. 8.6.2011 – VI-U (Kart) 2/11, U (Kart) 2/11, juris; BGH v. 29.6.2010 – KZR 47/07, juris. 8 Vgl. LG Berlin v. 27.4.2004 – 102 O 64/03 Kart –, juris: Verpflichtung der Deutschen Bahn zur Aufnahme konkurrierender Zugverbindungen in ihre Fahrplanauskunftssysteme.
280
Grtzmacher
§ 20
III. Zusammenfassung
der Kommission1. Dieses ist erfreulich. Aus ökonomischer Sicht ist es nämlich alles andere als klar, dass Zwangslizenzen zugunsten von Wettbewerbern auf dem originären Markt schädlich sind, auch wenn keine Pflicht des Marktmächtigen zum Aufbau von Marktstrukturen besteht; denn die doppelte Herstellung von auf Vollständigkeit angelegten Datenbanken ist nicht zwingend wohlfahrtseffizient, geht es doch um nichtrivalisierende Güter sowie mitunter um natürliche Monopole mit sog. Sperr- oder Limitpreisen2.
1 Vgl. COM (93)464 endg., ABl. Nr. C 308 v. 15.11.1993, S. 1 ff. 2 Dazu ausführlich Grützmacher, Urheber-, Leistungs- und Sui-generis-Schutz von Datenbanken, 1999, S. 115 f., 377 ff. Vgl. auch OLG Düsseldorf v. 8.6.2011 – VI-U (Kart) 2/11, U (Kart) 2/11 –, juris, Rz. 57 ff. Grtzmacher
281
§ 21 Der internationale Schutz von Datenbanken im Urheberrecht, insbesondere in der Cloud Rz. I. Einleitung . . . . . . . . . . . . . . . . . . . 1. Die Cloud . . . . . . . . . . . . . . . . . . . . 2. Urheberrechtliche Fragestellungen . . . . . . . . . . . . . . . . . . . II. Urhebervertragsrechtliches Kollisionsrecht . . . . . . . . . . . . . . . 1. Schutzlandprinzip . . . . . . . . . . . . . 2. Anwendung des Schutzlandprinzips auf Datenbanken in der Cloud . . . . . . . . . . . . . . . . . . 3. Auf Cloud-Verträge anwendbares Recht und Urhebervertragsrecht .
1 2 4 5 6 7 8
III. Internationales Datenbank-Urheberrecht . . . . . . . . . . . . . . . . . . . . . 10
Rz. 1. Schutzlandprinzip und Verwertungs- bzw. Verletzungshandlungen . . . . . . . . . . . . . . . . . . a) Sendeland- bzw. Ursprungslandprinzips oder BogschTheorie? . . . . . . . . . . . . . . . . . . . b) Modifizierte Empfangstheorie . 2. Anwendbarkeit der modifizierten Empfangstheorie auf cloud-gestützte Datenbanken. . . . . . . . . . .
11 13 17 19
IV. Daten als Schutzgegenstand – Kollisionsrechtliche Probleme . . . 21 V. Fazit . . . . . . . . . . . . . . . . . . . . . . . . 24
I. Einleitung 1
Cloud-Computing ist heute in aller Munde, verspricht es doch eine überaus effiziente Nutzung der IT-Ressourcen über den Globus hinweg1. Daher verwundert es nicht, dass sowohl Bundesregierung unter der Federführung des Bundeswirtschaftsministeriums als auch die EU-Kommission sich des Themas Cloud-Computing breitflächig angenommen haben, auch um mögliche rechtliche Hindernisse und erforderliche Neujustierungen auszuloten2. Inzwischen liegen auch etliche juristische Abhandlungen zur Frage des Cloud-Computing vor – wenngleich es sich nicht unbedingt um radikale Neuerungen handelt, da das Cloud-Compu-
1 Zur prognostizierten Entwicklung des Cloud-Computing s. Nägele, ZUM 2010, 281 (291). 2 Auf Bundesebene: Das BMWi hat etwa mit dem Projekt „Trusted Cloud“ einen Technologiewettbewerb ins Leben gerufen, um für den Mittelstand und den öffentlichen Sektor Cloud-Lösungen zu entwickeln, http://www.bmwi.de/DE/Ser vice/Wettbewerbe/Archiv/trusted-cloud.html; auf EU-Ebene: s. etwa die European Cloud Strategy (ECS), https://ec.europa.eu/digital-agenda/en/europeancloud-computing-strategy; EU Kommission, Unleashing the Potential of Cloud Computing in Europe, COM(2012) 529 final; so ist die EU-Kommission etwa im Rahmen der ECS eine Partnerschaft mit Wirtschaftsvertretern eingegangen, um Rat in strategischen Fragen bzgl. des Cloud-Computing einzuholen, https:// ec.europa.eu/digital-agenda/en/european-cloud-partnership (alle Links zuletzt abgerufen am 1.8.2013).
282
Spindler
§ 21
I. Einleitung
ting in Gestalt des GRID-Computing als vernetztes und verteiltes Rechnen schon bekannt war1. 1. Die Cloud Der Begriff des Cloud-Computing entzieht sich bislang einer allgemeinen 2 Definition2, da unterschiedliche Technologien unter diesem Begriff zusammengefasst werden3. Grundsätzlich basiert aber jeder Cloud-Dienst auf der Idee, lokale Ressourcen auf Ressourcen eines Netzwerkes auszulagern, um Hard- und Software flexibel entsprechend den derzeit benötigten Anforderungen zur Verfügung gestellt zu bekommen4. Der einzelne Nutzer verwendet dann seinen mit Breitbandanbindung und Internetbrowser (oder spezieller Software) ausgestatteten Rechner lediglich als Client für den Zugang zu dem Dienst, wohingegen die Speicherung und die Verarbeitung seiner Daten in einem Netzwerk mittels Hardware und Softwareressourcen des Netzwerkes – eben in einer „Wolke“ bestehend aus Servern und Diensten – stattfindet5. Die physischen Ressourcen der Hardwarestruktur werden durch den Einsatz von Steuerungssoftware bedarfsgerecht den virtuellen Maschinen zugewiesen6, so dass IT-Infrastrukturen effizienter genutzt werden können7. Das physische Rückgrat eines jeden Cloud-Angebotes bildet dabei ein – nicht selten weltweiter – Verbund aus Servern und Serverfarmen8. Organisatorisch lassen sich beim Cloud-Computing drei Erscheinungsformen ausmachen: PublicClouds, wo ein Anbieter externen Dritten einen Dienst zur Verfügung 1 S. dazu etwa Spindler in Hoffmann/Leible, Vernetztes Rechnen – Softwarepatente – Web 2.0, 2008, S. 21 ff.; Spindler in Hess, Software as a Service: Strategische Perspektiven und praktische Bedeutung, S. 39 ff. 2 Rhoton, Cloud Computing Explained, S. 3, insb. S. 7 mit der Darstellung zahlreicher Definitionsansätze zum Cloud-Computing; Schuster/Reichl, CR 2010, 38; Nägele, ZUM 2010, 281; Niemann/Paul, K&R 2009, 444; ebenfalls mit einem Überblick über verschiedene Definitionsansätze: Bhadani, Cloud Computing and Virtualization, 2011, S. 2 f. 3 Niemann/Hennrich, CR 2010, 686; Funke/Wittmann, ZD 2013, 221 f.; s. dazu auch Rhoton, Cloud Computing Explained, S. 9. 4 Nägele, ZUM 2010, 281; Weichert, DuD 2010, 679; Pohle/Ammann, CR 2009, 273; s. auch gerade zur Abgrenzung zu klassischen Daten-Outsourcing-Technologien Funke/Wittmann, ZD 2013, 221 (222). 5 S. dazu auch Nägele, ZUM 2010, 281 ff.; s. weiter Obenhaus, NJW 2010, 651; Schuster/Reichl, CR 2010, 38 f.; Weichert, DuD 2010, 679; Pohle/Ammann, CR 2009, 273. 6 Braun/Kunze/Nimis/Tai, Cloud Computing, S. 7; Bhadani, Cloud Computing and Virtualization, S. 3 f.; Funke/Wittmann, ZD 2013, 221 (222); Nägele, ZUM 2010, 281; Pohle/Ammann, CR 2009, 273 (274). 7 Niemann/Paul, K&R 2009, 444 f.; Obenhaus, NJW 2010, 651; Niemann/Hennrich, CR 2010, 686; s. auch Braun/Kunze/Nimis/Tai, Cloud-Computing, S. 7 f.; Schulz in Taeger/Wiebe, Inside the Cloud – Neue Herausforderungen für das Informationsrecht (Tagungsband Herbstakademie 2009), S. 403 (404 f.); Armbrust u.a., Above the Clouds: A Berkeley View of Cloud Computing, S. 1. 8 Nägele, ZUM 2010, 281; Pohle/Ammann, CR 2009, 273 (274); Funke/Wittmann, ZD 2013, 221 (222). Spindler
283
§ 21
Internationaler Schutz
stellt, Private-Clouds, wo der Anbieter gleichzeitig Nutzer des Dienstes ist, und Mischkonstellationen zwischen den beiden genannten Typen, die sog. Hybrid-Clouds1. Die Dienste werden üblicherweise unterteilt in „Infrastructure as a Service“ (IaaS)2, „Platform as a Service“ (PaaS) und „Software as a Service“ (SaaS)3. Gängige Anbieter sind derzeit etwa4 Amazon, Google, Salesforce oder Microsoft. 3
Die besonderen Probleme der „Cloud“ resultieren daraus, dass die Daten nicht nur an einem von vornherein bekannten Ort bzw. in einer bekannten IT-Umgebung gespeichert werden, sondern quer über den Globus verteilt auf unterschiedlichen, miteinander verbundenen Systemen5. Ist der Ort aber unbekannt, an dem Daten gespeichert oder verarbeitet werden, wobei sogar nur Datenteile gespeichert sein können, werden Zuordnung und Kontrolle der Datenverarbeitung de facto unmöglich. 2. Urheberrechtliche Fragestellungen
4
Dieser insbesondere für den Datenschutz problematische Umstand bereitet allerdings auch für den urheberrechtlichen Schutz von Datenbanken in internationaler Hinsicht Schwierigkeiten, wenn es etwa um die Anknüpfung an bestimmte Orte und Verletzungshandlungen ebenso wie den Schutz der Datenbanken geht. Zwar handelt es sich keineswegs um völlig neue grundlegende Fragen, doch bedarf es unter Umständen der einen oder anderen Modifizierung, um den Besonderheiten der Cloud gerecht zu werden. Die folgenden Ausführungen konzentrieren sich dabei auf die urheberrechtlichen Besonderheiten; Fragen des schuldrechtlichen Kausalgeschäfts werden im Hinblick auf andere Beiträge ausgeklammert6. 1 Orientierungshilfe – Cloud-Computing, Datenschutzbeauftragte des Bundes und der Länder, Version 1.0 v. 26.9.2011, S. 5, abrufbar unter: http://www.daten schutz-bayern.de/technik/orient/oh_cloud.pdf (zuletzt abgerufen am 1.8.2013); ausführlich dazu Braun/Kunze/Nimis/Tai, Cloud Computing, S. 25 ff.; Armbrust u.a., Above the Clouds: A Berkeley View of Cloud Computing, S. 1. 2 IaaS stellt dem Nutzer Hardwareressourcen zur eigenen Verwendung zur Verfügung, also etwa Rechenleistung, Massenspeicher usw., Braun/Kunze/Nimis/ Tai, Cloud Computing, S. 29 f.; Niemann/Paul, K&R 2009, 444 (445); Bierekoven, ITRB 2010, 42 (43); Nägele, ZUM 2010, 281 (282). 3 Orientierungshilfe – Cloud-Computing, Datenschutzbeauftragte des Bundes und der Länder, Version 1.0 v. 26.9.2011, S. 4, abrufbar unter: http://www.daten schutz-bayern.de/technik/orient/oh_cloud.pdf (zuletzt abgerufen am 1.8.2013); ausführlich zu SaaS, PaaS und IaaS Rhoton, Cloud Computing Explained, S. 19 ff.; s. weiter Braun/Kunze/Nimis/Tai, Cloud Computing, S. 27 ff., die daneben noch „Human as a Service“ (HaaS) aufführen; s. weiter Schuster/Reichl, CR 2010, 38 f.; Gaul/Köhler, BB 2011, 2229. 4 Braun/Kunze/Nimis/Tai, Cloud Computing, S. 39 ff. 5 Schuster/Reichl, CR 2010, 38 (41); Nordmann, MMR 2010, 151; s. auch Niemann/Paul, K&R 2009, 444 (448); Heidrich/Wegener, MMR 2010, 803 (806); Funke/Wittmann, ZD 2013, 221 (222). 6 Auch hier handelt es sich keineswegs um neue Phänomene – die Parallelen zu Host-Providing- und Access-Providingverträgen liegen auf der Hand (ausführlich
284
Spindler
§ 21
II. Urhebervertragsrechtliches Kollisionsrecht
II. Urhebervertragsrechtliches Kollisionsrecht Internationale Lizenzverträge über Datenbanken als Sui-generis-Rechte 5 gem. §§ 87a ff. UrhG unterfallen den gleichen Prinzipien wie internationale Lizenzverträge. Weder die Datenbankrichtlinie der EU1 noch das deutsche Urheberrecht enthalten hier spezifische Abweichungen vom internationalen Urhebervertragsrecht. Demgemäß können zwischen Unternehmen ohne weiteres Rechtswahlklauseln vereinbart werden; ebenso gelten aber auch die zwingenden Normen des deutschen Urhebervertragsrechts im Hinblick auf das Sui-generis-Recht, da die Datenbankrichtlinie sich näherer Regelungen der Lizenzverträge enthält, sondern nur in Art. 7 Abs. 3 festhält, dass das Sui-generis-Recht Gegenstand von „vertraglichen Lizenzen“ sein kann. Nur die von der Datenbankrichtlinie aufgestellten Schranken erklärt Art. 15 für nicht abdingbar. Somit sind neben der speziellen Datenbankregelung des § 87e UrhG für internationale Lizenzverträge über Datenbanken etwa auch der § 31a UrhG bzgl. unbekannter Nutzungsarten und – gem. § 32b UrhG – die §§ 32, 32a UrhG bzgl. der angemessenen Vergütung und weiteren Beteiligung des Urhebers anwendbar – selbst wenn die Parteien eine Rechtswahl getroffen haben2. Spezifische Probleme kann allerdings der Umstand hervorrufen, dass Sui-generis-Datenbankenrechte weitgehend nur in der EU verankert sind, nicht aber in den USA. 1. Schutzlandprinzip Aufgrund des Schutzlandprinzips, wonach Urheber- und vergleichbare 6 Leistungsschutzrechte nur entsprechend der Rechtsordnung behandelt werden, in der sie geltend gemacht werden3, kann daher die Situation eintreten, dass Datenbankenrechte (als Sui-generis-Rechte) nur für die EU geltend gemacht werden können, demgemäß auch die zwingenden urhebervertragsrechtlichen Bestimmungen nur für dieses Territorium einschlägig sind, für die Verwendung der Datenbanken in den USA (oder anderen Ländern) jedoch nicht. Letztlich muss daher in internationalen Lizenzverträgen je nach Territorium auch hinsichtlich der vertragsrechtdazu Spindler in Spindler, Vertragsrecht der Internetprovider, S. 239 ff.), zur vertragstypologischen Einordnung s. zudem Borges/Brennscheidt in Borges/ Schwenk, Daten- und Identitätsschutz in Cloud-Computing, E-Government und E-Commerce, S. 53 ff.; Splittgerber/Rockstroh, BB 2011, 2179 f.; Niemann/ Paul, K&R 2009, 444 (446 f.); Pohle/Ammann, CR 2009, 273 (274 ff.); zusammenfassend Wicker, MMR 2012, 783. 1 Richtlinie 96/9/EG des Europäischen Parlaments und des Rates v. 11.3.1996 über den rechtlichen Schutz von Datenbanken, ABl. (EG) L 77, S. 20. 2 S. ausf. Nordemann, in Loewenheim, Hdb. des UrhR, § 60 Rz. 2; Walter in Loewenheim, Hdb. des UrhR, § 57 Rz. 150; Castendyk, in Loewenheim, Hdb. des UrhR, § 75 Rz. 111, § 74 Rz. 95. 3 Ausf. zum Schutzlandprinzip s. Pfeiffer/Weller/Nordmeier in Spindler/Schuster, Recht der elektronischen Medien, Art. 8 Rom II Rz. 4 f.; v. Welser in Wandtke/ Bullinger, UrhR, Vor §§ 120 ff. Rz. 4 ff.; Dreier in Dreier/Schulze, UrhG, Vor §§ 120 ff. Rz. 28. Spindler
285
§ 21
Internationaler Schutz
lichen (zwingenden) Regelungen differenziert, zumindest bedacht werden, dass sich nationales Urhebervertragsrecht hier gegenüber in anderen Ländern nicht geschützten Datenbankstrukturen durchsetzen kann. 2. Anwendung des Schutzlandprinzips auf Datenbanken in der Cloud 7
Für Datenbanken in der Cloud können sich daraus intrikate Probleme ergeben: Rechte können nur eingeräumt werden, wenn sie in einem Land auch existieren, so dass der verfügende Teil des Lizenzvertrages für die Sui-generis-Rechte nur für die EU gelten kann. Soll eine Datenbank aber in einer Cloud abgespeichert werden, bedarf es zwingend (zumindest) der Einräumung der Vervielfältigungsrechte. Sofern daher eine Cloud jedenfalls auch Rechner, die in der EU belegen sind, einsetzt, müssen daher entsprechende Rechteeinräumungen im Vertrag enthalten sein. Dies gilt gem. § 87b bzw. Art. 7 Abs. 2 lit. a, b Datenbankrichtlinie auch, wenn nicht die Datenbank insgesamt, sondern nur wesentliche Teile einer Datenbank betroffen sind1. Da aber nach der Grundkonzeption des CloudComputing kaum vorhersehbar ist, wo auf welchem Rechner welcher Teil einer Datenbank abgespeichert wird, müssen diese Rechte rein vorsorglich eingeräumt werden2, außer der Cloud-Anbieter schließt von vornherein Rechner im Gebiet der EU aus seinem Angebot aus. Demgegenüber dürften die zwingenden Regelungen zum Schutz des Urhebers im Urhebervertragsrecht kaum eine Rolle für Verträge zwischen Datenbankhersteller und Cloud-Anbieter spielen, sofern es nur um die Abspeicherung der Datenbanken in der Cloud geht und der Cloud-Anbieter quasi nur ein Erfüllungsgehilfe für den Datenbankanbieter ist. Denn hier erhält der Cloud-Anbieter eine Zahlung und nicht der Schöpfer der Datenbank; eine eigenständige wirtschaftliche Verwertung findet in diesen Konstellationen durch den Cloud-Anbieter gerade nicht statt.
1 Ausf. dazu, wann ein wesentlicher Teil anzunehmen ist: Dreier in Dreier/Schulze, UrhG, § 87b Rz. 5 ff.; Thum in Wandtke/Bullinger, UrhR, § 87b Rz. 12 ff.; eine Ausnahme gilt jedoch unter den Voraussetzungen des § 87b Abs. 1 Satz 2 UrhG bzw. Art. 7 Abs. 5 Datenbank-RL, dazu ausf.: Dreier in Dreier/Schulze, UrhG, § 87b Rz. 9 ff.; Thum in Wandtke/Bullinger, UrhR, § 87b Rz. 60 ff. 2 Ausf. dazu, wann in Bezug auf Datenbanken eine Vervielfältigung bzw. – in der Terminologie des Art. 7 Abs. 2 Satz 2 der Datenschutz-RL – eine Entnahme vorliegt, s. Dreier in Dreier/Schulze, UrhG, 4. Aufl. 2013, § 87b Rz. 2 ff.; Thum, in Wandtke/Bullinger, UhrR, 3. Aufl. 2009, § 87b Rz. 34 ff.; im Gegensatz zu der Vervielfältigung von Software stellt sich in aller Regel nicht das Problem der Möglichkeit der Vervielfältigung auf Nutzerseite. S. dazu den Überblick bei Borges/Brennscheidt, Rechtsfragen des Cloud-Computing – ein Zwischenbericht, in Borges/Schwenk, Daten- und Identitätsschutz in Cloud-Computing, E-Government und E-Commerce, S. 51; s. ferner Schuster/Reichl, CR 2010, 38 (40 f.).; Bierekoven, ITRB 2010, 42 (43); Niemann/Paul, K&R 2009, 444 (448).
286
Spindler
§ 21
II. Urhebervertragsrechtliches Kollisionsrecht
3. Auf Cloud-Verträge anwendbares Recht und Urhebervertragsrecht Aber nicht nur im unternehmerischen Verkehr spielen Cloud-Anwen- 8 dungen heutzutage eine Rolle: Denn Cloud-Verträge werden auch mit „normalen“ Usern geschlossen, die häufig als Verträge zwischen Unternehmern und Verbrauchern zu qualifizieren sein werden, so dass ohne Rechtswahl nicht allein auf den Erfüllungs- bzw. Leistungsort abzustellen ist. Vielmehr greift nach Art. 6 Abs. 1 lit. a Rom-I-VO zwingend das Recht des Staates ein, in dem der Verbraucher seinen gewöhnlichen Aufenthaltsort hat. Dabei spielt anders als noch nach Art. 29 EGBGB a.F. die Frage keine Rolle mehr, ob Onlineprodukte als körperliche Produkte einzuordnen sind, da Art. 6 Abs. 1 Rom-I-VO auf jegliche Leistungen Anwendung findet1. Dies trifft erst recht für das Cloud-Computing zu2. Wurde jedoch eine grundsätzlich zulässige Rechtswahl i.S.d. Art. 3 Rom-I-VO getroffen, bleiben nach Art. 6 Abs. 2 Satz 2 Rom-I-VO alle schützenden Normen anwendbar, die dem Verbraucher ohne Rechtswahl zwingend zustehen würden. Die Cloud-Computing-Verträge machen hier keinerlei Ausnahme, so dass sämtliche verbraucherschützenden Vertragsnormen, insbesondere die AGB-Inhaltskontrolle hier Anwendung finden3. Auch hier sind daher im Vergleich zu den „klassischen“ Internetverträgen keine Besonderheiten zu verzeichnen, sondern vielmehr die hierfür entwickelten Kriterien einschlägig4. Auch aus urhebervertragsrechtlicher Sicht ergeben sich daher keine Be- 9 sonderheiten für Datenbanken in Clouds: Zum einen finden völlig unabhängig von der Qualität eines Cloud-Nutzers – ob Verbraucher oder Unternehmer – die zwingenden urhebervertraglichen Normen Anwendung, so dass in den – wohl eher seltenen – Fällen der Abspeicherung einer Datenbank eines Verbrauchers in der Cloud wiederum die Verwertungsrechte eingeräumt werden müssen. Zum anderen ist in der umgekehrten Konstellation, dass ein Verbraucher eine cloud-basierte Datenbank nutzt, das schuldrechtliche Leistungsverhältnis zwischen Datenbankanbieter und Verbraucher relevant; die Tatsache, dass die Datenbank cloud-gestützt angeboten wird, spielt für die Anwendung des zwingenden Verbraucherschutzrechts keine Rolle.
1 Zu Recht Leible/Lehmann, RIW 2008, 528 (537); Pfeiffer/Weller/Nordemeier in Spindler/Schuster, Recht der elektronischen Medien, Art. 6 Rom-I-VO Rz. 6, je m.w.N. 2 Statt vieler Nordmeier, MMR 2010, 151 (152). 3 Splittgeber/Rockstroh, BB 2011, 2179 (2184); s. ferner zur AGB-Kontrolle bei Cloud-Verträgen in Bezug auf Service-Level-Agreements und den darin enthaltenen Haftungsbeschränkungen, wenn die Leistung nicht zu 100 % erbracht wird: Niemann/Paul, K&R 2009, 444 (447 f.); Pohle/Ammann, K&R 2009, 625 (627). 4 S. dazu schon Spindler in Spindler, Vertragsrecht der Internet-Provider, S. 239 ff.; Schuster/Reichl, CR 2010, 38 (40 f.). Spindler
287
§ 21
Internationaler Schutz
III. Internationales Datenbank-Urheberrecht 10
Wie bereits angedeutet, unterfallen auch Datenbanken als nach §§ 87a ff. UrhG geschützte Leistungsschutzrechte (sui generis) dem in Art. 8 ROM-II-VO normierten Schutzlandprinzip1, was der weitgehenden Gleichstellung zu den Urheberrechten entspringt. Auch der EuGH hat erst jüngst explizit anerkannt, dass das Sui-generis-Recht in seinem Umfang sich nach der Rechtsordnung des EU-Mitgliedstaates richtet, in dem es beansprucht wird2. „In diesem Kontext ist der nach den Rechtsvorschriften eines Mitgliedstaats vorgesehene Schutz durch das Schutzrecht sui generis grundsätzlich auf das Gebiet dieses Mitgliedstaats beschränkt, so dass der Begünstigte diesen Schutz nur gegenüber unerlaubten Handlungen der Weiterverwendung geltend machen kann, die in diesem Gebiet stattfinden.“3 „Drittens ist nach Art. 8 der Verordnung Nr. 864/2007 auf außervertragliche Schuldverhältnisse aus einer Verletzung von Rechten des geistigen Eigentums, die, wie das durch die Richtlinie 96/9 geschaffene Schutzrecht sui generis, nicht ‚gemeinschaftsweit einheitlich‘ i.S.v. Art. 8 Abs. 2 sind (vgl. Rz. 24 bis 26 des vorliegenden Urteils), gem. Art. 8 Abs. 1 ‚das Recht des Staates anzuwenden, für den der Schutz beansprucht wird.“4
1. Schutzlandprinzip und Verwertungs- bzw. Verletzungshandlungen 11
Wiederum könnte für Datenbanken, die in der Cloud gespeichert sind, die Frage entstehen, wo sie belegen sind – indes ist dies keine Frage der Geltung des Schutzlandprinzips, sondern der jeweiligen Verwertungsund Verletzungshandlungen: In Betracht kommen hier – wie üblich – vor allem das Recht auf Vervielfältigung der Datenbank und der öffentlichen Zugänglichmachung, in der Terminologie der Datenbankrichtlinie der „Weiterverwendung“, Art. 7 Abs. 2 lit. b Richtlinie 96/9, was der EuGH weit auslegt, als „jede vom Hersteller der durch dieses Schutzrecht sui generis geschützten Datenbank nicht erlaubte Handlung […], die darin besteht, den Inhalt der Datenbank ganz oder teilweise in der Öffentlichkeit zu verbreiten.“5 Auch hier folgt das Sui-generis-Recht des Datenbankherstellers den üblichen kollisionsrechtlichen Prinzipien des inter-
1 So ausdrücklich genannt in Erwägungsgrund 26 der Rom-II-Verordnung; s. auch Fezer/Koos in Staudinger, BGB, EGBG/IPR Rz. 877. 2 EuGH v. 18.10.2012 – Rs. C-173/11, GRUR-Int. 2012, 1113 (1115) – Football Dataco ./. Sportradar Rz. 27. 3 EuGH v. 18.10.2012 – Rs. C-173/11. GRUR-Int. 2012, 1113 (1115) – Football Dataco ./. Sportradar Rz. 27 unter Verweis auf EuGH v. 19.4.2012 – Rs. C-523/103 = EuZW 2012, 513 (514) – Wintersteiger Rz. 25. 4 EuGH v. 18.10.2012 – Rs. C-173/11, GRUR-Int. 2012, 1113 (1115) – Football Dataco ./. Sportradar Rz. 31. 5 EuGH v. 18.10.2012 – Rs. C-173/11, GRUR-Int. 2012, 1113 (1114) – Football Dataco ./. Sportradar Rz. 20 unter Verweis auf EuGH v. 9.11.2004 – Rs. C-203/021, EuZW 2004, 757 (760 ff.) – The British Horseracing Board u.a. Rz. 45, 46, 51 und 67.
288
Spindler
§ 21
III. Internationales Urheberrecht
nationalen Urheber(privat)rechts, die für internetbezogene Verletzungshandlungen leicht zu modifizieren sind1: Für eine Vervielfältigung, die eine Übernahme der wesentlichen Struktu- 12 ren der Datenbanken voraussetzt und für die der EuGH recht weite Kriterien anwendet2, kommt derjenige Ort als Handlungs-, aber auch gleichzeitig Erfolgsort zur Anwendung, an dem die Kopie der Datenbank entsteht3. Probleme können allenfalls dann entstehen, wenn der Nutzer der Datenbank Kopien wiederum in der Cloud anfertigt, denen kein genauer Ort zugewiesen werden kann – hierauf ist im Rahmen des Internationalen Deliktsrechts zurückzukommen. a) Sendeland- bzw. Ursprungslandprinzips oder Bogsch-Theorie? Schwieriger ist die Rechtslage zu beurteilen, wenn die Rechte der öffent- 13 lichen Wiedergabe, insbesondere das Recht der öffentlichen Zugänglichmachung, §§ 87b Abs. 1, 19a UrhG, in Rede stehen. Indes: auch hier weist das Sui-generis-Recht des Datenbankherstellers keine Besonderheiten gegenüber traditionellen Urheberrechten auf. So standen sich schon frühzeitig in der Diskussion die Positionen des reinen Sendeland- bzw. Ursprungslandprinzips einerseits, wie es etwa in der SatellitenrundfunkRichtlinie zum Ausdruck kam, und die (radikale) Bogsch-Theorie des Empfangslands andererseits gegenüber, das gerade für Rundfunksendungen jede Rechtsordnung für zuständig erklärte, in der eine Sendung auch nur empfangen werden konnte4. Die Diskussion wurde auf Internetsachverhalte entsprechend übertragen, hinsichtlich der Bogsch-Theorie vor allem mit dem Argument, dass der Sender (bzw. Inhaltsanbieter) selbst bestimmen könne, wer die Inhalte abrufen könne, so dass bei mangelndem Ausschluss bestimmter Länder kein Grund ersichtlich sei, dem Anbieter die Verletzungen nicht zuzurechnen5. Diese auf die manifestierten (nicht rein subjektiven) Intentionen des Anbieters abzielende Argumentation hat inzwischen zu Recht Gefolgschaft beim EuGH in der Entscheidung Football Dataco/Sportradar gefunden, interessanterweise zuerst für 1 Dazu bereits Spindler, IPrax 2003, 412 (415 ff.). 2 Indem es nicht auf die Methode der Übernahme ankommen soll, etwa auch manuelle Übernahme aus einer bestehenden Datenbank, s. EuGH v. 21.10.2010 – Rs. C-467/08 – Padawan Rz. 44; zuvor BGH, MMR 2007, 589 (590) – Gedichttitelliste. 3 Spindler, IPrax 2003, 412 (416); Sack, WRP 2000, 269 (277); Katzenberger in Schricker/Loewenheim, UrhR, Vor §§ 120 ff. Rz. 145; a.A. Mankowski, RabelsZ 63 (1999), 203 (268). 4 S. zum Streit Katzenberger in Schricker/Loewenheim, UrhR, Vor §§ 120 ff. Rz. 141 mit zahlr. w. Nachw.; ferner Nägele, ZUM 2010, 281 (284 f.). 5 Katzenberger in Schricker/Loewenheim, UrhR, Vor §§ 120 ff. Rz. 145 m. zahlr. w. Nachw.; Mankowski, RabelsZ 63 (1999), 203 (244); weiter Pfeiffer/Weller/ Nordmeier in Spindler/Schuster, Recht der elektronischen Medien, Art. 8 RomII-VO Rz. 9; Drexl in MünchKomm/BGB, Internationales Immaterialgüterrecht Rz. 251; Dreier in Dreier/Schulze, UrhG, Vor § 120 Rz. 41; Bortloff, GRUR-Int. 2003, 669 (678 f.). Spindler
289
§ 21
Internationaler Schutz
das hier in Rede stehende Sui-generis-Datenbankrecht und für das einschlägige Kriterium der „Weiterverwendung“ nach Art. 7 Abs. 2 lit. b der Datenbankrichtlinie: „Die Lokalisierung einer Handlung der Weiterverwendung im Gebiet des Mitgliedstaats, in den die betreffenden Daten gesendet werden, hängt vom Vorliegen von Anhaltspunkten ab, die den Schluss zulassen, dass diese Handlung die Absicht der sie vornehmenden Person erkennen lässt, die Personen, die sich in diesem Gebiet befinden, gezielt anzusprechen (vgl. entsprechend Urteile Pammer und Hotel Alpenhof, Rz. 75, 76, 80 und 92, L’Oréal u.a., Rz. 65, sowie Donner, Rz. 27 bis 29).“1
14
Der EuGH erteilt ausdrücklich der reinen Empfangstheorie eine Absage2: „Zu berücksichtigen ist jedoch auch, dass sich dieses Verfahren der öffentlichen Verfügbarmachung von den traditionellen Arten der Verbreitung grundsätzlich durch die Ubiquität des Inhalts einer Website unterscheidet, die nämlich von einer unbestimmten Zahl von Internetnutzern überall auf der Welt unmittelbar aufgerufen werden kann, unabhängig davon, ob es in der Absicht des Betreibers dieser Website lag, dass sie außerhalb seines Sitzmitgliedstaats aufgerufen wird, und ohne dass er Einfluss darauf hätte (vgl. in diesem Sinne Urteile vom 7.12.2010, Pammer und Hotel Alpenhof, C-585/08 und C-144/09, Slg. 2010, I-12527, Rz. 68, sowie vom 25.10.2011, eDate Advertising und Martinez, C-509/09 und C-161/105, noch nicht in der amtlichen Sammlung veröffentlicht, Rz. 45). Infolgedessen lässt sich nicht schon aus der bloßen Zugänglichkeit der die betreffenden Daten enthaltenden Website im Gebiet eines bestimmten Staates darauf schließen, dass der Betreiber dieser Website eine Handlung der Weiterverwendung vornimmt, die dem in diesem Gebiet im Bereich des Schutzes durch das Schutzrecht sui generis geltenden nationalen Recht unterliegt (vgl. entsprechend Urteile Pammer und Hotel Alpenhof, Rz. 69, sowie vom 12.7.2011, L’Oréal u.a., C-324/096, noch nicht in der amtlichen Sammlung veröffentlicht, Rz. 64). Würde nämlich die bloße Zugänglichkeit den Schluss zulassen, dass eine Handlung der Weiterverwendung vorliegt, unterlägen Websites und Daten, die, obwohl offensichtlich an Personen außerhalb des Gebiets des betreffenden Mitgliedstaats gerichtet, gleichwohl dort technisch zugänglich sind, ungerechtfertigterweise dem einschlägigen in diesem Gebiet geltenden Recht (vgl. entsprechend Urteil L’Oréal u.a., Rz. 64).“
15
Ebenso deutlich verwirft der EuGH aber auch die reine Sendelandauffassung in ihrer radikalen Version, die nur auf den Standort eines Servers abstellt (und nicht auf den Wohnsitz des Betreibers). Der EuGH betont hier völlig zu Recht, dass „… diese Auffassung nämlich bedeuten (würde), dass auf den Betreiber, der ohne Zustimmung des Herstellers der durch das Schutzrecht sui generis geschützten Datenbank nach dem Recht eines bestimmten Mitgliedstaats den Inhalt dieser Datenbank online weiterverwendet und dabei die Öffentlichkeit in diesem Mitgliedstaat gezielt anspricht, sein nationales Recht allein deshalb nicht anzuwenden wäre, weil sich der Server des Betreibers außerhalb des Gebiets dieses Staates befindet. Dadurch würde die praktische Wirksamkeit des Schutzes der Datenbank
1 EuGH v. 18.10.2012 – Rs. C-173/11, GRUR-Int. 2012, 1113 (1116) – Football Dataco ./. Sportradar Rz. 39. 2 EuGH v. 18.10.2012 – Rs. C-173/11, GRUR-Int. 2012, 1113 (1115) – Football Dataco ./. Sportradar Rz. 35 f.
290
Spindler
§ 21
III. Internationales Urheberrecht
durch das betreffende nationale Recht beeinträchtigt (vgl. entsprechend Urteil L’Oréal u.a., Rz. 62).“1
Vor allem die Verlegung von Servern in Drittstaaten außerhalb der EU, 16 die aber unter Kontrolle eines Betreibers in der EU stünden, würde bei einer radikalen Sendelandtheorie zu entsprechenden Verwerfungen führen2. b) Modifizierte Empfangstheorie Demnach kommt eine Art modifizierte Empfangstheorie zur Anwen- 17 dung, die der EuGH schon in Verbraucherschutzsachen3 ebenso wie beim allgemeinen Persönlichkeitsrecht4 anwandte – wobei allerdings hier andere Wertungskriterien Anwendung finden, was der EuGH nicht weiter thematisiert. So kann bei vertragsrechtlichen Problemen mit Fug und Recht für die Ausrichtung einer Website auf potentielle Konsumenten damit argumentiert werden, dass der Anbieter es in der Hand hat, mit wem er einen Vertrag abschließen will5. Gleiches gilt grundsätzlich für vorbereitende Rechtsakte, etwa der Werbung im Bereich der unlauteren Werbung (Marktortprinzip)6. Im Bereich des allgemeinen Persönlichkeitsrecht treten dagegen andere Wertungen hervor, hier, dass der Verletzer in etwa weiß, in welchen Kreisen sich sein potentielles Opfer bewegt, insbesondere an welchen Orten, so dass grundsätzlich der gewöhnliche Aufenthaltsort für die Anknüpfung der deliktischen Handlung zugrunde gelegt werden kann7. Damit kann indes das Senderecht bzw. das Recht der öffentlichen Zu- 18 gänglichmachung nicht ohne weiteres verglichen werden: Denn hier geht es im Kern um deliktische Handlungen gegenüber einem Rechtsinhaber, für die es im Prinzip einerlei ist, ob der Verletzer wusste, wo das Rechtsgut belegen ist bzw. wo der Erfolg eintritt. Anders formuliert ist es begründungsbedürftig, warum dem Rechtsverletzer die Möglichkeit der Steuerung von Rechtsanwendungsrisiken eröffnet sein sollte. Ansatzpunkt muss hier indes ähnlich wie im Medienrecht sein, dass anders als bei meist nur bilateral wirkenden Verletzungshandlungen (Verletzer – 1 EuGH v. 18.10.2012 – Rs. C-173/11, GRUR 2012, 1113 (1116) – Football Dataco ./. Sportradar Rz. 45. 2 EuGH v. 18.10.2012 – Rs. C-173/11, GRUR 2012, 1113 (1116) – Football Dataco ./. Sportradar Rz. 46. 3 EuGH v. 7.12.2010 – Rs. C-585/08, C-144/09 – Pammer/Reederei Karl Schlüter GmbH & Co. KG = EuZW 2011, 98, m. Anm. Clausnitzer. 4 EuGH v. 25.10.2011 – Rs. C-509/09 und C-161/10 – eDate Advertising, zuvor BGH, GRUR 2010, 261 – rainbow.at. 5 S. schon Mankowski, RabelsZ 63 (1999), 203 (244); statt vieler m.w.N.: Busche in MünchKomm/BGB, Vor § 145 Rz. 2; BeckOKBGB/Spickhoff, VO (EG) 593/2008 Art. 6 Rz. 25 f. 6 S. ausf. Köhler in Köhler/Bornkamm, UWG, Einl. Rz. 5.39 ff.; Ahrens in Gloy/ Loschelder/Erdmann, Wettbewerbsrecht, § 68 Rz. 43 jew. m.w.N. 7 Dazu Spindler, AfP 2012, 114 (116 f.); W.-H. Roth, IPRax 2013, 215 (218 ff.). Spindler
291
§ 21
Internationaler Schutz
Opfer) sich eine Vielzahl von „Erfolgen“ (Schäden) und damit anwendbaren Rechtsordnungen ergeben können, wenn der reine Empfang maßgeblich wäre. Gerade sog. „Spill-over“-Effekte wären sonst vom Rechtsverletzer zu tragen – mit der Folge, dass unter Umständen gerade im Internet sozialadäquat erwünschte Handlungen unterlassen würden. Daher erscheint es durchaus gerechtfertigt, den im Prinzip aus dem Medienrecht stammenden Gedanken der Steuerbarkeit der Handlungen und damit auch des Erfolgsortes für Internetdelikte zu verallgemeinern – damit auch für urheberrechtlich relevante Handlungen im Bereich der öffentlichen Wiedergabe, um so zu einem interessengerechten Ausgleich zwischen potentiellem Rechtsverletzer und Geschädigtem zu gelangen, jedenfalls dann, wenn es um multilaterale bzw. Multipoint-Delikte und nicht rein bilaterale Schädigungen geht. Durch die sonst eintretende Globalität unterscheiden sich diese Delikte auch von sonstigen sog. Multistate-Delikten1. 2. Anwendbarkeit der modifizierten Empfangstheorie auf cloud-gestützte Datenbanken 19
Wendet man diese Grundsätze auf cloud-gestützte Datenbanken an, ergeben sich keine Abweichungen gegenüber herkömmlichen Fällen, in denen eine Datenbank nur an einem Ort gespeichert wird. Entscheidend ist nämlich demnach nur, ob die wesentliche Entnahme aus der Datenbank oder deren anderer zugänglich gemachten Infrastruktur durch einen Dritten bestimmungsgemäß in dem Land empfangbar ist. Wo und wie die Datenbank zusammengesetzt wurde, um sie abrufbar zu machen, ist demgemäß völlig irrelevant. Anders formuliert: Hat der Verletzer die „kopierte“ Datenbank Dritten in dem jeweiligen Land bestimmungsgemäß „empfangbar“ gemacht, so ist auch diese Rechtsordnung berufen, über Verletzungshandlungen und entsprechende Ansprüche zu befinden2.
20
Auch im umgekehrten Fall, in welchem eine Datenbank durch entsprechende Veröffentlichung durch einen Dritten in der Cloud verletzt wird, kommt es für die Rechte der öffentlichen Wiedergabe (bzw. §§ 87b Abs. 1, 19a UrhG) auf den bestimmungsgemäßen Empfang an – die Cloud spielt hier keine besondere Rolle. Nur für die Vervielfältigungsrechte kann es auf die Belegenheit überhaupt ankommen, was noch zu vertiefen sein wird.
1 Zu diesen s. Drexl in MünchKomm/BGB, Internationales Immaterialgüterrecht Rz. 232 ff.; Fezer/Koos in Staudinger, BGB, EGBGB Rz. 711 ff.; ferner Pichler in Hoeren/Sieber/Holznagel, Multimedia-Recht, Teil 25 Rz. 200. 2 EuGH v. 18.10.2012 – Rs. C-173/11, GRUR-Int. 2012, 1113 (1115) – Football Dataco ./. Sportradar Rz. 34.
292
Spindler
§ 21
IV. Daten als Schutzgegenstand – Kollisionsrechtliche Probleme
IV. Daten als Schutzgegenstand – Kollisionsrechtliche Probleme Im Vordergrund standen bislang Verletzungen von Datenbankstrukturen 21 „as such“ – der Schutz der für viele Nutzer viel wichtigeren Daten war dagegen nicht Gegenstand der Diskussion. Ohne an dieser Stelle die intensive Diskussion zu führen, ob und wie Daten überhaupt deliktisch geschützt werden können1, soll im Folgenden kurz die Frage beleuchtet werden, welche Anknüpfungen für die Verletzung von Daten aus international-privatrechtlicher Sicht relevant sein können. Zunächst kommen aus vertragsrechtlicher Sicht die jeweiligen Schutz- 22 pflichten des Cloud-Anbieters in Betracht, die völlig unabhängig sind von der Qualifizierung als Rechtsgut i.S.v. § 823 Abs. 1 BGB2. Zwar ist wiederum im Verhältnis zwischen Unternehmen eine Rechtswahl möglich, so dass dieses Schutzniveau je nach Rechtsordnung abgesenkt werden kann – nicht jedoch hinsichtlich des Schutzes von normalen Nutzern bzw. Verbrauchern, da in diesem Fall entgegen der Rechtswahl das Günstigkeitsprinzip zur Anwendung kommt3. Denn auch spezifische Schutzpflichten, zumal sie vertragswesentliche Gegenstände, nämlich den Schutz der Integrität der in der Cloud gespeicherten Daten, betreffen, mithin Kardinalpflichten bilden, können kaum durch AGB-rechtliche Bestimmungen abbedungen werden4, zumal die AGB-Inhaltskontrolle nach §§ 307 ff. BGB zum zwingend eingreifenden Verbraucherschutz gehört. Schwieriger sind die international-deliktsrechtlichen Probleme zu beur- 23 teilen: Wie schon angedeutet, kommt es für den Schutz der Integrität von Daten darauf an, wo diese belegen sind (sofern man überhaupt einen deliktischen Schutz von Daten annimmt5). Denn die klassischen Rechte nach § 823 Abs. 1 BGB wie Eigentum oder Besitz haben einen physischräumlichen Bezug, mehr noch als Immaterialgüterrechte6. Zu Recht wird darauf hingewiesen, dass allein auf den Zielrechner des Datenabrufs nicht abgestellt werden kann, da dieser seine volle Funktionalität be-
1 Eingehend dazu Bartsch, § 22; ausführlich dazu ferner Spindler in Lorenz, Haftung und Versicherung im IT-Bereich, S. 3, 48 ff. 2 S. dazu ausführlich Bartsch, § 22. 3 Lutz, Vertragsrechtliche Fragen des Cloud-Computing, S. 5; Niemann/Paul, K&R 2009, 444 (446); Härting/Schätzle, ITRB 2011, 40 (42); Schulz/Rosenkranz, ITRB 2009, 232 (236); zur Anwendbarkeit von Art. 6 Rom-I-VO s. oben Rz. 8. 4 Spindler in Lorenz, Haftung und Versicherung im IT-Bereich, S. 3, 46 f. m.w.N. 5 S. dazu Spindler in BeckOK/BGB, § 823 Rz. 93. 6 Auch wenn diese durchaus durch Verkörperung oft erst geschützt werden, was allein schon der Werkbegriff als Ausdruck einer Idee zeigt, während diese oder Algorithmen gerade nicht geschützt werden; s. zum Verkörperungsbezug Wagner in MünchKomm/BGB, § 823 Rz. 165, 206; Koch in Lorenz, Haftung und Versicherung im IT-Bereich, S. 121 ff.; eingehend Berberich, Virtuelles Eigentum, S. 86 ff.; s. auch Hoeren, MMR 2013, 486 (488 ff.). Spindler
293
§ 21
Internationaler Schutz
hält1. Dies ändert jedoch nichts daran, dass sich die Daten keineswegs „freischwebend“ im Raum befinden, sondern gerade eben auf einem Speicher elektronisch festgelegt sind, mithin deren Aggregatzustand verändert wurde2. Die daraus resultierende Konsequenz einer Mosaikbetrachtung, die gerade in der Cloud einträte, da die Daten auf zahlreichen Servern und damit Erfolgsorten verteilt sind, wäre indes mehr als unpraktikabel3. Es liegt daher nahe, um Manipulationen des Erfolgsortes sowohl seitens des Schädigers als auch des Geschädigten zu begegnen, auf die Ausweichklausel von Art. 4 Abs. 3 Rom-II-VO abzustellen, um eine etwaige andere engere Verbindung zu finden. Allerdings fällt es schwer, eine solche engere Verbindung zu finden, da der Schädiger von cloud-basierten Daten in der Regel nichts mit dem Geschädigten zu tun hat. Zwar wird hier die Anknüpfung an das Vertragsstatut zwischen Cloud-Anbieter und Nutzer vorgeschlagen, da sich danach beurteile, ob nur der Nutzer oder auch der Cloud-Anbieter durch vom Nutzer eingeräumte Rechte geschädigt sei, zudem diese Anknüpfung vor Manipulationen sicher sei4. Indes ist nicht ganz einsehbar, warum nicht von vornherein nur auf den Sitz des Betreibers der Cloud abgestellt wird5; denn gerade die Virtualisierung der Daten bzw. deren Verteilung auf viele verschiedene, kaum noch lokalisierbare Rechner rücken den Beherrscher einer Gefahrenquelle in den Vordergrund. Zwar befinden sich die „Sachen“ (sprich: Daten) an unterschiedlichen Orten, doch erhalten sie ihre Funktionalität und Verwendbarkeit erst wieder durch die Handlungen des Cloud-Anbieters, der sie zusammenfügt und dem Nutzer zur Verfügung stellt. Alternativ käme noch der gewöhnliche Aufenthaltsort des Nutzers in Betracht, was ebenfalls kaum Manipulationen eröffnet – insofern liegen die Parallelen zum allgemeinen Persönlichkeitsrecht nahe, wie sie der EuGH im eDate Advertising-Fall entfaltet hat6. Zwar müssen die Daten keineswegs einen Bezug zum Persönlichkeitsrecht des Nutzers aufweisen; doch ist auch nicht zu verkennen, dass Daten häufig aus sich selbst heraus keine Funktion oder keinen Inhalt haben, sondern immer nur in Verwendung für eine bestimmte Person, daher durchaus ein abgeschwächter Bezug zum Nutzer vorliegt. Angesichts der Bandbreite an Daten wäre dies indes gegenüber dem Kriterium des Sitzes des Betreibers einer Cloud ein doch zu schwaches Anknüpfungskriterium, so dass für alle Fälle, in denen Daten erst wieder durch die Verbindungsleistungen eines Providers ihre Funktionalität erhalten, dieser Sitz als Erfolgsort 1 So Nordmeier, MMR 2010, 151 (154) gegen die Auffassung von Mankowski, RabelsZ 63 (1999), 203 (282); Spickhoff in BeckOKBGB, VO (EG) 864/2007 Art. 4 Rz. 34, Art. 40 EGBGB Rz. 40 f. 2 Wagner in MünchKomm/BGB, § 823 Rz. 165; s. bereits OLG Karlsruhe, NJW 1996, 200 (201); ferner Spindler, NJW 1999, 3737 (3738). 3 Zutreffend Nordmeier, MMR 2010, 151 (154 f.); zur Mosaikbetrachtung schon Spindler, ZUM 1996, 533 (559). 4 So im Wesentlichen Nordmeier, MMR 2010, 151 (156). 5 Was letztlich auch Nordmeier, MMR 2010, 151 (156) im Wesentlichen fordert. 6 EuGH v. 25.10.2011 – Rs. C-509/09 und C-161/10 – eDate Advertising, dazu Spindler, AfP 2012, 114 ff.; W.-H. Roth, IPrax 2013, 215 ff.
294
Spindler
§ 21
V. Fazit
maßgeblich sein sollte – was für den Schädiger im Übrigen auch weitgehend vorhersehbar ist.
V. Fazit Cloud-Computing und der kollisionsrechtliche Schutz gerade von Daten 24 und Datenbanken scheint prima vista ein Mysterium zu sein. Bei näherer Betrachtung zeigt sich jedoch schnell, dass bis auf wenige Ausnahmen die gängigen Kriterien durchaus in der Lage sind, die neuen Phänomene adäquat zu bewältigen. Einzig die Frage der Belegenheit von Daten selbst und deren Zusammenfügung bzw. Bereitstellung erst am Ende „der Pipeline“ – sprich: in der Cloud durch deren Betreiber für den Nutzer – zwingt dazu, die bisherigen Kriterien für die Bestimmung des Erfolgsortes zu modifizieren und auf die Sachherrschaft des Cloud-Betreibers über die diversen Cloud-Rechner und Sub-Cloud-Unternehmer abzustellen.
Spindler
295
Dritter Abschnitt Eigentumsähnliche Positionen an Daten und Herausgabeansprüche § 22 Daten als Rechtsgut nach § 823 Abs. 1 BGB Rz.
Rz.
I. Vorbemerkung . . . . . . . . . . . . . . . .
1
II. Daten auf eigenen Datenspeichern . . . . . . . . . . . . . . . . . . . .
5
1. Fälle . . . . . . . . . . . . . . . . . . . . . . . . 10 2. Argumente . . . . . . . . . . . . . . . . . . . 17 3. Einschränkungen. . . . . . . . . . . . . . 24
III. Daten außerhalb eigener Datenspeicher . . . . . . . . . . . . . . . . 10
IV. Fazit . . . . . . . . . . . . . . . . . . . . . . . . 30
I. Vorbemerkung Die Rechtsprechung anerkennt, dass Datenbestände als solche zu den 1 selbständigen vermögenswerten Gütern gehören1. Ob damit Daten zu den sonstigen Rechten nach § 823 Abs. 1 BGB gehören, ist durch die Rechtsprechung jedoch nicht entschieden. Geschützt sind bislang verkörperte Daten, also Daten auf Datenträgern, und zwar über den Gedanken, dass der Datenträger eine Sache ist und dass die Veränderung der dort aufgezeichneten Daten ein Substanzeingriff ist, der Haftung nach § 823 Abs. 1 BGB auslöst2. In früheren Zeiten, in denen man seine Daten stets auf eigenem Daten- 2 speicher hielt, war das praktisch ausreichend. In der jetzigen technischen Welt ist es nicht mehr ausreichend; Cloud-Computing ist nur ein Teil des Phänomens, dass der Inhaber des Datenträgers und der Inhaber der Daten auseinanderfallen. Damit funktioniert der Schutz von Daten über den Schutz von Datenträ- 3 gern nicht mehr. Das Bundesverfassungsgericht hat in seinem Urteil zur Vertraulichkeit und Integrität informationstechnischer Systeme3 gerade diese Situation hervorgehoben und einen personenbezogenen Schutz informationstechnischer Systeme (zu welchen Daten gehören) unabhängig vom Eigentum am Datenträger für notwendig erachtet. Dies ist zivilrechtlich nachzuvollziehen.
4
1 BGH v. 2.7.1996 – X ZR 64/94, BGHZ 133, 155 – Optikprogramm. 2 Vgl. unten Rz. 5 ff. 3 BVerfG v. 27.2.2008 – 1 BvR 370/07, 1 BvR 595/07, BVerfGE 120, 274. Bartsch
297
§ 22
Daten als Rechtsgut nach § 823 Abs. 1 BGB
II. Daten auf eigenen Datenspeichern 5
Der Fall ist unproblematisch. Weil der Inhaber der Daten zugleich Inhaber des Datenspeichers ist, genügt es, dass die Daten als Teil der Sache „Datenspeicher“ mitgeschützt sind1. Allerdings: Mit dieser Argumentation wird nicht das Datum geschützt, sondern der Schutz wird nur vermittelt eingerichtet über den Schutz des Datenträgers. Das funktioniert, wo Datenträger und Datum demselben Inhaber gehören.
6
Der Schutz des Datenträgers bezieht sich nicht nur auf die abstrakte Funktionsfähigkeit, ein Datum zu speichern, sondern auch darauf, dass das konkrete Datum gespeichert ist und korrekt wiedergegeben wird. Geschützt ist also nicht nur die generelle Beschreibbarkeit, sondern der körperlich fixierte Zustand, die konkreten Daten gespeichert zu haben. Das Ausradieren von Telefonnummern aus einem handschriftlich geführten Telefonverzeichnis ist ein Substanzeingriff, der die Haftung auslöst2.
7
Erweiternd kann man daran denken, den Besitz am Datenträger und über dieses Vehikel wiederum die Daten zu schützen.
8
Fall: A mietet im Rechenzentrum einen Server zu seiner ausschließlichen Nutzung. Durch Fehlverhalten eines Dritten beschädigt ein eindringendes Virus die Daten.
9
Die eher knappen Kommentierungen machen den Eindruck, dass der Schutz des Besitzes nur die Benutzbarkeit des Gegenstandes sichert3. Der Server bleibt aber benutzbar. Außerdem hilft diese Sonderlösung nur in dem beschriebenen eher seltenen Fall. Wo die Daten in der Cloud sind oder sonst in einem großen Rechenzentrum, kann kein Nutzer von Mitbesitz sprechen.
III. Daten außerhalb eigener Datenspeicher 1. Fälle 10
Heute ist es keineswegs mehr selbstverständlich, dass der Dateninhaber die Daten auf einem eigenen Datenspeicher ablegt. Über uns allen schwebt die Cloud.
1 Vgl. Kast, § 66 Rz. 43. 2 Problematisch sind die Fälle, in welchen die Sache ganz unbeeinträchtigt, aber aufgrund von Außenumständen unbenutzbar ist; vgl. BGH v. 22.2.1971 – VII ZR 110/69, BGHZ 55, 153 – Fleet. 3 Wagner in MünchKommBGB, § 823 BGB Rz. 157 ff.; Spindler in Bamberger/ Roth, BGB, § 823 Rz. 83 ff.
298
Bartsch
§ 22
III. Daten außerhalb eigener Datenspeicher
Fall:
11
A hat B auf dessen Computer zur Datensicherung Daten überspielt. Durch einen technischen Defekt gehen die Daten bei A verloren. Einen Tag später wird bei B der PC gestohlen.
B hat gegen den Dieb keine Ansprüche in Ansehung der Daten, denn sie 12 gehören ihm nicht. B erleidet insofern keinen Schaden. Da er dem A gegenüber nicht haftet (§ 599 BGB), hat er auch insofern keinen Vermögensnachteil. Eine Drittschadensliquidation scheidet wegen deren enger Indikation aus1. Wenn § 823 Abs. 1 BGB nur den Datenträger schützt, geht A leer aus. Fall:
13
Durch fehlerhafte Software hat das Datensicherungsgerät die Eigenschaft, zwar eine erfolgreiche Datensicherung anzuzeigen, aber keine Daten aufzunehmen.
Hier kann der Anspruch nicht auf eine Störung der Integrität des Daten- 14 speichers gestützt werden, weil dort zu keinem Zeitpunkt Daten gespeichert waren. Ansprüche aus § 823 Abs. 1 BGB setzen aber voraus, dass der Schutzgegenstand vor der schädigenden Handlung integer war. Fall:
15
A hat zwei Betriebe. Er schickt Daten über die öffentliche Leitung vom einen Betrieb in den anderen Betrieb. Auf dem Transferwege werden die Daten verfälscht. Hieraus entsteht dem A ein Vermögensschaden.
Auch bei diesem Beispiel gibt es keinen Datenträger, dessen Integrität ge- 16 stört worden wäre. 2. Argumente Der Gedanke, Daten nur als Anhängsel von Materie zu schützen (vgl. II), 17 erscheint aus der Perspektive dieser Fälle nicht als eine Lösung, sondern eher als ein Trick. Zech stellt fest, dass Anwenderdaten Gütercharakter haben können, und 18 zitiert den Bundesgerichtshof2: „Die Klägerin […] will Schadensersatz wegen des Verlustes des Datenbestandes selbst, der als solcher ein selbständiges vermögenswertes Gut darstellt, wie daran deutlich wird, dass er für sich von der Klägerin gegen Entgelt veräußert werden könnte.“
19
Damit ist nicht die Frage geklärt, ob der Datenbestand ein Rechtsgut 20 nach § 823 Abs. 1 BGB ist. Keineswegs alle Gegenstände, die gegen Entgelt veräußert werden können, sind durch § 823 Abs. 1 BGB geschützt. 1 Vgl. Grüneberg in Palandt, BGB, vor § 249 Rz. 105 ff. 2 Zech, Information als Schutzgegenstand, 2012, S. 56, Fn. 45 m. Hinw. auf BGH v. 2.7.1996 – X ZR 64/94, BGHZ 133, 155, Optikprogramm. Bartsch
299
§ 22
Daten als Rechtsgut nach § 823 Abs. 1 BGB
21
Zech führt die Diskussion fort und befürwortet nach umfangreicher Prüfung der Literatur die Einstufung des Rechts des Speichernden am Datenbestand als sonstiges Recht nach § 823 Abs. 1 BGB1. Auch Spindler2 erörtert Für und Wider. Er spricht von einem Unbehagen, zu Recht. Spindler spricht sich letztlich für den Schutz als sonstiges Recht aus; so auch Redeker3.
22
Rechtsprechung und Lehre sind mit der Statuierung eines neuen Rechts nach § 823 Abs. 1 BGB sehr zurückhaltend. Hierbei spielt die Orientierung an den Wertungen der Verfassung die entscheidende Rolle4.
23
M.E. sprechen deutliche Argumente dafür, Daten als solche zu den sonstigen Rechten nach § 823 Abs. 1 BGB zu zählen: – Virtualisierung bedeutet, dass körperliche Sachen durch unkörperliche Informationen abgelöst werden. Die Jugend kauft keine Schallplatten, sondern lädt sich Musik herunter. Das funktionale Ersatzstück verdient grundsätzlich denselben Schutz wie das Ersetzte. – Die oben genannten Beispiele zeigen keinen guten Differenzierungsgrund je nachdem, ob das Datum und der Datenträger denselben Inhaber haben. Unter Wertungsgesichtspunkten ist Gleichbehandlung geboten. – Überhaupt ist die Grenze zwischen körperlichen und unkörperlichen Gegenständen nicht mehr durchgängig sinnvoll. Software zum Beispiel (also eine Sonderform von Daten) ist je nach Stand der Technik materialisiert oder unkörperlich im Handel5. Das Gleichheitsgebot stützt die hier vertretene These. – Das schon genannte Urteil des Bundesverfassungsgerichts6 behandelt zwar nur den Persönlichkeitsschutz. Aber das dort vorgetragene strukturelle Argument, dass in der geänderten technischen Welt ein Schutz des Sacheigentums nicht mehr ausreicht, hat auch für die Abwägung nach § 823 Abs. 1 BGB seine Berechtigung. 3. Einschränkungen
24
Dennoch halte ich es für geboten, über Eingrenzungen eines solchen Schutzes nachzudenken. Daten, als solche geschützt, sollten keinen besseren Schutz genießen, als Daten in der technisch alten Welt genossen haben. 1 Zech, Information als Schutzgegenstand, 2012, S. 386 f. m.w.N. 2 Spindler in Leible/Lehmann/Zech, Unkörperliche Güter im Zivilrecht, S. 261 (277 ff.); a.A. im selben Band Spickhoff, S. 233 (244). 3 Vgl. den sehr lesenswerten Aufsatz von Redeker, CR 2011, 634 ff. 4 Bartsch, CR 2008, 613 (614) m.w.N. 5 Vgl. Bartsch, CR 2010, 553 (557). Insgesamt zu diesem Themenfeld ist auf Leible/Lehmann/Zech, Unkörperliche Güter im Zivilrecht, zu verweisen. 6 BVerfG v. 27.2.2008 – 1 BvR 370/07, 1 BvR 595/07, BVerfGE 120, 274.
300
Bartsch
§ 22
III. Daten außerhalb eigener Datenspeicher
Beispiel:
25
A möchte telegraphisch bei B 13 Stück eines Produktes bestellen. Er gibt das Telegramm telefonisch auf. Die annehmende Person im Telegraphenamt verhört sich und schreibt „30 Stück“ in das Telegramm. A kann zwar seine Erklärung anfechten, bleibt aber auf dem Schadensersatz sitzen (§§ 120, 122 BGB).
Das parallele Problem in der aktuellen technischen Welt ist die Verfäl- 26 schung einer E-Mail auf dem Transportweg. Sähe man jedes Datum einschränkungslos als Schutzgegenstand des § 823 Abs. 1 BGB an, so wäre der bisherige Schutz deutlich erweitert. Damit wäre das Postulat, nur das bisherige Schutzniveau in die technisch neue Welt zu übernehmen, verletzt. Die Schutzgüter des § 823 Abs. 1 BGB sind statisch vorhandene Gegenstände (Bestandsschutz). Dynamische Güter (zum Beispiel der Datentransfer) sind in den Schutzgütern des § 823 Abs. 1 BGB nicht erfasst. Ein Überblick über den schon vorhandenen Schutz rechtfertigt eine sol- 27 che Eingrenzung: – Das Urteil des Bundesverfassungsgerichts zur Vertraulichkeit und Integrität informationstechnischer Systeme benennt eine hohe Schwelle für Schadensersatzansprüche. Es geht um „wesentliche Teile der Lebensgestaltung“1. – Der Schutz des Betriebs steht ebenfalls unter hohen Voraussetzungen2. – Ein weiteres Argument zugunsten einer Einschränkung des Schutzes lässt sich aus dem Datenbankschutz (§ 87a UrhG) gewinnen. Gegenstände des geistigen Eigentums, die unter Schutzgesetzen stehen, sind sonstige Rechte nach § 823 Abs. 1 BGB, so auch die Datenbank. Ihre Schutzfähigkeit ist in Bezug auf die technische Qualität (Anordnung, Zugänglichkeit) und in Bezug auf den Erstellungsaufwand (wesentliche Investitionen) an ein recht hohes Niveau gebunden3. Es liegt auf der Linie dieser Wertungen, auch den Schutz von Daten 28 durch § 823 Abs. 1 BGB an ein vergleichbares Niveau zu binden. Das Recht der unerlaubten Handlung hat nicht die Funktion, den spezialgesetzlichen Schutz der Immaterialrechtsgüter zu unterlaufen4. Schutzgegenstand des § 823 Abs. 1 BGB wird deshalb nur eine Datensammlung von erheblicher Bedeutung sein. Da der Zweck der Datenbankdefinition in § 87a UrhG ein anderer ist als der schadensersatzrechtliche Schutzzweck, wird man für die Grenzziehung nicht an die wesentliche Investi1 Vgl. BVerfG v. 27.2.2008 – 1 BvR 370/07, 1 BvR 595/07, BVerfGE 120, 274 Rz. 171, 176, 203, 207 und die Zusammenfassung bei Bartsch, CR 2008, 613 (616). 2 Vgl. Bartsch, CR 2008, 613 (614); Bedrohung der Betriebsgrundlagen: BGH v. 18.1.1983 – VI ZR 270/80, NJW 1983, 812; BGH v. 15.11.1982 – II ZR 206/81, BGHZ 86, 152. 3 Dreier in Dreier/Schulze, UrhG, § 87a Rz. 3–15. 4 Wagner in MünchKommBGB, § 823 Rz. 163. Bartsch
301
§ 22
Daten als Rechtsgut nach § 823 Abs. 1 BGB
tion zur Erstellung der Datenbank anknüpfen (denn das mag eine Fehlinvestition gewesen sein), sondern an einen entsprechend hohen Nachteil aus der Verletzung der Daten. 29
Das Argument der Erheblichkeit des Nachteils eröffnet ein für den Schädiger wichtiges Gegenargument, nämlich das der Obliegenheit des Geschädigten zur ordnungsgemäßen Datensicherung. Auch dieses Argument trägt zur Ausgewogenheit bei.
IV. Fazit 30
Bei Datenträgern schützt § 823 Abs. 1 BGB auch den Dateninhalt. Problematisch ist die Situation, wenn die Inhaberschaft an Datenträger und Daten auseinanderfallen.
31
Daten sind als sonstiges Recht nach § 823 Abs. 1 BGB anzuerkennen. Hierfür gilt eine Erheblichkeitsschwelle; die Schutzfähigkeit orientiert sich an § 87a UrhG, wobei es jedoch nicht auf die zur Herstellung notwendige Investition, sondern auf die für die Wiederherstellung notwendige Investition ankommt.
302
Bartsch
§ 23 Der strafrechtliche Schutz von Daten durch § 303a StGB und seine Auswirkungen auf ein Datenverkehrsrecht Rz. I. Einführung . . . . . . . . . . . . . . . . . . . II. Warum das traditionelle Datenrecht versagt . . . . . . . . . . . .
1 3
III. Der Weg über § 303a StGB . . . . . . 8 1. Zuordnung nach der persönlichen Betroffenheit durch Daten . . 9 2. Zuordnung nach Sacheigentum am Datenträger . . . . . . . . . . . . . . . 11 3. Zuordnung nach Schaffensprozess . . . . . . . . . . . . . . . . . . . . . . 14
Rz. 4. Verhältnis von Medien- und Dateneigentum . . . . . . . . . . . . . . . a) Skribent als Dateneigentümer . b) Ausnahmen . . . . . . . . . . . . . . . . c) Automatische Skriptur. . . . . . . 5. Reichweite der Datenverfügungsbefugnis. . . . . . . . . . . . . . .
17 18 19 20 21
IV. Fazit . . . . . . . . . . . . . . . . . . . . . . . . 24
I. Einführung Die Frage nach dem Eigentum oder der Inhaberschaft sonstiger Rechte an 1 Daten ist im Zeitalter von Big Data zentral. Die rechtliche Zuordnung von Daten ist zurzeit vollkommen unklar, was aufgrund der immensen Bedeutung von Daten und Rechten an Daten in der heutigen Informationsgesellschaft als äußerst unbefriedigend empfunden werden muss und zu gravierender Rechtsunsicherheit für die Betroffenen führt. Sowohl Privatpersonen als auch Unternehmen arbeiten tagtäglich mit großen Mengen von Daten. Für diese ist selbst mit juristischem Rat nicht ersichtlich, ob und, wenn ja, auf welche Weise ihre Daten rechtlich geschützt sind. Ebenso schwierig ist es, festzustellen, ob Dritten Rechte an den betroffenen Daten zustehen. Auch der Umfang solcher Rechte ist – soweit sie bestehen – momentan kaum zu bestimmen. Erschwerend hinzu kommt noch, dass die Gerichte auf deutscher und europäischer Ebene unterschiedliche Lösungsansätze vertreten. Aufgrund der enormen wirtschaftlichen Bedeutung von Daten insbeson- 2 dere im Hinblick auf Big-Data-Anwendungen ist zu befürchten, dass diese Unsicherheiten große Investitionshemmnisse darstellen. Das Risiko, sich zivil- oder strafrechtlichen Ansprüchen auszusetzen oder selbst keine gesicherte Rechtsposition in Bezug auf Daten zu erlangen, ist unkalkulierbar. Deswegen sollte eine möglichst baldige Klärung der bestehenden Rechtsfragen angestrebt werden. Im Folgenden werden daher mögliche Lösungsansätze aufgezeigt, die erstaunlicherweise über die in der Praxis wenig angewendete Strafvorschrift des § 303a StGB laufen, womit sich die Frage stellt, ob § 303a StGB als Tor für ein neues Datenverkehrsrecht genutzt werden kann1. 1 Es freut den Verfasser, diese Überlegungen einem der großen Nestoren des Datenrechts widmen zu können. Jochen Schneider hat wie kaum ein anderer das Hoeren
303
§ 23
Strafrechtlicher Schutz
II. Warum das traditionelle Datenrecht versagt 3
Ansätze zu einem Datenrecht gibt es schon. Sie scheitern aber sämtlich bei der originären Zuordnung von Ausschließlichkeitsrechten an Daten.
4
Der als Ausschließlichkeitsrecht und subjektiv-rechtliche Rechtsposition ausgestaltete1 Schutz des Datenbankherstellers (§ 87a UrhG) begründet nur den Schutz vor Vervielfältigung, Verbreitung und öffentlicher Wiedergabe, nicht jedoch ein eigentumsähnliches Vollrecht. Auch die Erschöpfungswirkung an körperlichen Vervielfältigungsstücken der Datenbank2 zeigt, dass gerade nicht der Schutz von Daten bezweckt wird, sondern der des Dateninhalts. Im Vordergrund stehen der Investitionsschutz und die wirtschaftliche Verwertung der Investition. Wie andere Leistungsschutzrechte oder gewerbliche Schutzrechte hat der Datenbankschutz nur eine begrenzte Schutzdauer (nämlich 15 Jahre, § 87d UrhG). Weiterhin umfasst er auch Vervielfältigungen von Daten, die sich durch gleichen Inhalt auszeichnen, schließt aber Dritte nicht von der bloßen Benutzung (Abfrage) der Informationen aus. Dies zusammengenommen zeigt, dass mit der Regelung für Datenbanken ein spezieller Investitionsschutz geschaffen werden sollte, der vor wirtschaftlicher Ausbeutung fremder Leistung schützt, nicht aber eine rechtliche Zuordnung von Daten zu einer Person. Der Sui-generis-Schutz schafft eine zusätzliche abstrakte Ebene, die in einer systematischen Anordnung von Inhalten besteht, jedoch selbst lediglich inhaltlicher Natur ist.
5
Das Datenschutzrecht schützt nur dem Namen nach „Daten“. Tatsächlich geht es um den dargestellten Inhalt, sprich die Information, welche sich mit einer Person in Beziehung bringen lässt. Dies lässt § 3 Abs. 1 BDSG erkennen, der personenbezogene Daten als „Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person“ definiert. Personenbezogene Daten im Sinne des Datenschutzrechts sind also „Angaben“ und damit Inhalte, und dürfen nicht mit Daten im technischen Sinne verwechselt werden. Nur solche Daten, die einen Bezug zu einer natürlichen Person aufweisen oder die sich mit zusätzlichen Informationen auf diese beziehen lassen, können die Anwendbarkeit des BDSG begründen. Es handelt sich im Ergebnis also um ein Persönlichkeitsrecht. Der Schutz personenbezogener Dadeutsche und europäische Datenrecht beeinflusst; auch er hat den Schlüssel zur Etablierung eines Datenverkehrsrechts nicht gefunden. Von daher freut es den Verfasser, ihn in München nach seinem Geburtstag sitzen zu sehen – in Erfüllung seiner Ehrenpflicht, jeden Festschriftbeitrag lesen zu müssen. Schau mer mal, was er denkt! – Der Verfasser freut sich auf die Rückmeldung von Jochen Schneider, die bajuwarisch-nordische Diskussion über das Datenrecht bei Weizen und Pils. – Der Beitrag entstand im Rahmen eines BMWi-Forschungsprojekts zu Rechtsfragen von Big Data; s. auch Hoeren, MMR 2013, 486. 1 Vgl. BGH, MMR 1999, 470 (472); Gaster in Hoeren/Sieber/Holznagel, Handbuch Multimedia-Recht, Teil 7.6 Rz. 75 f. 2 Gaster, Der Rechtsschutz von Datenbanken, S. 131 Rz. 522 ff.; Dreier in Dreier/ Schulze, UrhG, § 87b Rz. 18; Thum in Wandtke/Bullinger, UrhR, § 87b Rz. 58.
304
Hoeren
§ 23
II. Warum das traditionelle Datenrecht versagt
ten wird an vielen Stellen über die Beziehung zwischen der Information und dem Datum geregelt. Es entstehen aber durch das Datenschutzrecht keine über eine Information vermittelten Beziehungen einer Person zu einer Sache, sondern direkt zu Daten. So können beispielsweise nach § 35 BDSG Löschungs- oder Berichtigungsansprüche gegen eine verarbeitende Stelle unabhängig davon geltend gemacht werden, in welcher Form die Daten vorhanden sind. Auch Auskunftsansprüche (z.B. aus § 34 BDSG) gewähren dem Betroffenen immer nur das Recht, Daten vorgelegt zu bekommen, die mit den gespeicherten Daten inhaltsgleich sind. Das umfasst zwar beispielsweise auch die Auskunft über die Bezeichnung der Datei, in der die personenbezogenen Daten gespeichert sind1, der Betroffene erhält aber nicht das Recht auf Zugang zu dem Hauptspeichermedium, wie etwa dem Server der verarbeitenden Stelle. Das Datenschutzrecht schafft damit eine rechtliche Verantwortlichkeit für Daten. Es darf aber nicht dahingehend missverstanden werden, dass der Betroffene Ausschließlichkeitsrechte an den einzelnen Datensätzen im Sinne eines „Eigentums“ besitzt. Die Rechtsprechung geht davon aus, dass ein Datenträger mit den darauf 6 verkörperten Daten eigentumsfähig ist. So hat das OLG Karlsruhe2 eine Eigentumsfähigkeit von Daten im Rahmen von § 823 Abs. 1 BGB bejaht3. Der Datenträger mit den darauf verkörperten Daten sei jedenfalls eine körperliche Sache4. Zwar könne die Information, die in diesen Daten repräsentiert ist, wegen ihrer immateriellen Natur nicht Schutzgut einer Norm gegen die Beschädigung der materiellen Substanz sein. Jedoch sei deswegen von einer Verletzung des Eigentums auszugehen, weil der Eigentümer durch den Eingriff gehindert werde, mit der Sache seinem Wunsch entsprechend zu verfahren. Diese Argumentation löst aber nur die Frage nach einer Eigentumsfähigkeit datenträgergebundener Daten und schafft eher ein Eigentum am Datenträger als eine Begründung für ein Eigentum an Daten. Im Übrigen wird zum Teil vertreten, dass sich aus § 823 Abs. 1 BGB als 7 sonstiges Recht auch ein Recht am eigenen Datenbestand herleiten lasse5. Ein solches Recht benötigt freilich zur Legitimation eine gewisse eigenständige Bedeutung neben anderen Rechten. Werden Daten auf einem Datenträger unbrauchbar gemacht, so ist – sogar weitergehender als nach der Ansicht des OLG Karlsruhe6 – von einer Substanzverletzung an dem
1 HessVGH, RDV 1991, 187; Gola/Schomerus, BDSG, § 34 Rz. 9. 2 OLG Karlsruhe, NJW 1996, 200. 3 S. dazu auch den Beitrag von Bartsch, § 22; a.A. LG Konstanz, NJW 1996, 2662; s. auch Gerstenberg, NJW 1956, 540. 4 Jickeli/Stieper in Staudinger, BGB, § 90 Rz. 12; Redeker, NJW 2008, 2684 (2685). 5 S. dazu BGH, NJW 1996, 2924 (2925); ähnlich auch Meyer/Wehlau, NJW 1998, 1585 (1588); vgl. auch Bartsch, § 22 Rz. 17 ff. 6 OLG Karlsruhe, CR 1987, 19. Hoeren
305
§ 23
Strafrechtlicher Schutz
Datenträger auszugehen, da dieser nachhaltig physisch verändert wurde1. Mit diesem Rückgriff auf das Eigentum am Datenträger werden allerdings viele Probleme, die bei vernetzten Datenbeständen auftreten, nicht gelöst2. Bedeutsam sind besonders die Fälle, in denen der wirtschaftliche Schaden nicht beim Eigentümer des Datenträgers entsteht, weil nicht er, sondern ein Dritter den wirtschaftlichen Umgang mit der Information pflegt. Für solche Fälle hat das Recht am eigenen Datenbestand durchaus seine Berechtigung. Allerdings zeichnen sich „sonstige Rechte“ i.S.d. § 823 BGB dadurch aus, dass sie eine den ausdrücklich normierten Rechten entsprechende Ausschluss- und Nutzungsfunktion besitzen3. Genauer stellt sich die Frage, wer unter Ausschluss Dritter an einem Datenbestand berechtigt ist. Das Recht am eigenen Datenbestand ist daher eine Hilfskonstruktion, die zunächst mehr Probleme aufwirft als löst.
III. Der Weg über § 303a StGB 8
Möglicherweise können Grundgedanken aus dem Strafrecht zur Beantwortung der Frage, wem Daten gehören, beitragen4. Im Strafrecht besteht im Rahmen des § 303a StGB die Notwendigkeit, die Zuordnung der Daten zum Berechtigten zu definieren. Diese Zuordnung wird zum großen Teil so verstanden, dass an den Daten ein Vollrecht analog § 903 BGB entstehe5. Anknüpfungspunkte für die Zuordnung eines solchen Rechts sollen u.a. die nach den Regeln des Zivilrechts zu qualifizierenden dinglichen und obligatorischen Rechte an Datenträgern sein, also die durch das Herstellen der Daten vermittelte Urheberschaft (unter Rückgriff auf § 950 BGB sowie die Grundsätze in §§ 4, 69a ff. UrhG), und die Inhaberschaft an den gespeicherten Originaldaten im Rahmen einer Auftragsdatenverarbeitung6. 1. Zuordnung nach der persönlichen Betroffenheit durch Daten
9
Dieser Ansatz wurde in der Literatur zu § 303a StGB schon kurze Zeit nach der Entstehung der Vorschrift diskutiert7. Im Zuge der Entwicklung in der Wissenschaft wurde aber richtigerweise die Unzweckmäßigkeit des Kriteriums der Betroffenheit für die Herrschaftszuordnung erkannt. Zwar gibt eine Formulierung in den Gesetzesmaterialien eine entspre1 OLG Oldenburg, MDR 2012, 403; Meyer/Wehlau, NJW 1998, 1585 (1588). 2 Meyer/Wehlau, NJW 1998, 1585 (1588); s. auch die Beispiele bei Bartsch, § 22 Rz. 10 ff. 3 Wagner in MünchKommBGB, § 823 Rz. 143. 4 Vgl. hierzu eingehend Hoeren, MMR 2013, 486 (486 ff.). 5 Hilgendorf, JuS 1996, 890 (890); Stree/Hecker in Schönke/Schröder, StGB, § 303a Rz. 3; Welp, IuR 1988, 443 (448). 6 Ähnlich BayObLG, CR 1993, 779; Bär in Graf/Jäger/Wittig, Wirtschafts- und Steuerstrafrecht, § 303a Rz. 13; Cornelius in Kilian/Heussen, ComputerrechtsHandbuch, Teil 10 Rz. 180; Wolff in Leipziger Kommentar, § 303a Rz. 10 ff. 7 Welp, IuR 1988, 443 (448) m.w.N. in Fn. 46.
306
Hoeren
§ 23
III. Der Weg ber § 303a StGB
chende Auslegung her, doch soll im Hinblick auf das Rechtsgut des § 303a StGB gerade die Verfügungsbefugnis über die Integrität der Daten von ihrem Inhalt getrennt werden1. Das durch die Strafnorm geschützte Rechtsgut ist die Verwendbarkeit der Daten durch den Berechtigten2. Eine Zuordnung nach Betroffenheit würde aber gerade den Inhalt und die Zuordnung gleichstellen. Eine Zuordnung gestützt auf das Kriterium der Betroffenheit ließe sich 10 auch nicht mit dem Datenschutzrecht in Einklang bringen. Die datenschutzrechtlichen Vorschriften sollen die Einschränkungen, denen die datenverarbeitende Stelle im Umgang mit den Daten (im technischen Sinne) unterliegt, abschließend regeln. Nur in dem dort geregelten Umfang sollen Beschränkungen bestehen. Erfolgte die Zuordnung im Rahmen des § 303a StGB aufgrund der Betroffenheit, so würde die gesetzliche Erlaubnis zur Verarbeitung personenbezogener Daten einem Eingriff in das „Dateneigentum“ des Betroffen gleichkommen. Auch ergibt sich die nähere Beziehung zum Sacheigentum im Gegensatz zum Persönlichkeitsrecht aus der systematischen Stellung des § 303a StGB in den Eigentumsdelikten, direkt nach der Sachbeschädigung3. 2. Zuordnung nach Sacheigentum am Datenträger Teilweise wird angenommen, die Zuordnung von Daten zu einer Person 11 im Rahmen von § 303a StGB folge direkt den dinglichen Rechten am Datenträger4. Dieser Ansatz verkennt, dass der Eigentümer von Datenspeichern, etwa von Servern, regelmäßig in keiner Beziehung zu den Daten steht, weil er nur Dritten den Speicherplatz zur Verfügung stellt. Wer etwa als Host-Provider nur eingeschränkt für den Inhalt von Daten verantwortlich ist5, kann nicht einziger Verfügungsberechtigter über die Daten im Sinne eines strafrechtlichen Eigentumsdelikts sein. Schon aus der Laiensphäre kann die Wertung des § 303a StGB nicht bedeuten, dass der Nutzer eines Host-Dienstes die Verfügungsbefugnis über „seine“ Daten nur aufgrund der schuldrechtlichen Beziehung zum Serverbetreiber besitzt6. Das zeigt sich auch im Vergleich mit der Situation zwischen dem Eigentümer einer Mietwohnung und den Gegenständen, die der Mieter in der Wohnung aufbewahrt. Zudem soll § 303a StGB der Berechtigung an den Daten eine eigenständi- 12 ge Bedeutung geben, ansonsten hätte der Tatbestand auch an eine Sachbeschädigung durch Verändern von gespeicherten Daten anknüpfen kön1 2 3 4
Hilgendorf, JuS 1996, 890 (892); Welp, IuR 1988, 443 (448). Hilgendorf, JuS 1996, 890 (890); Welp, IuR 1988, 443 (448). Haft, NStZ 1987, 6 (10). Stree/Hecker in Schönke/Schröder, StGB, § 303a Rz. 3; Wieck-Noodt in MünchKommStGB, § 303a Rz. 10. 5 Hoeren in Hoeren/Sieber/Holznagel, Handbuch Multimedia-Recht, Teil 18.2 Rz. 124. 6 Wie aber angedeutet von Wieck-Noodt in MünchKommStGB, § 303a Rz. 10. Hoeren
307
§ 23
Strafrechtlicher Schutz
nen. Um die Interessen des Datenverkehrs zu wahren, müssen auch Datenträgereigentum und Dateneigentum auseinanderfallen können1. 13
Das Kriterium der Eigentümerschaft am Speichermedium kann deshalb höchstens als eines von mehreren Kriterien wirken, um die Eigentumsverhältnisse an Daten zu klären. 3. Zuordnung nach Schaffensprozess
14
Als Zuordnungskriterium wird weiterhin der Prozess der Entstehung von Daten diskutiert. In Frage kommen diesbezüglich die geistige oder die technische „Urheberschaft“2.
15
Die geistige Urheberschaft knüpft an den Dateninhalt an. Gegen eine Beurteilung der Datenberechtigung auf der Grundlage geistiger Urheberschaft wird eingewandt, dass damit § 303a StGB in eine Erweiterung des Urheberrechtsschutzes verwandelt und so eine weitreichende Pönalisierung inhaltsverändernden Verhaltens außerhalb der §§ 4, 69a ff., 106 ff. UrhG geschaffen würde, die vom Regime des Urheberrechts nicht vorgesehen ist3. Abgesehen von diesem überzeugenden wertenden Argument erscheint das Kriterium der geistigen Urheberschaft kaum praktikabel. Für eine quasi-dingliche Rechtsposition ist es problematisch, vollständig auf ein Publizitätsmoment zu verzichten. Jede Kopie des Inhalts von Daten oder auch nur die Eingabe eines zuvor analog verkörperten Gedankeninhalts in digitale Daten würde ferner dem ursprünglichen Urheber des Inhalts zufallen. Parallel zu der Zuweisung nach dem Eigentum am Speichermedium würde wieder die Eigenständigkeit der Daten neben Medium und Inhalt in Frage gestellt. Damit ließe sich die spezifische Regelung für Daten nicht erklären.
16
Als dogmatisch einwandfreies und operabelstes Kriterium gilt der Prozess der technischen Herstellung der Daten. Welp prägte dafür den Begriff des „Skripturakts“4. „Skribent“ und damit originär Berechtigter an den Daten soll derjenige sein, der durch Eingabe oder Ausführung eines Programms Daten selbst erstellt5. Dieses Kriterium ist insofern dogmatisch und praktisch brauchbar, als es gerade an die spezifische Dateneigenschaft anknüpft. Der „Skribent“ ist der technische „Ersteller“ der Daten, zunächst unabhängig davon, auf wessen Medium die Speicherung geschieht und wer geistig den Inhalt geprägt hat. Auch innerhalb eines Arbeits- oder Dienstverhältnisses, in dem Daten im Auftrag erstellt werden, soll zunächst der Auftragnehmer Berechtigter sein, bis er die Daten
1 2 3 4 5
Hilgendorf, JuS 1996, 890 (893). Hilgendorf, JuS 1996, 890 (892). Hilgendorf, JuS 1996, 890 (893). OLG Nürnberg v. 23.1.2013 – 1 Ws 445/12; Welp, IuR 1988, 443 (447). Welp, IuR 1988, 443 (447).
308
Hoeren
§ 23
III. Der Weg ber § 303a StGB
ausgehändigt hat1. Letzteres ist zwar umstritten2, im Ergebnis aber wohl richtig, denn zum einen ist so die eindeutige Zuordnung gewährleistet und zum anderen soll § 303a StGB nicht zu einer weiten Kriminalisierung von Vertragsbrüchen führen. Werden hingegen übermittelte Daten im Auftrag verarbeitet, soll der ursprüngliche Inhaber der Originaldaten verfügungsbefugt bleiben3. 4. Verhältnis von Medien- und Dateneigentum Maßgebendes Kriterium für die Entstehung einer originären Zuordnung 17 der Daten könnte also der Skripturakt sein4. Wie oben bereits angedeutet, könnten damit das Eigentum an dem Speichermedium und das „Dateneigentum“ auseinanderfallen. Dieses Ergebnis ist mit Hinblick auf Hosting-Verhältnisse und Auftragsverhältnisse auch einleuchtend. Wenn aber die Speicherung ohne oder gegen den Willen des Medieneigentümers erfolgt, kommt es zu einer Konfliktsituation der Rechte5. Fraglich ist, ob diese direkt auf der Ebene des Entstehens des Dateneigentums oder im Nachhinein zu lösen ist. a) Skribent als Dateneigentümer Da das Sacheigentum zunächst von der Rechtsordnung stärker und un- 18 mittelbarer geschützt ist, liegt es nahe, dass der Eigentümer eines Datenspeichers es nicht uneingeschränkt dulden muss, wenn sein Eigentum durch die Rechte Dritter an Daten beeinträchtigt wird6. Es erscheint aber systemwidrig, ihn in allen Fällen der Verletzung seines Eigentums durch fremde Datenskriptur als alleinigen Dateninhaber anzusehen7. Der Skribent könnte dann nämlich nur durch Willensakt des Eigentümers Dateneigentum durch Erzeugung entstehen lassen. Somit wäre wiederum das Medieneigentum das grundlegende Zuordnungskriterium. Konsequent wäre es daher, die Dateninhaberschaft auch in dem Fall immer dem Skribenten zuzuordnen, in dem er vorsätzlich auf fremden Speichermedien Daten ablegt, dem Eigentümer jedoch gleichzeitig nur zivilrechtliche Unterlassungs- und Beseitigungsansprüche aufgrund seines Sacheigentums zuzuerkennen8. Dass im Endeffekt die Rechtekollision wohl grundsätzlich über derartige Ansprüche zu lösen sein wird, ist jedenfalls syste1 OLG Nürnberg v. 23.1.2013 – 1 Ws 445/12. 2 Fischer/Schwarz/Dreher et al., StGB, § 303a Rz. 6. 3 Ähnlich BayObLG, CR 1993, 779; Bär in Graf/Jäger/Wittig, Wirtschafts- und Steuerstrafrecht, § 303a StGB Rz. 13; Cornelius in Kilian/Heussen, Computerrechts-Handbuch, Teil 10 Rz. 180; Wolff in Leipziger Kommentar, § 303a Rz. 10 ff. 4 Vgl. auch Kühl in Lackner/Kühl, StGB, § 303a Rz. 4; Rengier, Strafrecht, Besonderer Teil, Bd. 1 Vermögensdelikte, § 26 Rz. 7. 5 Welp, IuR 1988, 443 (448). 6 Welp, IuR 1988, 443 (448). 7 Welp, IuR 1988, 443 (448). 8 Hilgendorf, JuS 1996, 890 (893). Hoeren
309
§ 23
Strafrechtlicher Schutz
matisch folgerichtig, wenn man dem „Dateneigentum“ einen dinglichen Charakter zuspricht. b) Ausnahmen 19
Allerdings müssen von diesem Grundsatz wertungsgerechte Ausnahmen gelten. Es kann nicht sein, dass das Recht aus § 903 BGB, mit der Sache nach Belieben zu verfahren, durch eine reine Abspeicherung einer Datei auf einen Datenträger massiv beeinträchtigt werden kann, ohne dass der Eigentümer die Entstehung der Daten nicht zumindest mit veranlasst hat. Man denke nur daran, diesen Grundsatz auf in ein System eingeschleuste Daten anzuwenden. Dann müsste etwa der Nutzer eines PCs vor Entfernen einer Schadsoftware den Angreifer zuvor erfolgreich verklagen, wenn er sich nicht auf Rechtfertigungsgründe (§ 904 BGB) berufen kann. In Ausnahmefällen muss die Verfügungsbefugnis an Daten also auch originär beim Eigentümer des Mediums entstehen. Ein solcher Ausnahmefall ist immer dann anzunehmen, wenn der Eigentümer die Skriptur nicht selbst in irgendeiner Form mitveranlasst hat. Dabei kommt es auf seinen Willen nicht an. Eine Mitveranlassung scheidet aber zumindest dann aus, wenn etwa die Sache abhandengekommen ist (§ 935 BGB) oder die Skriptur durch Einbruch in ein System erfolgt ist. Letzteres gebietet schon das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme, das die Verfügungsgewalt des Systeminhabers sicherstellen soll1. c) Automatische Skriptur
20
Als problematisch könnte sich noch die bereits angesprochene automatische Skriptur erweisen. Im Grundsatz ist eindeutig, dass die Zuordnung zum Skribenten auch dann erfolgen muss, wenn dieser Programme ausführt, die Daten erstellen oder eine Dateneinspeisung selbst bewirken2. Das gilt auch für profan-physische Akte, wie dem Betreiben einer Mikrowelle mit Datenspeicher oder dem Auslösen einer Digitalkamera. Fraglich ist aber, wie viel Anteil an der Skriptur durch einen vorprogrammierten Prozess eine Person noch hat, die nur einen unwesentlichen Teil dieses Prozesses, aber damit das Resultat beeinflusst. Als Beispiel sei eine umfangreiche Datenbank genannt, in der durch einen Bearbeiter unter vielen einzelne Bestandteile verändert oder eingebracht werden. In solchen Fällen prozessual festgelegter Skriptur muss nach Wesentlichkeit des Beeinflussungsmoments abgegrenzt werden, wobei auch die Grundsätze zur Veranlassung und dem Medieneigentum eine Rolle spielen können.
1 Polenz in Kilian/Heussen, Computerrechts-Handbuch, Teil 13 Rz. 36. 2 Welp, IuR 1988, 443 (447).
310
Hoeren
§ 23
III. Der Weg ber § 303a StGB
5. Reichweite der Datenverfügungsbefugnis Die Datenverfügungsbefugnis erfasst zunächst jedes einzelne Datum und 21 auch zusammenhängende Datenstrukturen. Anders als bei Sachen kann jedoch die Eingrenzung eines Datums nicht einfach an einem Stoff festgemacht werden. Wie das oben besprochene Urteil des EuGH zeigt, ist es vertretbar, dass der rechtliche Zuweisungsgehalt von Daten nicht endet, wenn deren Inhalt vervielfältigt wird. Das zeigt die Gleichstellung der Weitergabe von Werkstücken in körperlicher und unkörperlicher Form. Fraglich ist also, ob die Kopie einer Datei ebenfalls in den Zuweisungsbereich der ursprünglichen Datei fällt. Hilgendorf sieht jedenfalls bezüglich § 303a StGB die Kopie nicht von 22 der Verfügungsbefugnis des Berechtigten erfasst1. Allerdings soll kein Eingriff in das Rechtsgut des § 303a StGB vorliegen, wenn eine „fremde“ Datei auf einem eigenen Medium gelöscht wird und der Berechtigte eine inhaltsgleiche Kopie zurückbehalten hat2. Das lässt sich damit erklären, dass der Berechtigte in die Veränderung der weitergegebenen Version eingewilligt hat oder dass die Versagung einer solchen Einwilligung in einem Auftragsverhältnis treuwidrig sein kann. Das Dateneigentum an Kopien kann nicht generell anhand der Kopie des Inhalts festgelegt werden. Insoweit ist die Zuweisung der Datenberechtigung getrennt von den Grundsätzen der Erschöpfung bei Werkstücken zu betrachten. Vielmehr gelten auch hier die Kriterien der Skriptur und der Veranlassung. Werden Daten in demselben System und auf demselben Datenträger „kopiert“, wird wohl nicht der Kopierende, sondern der ursprüngliche Ersteller der Berechtigte bleiben. Werden sie auf ein anderes Medium kopiert, ist nach dem Kopiervorgang zu unterscheiden. Entweder werden Daten direkt auf ein Medium kopiert, das dann weitergegeben wird (z.B. eine CD-Rom), oder in einem Netz verschoben. In diesen Fällen ist Skribent der Ersteller der Kopie bzw. der Absender. Mit der Überlassung verfügt er aber über sein Recht an den Daten zugunsten des Empfängers, so dass dieser mit Entgegennahme die Berechtigung erwirbt. Werden die Daten allerdings zum Abruf bereitgestellt und direkt vom Empfänger selbst kopiert, dann ist jedenfalls er selbst Skribent und damit originär Berechtigter. Die Verfügungsbefugnis endet mit der Aufgabe der Daten, also wenn der 23 Berechtigte über einen längeren Zeitraum kein Interesse mehr an ihnen zeigt3. Dann wird die Inhaberschaft wohl am ehesten dem Medieneigentümer zufallen.
1 Hilgendorf, JuS 1996, 890 (890). 2 Hilgendorf, JuS 1996, 890 (893). 3 Hilgendorf, JuS 1996, 890 (894). Hoeren
311
§ 23
Strafrechtlicher Schutz
IV. Fazit 24
Im Gegensatz zum Zivilrecht, dem in Bezug auf die Frage nach dem Zuweisungsgehalt des Eigentums eine viel größere Rolle zukommt, gibt es im Strafrecht die Regelung des § 303a StGB, die sich explizit auf Daten als geschütztes Gut bezieht. Zwar spricht einiges dafür, die Zuordnung der Daten im Rahmen des § 303a StGB anhand des Skripturaktes vorzunehmen. Wie die vorherige Darstellung allerdings verdeutlicht hat, herrscht diesbezüglich eine erhebliche Rechtsunsicherheit. Dies gilt vor allem im Zivilrecht, weil es dort keine Norm gibt, die sich explizit mit Daten befasst. Deshalb ist es umso bedeutender, im bestehenden Geflecht aller rechtlichen Normen Lösungen zu finden.
312
Hoeren
§ 24 Materiell-rechtliche und prozessuale Aspekte bei Ansprüchen auf Herausgabe von Daten Rz.
Rz.
I. Ausgangslage . . . . . . . . . . . . . . . . .
1
7. Zwischenfazit . . . . . . . . . . . . . . . . 28
II. Materiell-rechtliche Grundlagen . 1. Herausgabeansprüche nach Auftragsrecht . . . . . . . . . . . . . . . . . 2. Herausgabeansprüche nach oder analog Mietrecht . . . . . . . . . . . . . . 3. Sonstige Anspruchsgrundlagen . . 4. Erhaltene und erlangte Daten . . . a) § 667 1. Alt. BGB. . . . . . . . . . . . b) § 667 2. Alt. BGB. . . . . . . . . . . . 5. Rechtsnatur von „Daten“ in nicht schriftlich verkörperter Ausgestaltung . . . . . . . . . . . . . . . . 6. Herausgabefähigkeit von Daten und Umfang der Herausgabepflicht . . . . . . . . . . . . . . . . . . . a) Nach der Rechtsprechung: Herausgabe einer Kopie der Daten . . . . . . . . . . . . . . . . . . . . . b) Stellungnahmen in der Literatur. . . . . . . . . . . . . . . . . . .
2 3 5 8 9 10 11 17 20 21 23
III. Prozessuale Durchsetzung . . . . . . 1. Zwangsvollstreckung nach § 887 ZPO? . . . . . . . . . . . . . . . . . . . a) Bezeichnung im Vollstreckungstitel. . . . . . . . . . . . . . . . . b) Anspruch auf Herausgabe einer anzufertigenden Kopie? . . . 2. Zwangsvollstreckung nach § 887 ZPO? . . . . . . . . . . . . . . . . . . . 3. Zwangsvollstreckung nach § 888 ZPO . . . . . . . . . . . . . . . . . . . a) Zwangsgeld bzw. ersatzweise Zwangshaft oder direkt Zwangshaft . . . . . . . . . . . . . . . . b) Sondervorschrift des § 888 Abs. 3 ZPO als Hürde? . . . . . . . 4. Festlegung des Umfangs und der Modalitäten der „Herausgabe“ . . .
31 31 35 36 42 48 49 51 56
IV. Zusammenfassung . . . . . . . . . . . . 60
I. Ausgangslage Die Frage nach der prozessualen Durchsetzung von Ansprüchen auf He- 1 rausgabe von Daten ist eng verknüpft mit materiell-rechtlichen Aspekten insbesondere der Frage nach den Grundlagen und der materiellen Ausgestaltung eines derartigen Anspruchs. Diese Fragen lassen sich wiederum nur beantworten, wenn man zunächst die dogmatische Einordnung derartiger Rechtsgüter vornimmt. Gerade im Bereich der Informationstechnologie zeigt sich aber, dass uns unser über einhundert Jahre altes Bürgerliches Gesetzbuch – trotz der im Jahre 2001 erfolgten Schuldrechtsreform – bei der Systematisierung dieser Rechtsmaterien immer wieder vor neue Herausforderungen stellt, um auch insoweit eine – rechtlich mögliche und auch nötige – rechtskonforme und interessensgerechte Einordnung vorzunehmen.
II. Materiell-rechtliche Grundlagen Die Vorfrage jeglicher prozessualen Geltendmachung und Durchsetzung, 2 nämlich die nach der Anspruchsgrundlage – die als Grundvoraussetzung zunächst einmal die systematische Einordnung des Rechtsgutes voraus-
Mller
313
§ 24
Ansprche auf Herausgabe von Daten
setzt – soll sich an dieser Stelle nur auf eine zum weiteren Verständnis unbedingt notwendige verkürzte Darstellung beschränkt werden1. 1. Herausgabeansprüche nach Auftragsrecht 3
Vermeintlich schnell und einfach erfolgt zunächst ohne größere Diskussionen die grundsätzliche Verortung der Anspruchsgrundlage für eine Herausgabe. So findet sich bereits bei einem ersten Einstieg in die Materie an zahlreichen Stellen der Literatur und Rechtsprechung die Feststellung, dass von einem Dritten empfangene Daten eines Anderen jedenfalls unter bestimmten Voraussetzungen herauszugeben sind. Die Grundlage eines derartigen Anspruchs auf Herausgabe wird – soweit nicht bereits vertraglich explizit geregelt – im Auftragsrecht bzw. im Recht der Geschäftsbesorgung, §§ 662, 675 BGB, gesehen2.
4
Ähnliches gilt für den Anspruch auf „Besichtigung“ bzw. Auskunft hinsichtlich dieser Daten oder gar Datenbanken. Anders als bei der Besichtigung von „Fremd-“Software, handelt es sich bei den hier in Rede stehenden Fällen um ein Begehren, was zunächst einmal unstreitig (nur) auf die eigenen (überlassenen) Daten bzw. Datenbanken beschränkt sein dürfte. – Soweit es sich um Ansprüche auf Auskunft bzw. Besichtigung von vermeintlich unter Verletzung des Urheberrechts hergestellter Datenbanken handelt, sei auf die Ausführungen des Verfassers an anderer Stelle verwiesen3. – Der hier in Rede stehende Auskunftsanspruch dürfte sich entsprechend der vorstehenden Ausführungen aus § 666 BGB ergeben, der auf Grund des fremdnützigen Tätigwerdens des Schuldners/Auftragnehmers dem Gläubiger/Auftraggeber ein Recht bzw. einen Anspruch auf Benachrichtigung, Auskunft und Rechenschaft zubilligt und, wie die nachfolgenden Ausführungen belegen werden, als Anspruch auf eine nicht vertretbare Handlung – was im Nachfolgenden ebenfalls noch aufgezeigt werden wird – weitestgehend das rechtliche Schicksal des Herausgabeanspruchs teilt. Selbstverständlich kann neben dem Auftrags- bzw. Geschäftsbesorgungsrecht auch noch ein anderer Rechtsbereich direkt oder indirekt, vertraglich oder gesetzlich, einen weiteren Anspruch auf Auskunft begründen. Zu nennen ist hier z.B. der Datenschutz insbesondere im Bereich der Auftragsdatenverarbeitung; diese speziellen Problematiken sind allerdings auch wieder anderen Beiträgen vorbehalten, so dass an dieser Stelle ein Eingehen auf sie obsolet ist.
1 S. dazu auch Heymann, § 51. 2 U.a. Sprau in Palandt, BGB, § 667 Rz. 2, 3; Schneider, Handbuch des EDVRechts, M Rz. 9; Grützmacher, ITRB 2004, 260 (261 f.). 3 Müller in Auer-Reinsdorff/Conrad, Beck’sches Mandatshandbuch IT-Recht, § 34 Rz. 22 ff.; s.a. zu den entsprechenden technischen Besonderheiten Hoppen, CR 2009, 407 ff.
314
Mller
§ 24
II. Materiell-rechtliche Grundlagen
2. Herausgabeansprüche nach oder analog Mietrecht Die Herausgabe von Daten kann daneben, worauf auch Roth1 zu Recht 5 hinweist, auch aus Mietrecht, nämlich im Falle der Beendigung des Mietverhältnisses, geschuldet und ggf. über § 539 Abs. 2 BGB (analog) materiell-rechtlich begründet sein. Thalhofer2 weist für den Fall des Outsourcings zu Recht darauf hin, dass 6 es neben einer reinen Herausgabe, die Re-Transition bzw. das Re-Insourcing auch noch weitere Unterstützungsleistungen notwendig werden lässt, deren abschließende Aufzählung im Vertrag kaum gelingen dürfte, da die denkbaren Situationen hier sehr vielseitig sein können. Vor diesem Hintergrund sollte zusätzlich noch ein allgemeiner Grundsatz formuliert werden, dass der Schuldner/Auftragnehmer Beendigungsunterstützung zu leisten hat, um eine Übertragung des Services ohne Störung des IT-Betriebes zu gewährleisten3. Da auch insoweit aber auch auf jeden Fall eine „Herausgabe“ Gegenstand 7 des Anspruchs ist, ist die prozessuale Situation mit dem Auftragsrecht identisch. 3. Sonstige Anspruchsgrundlagen Als sonstige Anspruchsgrundlagen kommen noch Ansprüche aus Ge- 8 schäftsführung ohne Auftrag, deliktische Ansprüche (§ 823 Abs. 1 BGB, § 823 Abs. 2 BGB i.V.m. § 303a StGB und § 826 BGB), Urheberrecht und Bereicherungsrecht in Betracht; daneben mag das Datenschutzrecht faktisch zur Erzwingung der Herausgabe von (personenbezogenen) Daten genutzt werden können4. 4. Erhaltene und erlangte Daten Bei der Herausgabepflicht aus dem Auftragsrecht wird im Rahmen der 9 juristischen Diskussion dann richtigerweise entsprechend dem Gesetzeswortlaut auch zwischen dem was der „Beauftragte zur Ausführung des Auftrages erhält“ (§ 667 1. Alt. BGB) und dem was er „aus der Geschäftsbesorgung erlangt“ (§ 667 2. Alt. BGB) unterschieden5. Gleiches dürfte auch für einen ggf. parallel hierzu geltend gemachten Auskunftsanspruch gelten.
1 Roth in Auer-Reinsdorff/Conrad, Beck’sches Mandatshandbuch IT-Recht, § 6 Rz. 214 m.w.N. 2 Thalhofer in Auer-Reinsdorff/Conrad, Beck’sches Mandatshandbuch IT-Recht, § 17 Rz. 149. 3 Thalhofer in Auer-Reinsdorff/Conrad, Beck’sches Mandatshandbuch IT-Recht, § 17 Rz. 149; s. dazu auch Heymann, § 51; Duisberg, § 41. 4 Dazu Grützmacher, ITRB 2004, 282 ff. 5 Sprau in Palandt, BGB, § 667 Rz. 2 u. 3. Mller
315
§ 24
Ansprche auf Herausgabe von Daten
a) § 667 1. Alt. BGB 10
In Bezug auf § 667 1. Alt. BGB wird dann unter Verweis auf die entsprechende Rechtsprechung regelmäßig ausgeführt, dass das zur Ausführung des Auftrages Erhaltene alles sei, was dem Beauftragten zum Zwecke der Geschäftsbesorgung vom Auftraggeber oder auf dessen Veranlassung von Dritten zur Verfügung gestellt worden ist und regelmäßig den Besitz oder das Eigentum bzw. ggf. Geld umfassen werde1. b) § 667 2. Alt. BGB
11
In Bezug auf die 2. Alternative wird darauf verwiesen, dass zum aus der Geschäftsbesorgung Erlangten jeder Vorteil gehört, den der Beauftragte im inneren Zusammenhang mit der Führung des Geschäftes und nicht nur bei Gelegenheit erlangt2.
12
Seiler3 merkt dann zu Recht noch an, dass der Gegenstand des Erlangten in der 2. Alternative des § 667 BGB vielfältiger sein kann als nach der ersten Alternative, weil der Beauftragte in der 1. Alternative häufig nur den Besitz an den übergebenen Sachen bekommt, während der Gegenstand des Erlangten je nach Inhalt der Geschäftsbesorgung sehr unterschiedlich (z.B. Besitz, Eigentum, Forderungen, Geld, Urkunden, Belege, Aufzeichnungen, Handakten) sein könne4.
13
Martinek5 führt weiter aus, dass die Herausgabe (Rückgabepflicht) auch immaterielle Güter wie etwa Kundendaten und Adresslisten umfasse und zudem von einer Unterlassungspflicht der Weitergabe flankiert werden könne.
14
Sprau6 lässt darüber hinaus unter Verweis auf die Rechtsprechung des Bundesgerichtshofs auch keinen Zweifel daran, dass elektronische Daten, die der Beauftragte über die Geschäftsführung angelegt oder in deren Rahmen erhalten hat, als Etwas aus der Geschäftsbesorgung Erlangtes anzusehen und damit herauszugeben seien; Gleiches gelte auch für bei Dritten gespeicherte Daten. Der Bundesgerichtshof hatte in einem der zugrunde liegenden Fälle, bei dem es um die Vermietung eines Ferienhauses ging, nicht nur eine weit gefasste Informationspflicht des Auftragnehmers gegenüber dem Auftraggeber angenommen, sondern zugleich auch darauf verwiesen, dass Inhalt und Grenzen von Auskunfts- und Herausgabepflicht sich aus dem zwischen den Parteien bestehenden Rechtsverhältnis bestimmen würden und vor dem Hintergrund einer fremdnüt1 2 3 4
Sprau in Palandt, BGB, § 667 Rz. 2; Seiler in MünchKommBGB, § 667 Rz. 4. Sprau in Palandt, BGB, § 667 Rz. 3; Seiler in MünchKommBGB, Rz. 9. Seiler in MünchKommBGB, § 667 Rz. 11. Sprau in Palandt, BGB, § 667 Rz. 3; Seiler in MünchKommBGB, § 667 Rz. 9 u. 10; Martinek in Staudinger, BGB, § 667 Rz. 8. 5 Martinek in Staudinger, BGB, § 667 Rz. 6. 6 Sprau in Palandt, BGB, § 667 Rz. 3.
316
Mller
§ 24
II. Materiell-rechtliche Grundlagen
zigen Tätigkeit des Beauftragten kein Raum für ein Zurückhalten der begehrten Informationen bliebe1. Darüber hinaus bestünden gegen eine Herausgabe auch keine datenschutzrechtlichen Bedenken, da selbst wenn das zugrunde liegende Auftragsverhältnis zwischen der Auftragnehmerin und Dritten zustande gekommen wäre, über § 28 Abs. 1 Satz 1 Nr. 2 BDSG und mangels schutzwürdigen Interesses des Dritten eine Weitergabe der Daten zulässig sei2. In einem diese Rechtsprechung fortführenden Urteil hat der Bundes- 15 gerichtshof dann entschieden, dass der Geschäftsbesorger gemäß § 667 BGB i.V.m. § 675 BGB auch verpflichtet ist, die entsprechenden Verträge, Abrechnungen und den sonstigen auf den Vertrag bezogenen Schriftverkehr herauszugeben. Diese weit gefassten Informations- und Herausgabepflichten des Beauftragten seien damit zu erklären, dass der Auftragnehmer seine Tätigkeit im Interesse des Auftraggebers ausübe3. Gegenstand dieser Urteile und der entsprechenden Diskussionen war aber neben der Rechnungslegung stets die Herausgabe von Verschriftlichtem. Die Herausgabepflicht von elektronisch verarbeiteten Informationen 16 wurde durch den Bundesgerichtshof erstmalig in einer Entscheidung vom 11.3.2004 erörtert4. Gegenstand der Entscheidung war die Frage, ob der Auftraggeber nach dem Ende des Mandats von seinem Steuerberater die Übertragung der von ihm bei der DATEV gespeicherten Daten auf einen anderen Steuerberater erreichen könne. Der Bundesgerichtshof hatte insoweit keine rechtlichen Bedenken dagegen, die Zustimmung zur Datenübertragung als Inhalt der Verpflichtung zur Herausgabe der vom Auftragnehmer bei einem Dritten abgespeicherten Daten anzusehen, da er grundsätzlich verpflichtet sei alles, was er zur Ausführung des Auftrages erhalte und was er im Rahmen der Geschäftsbesorgung erlange gemäß §§ 675 Abs. 1, 667 BGB herauszugeben. Hierzu gehören nach Auffassung des Bundesgerichtshofs auch die vom Beauftragten selbst angelegten Akten, sonstigen Unterlagen und Dateien5. 5. Rechtsnatur von „Daten“ in nicht schriftlich verkörperter Ausgestaltung Indes ist die Rechtsnatur von „Daten“ in nicht schriftlich verkörperter 17 Ausgestaltung, also nicht in der Form von Unterlagen – wie häufig auch Anderes im Recht der Informationstechnologie – Gegenstand von Streit und zahlreichen Diskussionen gewesen. Angefangen von einer Einordnung als Recht sui generis über die Einordnung als immaterielles Rechts1 2 3 4
BGH v. 8.2.2007 – III ZR 148/06, NJW 2007, 1528. BGH v. 8.2.2007 – III ZR 148/06, NJW 2007, 1528. BGH v. 3.11.2011 – II ZR 105/11, NJW 2012, 58. BGH v. 11.3.2004 – IX ZR 178/03, CR 2004, 889; dazu auch Grützmacher, ITRB 2004, 260 (262). 5 BGH v. 11.3.2004 – IX ZR 178/03, CR 2004, 889. Mller
317
§ 24
Ansprche auf Herausgabe von Daten
gut bis hin zur Einordnung als (bewegliche) Sache ist so ziemlich alles vertreten worden, was nur irgendwie ansatzweise rechtlich Sinn zu machen schien. 18
Vor dem Hintergrund der Entscheidung des Bundesgerichtshofs1 zur rechtlichen Qualifizierung von Software als bewegliche Sache, dürfte einer entsprechenden streitigen rechtlichen Einordnung von „Daten“ bzw. auch „Datenbanken“ die Grundlage entzogen worden sein. Soweit der Bundesgerichtshof2 im Rahmen des ASP-Urteils darauf verweist, dass die zur Steuerung eines Computers dienenden Programme, um ihre Funktion erfüllen zu können, also um überhaupt nutzbar zu sein, in verkörperter Form auf einem Wechselspeichermedium (z.B. auf Diskette, CD, USB-Stick) oder auf einer Festplatte oder auch nur auf einem flüchtigem (stromabhängigen) Speichermedium vorhanden sein müssen und Gegenstand somit einer verkörperten geistigen Leistung wären und deshalb Sachqualität gegeben sei, muss dies gleichfalls für die vom Anwender genutzten elektronischen Daten bzw. Datenbanken gelten.
19
Für die insoweit in Bezug auf die Herausgabe bestehenden materiell-rechtlichen wie prozessualen Probleme spielt es – ebenso wie im ASP-Urteil – jedenfalls keine Rolle, inwieweit Daten bzw. Datenbanken urheberrechtlichen oder sonstigen, urheberrechtsähnlichen rechtlichen Schutz beanspruchen können3. 6. Herausgabefähigkeit von Daten und Umfang der Herausgabepflicht
20
Damit dürfte der grundsätzlichen Herausgabefähigkeit von Daten nichts im Wege stehen. Vor diesem Hintergrund scheint dann auch die materiell-rechtliche Anspruchsgrundlage zur Herausgabe von Daten nicht nur hinsichtlich der Voraussetzungen, sondern auch bezüglich der Rechtsfolge – mangels expliziter vertraglicher Regelungen – in den §§ 667, 675 BGB ihre gesetzliche Grundlage gefunden zu haben. a) Nach der Rechtsprechung: Herausgabe einer Kopie der Daten
21
Bereits im Jahre 1996 hat der Bundesgerichtshof entschieden, dass gemäß § 667 BGB der Auftragnehmer nach Beendigung des der Geschäftsbesorgung zugrunde liegenden Geschäftsbesorgungsvertrages alles herauszugeben hat, was er zur Ausführung des Auftrages erhalten hat4. Hierzu gehörten nach damaliger Ansicht des Bundesgerichtshofs der tatsächliche Besitz der Kundendaten und das Recht, diese Daten zum Zwecke der Aussendungen im Rahmen eines Kundenkontaktprogramms zu spei1 BGH v. 15.11.2006 – XII ZR 120/04, CR 2007, 75 – ASP-Urteil. 2 BGH v. 15.11.2006 – XII ZR 120/04, CR 2007, 75 – ASP-Urteil; zweifelnd MüllerHengstenberg/Kirn, NJW 2007, 2370 (2373). 3 S. dazu auch Lehmann, § 11, Auer-Reinsdorff/Grützmacher, § 15 und Witte, § 16. 4 BGH v. 17.4.1996 – VIII ZR 5/95, NJW 1996, 2159 – Toyota 1.
318
Mller
§ 24
II. Materiell-rechtliche Grundlagen
chern und zu nutzen. Beides könne nur dadurch herausgegeben werden, dass der Auftraggeber eine Kopie seiner Daten zurückerhalte und der Auftragnehmer gleichzeitig die Daten in seinem Bestand lösche. Dies hat der Bundesgerichtshof sodann in einer zweiten Entscheidung indirekt bestätigt indem er festgestellt hat, dass der Auftragnehmer insbesondere wegen §§ 667, 675 BGB verpflichtet gewesen wäre, nach Beendigung des zugrundeliegenden Vertrages, die entsprechenden Daten zu löschen1. Das OLG München hat in einer Entscheidung vom 22.4.19992 aus- 22 geführt, dass der Auftraggeber vom Auftragnehmer rechtzeitig vor Ablauf des Geschäftsbesorgungsvertrages die Herausgabe einer aktuellen und gut lesbaren Version aller ihm als Systembetreiber anvertrauten Kundenund Auftragsdaten sowie Eigendaten verlangen kann, die er benötigt, um einen reibungslosen Übergang auf ein Ersatzsystem zu gewährleisten. Auch in diesem Fall fehlte es an einer ausdrücklichen vertraglichen Regelung der Parteien. Das Oberlandesgericht ist der Ansicht gewesen, dass die Vertragsbeziehungen zwischen den Parteien für die Auftragnehmerin die Pflicht ergaben, der Auftraggeberin für den Fall der Beendigung des Vertragsverhältnisses einen reibungslosen Übergang auf ein Fremdsystem zu ermöglichen. Die Auftragnehmerin habe insbesondere keine Berechtigung, die Auftraggeberin in der Weiterarbeit nach Vertragsende zu behindern, und müsse ihr als „Herrin der Daten“ diese Daten so zur Verfügung stellen, dass die Auftraggeberin auch nach dem Ende der Zusammenarbeit mit der Auftragnehmerin ihre Tätigkeit fortsetzen und ihre vertraglichen Pflichten erfüllen könne. Hierzu gehört nach Ansicht des Oberlandesgerichts auch, dass die Auftraggeberin die erforderlichen (Echt-)Daten so rechtzeitig und in verwertbarer Form zur Verfügung gestellt bekommt, wie sie sie für den Aufbau und den Probebetrieb eines Ersatzsystems für die Zeit vor dem Vertragsende benötigt, damit der (Weiter-)Betrieb ihres Geschäftsmodells über das Ende der Vertragsbeziehung zur Auftragnehmerin sichergestellt ist3. Das Oberlandesgericht hat ferner ausgeführt, dass hinsichtlich der Form der Auskunft/Herausgabe maßgeblich sei, dass die übermittelten Daten für die Auftraggeberin verständlich und verwertbar seien, also in ihr System eingespeist werden könnten, weshalb die Auftragnehmerin dabei nach Treu und Glauben gehalten sei, der Auftraggeberin eine möglichst praktikable Version zu überlassen; auf endlose, unverständliche Zeichenketten ohne Entschlüsselungsmöglichkeit sei die Auftraggeberin nicht zu verweisen. b) Stellungnahmen in der Literatur Dieser Ansatz spiegelt sich auch in der einschlägigen Literatur wider. So 23 verweist Schneider4 in seinen Ausführungen zum Rechenzentrumsver1 2 3 4
BGH v. 26.11.1997 – VIII ZR 283/96, NJW-RR 1998, 390 – Toyota 2. OLG München v. 22.4.1999 – 6 U 1657/99, CR 1999, 484. OLG München v. 22.4.1999 – 6 U 1657/99, CR 1999, 484 (486). Schneider, Handbuch des EDV-Rechts, M Rz. 9. Mller
319
§ 24
Ansprche auf Herausgabe von Daten
trag darauf, dass der Rechenzentrumsvertrag auch die Komponenten „Auftrag“ und „Geschäftsbesorgung“ beinhalte und dies besondere Bedeutung für die Pflicht zur Herausgabe der Daten, zumindest bei Beendigung des Vertrages (als Herausgabe des Erlangten) erlangen könne. Dies trete insbesondere auch zu Tage, wenn man auch den Aspekt des Datenschutzes und die im Rahmen der Auftragsdatenverarbeitung des § 11 BDSG geforderte „Herrschaft des Auftraggebers über die Daten“ berücksichtige1. 24
Auch Schneider verweist sodann im Folgenden darauf, dass diese Fragestellung unabhängig von der Thematik besteht, wem die Daten „gehören“, die im Laufe der Vertragsbeziehung der Parteien angesammelt worden sind, bzw. wer „Hersteller“ der Datenbank i.S.d. § 87 Abs. 2 UrhG ist und ob diese überhaupt herauszugeben sind/ist2.
25
In Bezug auf einen Rechenzentrumsvertrag regt Schneider3 ausdrücklich an, zumindest für den Fall der Beendigung des Vertrages umfassende Regelungen hinsichtlich der Herausgabe der Daten aufzunehmen. So sollte seiner Ansicht nach insoweit zumindest der Umfang und die Art der Daten (Stamm- und Bewegungsdaten, Altdaten und aktuelle Bestände, Auswertungen, Kontrolldaten, Log-Files, Reports) geregelt sein. Zum einen sollten dazu ferner die zu erbringenden Leistungen und der Umfang der Daten je nach Art der Anwendung und evtl. maßgeblicher Vorschriften (z.B. Grundsätze ordnungsgemäßer Buchführung, Datenschutz, KWG) beschrieben werden. Zum anderen sollte der Zweck der Herausgabe (z.B. Umstieg auf einen anderen Anbieter ohne Zeitversatz und ohne Datenverlust) festgeschrieben werden4.
26
Grützmacher hat darauf hingewiesen, dass § 667 BGB zwar beim einfachen Infrastruktur-Outsourcing (und wohl auch beim Application-Outsourcing) greife, bei dem die Mitarbeiter des Kunden selbst die eingegebenen Daten übermitteln und generieren, hingegen nicht unbedingt beim Business-Process-Outsourcing, bei dem die Daten vom Outsourcing-Provider erarbeitet und damit nicht mehr i.S.v. § 667 BGB erlangt werden5.
27
Ähnliches wird auch von Roth6 im Rahmen der Herausgabepflicht von Arbeitsergebnissen (Daten/Dateien) bei der Beendigung von Mietverhältnissen vorgeschlagen. Sie empfiehlt für diese Fälle dringend das Thema der Datenherausgabe, insbesondere Inhalt und Umfang, ausführlich zu regeln. Darüber hinaus sollte Gegenstand der Regelung die Verpflichtung des Vermieters sein, – m.E. tunlichst gegen vorher zu vereinbarende und 1 2 3 4 5 6
Schneider, Handbuch des EDV-Rechts, M Rz. 12. Schneider, Handbuch des EDV-Rechts, M Rz. 25. Schneider, Handbuch des EDV-Rechts, M Rz. 79. Schneider, Handbuch des EDV-Rechts, M Rz. 79. Grützmacher, ITRB 2004, 260 (262). Roth in Auer-Reinsdorff/Conrad, Beck’sches Mandatshandbuch IT-Recht, § 6 Rz. 217.
320
Mller
§ 24
II. Materiell-rechtliche Grundlagen
genau zu beziffernde Kostenübernahme – alle erforderlichen Leistungen anzubieten und zu erbringen, die für einen reibungslosen Übergang auf ein Nachfolgeunternehmen erforderlich sind1. 7. Zwischenfazit Die vorstehenden Ausführungen zeigen bereits deutlich, dass, selbst 28 wenn man mit der Rechtsprechung über § 667 BGB zu einer Löschungsund Herausgabepflicht des Auftragnehmers kommt oder darüber hinaus sogar eine entsprechende Löschungs- und Herausgabepflicht vertraglich vereinbart hat, die Problematik einer prozessualen Durchsetzung vor dem heutigen technischen Hintergrund und der Vielfalt entsprechender Anwendungen in der Regel nur unzureichend abgehandelt ist. Insbesondere die gerichtlichen Lösungsversuche dürften, soweit sie denn im Einzelnen zielführend gewesen sind, auf die heutigen Verhältnisse nur unzureichend übertragbar sein. Allen bisher dargelegten Lösungsversuchen ist gemeinsam, dass sie an 29 die §§ 662 ff., 675 BGB anknüpfen. Die Rechtsfolge des insoweit einschlägigen § 667 BGB ist die Herausgabepflicht des Auftragnehmers. Schon bei dem Studium der einschlägigen Urteile tritt aber immer weiter zu Tage, dass es mehr als zweifelhaft ist, ob mit einer derartigen, wie in § 667 BGB angeordneten, Herausgabe den Bedürfnissen des Auftraggebers entsprochen werden kann und das Ziel des Auftraggebers von diesem tatsächlich auch zu erreichen ist. Herausgabe im ursprünglichen gesetzlichen Sinne wird als die körperliche Übergabe eines erlangten Gegenstandes oder eines Inbegriffs von Gegenständen, sei es in Form der Besitzverschaffung, sei es in Form der Eigentumsübertragung verstanden. Dazu war noch anerkannt, dass auch die Verpflichtung zur Übertragung von im Rahmen des Auftragsverhältnisses erlangten Forderungen (durch Abtretung) Gegenstand eines Anspruches aus § 667 BGB sein konnte2. Hieraus wird allerdings auch schon deutlich, dass der Begriff der Herausgabe bereits bei der Beratung des Bürgerlichen Gesetzbuches nicht im reinen Wortsinn verstanden worden ist. Maßgeblich für die gerichtliche Durchsetzung ist neben der rein mate- 30 riell-rechtlichen Situation insbesondere aber auch das, was bei Gericht begehrt, also beantragt wird. Vor dem Hintergrund der Parteimaxime liegt es deshalb im Wesentlichen in der Hand des Anwalts eine erfolgreiche prozessuale Geltendmachung der Ansprüche des Mandanten sicherzustellen. Die beste, in rechtlicher und tatsächlicher bzw. beweistechnischer Hinsicht, bestehende Situation nutzt nichts, wenn schlichtweg das Falsche beantragt wird oder prinzipiell zwar schon ein zielführender Antrag gestellt wird, dieser sich aber nicht oder nur unter größten Mü1 Roth in Auer-Reinsdorff/Conrad, Beck’sches Mandatshandbuch IT-Recht, § 6 Rz. 217. 2 Engelmann in Staudinger, BGB, § 667 Anm. 2. Mller
321
§ 24
Ansprche auf Herausgabe von Daten
hen vollstrecken lässt. Auf die prozessuale Durchsetzbarkeit ist deshalb nicht erst bei der Prozessvorbereitung, sondern bereits bei der Vertragsgestaltung ein besonderes Augenmerk zu richten. Bereits hier werden die Weichen für eine – ggf. erforderliche – erfolgreiche gerichtliche Durchsetzung der Ansprüche des Auftraggebers/Mandanten gestellt. Es sollte sich deshalb auch keinesfalls darauf verlassen werden, dass ggf. ein Gericht, u.U. gemäß § 242 BGB1, versucht die Durchsetzung der Herausgabeansprüche des Auftraggebers zu ermöglichen. Es stellt sich somit gerade im IT-Recht bereits im Stadium der Vertragsgestaltung die Frage nach einer an der erfolgreichen Anspruchsdurchsetzung ausgerichteten Formulierung entsprechender Ansprüche.
III. Prozessuale Durchsetzung 1. Zwangsvollstreckung nach § 887 ZPO? 31
Betrachtet man insoweit das für die Anspruchsdurchsetzung maßgebliche 8. Buch der Zivilprozessordnung, welches die Zwangsvollstreckung regelt, findet man nach dem Abschnitt 1 mit den „Allgemeinen Vorschriften“ und dem raumgreifenden Abschnitt 2 mit den Vorschriften über die „Zwangsvollstreckung wegen Geldforderungen“ im Abschnitt 3 dann die Vorschriften über die „Zwangsvollstreckung zur Erwirkung der Herausgabe von Sachen und zur Erwirkung von Handlungen oder Unterlassungen“.
32
In § 883 ZPO befinden sich sodann auch entsprechende Regelungen über die Zwangsvollstreckung in Bezug auf die Herausgabe bestimmter beweglicher Sachen. Diese ist gemäß § 883 Abs. 1 ZPO dergestalt durchzuführen, dass der Gerichtsvollzieher – eine entsprechende Ermächtigung durch einen Titel vorausgesetzt – dem Schuldner die Sache wegnimmt und dem Gläubiger übergibt. Findet der Gerichtsvollzieher die Sache nicht vor, so kann der Gläubiger den Schuldner zwingen, an Eides statt zu versichern, dass er die Sache nicht besitze und auch nicht wisse, wo die Sache sich befinde.
33
Da wie vorstehend ausgeführt nach heute wohl herrschender Meinung Software und damit auch Daten bzw. Datenbanken, unabhängig davon wo sie verkörpert sind, als bewegliche Sache angesehen werden und darüber hinaus die – mangels vertraglicher Regelungen – materiell einschlägige gesetzliche Regelung des § 667 BGB eine Herausgabeverpflichtung manifestiert, scheint die vollstreckungsrechtliche Problematik vordergründig nur eine Scheinproblematik zu sein.
34
§ 883 ZPO ist grundsätzlich anwendbar, wenn ein Titel vollstreckt wird, der auf die Herausgabe von vertretbaren oder auch nicht vertretbaren be-
1 So OLG München v. 22.4.1999 – 6 U 1657/99, CR 1999, 484.
322
Mller
§ 24
III. Prozessuale Durchsetzung
weglichen Sachen gerichtet ist1. Die Durchführung erfolgt durch Wegnahme durch den Gerichtsvollzieher (§§ 757–763 ZPO, § 179 GVGA), wobei Wegnahme der Übergang des Gewahrsams vom Schuldner auf den Gerichtsvollzieher ist, der dem Gläubiger bis zur Übergabe an ihn den Besitz vermittelt2. Vor diesem Hintergrund können auch auf einem Datenträger verkörperte Software bzw. Daten oder Datenbanken, Gegenstand einer Herausgabevollstreckung sein3. a) Bezeichnung im Vollstreckungstitel Herauszugeben ist aber stets eine individuell bestimmte Sache4. Diese 35 muss im Vollstreckungstitel bestimmt bezeichnet sein; ungenügend ist daher z.B. die Bezeichnung als Software-Kopien5. So verweist schon Koch6 im Jahre 1988 zu Recht darauf, dass eine Vollstreckung im EDVBereich nur möglich ist, wenn einem zusätzlichen Erfordernis über den Gesetzeswortlaut hinaus verfahrensmäßig Rechnung getragen wird, nämlich der Notwendigkeit einer genauen Bezeichnung wie die Wegnahme bzw. Herausgabe technisch konkret durchgeführt werden soll und es dabei Sache des Klägers ist, bereits im Antrag (bzw. der Klageschrift) das rechtliche Begehren mit der geeigneten technischen Prozedur (auf eigenes Risiko) richtig zu verknüpfen. b) Anspruch auf Herausgabe einer anzufertigenden Kopie? Der Anspruch auf Herausgabe von Software/Daten bzw. Datenbanken ge- 36 trennt vom Träger dürfte darüber hinaus auf die Anfertigung von Kopien und nicht auf die Herausgabe einer individuell bestimmten Sache zielen, so dass sich schon insoweit die Frage nach der richtigen Vollstreckungsart stellt7; dies umso mehr, wenn zusätzlich noch die Löschung von Software/Daten bzw. Datenbanken begehrt wird. Redeker8 differenziert insoweit zwischen sog. „echten“ Herausgabe- 37 ansprüchen, die auf die Herausgabe von Disketten oder anderen Datenträgern hinauslaufen, und den Titeln, die so formuliert sind, dass die Herausgabe einer noch zu ziehenden Kopie eines Programms nebst Löschung dieses Programms auf dem ursprünglichen Datenträger geschuldet ist. In Bezug auf die Ersteren sieht auch Redeker eine Vollstreckung mittels § 883 ZPO als gegeben an9. In Bezug auf die zweite Alternative soll nach 1 Seiler in Putzo, ZPO, § 883 Rz. 1 u. 2; Hartmann in Baumbach/Lauterbach/Albers/Hartmann, ZPO, § 883, Rz. 8; Schilken, DGVZ 1988, 49 (51). 2 Seiler in Putzo, ZPO, § 883 Rz. 7. 3 So auch Redeker, IT-Recht, Rz. 276. 4 Stöber in Zöller, ZPO, § 883 Rz. 3. 5 Stöber in Zöller, ZPO, § 883 Rz. 5. 6 Koch, Zivilprozesspraxis in EDV-Sachen, RWS-Skript 1988, S. 246. 7 So auch Stöber in Zöller, ZPO, § 883 Rz. 2. 8 Redeker, IT-Recht, Rz. 276. 9 Redeker, IT-Recht, Rz. 276. Mller
323
§ 24
Ansprche auf Herausgabe von Daten
seiner Ansicht nicht eine Vollstreckung nach § 883 ZPO, sondern nach § 887 ZPO in Betracht kommen, da es sich um zwei vertretbare Handlungen, nämlich das Kopieren eines Programmes und das Löschen der Ausgangsversion handeln würde. 38
Schilken1 geht von einem Herausgabeanspruch mit sachbezogenen Handlungspflichten des Schuldners/Auftragnehmers aus. Zu nennen seien insoweit etwa die Herstellung, Reparatur, Beschaffung, Versendung, Überführung, Montage usw. Wie Schilken2 ferner ausführt, werden insoweit hinsichtlich der „richtigen“ Vollstreckungsart die verschiedensten Ansichten vertreten. Teilweise würden nur die Vorschriften der §§ 883 ff. ZPO für anwendbar gehalten. Teilweise – jedenfalls bei den Herstellungspflichten – aber auch nur §§ 887, 888 ZPO. Andere wollten diese Vorschriften neben § 883 ZPO für solche Fälle heranziehen, in denen der Handlungspflicht eine selbständige Bedeutung zukomme. Schließlich würde auch vertreten, dass grundsätzlich sowohl die §§ 883 ff. ZPO, als auch die §§ 887 ff. ZPO angewendet werden könnten. Zum Teil würden die skizzierten Auffassungen auch noch mit einigen Varianten und Ergänzungen vertreten3. Wie Schilken zu Recht feststellt, ist für die Wahl der richtigen Vollstreckungsart zunächst der durch Auslegung zu ermittelnde Inhalt des jeweiligen Titels maßgeblich, in dessen Rahmen sich die Zwangsvollstreckung halten muss4. Kommen auf dieser Grundlage sowohl die §§ 883 f. ZPO als auch die §§ 887 f. ZPO als Vollstreckungsart in Betracht, so kann eine kombinierte Zulassung beider Möglichkeiten nach Wahl des Gläubigers gerechtfertigt sein. Allerdings gehen, worauf auch Müller5 zur Recht hinweist, alle insoweit zur Herausgabepflicht hinzutretenden Handlungspflichten wegen ihrer Sachbezogenheit zwingend mit der klassischen Herausgabepflicht einher. Die hinzutretenden Handlungspflichten haben deshalb seiner zutreffenden Meinung nach für den bzw. einen Herausgabeanspruch entweder die Funktion, überhaupt schon die Wegnahme zu sichern, oder aber die Funktion, die Besitzeinräumung (Übergabe) und sinnvolle Besitzausübung für den Gläubiger/ Auftraggeber zu gewährleisten. Dies dürfte indes im Rahmen der vollstreckungsrechtlichen Problematiken im IT-Bereich und den damit verbundenen technischen Besonderheiten aber wohl selten der Fall sein.
39
Im Übrigen sollte die Vorschrift des § 887 Abs. 3 ZPO, worauf Schilken richtigerweise hinweist, nach ihrer Entstehungsgeschichte nur den Fall des § 884 ZPO (Gattungsschuld als Beschaffungsschuld) gegenüber § 887 ZPO abgrenzen, nicht aber die Fälle eines sonstigen Zusammentreffens
1 2 3 4
Schilken, DGVZ 1988, 49 (52). Schilken, DGVZ 1988, 49 (53). Schilken, DGVZ 1988, 49 (53), m.w.N. Schilken, DGVZ 1988, 49 (53); vgl. auch Müller, Das Verhältnis der Herausgabezur Handlungsvollstreckung, 1978, S. 61 ff. 5 Müller, Das Verhältnis der Herausgabe- zur Handlungsvollstreckung, 1978, S. 60.
324
Mller
§ 24
III. Prozessuale Durchsetzung
von Herausgabe- und Handlungspflicht schlechthin regeln1. Deshalb könne § 887 ZPO durchaus einschränkend interpretiert und eine Individualvollstreckung entsprechend dem System des zivilprozessualen Vollstreckungsrechts möglichst weitgehend zugelassen werden. Auch bestehen bei Schilken2 keine Bedenken gegen die Möglichkeit einer Ersatzvornahme, wenn z.B. die geschuldete Herstellung eine vertretbare Handlung sei bzw. sei andernfalls der Weg über §§ 888 ZPO eröffnet. Wird also weitergehend – was heute i.d.R. der Fall sein dürfte – nicht nur 40 z.B. die Herausgabe eines konkreten Datenträgers, sondern entsprechend vertraglicher Vorgaben ein entsprechender Umfang und die Art der Daten (z.B. Stamm- und Bewegungsdaten, Altdaten und aktuelle Bestände, Auswertungen, Kontrolldaten, Log-Files, Reports) im Einzelnen gefordert und sollen dazu ferner auch noch die zu erbringenden Leistungen und der Umfang der Daten je nach Art der Anwendung und evtl. maßgeblicher Vorschriften (z.B. Grundsätze ordnungsgemäßer Buchführung, Datenschutz, KWG) übertragen werden, dürften die Grenzen einer Herausgabevollstreckung wohl weit überschritten sein und deshalb der Weg über § 888 ZPO vorgegeben sein. Vor diesem Hintergrund dürfte in den meisten heutigen Fällen eine 41 Zwangsvollstreckung über § 883 ZPO wohl ausscheiden und eher eine solche nach § 887 ZPO oder § 888 ZPO in Betracht kommen. 2. Zwangsvollstreckung nach § 887 ZPO? § 887 ZPO regelt die Zwangsvollstreckung vertretbarer Handlungen. Er- 42 füllt der Schuldner eine Verpflichtung nicht, eine Handlung vorzunehmen, deren Vornahme durch einen Dritten erfolgen kann, so kann das Prozessgericht des ersten Rechtszuges gemäß § 887 ZPO den Gläubiger auf seinen Antrag hin ermächtigen, die Handlung auf Kosten des Schuldners/Auftragnehmers vornehmen zu lassen. Eine Vollstreckung nach § 887 ZPO und nach § 883 ZPO schließen sich jeweils allerdings wechselseitig aus3. § 887 ZPO umfasst nur vertretbare Handlungen. Vertretbare Handlungen 43 sind nur solche, die von einem Dritten an Stelle des Schuldners/Auftragnehmers (selbständig ohne dessen Mitwirkung) vorgenommen werden können4; ist dies nicht der Fall, verbleibt nur eine Vollstreckung nach § 888 ZPO. Es muss für eine Vollstreckung nach § 887 ZPO vom Standpunkt des Gläubigers/Auftraggebers aus wirtschaftlich gleichgültig sein, durch wen die Handlung vorgenommen wird, und vom Standpunkt des 1 Schilken, DGVZ 1988, 49 (53); vgl. auch Dietrich, Die Individualvollstreckung, 1976, S. 148 ff. 2 Schilken, DGVZ 1988, 49 (53). 3 Seiler in Putzo, ZPO, § 887 Rz. 1b. 4 Stöber in Zöller, ZPO, § 883 Rz. 2; Hartmann in Baumbach/Lauterbach/Albers/ Hartmann, ZPO, § 887 Rz. 6; Schneider, Egon, MDR 75, 279. Mller
325
§ 24
Ansprche auf Herausgabe von Daten
Schuldners/Auftragnehmers aus rechtlich zulässig sein, dass ein anderer als er selbst die Handlung vornimmt1. 44
Vor diesem Hintergrund erscheint es auch zweifelhaft, ob der vorstehend aufgeführten Meinung von Redeker2 in Bezug auf eine Vollstreckung nach § 887 ZPO gefolgt werden kann, wenn zum einen die Herausgabe einer noch zu ziehenden Kopie und zum anderen die Löschung des Programms auf dem ursprünglichen Datenträger geschuldet ist. Wie Redeker selber einräumt, sind auch seiner Meinung nach zumindest nach Ziffern getrennt zwei unterschiedliche Maßnahmen zu beantragen und hängt die Frage, welche Maßnahmen z.B. für ein Kopieren erforderlich sind, von den im Spiel befindlichen Datenträgern, Programmträgern und Dateien ab. Vor diesem Hintergrund dürfte im Rahmen des § 887 ZPO wohl lediglich Platz für isolierte und klar abgrenzbare Löschungstätigkeiten z.B. bei unbefugt hergestellten Kopien auf separaten Datenträgern sein3.
45
Vollstreckt wird gemäß § 887 ZPO die geschuldete Verpflichtung in der Weise, dass der Gläubiger/Auftraggeber ermächtigt wird, die genau zu bezeichnende Handlung auf Kosten des Schuldners vornehmen zu lassen oder selbst vorzunehmen4. Der Gläubiger/Auftraggeber kann allerdings erst ermächtigt werden, wenn dargetan ist, dass er auch in der Lage ist, die vertretbare Handlung an Stelle des Schuldners/Auftragnehmers vorzunehmen5.
46
Vor diesem Hintergrund wird unter Berücksichtigung der heutigen komplexen Situationen wohl auch § 887 ZPO als Ansatz für eine Zwangsvollstreckung i.d.R. ausscheiden. Zwar ist es durchaus denkbar, dass im Einzelfall bestimmte Handlungen nicht vom Schuldner/Auftragnehmer, sondern auch von einem Dritten vorgenommen werden können, dies dürfte aber wegen der jetzt schon bestehenden Komplexität der technischen Abläufe eher der Ausnahmefall sein. Darüber hinaus besteht in vielen Fällen auch ein berechtigtes Geheimhaltungsinteresse des Schuldners/Auftragnehmers an entsprechenden Abläufen. Gerade Datenbanken bestehen, worauf insbesondere Schneider6 hinweist, im Prinzip aus zwei Komponenten bzw. Funktionen: Der Verwaltungs- und Wiederfindungssoftware, evtl. kombiniert mit einer Erschließungssoftware, die zusammengehalten wird durch einen gemeinsamen „Überbau“, evtl. in Verbindung mit einem Thesaurus also einer Vernetzung durch Assoziationen. Die zweite Komponente ist die eigentliche Datenbasis, die mit weiterem
1 Stöber in Zöller, ZPO, § 887 Rz. 2; BGH v. 11.11.1994 – V ZR 276/93, MDR 1995, 740. 2 Redeker, IT-Recht, Rz. 276. 3 Ähnlich auch Gruber in MünchKommZPO, § 887 Rz. 45. 4 Stöber in Zöller, ZPO, § 887 Rz. 7. 5 Stöber in Zöller, ZPO, § 887 Rz. 7; OLG Hamm v. 21.2.1959 – 18 W 140/58. 6 Schneider, Handbuch des EDV-Rechts, C Rz. 565.
326
Mller
§ 24
III. Prozessuale Durchsetzung
Aufwand zusammengestellt wird und sich evtl. relativ rasch ändern oder auch fortgeschrieben werden kann1. Hinsichtlich der ersten Komponente dürfte der Schuldner/Auftragneh- 47 mer, soweit nicht auch diese Software vom Gläubiger/Auftraggeber zur Verfügung gestellt wurde, wohl uneingeschränkten Schutz verdienen, so dass das Tätigwerden eines Dritten, unabhängig von der Frage inwieweit dieser überhaupt zur Erbringung der Handlung in der Lage wäre, schon aus Geheimhaltungsgründen ausgeschlossen ist. Auch bei der zweiten Komponente ist es mehr als fraglich, inwieweit hier durch vertretbare Handlungen zielführende Vollstreckungsmaßnahmen, letztlich im Sinne einer „Herausgabe“ möglich wären. 3. Zwangsvollstreckung nach § 888 ZPO Letztlich verbleibt deshalb wohl nur die Möglichkeit einer Vollstreckung 48 gemäß § 888 ZPO. a) Zwangsgeld bzw. ersatzweise Zwangshaft oder direkt Zwangshaft § 888 ZPO bestimmt, dass, wenn eine Handlung durch einen Dritten 49 nicht vorgenommen werden kann, weil sie ausschließlich vom Willen des Schuldners/Auftragnehmers abhängt, auf Antrag des Gläubigers/Auftraggebers von dem Prozessgericht des ersten Rechtszuges darauf zu erkennen ist, dass der Schuldner/Auftragnehmer zur Vornahme der Handlung durch Zwangsgeld und für den Fall, dass dieses nicht beigetrieben werden kann, durch Zwangshaft oder direkt durch Zwangshaft anzuhalten ist. § 888 ZPO umfasst solche Handlungen, die ein Dritter nicht vornehmen 50 darf oder kann, oder nicht so vornehmen kann, wie es dem Schuldner/ Auftragnehmer möglich ist2. Der Titel muss sich auf eine unvertretbare Handlung richten und hinreichend bestimmt sein3. Es muss sich allein aus dem Titel ergeben, welche ganz konkrete Handlung der Schuldner/ Auftragnehmer vorzunehmen hat bzw. von ihm erzwungen werden soll4. Prominentes Beispiel für eine solche Handlung ist z.B. der Anspruch auf Auskunft, der regelmäßig nur durch den Geschäftsführenden zu erfüllen sein wird. Die Handlung muss somit ausschließlich vom Willen des Schuldners/Auftragnehmers abhängen und darf auch nicht zugleich in der Abgabe einer Willenserklärung bestehen5. Ausgeschlossen ist die Vornahme der Handlung durch einen Dritten, wenn er sie überhaupt 1 Schneider, Handbuch des EDV-Rechts, C Rz. 565. 2 Seiler in Putzo, ZPO, § 888 Rz. 1; Hartmann in Baumbach/Lauterbach/Albers/ Hartmann, ZPO, § 888 Rz. 3. 3 Olzen in Prütting/Gehrlein, ZPO, § 888 Rz. 6. 4 Pukall in Saenger, ZPO, § 888 Rz. 3. 5 Stöber in Zöller, ZPO, § 888 Rz. 2; OLG Düsseldorf v. 13.3.2002 – 3 W 404/01, NJW-RR 2002, 1663. Mller
327
§ 24
Ansprche auf Herausgabe von Daten
nicht oder nicht so wie der Schuldner/Auftragnehmer vornehmen kann oder nach dem Schuldtitel nicht vornehmen darf1. b) Sondervorschrift des § 888 Abs. 3 ZPO als Hürde? 51
Eine vermeintliche Hürde in Bezug auf eine Vollstreckung nach § 888 ZPO könnte noch im § 888 Abs. 3 ZPO gesehen werden, wonach diese Vorschrift im Falle der Verurteilung zur Leistung von Diensten aus einem Dienstvertrag nicht zur Anwendung kommt. Dem Dienstvertrag stehen nach h.M. die Geschäftsbesorgung gemäß § 675 BGB und der Auftrag gemäß § 662 BGB gleich2. § 888 Abs. 3 ZPO ist eine eng auszulegende Sondervorschrift und nennt einen Fall, in dem die Zwangsvollstreckung ausscheidet.
52
Vor dem Inkrafttreten des Gesetzes zur Reform des Verfahrens in Familiensachen und in Angelegenheiten der freiwilligen Gerichtsbarkeit vom 17.12.20083 waren zwei weitere Vollstreckungsverbote aufgezählt, auf Grund derer die Vollstreckung bei einer Verurteilung zur Eingehung der Ehe und im Falle der Herstellung des ehelichen Lebens entfiel; diese Vollstreckungsverbote wurden aber mangels praktischer Bedeutung mit Wirkung zum 1.9.2009 ersatzlos gestrichen4. Da nach § 1297 Abs. 1 BGB eine Klage auf Eingehung der Ehe ohnehin schon in der ersten Fassung des BGB ausgeschlossen war und, soweit es sich um die Herstellung des ehelichen Lebens handelt, nach § 1567 Abs. 2 BGB (alt) im Falle des ein (weiteres) Jahr andauernden „Ungehorsams“ gegen ein entsprechendes Urteil bzw. § 1353 Abs. 2 BGB nur auf Scheidung geklagt werden konnte (kann), verwundert es schon, dass der Gesetzgeber hundert Jahre benötigt hat, um insoweit auch die ZPO mit dem BGB zu synchronisieren.
53
Als weitere Ausnahme hatte die Justiz-Kommission des Reichstages gegen den Widerspruch des Regierungsvertreters die Verurteilung zur Leistung von Diensten aus einem Dienstvertrag hinzugefügt, weil es den damaligen, zur Zeit der ZPO-Reform im Jahre 1889 herrschenden (Anm. d. Verf.: wie auch heutigen) Anschauungen nicht entsprach, jemanden durch Zwang in seinem Dienste zu behalten5. Nicht immer kann bzw. muss also zur Begründung sinnvoller Ausnahmen das Grundgesetz herangezogen werden. Wie die Historie zeigt, sind bzw. waren die Väter der ZPO bzw. des BGB an zahlreichen Stellen auch schon auf der Höhe der heutigen Zeit.
54
Zu berücksichtigen ist insoweit aber, dass sich das Vollstreckungsverbot nur auf die Haupt- bzw. vertragsprägende Pflicht dieser Rechtsverhältnis1 2 3 4 5
OLG Düsseldorf v. 13.3.2002 – 3 W 404/01, NJW-RR 2002, 1663. Seiler in Putzo, ZPO, § 888 Rz. 4. BGBl. I 2008, 2586. Olzen in Prütting/Gehrlein, ZPO, § 888 Rz. 18. Stuckmann/Koch, ZPO, § 888 Anm. 7; Anger in Petersen, ZPO, § 888 Anm. 9; Kom.Ber. S. 218 (219).
328
Mller
§ 24
III. Prozessuale Durchsetzung
se beziehen kann. Die Ratio des § 888 Abs. 3 ZPO liegt nämlich darin, dass dem Dienstvertragsrecht immanent ist, dass die eigentliche Vertragserfüllung (Hauptpflicht des Dienstverpflichteten, Auftragnehmers usw.) nicht erzwingbar sein soll. Damit ist ein entsprechender materiell-rechtlicher Anspruch aus § 667 55 BGB (i.V.m. 675 BGB) grundsätzlich gemäß § 888 ZPO durchzusetzen. 4. Festlegung des Umfangs und der Modalitäten der „Herausgabe“ Hierin liegt allerdings auch wiederum die Tücke einer entsprechenden 56 Klage. Der Gläubiger/Auftraggeber muss tunlichst bereits im Vertrag den Umfang und die von ihm benötigten Modalitäten einer entsprechenden „Herausgabe“ der Daten bzw. Datenbank festlegen. Unmögliches kann und braucht der Schuldner/Auftragnehmer nicht zu erfüllen1. Unpräzise formulierte Anträge werden darüber hinaus auch schon deshalb nicht zielführend sein, weil der Kläger das Geforderte entweder nicht erfüllen kann, oder, wenn (teilweise) erfüllt wird, der Gläubiger/Auftraggeber mit dem zur Erfüllung Erbrachten ggf. nichts anfangen kann. Ziel der Aktion ist es i.d.R. ja, es dem Gläubiger/Auftraggeber zu ermöglichen, mit den herausgegebenen Daten, rechtzeitig und unbehindert von (weiteren) Anpassungsleistungen, seinen Geschäftsbetrieb – gerade auch bei einer Re-Migration ins eigene Haus – schnellstmöglich und unbeeinträchtigt fortzuführen. Es stellt sich deshalb bereits vor/während der Vertragsverhandlungen des ersten, auf die Auslagerung von Daten/Datenbanken gerichteten Vertrages für alle Beteiligten die Frage einer hinreichend substantiierten Beschreibung der Rückgabemodalitäten der Daten oder Datenbank bzw. der weitergehenden Mitwirkung des Schuldners/Auftragnehmers. Der Schuldner/Auftragnehmer wird dieser Frage, weil nicht in seinen Verantwortungsbereich fallend, regelmäßig nur geringe Beachtung schenken. Darüber hinaus ist insoweit ggf. bei Ende des Vertragsverhältnisses auch noch die Gelegenheit gegeben, zusätzlichen Aufwand zu generieren und abzurechnen. Der Gläubiger/Auftraggeber wird im Zeitpunkt der geplanten Transition diesem Gesichtspunkt regelmäßig nur eingeschränkte Aufmerksamkeit widmen, da er sich ja gerade einer eigenen Aufgabe z.B. aus Kostengründen entledigen will. Nach Beginn des Auftrags-/Geschäftsbesorgungsvertrages, z.B. weil er auf Grund von Outsourcing-Entscheidungen die entsprechenden erforderlichen Mitarbeiter freigesetzt/abgebaut hat, wird er aber mit Zeitablauf immer weniger in der Lage sein, eine Re-Migration oder Transition auf einen Drittanbieter im Nachhinein zu verhandeln und zu steuern bzw. zu beaufsichtigen. Wenn und soweit der Gläubiger/Auftraggeber aber mangels IT-Kenntnissen und Manpower hierzu selbst nicht in der Lage ist, muss er sich frühzeitig, nämlich schon bei der Planung der ersten Auslagerung sachkundiger Hilfe versichern. Der die Parteien jeweils betreuende Jurist dürfte hier wohl unzweifelhaft erst an zweiter Stelle gefordert sein. Abhängig 1 Stöber in Zöller, ZPO, § 888 Rz. 2. Mller
329
§ 24
Ansprche auf Herausgabe von Daten
davon sollten deshalb auch erst nach der Bestimmung genau definierter Merkmale und Modalitäten Anträge formuliert bzw. Klagen erhoben werden. 57
Dies legt es zwingend nahe, soweit im eigenen Unternehmen keine entsprechende Manpower (mehr) vorhanden ist, die Notwendigkeit einer entsprechenden Umsetzung zu erkennen und externen Sachverstand, z.B. in Form eines entsprechenden Sachverständigen, bereits im Vorfeld – nämlich bei der erstmaligen Übertragung – zuzuziehen. Nur dieser wird, wenn und soweit der Gläubiger/Auftraggeber selbst nicht (mehr) über herausragende Sachkunde verfügt, regelmäßig in der Lage sein, bei der Formulierung der technisch gebotenen Handlungen im Zusammenspiel mit einem Juristen zu unterstützen. Nur er kann in ausreichender Art und Weise beurteilen, welche Gesichtspunkte festgelegt werden müssen, um eine vollständige und reibungslose Migration bzw. Re-Migration oder Transition vorzubereiten und umzusetzen.
58
Als Beispiel einer entsprechenden Formulierung wird von Schneider1 bei einem Rechenzentrumsvertrag die folgende Regelung empfohlen: „Die Rückgabe bzw. Herausgabe der Daten oder Kopien hiervon (Datenbankabzug) ist auf Verlangen des AG jeweils unverzüglich vorzunehmen. Der AN hat bei der Herausgabe bzw. Rückgabe die Daten in einem für die sofortige weitere Verwendung in einem automatisierten System aktueller Ausstattung geeigneten Format unter Angabe der Datenstrukturen und Satzaufbauten sowie Datenfeldanordnung und verwendeter Tools zusammen mit revisionsgeeigneten Prüfprotokollen herauszugeben. Dies gilt auch bei zwischenzeitlicher Herausgabe von Kopien.“
59
Vor dem Hintergrund des vorstehend Aufgezeigten wird deutlich, dass es sich bei diesem Beispiel zwar um ein taugliches, jedoch nur exemplarisch für zahlreiche in Betracht kommende Möglichkeiten aufgeführtes Muster handeln kann. Es muss deshalb in Bezug auf jedes Projekt bzw. jeden Vertrag, dem die Rückübertragung von Daten/Datenbanken immanent ist, in Abhängigkeit von den zu übertragenden Daten/Datenbanken, den technischen Gegebenheiten und Vorgaben beim Gläubiger/Auftraggeber bzw. den in Frage kommenden künftigen Vertragspartnern und unter Berücksichtigung von (auch ggf. absehbaren zukünftigen) tatsächlichen und technischen Änderungen im Einzelfall genau festgelegt werden, was, in welchem Umfang, wann und wie Gegenstand der „Herausgabe“ bzw. von sonstigen Unterstützungsleistungen sein soll.
IV. Zusammenfassung 60
Die materiell-rechtliche Grundlage eines Anspruchs auf „Besichtigung“ bzw. Auskunft und Herausgabe von Daten bzw. Datenbanken ist – neben anderen im Einzelfall möglichen Anspruchsgrundlagen – im Auftragsrecht regelmäßig i.V.m. den Grundsätzen des Geschäftsbesorgungsvertra1 Schneider, Handbuch des EDV-Rechts, M Rz. 79.
330
Mller
§ 24
IV. Zusammenfassung
ges, dort dem § 666 BGB (Auskunfts- und Rechenschaftspflicht) und dem § 667 BGB (Herausgabepflicht) zu sehen. Bei der Herausgabepflicht ist zu differenzieren zwischen dem, was dem Beauftragten zum Zwecke der Geschäftsbesorgung vom Auftraggeber oder auf dessen Veranlassung von Dritten zur Verfügung gestellt worden ist, und dem, was der Auftragnehmer aus der Geschäftsbesorgung erlangt hat. Regelmäßig wird zumindest in Bezug auf Letzteres der Begriff der „Herausgabe“ die geschuldeten Handlungen zwar rechtlich, nicht aber mehr tatsächlich in der gebotenen Weise abdecken und vor dem heutigen technischen Hintergrund ins Leere laufen. Obwohl die materiell-rechtliche Grundlage einer Rückgabe von Daten/ 61 Datenbanken auf Grund ihrer Einstufung als bewegliche Sache mangels expliziter vertraglicher Regelungen ihre Grundlage in § 667 BGB findet, wird eine Herausgabevollstreckung im Sinne des prozessual hierfür vorgesehenen § 883 ZPO nur in den seltensten Fällen zielführend sein. Insbesondere kommt vor dem Hintergrund, dass regelmäßig noch weitere Tätigkeiten erforderlich sein dürften, ohnehin regelmäßig nur eine Kombination einer Herausgabevollstreckung und einer Vollstreckung wegen der Pflicht zur Erbringung von Tätigkeiten in Betracht. Soweit es sich um vertretbare Tätigkeiten handelt, ist § 887 ZPO ggf. in Verbindung mit § 883 ZPO vollstreckungsrechtlicher Ansatzpunkt. Wegen der immer komplexer werdenden technischen Gegebenheiten, wird i.d.R. aber auch eine Vollstreckung gemäß § 887 ZPO mangels Möglichkeit der Erbringung durch einen Dritten regelmäßig ausscheiden. Letztlich bleibt – angepasst an den jeweiligen Einzelvertrag – zumeist nur noch eine Vollstreckung nach § 888 ZPO. So hat schon Koch1 im Jahre 1988 im Hinblick auf den EDV-Bereich darauf verwiesen, dass Urteile nur den praktischen Wert haben, der sich in der Vollstreckung realisieren lässt. Um insoweit aber nicht vor unüberwindbaren vollstreckungsrechtlichen Problemen zu stehen, muss deshalb bereits beim Abschluss eines entsprechenden Vertrages auf die Modalitäten einer Transition auf Dritte bzw. einer Re-Migration großes Augenmerk gerichtet werden. Deshalb kann abschließend zwar nicht in rechtlicher, wohl aber in recht- 62 lich-technischer Hinsicht und als Ansporn, gerade auch auf diesen Bereich der Vertragsgestaltung ein hohes Augenmerk zu richten, nur mit Brecht2 konstatiert werden: „Wir stehen selbst enttäuscht und sehn betroffen/Den Vorhang zu und alle Fragen offen“.
1 Koch, Zivilprozesspraxis in EDV-Sachen, RWS-Skript 1988, S. 241. 2 Brecht, Der gute Mensch von Sezuan, Suhrkamp 1964. Mller
331
§ 25 Daten und Herausgabeansprüche in der Insolvenz Rz. I. Einleitung . . . . . . . . . . . . . . . . . . .
1
II. Grundlagen . . . . . . . . . . . . . . . . . . 7 1. Allgemeines zu personenbezogenen Daten . . . . . . . . . . . . . . 7 2. Insolvenzverfahren . . . . . . . . . . . . 9 3. Der Insolvenzverwalter . . . . . . . . 13 III. Die Insolvenzmasse . . . . . . . . . . . 1. Eigentum an Daten . . . . . . . . . . . . a) Eigentum an personenbezogenen Daten aus datenschutzrechtlicher Sicht . . . . . . . . . . . . b) Eigentum an sonstigen Daten des Unternehmens . . . . . . . . . . 2. Die Insolvenzmasse (§ 35 Insolvenzordnung). . . . . . . . . . . . . 3. Daten als unpfändbare Gegenstände (§ 36 Insolvenzordnung) . . 4. Daten im Lichte von § 35 und § 36 Insolvenzordnung . . . . . . . . . a) Von der Rechtsordnung anerkannter Geldwert als Voraussetzung für die Einordnung als Teil der Insolvenzmasse? . . . . . b) Herrschende Meinung . . . . . . . 5. Zwischenergebnis . . . . . . . . . . . . .
14 15 15 17 18 19 20
21 23 24
Rz. IV. Daten bei Dritten und Herausgabeansprüche . . . . . . . . . . . . . . . . 1. Aussonderung nach § 47 Insolvenzordnung? . . . . . . . . . . . . a) Dingliche Rechte an Daten? . . b) Gegenüber jedermann wirkender Zuweisungsgehalt . . . . . . . 2. Schuldrechtliche Forderung . . . . . a) Insolvenzfestigkeit von Herausgabeansprüchen. . . . . . . b) Insolvenzfestigkeit von Herausgabeansprüchen nach §§ 667 Alt. 1, 675 BGB . . . . . . . 3. Ergebnis . . . . . . . . . . . . . . . . . . . . . V. Verkauf von Kundendaten . . . . . . 1. Listenprivileg (§ 28 Abs. 3 Satz 2 BDSG) . . . . . . . . . . . . . . . . . 2. § 28 Abs. 1 Satz 1 Nr. 2 BDSG als Erlaubnistatbestand im Verwertungsfall? . . . . . . . . . . . . . . 3. Anonymisierung oder Pseudonymisierung . . . . . . . . . . . . . . . . . . . .
25 28 29 30 31 32 33 34 35 36 37 38
VI. Zusammenfassung . . . . . . . . . . . . 39
I. Einleitung 1
2012 gab es in Deutschland 28 297 Unternehmensinsolvenzen1. Ziel eines Insolvenzverfahrens ist die Verwertung des im Unternehmen vorhandenen Vermögens zur gemeinschaftlichen Befriedigung der Gläubiger des Schuldners2.
2
In jedem Unternehmen sammeln sich Daten unterschiedlichster Kategorien und Qualitäten an, z.B. – Unternehmenseigene Daten – Finanzdaten – Kalkulationen, Preislisten, Rabattsätze – Rechnungsdaten, Betriebswirtschaftliche Auswertungen, Bilanzen – Kreditdaten 1 Angaben des Statistischen Bundesamtes. 2 InsO, § 1.
332
Czarnetzki/Rçder
§ 25
I. Einleitung
– Technische Daten – Konstruktionsdaten, Pläne, Zeichnungen, CAD-Daten – Maschinendaten, Produktionsdaten – Unternehmenseigene Software/Quellcode – Lizenzierte Fremdsoftware, ggf. Quellcode zu dieser – Kunden- und Lieferantenbeziehungen – Kundendaten nebst Bonität und Zahlungsverhalten – Lieferantendaten nebst Rabattstrukturen und individuellen Bewertungen, Qualitätsmaßstäbe – Mitarbeiterdaten – Mitarbeiterbestandsdaten wie Name, Adresse, Familienstand, Ausbildung, Zeugnisse, Eintrittsdaten – Krankheitsdaten, Fehlzeiten – Unternehmensfremde Daten – Technische Daten, Daten zu Auftragsproduktionen, Konstruktionsdaten – Daten aus eine Auftragsdatenverarbeitungsvereinbarung Viele dieser Daten, Informationen und Unterlagen können einen erheb- 3 lichen wirtschaftlichen Wert für Dritte, z.B. Wettbewerber, haben (z.B. Kundendaten1) und daher für einen Insolvenzverwalter von Interesse sein. Für manche Datenkategorien bestehen gesetzliche Aufbewahrungspflichten (z.B. nach der Abgabenordnung), für andere bestehen Löschungspflichten (z.B. nicht mehr benötigte Bewerberunterlagen aus Vorstellungsgesprächen2 oder Mitarbeiterfotos nach Ausscheiden der Mitarbeiter bzw. bei fehlender Einwilligung3). Manche Informationen unterliegen einem besonderen gesetzlichen Schutz (z.B. personenbezogene Daten), andere eventuell einer vertraglich vereinbarten besonderen Vertraulichkeit (NDA, Geheimhaltungsvereinbarung in einem Vertrag). Daten können im Unternehmen selbst anfallen und im Eigentum des Unternehmens stehen, andere werden nur für Dritte auf der Grundlage eines Vertrages verarbeitet4. Auch Daten, welche dem Unternehmen gehören, können u.U. nicht beliebig verwertet werden, weil sie Betriebs-, Geschäfts- oder Privatgeheimnisse darstellen können5. Der richtige und rechtlich zulässige Umgang mit diesen Daten kann den 4 Insolvenzverwalter vor erhebliche Probleme stellen. Bereits 2006 setzte 1 2 3 4 5
S. Selk, § 30. S. Kort, § 27. S. Ehmann, § 28. S. Habel, § 35. S. Gennen, § 13. Czarnetzki/Rçder
333
§ 25
Daten und Herausgabeansprche in der Insolvenz
sich Blunk1 mit der Verwertbarkeit von Datenbeständen in der Insolvenz auf etwa 220 Seiten auseinander, seitdem hat sich die Flut von Daten sowohl mengenmäßig als auch von Inhalt und Art her in den Unternehmen vervielfacht2. Die folgende Darstellung kann die teilweise komplexen Fragestellungen für alle unterschiedlichen Datenarten nicht intensiv darlegen. Sie soll einen Handlungsleitfaden geben und will einen Schwerpunkt bei personenbezogenen Daten setzen. Dennoch wird in jedem Einzelfall geprüft werden müssen, wie konkret mit bestimmten Daten umzugehen ist. 5
Im Zeitalter von sozialen Netzwerken und personalisierter Werbung werden personenbezogene Daten immer wichtiger und stellen teilweise einen sehr großen Vermögenswert eines Unternehmens dar3. Der wirtschaftliche Wert von personenbezogenen Daten ergibt sich u.a. daraus, dass sie für verschiedenste Zwecke eingesetzt werden können. Zu diesen Zwecken zählen z.B. die Feststellung der Bonität, das heißt der individuellen Zahlungsfähigkeit und Zahlungsbereitschaft, von Kredit- und sonstigen Vertragsrisiken, die Akquisition und Bindung von Kunden, die Vermittlung von Arbeitskräften und die allgemeine Durchführung von Werbemaßnahmen4. Durch den Fortschritt des Internets und die Fokussierung aller Lebensbereiche auf immer mehr Online-Nutzung kommt den personenbezogenen Daten im Sinne von elektronischen Datensätzen eine immer wichtigere Rolle zu. Die Nutzer geben oft achtlos und häufig unwissentlich unzählige Informationen über sich preis5. Dabei erfolgt die Sammlung solcher Daten nicht nur über Cookies, die dem Nutzer meist gar nicht auffallen, vielmehr gibt der Nutzer die Daten auch freiwillig weiter. Hierzu genügt oft schon die Auslobung eines kleinen Preises und Nutzer geben Namen, Geburtsdatum, Adresse und andere Daten über sich preis. Aufgrund dieser Daten können Unternehmen zielorientierte Werbung durchführen, was dazu führt, dass die Produkte einen besseren Absatz finden, da sie gezielt nur der entsprechenden Interessengruppe angeboten werden können.
6
Dieser Beitrag fokussiert sich auf den Umgang mit solchen (personenbezogenen) Daten in der Insolvenz, welche das Unternehmen vor dieser angesammelt hat.
1 Blunk, Zur Verwertbarkeit von Datenbeständen in der Insolvenz. 2 So verdoppelt sich nach der Digital Universe Studie von IDC im Auftrag von EMC das weltweite Datenvolumen alle 2 Jahre; bis zum Jahr 2020 müssen sich die IT-Abteilungen auf eine Verzehnfachung der Server und das 50-fache an Informationen gegenüber 2011 einstellen. 3 Laut einem Spiegel-Artikel (2/2011, Dworschak, Manfred „Im Netz der Späher“) ist für Facebook jeder Nutzer 100 Dollar wert. 4 Weichert, NJW 2001, 1463. 5 Zum Beispiel durch die Aktivierung von Ortungsdiensten in einem iPhone oder die Gestattung des Zugriffs sozialer Netzwerke auf eigene Adressdatenbestände.
334
Czarnetzki/Rçder
§ 25
II. Grundlagen
II. Grundlagen 1. Allgemeines zu personenbezogenen Daten Nach § 3 BDSG sind personenbezogene Daten alle Informationen über 7 persönliche oder sachliche Verhältnisse einer bestimmten oder einer bestimmbaren natürlichen Person. Alle anderen Daten unterfallen nicht dem BDSG. Die Erhebung solcher personenbezogener Daten ist nur zulässig, soweit das BDSG oder eine andere Rechtsvorschrift dies erlaubt oder anordnet oder der Betroffene selbst eingewilligt hat, § 4 Abs. 1 BDSG. Die Einwilligung des Betroffenen ist nur wirksam, wenn sie auf der freien Entscheidung des Betroffenen beruht, § 4a Abs. 1 Satz 1 BDSG. Gerade solche personenbezogenen Daten können einen erheblichen Vermögenswert darstellen. Unternehmen sammeln solche Daten in Datenbanken, in Kundenlisten und Abonnementverzeichnissen. Anhand solcher Listen können personalisierte Werbeschreiben und Informationsbroschüren versendet werden und die Trefferquote bezüglich der Zugänglichkeit für solche Werbung und eines anschließenden Kaufes erhöht werden. Nach einem Bericht des Forbes Magazin1 liegt der materielle Wert einzelner Informationen zwischen einem und drei US-Cent. So ist z.B. die Information, ob jemand ein Smartphone besitzt, 3 US-Cent wert. Das Münchner Unternehmen VSA (Apothekenrechenzentrum) verkaufte nach einem Spiegel-Bericht vom 18.8.2013 Patientendaten aus Rezepten an Marktforschungsunternehmen. Pro Rezeptdatensatz wurden ca. 1,5 Cent berechnet. Ein Kunde von VSA, der US-Datenhändler IMS Health generierte hieraus z.B. Berichte für einen französischen Pharmakonzern, die ausweislich des Spiegel-Artikels mit 86 400 Euro berechnet wurden2. Dabei entsteht der Vermögenswert der Einzeldaten gerade dadurch, dass eine Vielzahl von Informationen in Datensätzen und Datenbanken gespeichert, analysiert und verwertet werden können, und dass eine Verwertung nicht nur einmal erfolgen kann, sondern immer und immer wieder. Trotz dieses finanziellen Wertes von Daten enthält das deutsche Daten- 8 schutzrecht zum großen Teil keine Regelungsmechanismen hierfür. Vorgesehen ist in § 7 BDSG lediglich ein Schadensersatzanspruch, wenn eine unzulässige oder unrichtige Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten erfolgt. Die §§ 43 und 44 BDSG enthalten Bußgeldvorschriften und Strafvorschriften. Diese Normen greifen jedoch nur bei einem Verstoß gegen das BDSG und schützen nur den Einzelnen, sie regeln gerade nicht den Umgang mit Daten als Wirtschaftsgut3.
1 http://www.forbes.com/sites/kashmirhill/2011/05/13/your-marital-status-isworth-0-01-to-data-buyers-your-smartphone-is-worth-0-03/. 2 http://www.spiegel.de/netzwelt/netzpolitik/patienten-apotheken-verkaufen-ver trauliche-daten-a-917118.html. 3 Weichert, NJW 2001, 1463. Czarnetzki/Rçder
335
§ 25
Daten und Herausgabeansprche in der Insolvenz
2. Insolvenzverfahren 9
Die Insolvenzordnung ist am 1.1.1999 in Kraft getreten, am 1.7.2007 ist das Gesetz zur Vereinfachung des Insolvenzverfahrens in Kraft getreten. Ziel eines Insolvenzverfahrens ist die Gesamtbereinigung der Schulden des Insolvenzschuldners. Dabei soll eine gleichmäßige Befriedigung aller persönlichen Gläubiger erfolgen1. Das Leitmotiv ergibt sich aus § 1 der Insolvenzordnung:
10
„Das Insolvenzverfahren dient dazu, die Gläubiger eines Schuldners gemeinschaftlich zu befriedigen, indem das Vermögen des Schuldners verwertet und der Erlös verteilt und in einem Insolvenzplan eine abweichende Regelung insbesondere zum Erhalt des Unternehmens getroffen wird. Dem redlichen Schuldner wird Gelegenheit gegeben, sich von seinen restlichen Verbindlichkeiten zu befreien.“
11
Zur Befriedigung der Gläubiger stehen grundsätzlich drei Wege zur Verfügung. Zum einen kann das Vermögen liquidiert und verteilt werden, es kann versucht werden, das Unternehmen zu sanieren oder es erfolgt eine teilweise Übertragung an andere Unternehmen oder an Gläubiger, so dass der Kaufpreis dann verteilt werden kann2.
12
Basierend auf dieser Grundlage stellt sich die Frage, ob und inwieweit Daten in die Insolvenzmasse einfließen und durch den Insolvenzverwalter verwertet werden können. 3. Der Insolvenzverwalter
13
Die Verwaltungs- und Verfügungsbefugnis über das zur Insolvenzmasse gehörige Vermögen geht mit Eröffnung des Insolvenzverfahrens auf den Insolvenzverwalter über, § 80 Abs. 1 InsO. Der Insolvenzverwalter ist weiterhin an vertragliche Vereinbarungen des Insolvenzschuldners gebunden3. Er tritt daher faktisch und rechtlich in die Rechtsstellung des Schuldners ein, was zur Folge hat, dass er auch über Daten nur insoweit verfügen kann, wie es auch der Insolvenzschuldner gekonnt hätte. Beschränkungen – gesetzliche wie vertragliche – des Insolvenzschuldners treffen ebenso den Verwalter.
III. Die Insolvenzmasse 14
§ 35 Abs. 1 enthält eine Legaldefinition der Insolvenzmasse. Der Grundsatz des § 35 InsO wird durch die §§ 36 und 37 InsO teilweise erweitert und teilweise beschränkt4.
1 Jaeger/Henckel, InsO, § 1 Rz. 3; Becker in Nerlich/Römermann, InsO, Rz. 22. 2 Jaeger/Henckel, InsO, § 1 Rz. 9f; Ganter in MünchKommInsO, § 1 Rz. 45. 3 BGH, WM 1999, 229 (230); inhaltlich so auch Andres/Leithaus/Leithaus, InsO, § 80 Rz. 3 ff. 4 Uhlenbruck/Hirte, InsO, § 35 Rz. 11.
336
Czarnetzki/Rçder
§ 25
III. Die Insolvenzmasse
1. Eigentum an Daten a) Eigentum an personenbezogenen Daten aus datenschutzrechtlicher Sicht Bevor jedoch geklärt werden kann, ob Daten unter § 35 oder § 36 InsO 15 fallen, muss im Fall von personenbezogenen Daten geprüft werden, wer „das Eigentum“ an personenbezogenen Daten hat. Grundsätzlich stehen personenbezogene Daten der betroffenen Person zu, da diese als Ausfluss des Rechts der informationellen Selbstbestimmung bestimmen kann, welche Daten von ihr erhoben, verarbeitet und genutzt werden. Dies entspricht zwar nicht einem Eigentumsrecht wie an Sachen, jedoch handelt es sich hierbei um eine eigentumsähnliche Position, wie dies auch für den Urheber eines Werkes geregelt ist1. Die Verfügungsbefugnis des Einzelnen ist dabei nicht uneingeschränkt. Einschränkungen der aus dem Datenschutzrecht resultierenden (Abwehr-)Rechte bestehen z.B. im hoheitlichen Sektor, wo das Recht auf informationelle Selbstbestimmung durch das Allgemeinwohlinteresse eingeschränkt wird2. Auch das Bundesdatenschutzgesetz sieht etwa in § 28 Abs. 1 Satz 1 Nr. 2 eine Einschränkung von. Allerdings wird hierdurch nur das Recht gewährt, die Daten zu erheben, zu speichern, zu verändern oder zu übermitteln. Eine Übertragung der Eigentumsrechte ist damit nicht verbunden. Die grundsätzliche Befugnis der betroffenen Person, über die Preisgabe und Verwendung ihrer persönlichen Daten zu bestimmen, steht nur dieser zu3. Der Betroffene kann jedoch seine Einwilligung erteilen, § 4 Abs. 1 BDSG. 16 Soweit er seine Einwilligung erteilt hat, kann die Stelle, der gegenüber er die Einwilligung erteilt hat, über die Daten im Rahmen und im Umfang der erteilten Einwilligung verfügen. Insoweit hat er seine Daten zur Disposition gestellt. Dabei muss jedoch beachtet werden, dass diese Einwilligung jederzeit widerrufen werden kann4. Für Unternehmen, die als Hauptgeschäft den Verkauf von personenbezogenen Daten haben, empfiehlt es sich daher, nicht lediglich die Einwilligung der Betroffenen einzuholen, sondern einen bindenden Vertrag mit diesen zu schließen, der die bis zu einem Widerruf bereits übermittelten Daten unberührt lässt und nur die Einwilligung mit Wirkung in die Zukunft beseitigt. b) Eigentum an sonstigen Daten des Unternehmens Unternehmensbezogene Daten haben bislang keinerlei mit dem Schutz 17 von personenbezogenen Daten vergleichbare gesetzliche Regelung erfah-
1 2 3 4
Kilian/Heussen, Computerrecht, 31. Erg.-Lfg. 2012, 1. Abschnitt, Teil 13, Rz. 61. BVerfG, NJW 1984, 419. Weichert, NJW 2001, 1463; BVerfG, NJW 1984, 419 (422). Kühling in Wolff/Brink, Beck’scher Onlinekommentar, § 4a Rz. 57; OLG Düsseldorf, ZIP 1985, 1319 f. Czarnetzki/Rçder
337
§ 25
Daten und Herausgabeansprche in der Insolvenz
ren1. Unternehmenseigene Daten mit Geheimnisschutzcharakter können dem Schutz des allgemeinen Persönlichkeitsrechts unterfallen (umstritten), dem Recht am eingerichteten und ausgeübten Gewerbebetrieb und dem Recht der freien Berufsausübung unterliegen, wobei sich dieser Schutzcharakter überwiegend gegen hoheitliche Eingriffe richtet2. Eine Einschränkung der Verfügungsbefugnis des Unternehmens – und damit auch eines Insolvenzverwalters – ist damit nicht verbunden. Beiden Ansichten ist gemein, dass eine Zuordnung zum jeweiligen Unternehmen erfolgt, so dass die Daten dem jeweiligen Unternehmen „gehören“. 2. Die Insolvenzmasse (§ 35 Insolvenzordnung) 18
Das Insolvenzverfahren umfasst das gesamte Vermögen, das dem Schuldner zur Zeit der Eröffnung des Verfahrens gehört und das während des Verfahrens erlangt wird. Hintergrund dieser Regelung ist, dass das gesamte Schuldnervermögen verwertet werden soll, so dass die größtmögliche Masse zur Befriedigung der Gläubiger vorhanden ist3. Es gehören daher nur solche Gegenstände nicht zur Insolvenzmasse, die nicht der Zwangsvollstreckung unterliegen, § 36 Abs. 1 InsO (hierzu sogleich)4. Zur Insolvenzmasse gehören daher auch Immaterialgüterrechte, wie z.B. Urheberrechte, Patente, Markenrechte5. Vermögensrechte im Sinne des Zwangsvollstreckungsrechtes sind Rechte aller Art, die einen Vermögenswert verkörpern, so dass sie der Pfandverwertung zur Befriedigung der Gläubiger dienen können6. 3. Daten als unpfändbare Gegenstände (§ 36 Insolvenzordnung)
19
In § 36 Abs. 1 InsO wird zunächst geregelt, dass Gegenstände, die nicht der Zwangsvollstreckung unterliegen, nicht zur Insolvenzmasse gehörten. Abs. 2 regelt hiervon Ausnahmen, wobei auch die Geschäftsbücher des Schuldners zu diesen Ausnahmen gehören, § 36 Abs. 2 Nr. 1 InsO. Nach herrschender Meinung in der Literatur gehören zu diesen Geschäftsbüchern auch der Datenbestand, Kundenlisten, Abonnementverzeichnisse und Kundenkarteien7. Dass Datenbestände zu den Geschäftsbüchern zählen, hat auch das OLG Saarbrücken so entschieden8.
1 Stancke, Grundlagen des Unternehmensdatenschutzrechts – gesetzlicher und vertraglicher Schutz unternehmensbezogener Daten im privaten Wirtschaftsverkehr, BB 2013, 1418. 2 Stancke, BB 2013, 1418. 3 Peters in MünchKommInsO, § 35 Rz. 1. 4 Peters in MünchKommInsO, § 35 Rz. 15. 5 Nerlich/Römermann/Andres, InsO, § 35 Rz. 69 ff. 6 Uhlenbruck/Hirte, InsO, § 35 Rz. 13; BGH v. 5.7.2005, NJW 2005, 3353. 7 Braun/Bäuerle, InsO, § 36 Rz. 20; Peters in MünchKommInsO, § 36 Rz. 65; Uhlenbruck/Hirte, InsO, Rz. 44. 8 OLG Saarbrücken v. 8.11.2000, NJW-RR 2001, 919.
338
Czarnetzki/Rçder
§ 25
III. Die Insolvenzmasse
4. Daten im Lichte von § 35 und § 36 Insolvenzordnung Daten haben einen tatsächlichen, teilweise erheblichen Wert, da sie Teil 20 des Wirtschaftslebens und auch Teil des Handels sind. Insoweit können Daten unter § 35 InsO fallen, so dass sie zur Insolvenzmasse gehören. a) Von der Rechtsordnung anerkannter Geldwert als Voraussetzung für die Einordnung als Teil der Insolvenzmasse? Einschränkend sieht dies jedoch Henckel1, der unter Vermögensrechten 21 nur solche Rechte versteht, die einen „von der Rechtsordnung anerkannten Geldwert“ haben können. Die rechtlichen Regelungen zu personenbezogenen Daten beziehen sich jedoch wie oben gezeigt nur darauf, wann und wie diese erhoben, verarbeitet oder weitergegeben werden dürfen. Es existieren keine gesetzlichen Regelungen, die den Wert von personenbezogenen Daten definieren. Zwar billigt § 7 BDSG dem Betroffenen einen Schadenersatz zu, wenn eine verantwortliche Stelle eine unzulässige oder unrichtige Erhebung, Verarbeitung oder Nutzung personenbezogener Daten vornimmt, dieser Schadenersatz orientiert sich aber nicht an einem „Wert der Daten“, sondern an einem tatsächlich entstandenen Schaden, der durch z.B. eine unzulässige Datenweitergabe entsteht. Er umfasst – zumindest nach herrschender Meinung – auch nicht immaterielle Schäden2 und ist damit im Ergebnis eine in der Praxis eher zahnlose Norm. § 29 wie auch § 30a BDSG hingegen zeigen auf, dass personenbezogene 22 Daten ein Wirtschaftsgut sein können, denn sie regeln die geschäftsmäßige Datenerhebung zum Zweck der Übermittlung, „insbesondere wenn dies der Werbung … oder dem Adresshandel dient“ bzw. für Zwecke der Markt- und Meinungsforschung, was wiederum eine i.d.R. wirtschaftliche Nutzung der Daten beinhaltet. b) Herrschende Meinung Aber schon der Wortlaut des § 35 InsO spricht dagegen, dass Daten nicht 23 zur Insolvenzmasse zählen könnten, weil sie „keinen, „von der Rechtsordnung anerkannten Geldwert“ hätten, da § 35 schlicht auf das „gesamte Vermögen“ abstellt und keine Einschränkungen hinsichtlich der Anerkennung des Vermögens nach der Rechtsordnung vornimmt. Darüber hinaus unterfallen Daten, wie oben gezeigt, jedenfalls § 36 Abs. 2 Nr. 1 InsO, da sie nach herrschender Meinung zu den Geschäftsbüchern zählen. Sie gehören daher zur Insolvenzmasse und der Insolvenzverwalter kann über diese grundsätzlich verfügen.
1 Jaeger/Henckel, InsO, § 35 Rz. 8. 2 Däubler in Däubler/Klebe/Wedde/Weichert, BDSG, § 7 Rz. 3. Czarnetzki/Rçder
339
§ 25
Daten und Herausgabeansprche in der Insolvenz
5. Zwischenergebnis 24
Personenbezogene Daten, welche bei der Insolvenzschuldnerin vorliegen, zählen zur Insolvenzmasse, da sie jedenfalls als Teil der Geschäftsbücher anzusehen sind, sofern es sich um Kundenlisten oder andere Datenbestände mit personenbezogenen Daten handelt. Für nicht personenbezogene Daten kann grundsätzlich nichts anders gelten. Sofern sie einen materiellen Wert haben (z.B. Geschäftsgeheimnisse)1, können sie Teil der Insolvenzmasse sein und unterliegen damit der Verfügungsbefugnis des Insolvenzverwalters, der insoweit allerdings etwaige Schutzrechte Dritter, sei es z.B. aus vertraglichen Vereinbarungen oder bestehenden Geheimhaltungspflichten, zu beachten hat.
IV. Daten bei Dritten und Herausgabeansprüche 25
Eine andere rechtliche Fragestellung ergibt sich, wenn solche personenbezogenen Daten nicht im datenerhebenden Unternehmen selbst gespeichert und verarbeitet werden, sondern hierfür ein Drittunternehmen eingeschaltet wird und dieses in die Insolvenz fällt.
26
Folgender Sachverhalt liegt den nachfolgenden Ausführungen zugrunde2: Das Unternehmen U betreibt eine Website, auf der Kunden persönliche Daten eingeben können, um sich so für den elektronischen Newsletter des Unternehmens an- oder abzumelden. Die dort eingegebenen Daten werden automatisch an eine Werbeagentur weitergeleitet, welche Dienstleistungen im Bereich der Werbung, der Kommunikation und Medien erbringt. Diese Agentur verarbeitet die Daten und speichert diese, sie wickelt auch das für die Newsletter-Anmeldung erforderliche double-optin-Verfahren ab. Die Anmeldedaten werden bei U nicht selbst gespeichert, die Aufbereitung in Datenbanken zum Versand als Newsletter erfolgt nur bei der Agentur. Ebenso wird der Newsletter von der Agentur an die Kunden von U versandt. Die Agentur wird insolvent. U fordert vom Insolvenzverwalter Herausgabe der persönlichen Daten der Kunden.
27
Hier stellt sich die Frage, ob dem Unternehmen ein schuldrechtlicher Anspruch aus dem Vertrag – im Beispielsfall aus Agenturvertrag – auf Herausgabe der Daten und damit ein Aussonderungsrecht nach § 47 InsO zusteht. 1. Aussonderung nach § 47 Insolvenzordnung?
28
Nach dieser Vorschrift ist nicht Insolvenzgläubiger, wer auf Grund eines dinglichen oder persönlichen Rechtes geltend machen kann, dass ein Gegenstand nicht zur Insolvenzmasse gehört. Er ist dann zur Aussonderung dieses Gegenstandes nach den Gesetzen berechtigt, die außerhalb des In1 Stancke, BB 2013, 1418. 2 S. auch OLG Düsseldorf v. 27.9.2012 – I-6U 241/11, NZI 2012, 887.
340
Czarnetzki/Rçder
§ 25
IV. Daten bei Dritten und Herausgabeansprche
solvenzverfahrens gelten. Eigentum ist ein solches dingliches Recht. Bloße schuldrechtliche Ansprüche hingegen gewähren grundsätzlich keinen Aussonderungsanspruch1. a) Dingliche Rechte an Daten? Ob ausnahmsweise doch ein Aussonderungsrecht besteht, hängt von den 29 Umständen des Einzelfalls und dem genauen Inhalt des Anspruches ab2. Dingliche Rechte im Allgemeinen sind Rechte, die eine bewegliche oder unbewegliche Sache zum Gegenstand haben und eine unmittelbare Beziehung zwischen dem Rechtsinhaber und der Sache begründen3. Insoweit stellt sich die Frage, ob Daten dem Eigentum i.S.v. § 823 BGB zugänglich sind4. Grundsätzlich besteht zwar eine unmittelbare Beziehung zwischen den Daten und der Person die sie preisgegeben hat, jedoch erscheint die Sacheigenschaft von Daten fraglich. Sachen im Sinne des Gesetzes sind nur körperliche Gegenstände, § 90 BGB. Die Körperlichkeit einer Sache ist deshalb erforderlich, da Sachen Gegenstand von Besitz und Eigentum sind und daher für die Menschen beherrschbar sein müssen. Diese Beherrschbarkeit liegt vor, wenn ein Gegenstand sinnlich wahrnehmbar und im Raum abgegrenzt oder zumindest abgrenzbar ist5. Nach dieser Definition sind Daten grundsätzlich keine Sachen, auch wenn sie nach Abspeicherung auf Datenträgern in einer verkörperten Form vorliegen6. Für Software, die letztlich auch nichts anderes als eine für Computer lesbare Zusammenfügung von Daten und Anweisungen ist, ist allerdings die Sacheigenschaft inzwischen anerkannt7, und auch nach Ansicht des BGH stellt Software jedenfalls in ihrer Verkörperung in einem Datenträger eine Sache im Rechtssinne dar8. Und in strafprozessualer Hinsicht wurde lange diskutiert, ob Daten einer Beschlagnahme unterliegen können, da nur „Gegenstände“ einer Beschlagnahme zugänglich sind. Und da die Löschung von Daten mangels Sacheigenschaft keine Sachbeschädigung i.S.v. § 303 StGB darstellt9, findet sich die Löschung von Daten als Straftatbestand in § 303a StGB10.
1 2 3 4 5 6 7 8 9 10
Leithaus in Andres/Leithaus, InsO, § 47 Rz. 9. Leithaus in Andres/Leithaus, InsO, § 47 Rz. 9. Mansel/Stürner in Heidel/Hüßtege/Mansel/Noack, § 197 BGB Rz. 114. S. hierzu auch Bartsch, § 22. Fritsche in Bamberger/Roth (Hrsg.), Beck’scher Onlinekommentar BGB, § 90 Rz. 5. So auch LG Dortmund v. 14.8.2008 – 2 O 324/07. Michalski in Erman, BGB, § 90 Rz. 3 m.w.N. Michalski in Erman, BGB, § 90 Rz. 3, BGHZ 102, 144; a.A. Müller-Hengstenberg, NJW 1994, 3128. LG Konstanz v. 10.5.1996 – 1 S 292/95, CR 1997, 84. S. zu § 303a StGB Hoeren, § 23. Czarnetzki/Rçder
341
§ 25
Daten und Herausgabeansprche in der Insolvenz
b) Gegenüber jedermann wirkender Zuweisungsgehalt 30
Die dogmatische Einordnung von Daten als „Gegenstand der Insolvenzmasse“ i.S.v. § 47 InsO ist also nicht einfach. Jedenfalls kommt Daten ein dinglicher, gegenüber jedermann wirkender Zuweisungsgehalt zu1. Auch wurden die Daten in unserem Beispielsfall durch den Auftraggeber der Datenverarbeitung an das insolvente Unternehmen zur dortigen Bearbeitung weitergegeben, weshalb unter dem Aspekt des Datenschutzes (§ 11 BDSG) die alleinige Verfügungsbefugnis über diese Daten dem Auftraggeber der Verarbeitung zustehen2. Dies gilt laut Schneider nicht erst bei Ende eines Rechenzentrumsvertrages3, sondern generell jederzeit während des Bestandes dieses Vertrages, selbst wenn er diesbezüglich keine expliziten Regelungen beinhalten sollte. In der Literatur wird daher die Aussonderungsfähigkeit von Daten unabhängig von einer Verkörperung auf Datenträger bejaht4. 2. Schuldrechtliche Forderung
31
Ein Aussonderungsrecht kann dem Inhaber der Daten darüber hinaus ungeachtet etwaiger datenschutzrechtlicher Ansprüche im Zusammenhang mit § 11 BDSG auch dann zustehen, wenn er einen schuldrechtlichen Anspruch auf Herausgabe hat. a) Insolvenzfestigkeit von Herausgabeansprüchen
32
Zwar sind grundsätzlich obligatorische Herausgabeansprüche keine Grundlage für ein Aussonderungsrecht. Vereinzelt sind jedoch auch solche Ansprüche dann aussonderungsberechtigt, wenn sie einen persönlichen Anspruch auf Herausgabe eines bestimmten, nicht zur Sollmasse gehörenden Gegenstandes des Insolvenzschuldners betreffen. Hierzu gehören u.a. Ansprüche des Vermieters (§ 556 Abs. 1 BGB), des Verpächters (§ 596 Abs. 1 BGB), des Hinterlegers (§ 695 BGB) oder auch des Auftraggebers (§ 667 BGB)5. b) Insolvenzfestigkeit von Herausgabeansprüchen nach §§ 667 Alt. 1, 675 BGB
33
In dem hier als Beispiel dargestellten Fall hat das Unternehmen einen solchen Anspruch aus §§ 667 Alt. 1, 675 BGB, da die Insolvenzschuldnerin die Daten von U erlangt hat, die Daten im Auftrag von U bearbeitet wurden und auch im Auftrag von U die Newsletter versendet wurden. Es handelte sich daher vorliegend um ein Auftragsverhältnis. Dabei ist es 1 2 3 4
Ganter in MünchKommInsO, § 47 Rz. 31a. So auch Grützmacher, ITRB 2004, 261. Schneider, Handbuch des EDV-Rechts, M Rz. 69 ff. Ganter in MünchKommInsO, § 47 Rz. 31a; Grützmacher, ITRB 2004, 282 (284); Blutmann, ZInsO 2011, 992. 5 Nerlich/Römermann/Andres, InsO, § 47 Rz. 50.
342
Czarnetzki/Rçder
§ 25
V. Verkauf von Kundendaten
unerheblich, aufgrund welcher Variante des § 667 BGB die Daten überlassen wurden1. Umfasst von dem Anspruch auf Herausgabe ist auch, dass das Recht diese Daten zu speichern und zu nutzen, herausgegeben wird2. 3. Ergebnis Der Insolvenzverwalter ist verpflichtet, die Daten herauszugeben und U 34 die Aussonderung zu gestatten3. Sie unterliegen im Falle der Insolvenz dem Aussonderungsrecht nach § 47 InsO. Darüber hinaus steht dem Insolvenzverwalter auch kein Zurückbehaltungsrecht wegen etwaiger Gegenforderungen zu, da gegenüber Geschäftsunterlagen, die zur ordnungsgemäßen Bearbeitung der Angelegenheit, auf die sie sich beziehen, alsbald benötigt würden, kein Zurückbehaltungsrecht ausgeübt werden dürfe4. Das OLG Düsseldorf hatte die Revision nicht zugelassen, die dagegen gerichtete Nichtzulassungsbeschwerde wurde zurückgewiesen.
V. Verkauf von Kundendaten Der Insolvenzverwalter ist im Rahmen des Insolvenzverfahrens berech- 35 tigt und verpflichtet die Insolvenzmasse zu verwerten, um die Gläubiger zu befriedigen. Hierzu kann auch der Verkauf von personenbezogenen Kundendaten dienen, da diese wie oben gezeigt, einen materiellen Wert haben. Dabei stellt sich jedoch die Frage, inwieweit solche Daten gegenüber potentiellen Käufern offen gelegt werden dürfen, da für solche personenbezogenen Daten das BDSG Anwendung findet. 1. Listenprivileg (§ 28 Abs. 3 Satz 2 BDSG) Grundsätzlich dürfen personenbezogene Daten nur mit Einwilligung des 36 Betroffenen für den Adresshandel verwendet werden, § 28 Abs. 3 Satz 1 BDSG. § 28 Abs. 3 Satz 2 enthält eine Ausnahme hiervon, die Sonderbehandlung von Listen. Demnach ist die Verarbeitung oder Nutzung personenbezogener Daten des Betroffenen auch ohne dessen Einwilligung zulässig, sofern Angaben über eine Person, die einer Gruppe angehören, in Listen oder in anderer Weise zusammengefasst und für Werbezwecke verwendet werden5. § 28 Abs. 3 Satz 2 BDSG zählt sieben solche Daten auf, welche unter das sog. „Listenprivileg“ fallen. Sobald weitergehende Informationen enthalten sind, unterfallen sie nicht mehr diesem Privi-
1 Blutmann, ZInsO 2011, 992. 2 BGH v. 17.4.1996 – VIII ZR 5/95, NJW 1996, 2159. 3 OLG Düsseldorf v. 27.9.2012 – I-6U 241/11 m.w. Verweisen auf BGH v. 17.4.1996 – VIII ZR 5/95, NZI 2012, 887. 4 OLG Düsseldorf v. 27.9.2012 – I-6 U 241/11, NZI 2012, 887. 5 Simitis, BDSG, § 28 Rz. 226. Czarnetzki/Rçder
343
§ 25
Daten und Herausgabeansprche in der Insolvenz
leg. Darüber hinaus dürfen auch keine schutzwürdigen Interessen des Betroffenen entgegenstehen, § 28 Abs. 3 Satz 6 BDSG. Daraus ergibt sich, dass ein Insolvenzverwalter in der Regel Kundendaten gegenüber potentiellen Käufern nicht offenlegen darf, da diese meist weit mehr Informationen als solche, die unter das Listenprivileg fallen, enthalten. Eine Offenlegung kann daher nur anonymisiert oder pseudonymisiert oder nach Zusammenstellung der Daten in einer Form erfolgen, welche die Anforderungen von § 28 Abs. 3 Satz 2 BDSG erfüllt. 2. § 28 Abs. 1 Satz 1 Nr. 2 BDSG als Erlaubnistatbestand im Verwertungsfall? 37
Als weiterer Erlaubnistatbestand kommt § 28 Abs. 1 Satz 1 Nr. 2 BDSG in Betracht. Danach ist eine Erhebung, Speicherung, Veränderung oder Übermittlung personenbezogener Daten zulässig, wenn und soweit es zur Wahrung berechtigter Interessen der verantwortlichen Stelle erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse der Betroffenen an dem Ausschluss der Verarbeitung oder Nutzung überwiegt. Insoweit hat eine einzelfallbezogene Abwägung zwischen den Interessen des Insolvenzverwalters und der Kunden des insolventen Unternehmens zu erfolgen. Dabei muss die Verwendung der Daten zur Wahrung berechtigter Interessen der verantwortlichen Stelle erforderlich sein. Nicht ausreichend ist, dass die Verwendung lediglich geeignet oder zweckmäßig ist1. Das BDSG enthält jedoch keine konkreten Abwägungsmaßstäbe für die Abwägung zwischen den berechtigten Interessen des Unternehmers und den schutzwürdigen Interessen des Betroffenen. Aus diesem Grund kommt es auf die jeweils spezifische Verarbeitungssituation an2. Es bestehen jedoch erhebliche Zweifel, ob Daten, welche durch die Kunden mit einer bestimmten Zielrichtung an ein Unternehmen gegeben wurden (i.d.R. z.B. Zusendung von bestellten Artikeln, Aufnahme in Newsletter, Zusendung personalisierter Werbung, Teilnahme an einem Gewinnspiel), dann durch das Unternehmen bzw. den Insolvenzverwalter anderweitig genutzt werden dürfen, nämlich durch Adressverkauf. Die datenschutzrechtlich erforderliche Einwilligung der Kunden, die als informierte Einwilligung nach vollständiger und richtiger Information über den beabsichtigten Nutzungszweck der Daten gegeben werden muss, dürfte in den seltensten Fällen so erteilt worden sein, dass das Unternehmen diese Daten auch verkaufen darf. Daher dürfte ein in der Insolvenz erstmals aufkommendes „Verwertungsinteresse“ nicht als datenschutzrechtlich berechtigtes Interesse der verantwortlichen Stelle zu qualifizieren sein. § 28 BDSG kommt hier ausnahmsweise anstelle von § 29 BDSG in Betracht, da § 29 BDSG nur für die geschäftsmäßige Übermittlung von Daten gilt. Eine solche liegt je-
1 Simitis, BDSG, § 28 Rz. 108. 2 Simitis, BDSG, § 28 Rz. 126f.
344
Czarnetzki/Rçder
§ 25
VI. Zusammenfassung
doch im Falle der Verwertung in der Insolvenz nicht vor, da es sich um eine einmalige Verwertung handelt. Die Geschäftsmäßigkeit wird nur bejaht, wenn eine Wiederholungsabsicht vorliegt bzw. die Tätigkeit auf Dauer angelegt ist, was im Falle einer Insolvenz nicht gegeben ist (außer eventuell bei der Insolvenz eines Adresshandelsunternehmens). Im Vordergrund stand hier jedoch zunächst die Erhebung für eigene Zwecke und es kommt nur ausnahmsweise zur Übermittlung an Dritte1. – Sofern (ausnahmsweise) ein berechtigtes Interesse eines Dritten vorliegen sollte, kann auch § 28 Abs. 2 Nr. 2a BDSG zur Anwendung kommen und eine Übermittlung gestatten. 3. Anonymisierung oder Pseudonymisierung Dem Insolvenzverwalter bleibt insoweit nur die Möglichkeit, die per- 38 sonenbezogenen Daten des insolventen Unternehmens anonymisiert oder pseudonymisiert darzustellen und so an potentielle Käufer weiterzugeben, dass eine Personenbeziehbarkeit ausgeschlossen ist. Auch solche Daten können für Dritte unter statistischen Zwecken interessant und für den Verwalter wertvoll sein, wie die Veräußerung (angeblich) vollständig pseudonymisierter Daten durch ein deutsches Apothekenrechenzentrum an ein US-Unternehmen zeigt2. Will ein Unternehmen vorausschauend einen späteren Adresshandel ermöglichen, müsste es in seine Datenschutzerklärungen bzw. in die Einwilligungsformulare den Hinweis aufzunehmen, dass (z.B. im Falle einer Insolvenz) die Übermittlung bzw. der Verkauf der gesammelten personenbezogenen Daten beabsichtigt ist und dass der Betroffene hierfür seine Einwilligung erteilt. Ob eine solche Einwilligung dann noch als „informiert“ gilt oder ob überhaupt dann noch Einwilligungen erteilt werden, sei dahingestellt. Andererseits: wer überhaupt liest noch die ganzen Datenschutz- und Einwilligungserklärungen, die täglich bei der Nutzung des Internet auf den User einstürzen.
VI. Zusammenfassung Personenbezogene Daten, die ein Unternehmen über seine Kunden er- 39 hebt, können einen erheblichen Teil des Unternehmenswertes darstellen. Was zur Insolvenzmasse eines solchen Unternehmens zählt, ergibt sich aus einer gemeinsamen Betrachtung der §§ 35 und 36 InsO. Nach herrschender Meinung fallen Datenbanken, Kundenlisten und Abonnementverzeichnisse unter § 36 Abs. 2 Nr. 1 InsO, sie zählen nämlich zu den Geschäftsbüchern. Da sie somit Teil der Insolvenzmasse sind, kön-
1 Simitis, BDSG, § 29 Rz. 58; Wolff/Brink (Hrsg.), Beck’scher Online-Kommentar, Rz. 11. 2 S. oben unter II.1. Czarnetzki/Rçder
345
§ 25
Daten und Herausgabeansprche in der Insolvenz
nen sie auch entsprechend verwertet werden, wobei beachtet werden muss, dass der Insolvenzverwalter nur insoweit über diese Daten verfügen kann und darf, wie dies auch das Unternehmen selbst durfte. Fremddaten, welche die Insolvenzschuldnerin im Rahmen eines Auftragsverhältnisses nach § 662 BGB erhalten hat, unterliegen der Aussonderung nach § 47 InsO durch den Eigentümer der Daten bzw. den Auftraggeber der Datenverarbeitung.
346
Czarnetzki/Rçder
Teil 4 Einschränkung der Verfügungsbefugnisse über Daten, Grundzüge des Datenschutzrechts im nicht-öffentlichen Bereich § 26 Schranken der Informationsfreiheit durch informationelle „Rechte anderer“ oder das „informationelle Drittverhältnis“
I. Ausgangslage . . . . . . . . . . . . . . . . . II. Verfassungsrechtlicher Schutz der Informationsfreiheit . . . . . . . . 1. Begriff und Inhalt der Informationsfreiheit . . . . . . . . . . . . . . . a) Der grundrechtliche Schutz informationeller Interessen . . . b) Informationsfreiheit im Drittverhältnis . . . . . . . . . . . . . 2. Die grundrechtliche Zuordnung der Informationsfreiheit . . . . . . . . a) Der Vorrang spezieller Grundrechte . . . . . . . . . . . . . . . b) Die Auffangfunktion des Art. 2 Abs. 1 GG . . . . . . . . . . . . c) Die grundrechtliche Schutzpflicht des Staates . . . . . . . . . . . 3. Vorgaben des Art. 2 Abs. 1 GG für das informationelle Drittverhältnis . . . . . . . . . . . . . . . . . . . . a) Zum Begriff des informationellen Drittverhältnisses . . . . . b) Art. 2 Abs. 1 GG als Strukturmodell. . . . . . . . . . . . . . . . . . III. Informationelle „Rechte anderer“ als Schranken der Informationsfreiheit . . . . . . . . . . . . . . . 1. Das „Recht auf informationelle Selbstbestimmung“. . . . . . . . . . . . a) Gewährleistungsbereich . . . . . b) Schutzinstrumentarium . . . . . c) Ausschließlicher Abwägungsvorbehalt als Besonderheit des Drittverhältnisses . . . . . . . d) Gesichtspunkte zugunsten der informationellen Selbstbestimmung . . . . . . . . . . . . . . . 2. Gegenpositionen . . . . . . . . . . . . . . a) Vorrangige Informationsinteressen anderer Privater . . . . . . .
Rz.
Rz.
1
b) Sonstige verfassungsrechtliche Vorgaben, Gemeinwohlforderungen . . . . . . . . . . . . . . . . . . . . 72
2 2 2 9 11 11 13 17 18 18 28
35 35 35 38 45 55 66
IV. Drei Grundsätze für den „informationellen Abwägungsvorbehalt“ . . . . . . . . . . . . . . . . . . . . . . 1. Erster Grundsatz: Zunächst sind stets zwei Abwägungsstufen zu unterscheiden, nämlich eine verfassungsrechtliche und eine nachrangige, in der Regel privatrechtliche . . . . . . . . . . . . . . . a) Bindende verfassungsrechtliche Vorgaben . . . . . . . . . . . . . . b) Das konkretisierungsbedürftige Prinzip gegenseitiger Rücksichtnahme . . . . . . . . . . . . 2. Zweiter Grundsatz: Verfassungsrechtlich wie zivilrechtlich sind Informationsfreiheit und informationelle Selbstbestimmung im Drittverhältnis immer nur nach Maßgabe verfassungs- und zivilrechtlicher Abwägung geschützt, also nicht nach Regel-Ausnahme-Strukturen . . . . . . . . . . . . . . . . 3. Dritter Grundsatz: Im Zuge der informationellen Abwägung ist schließlich mitzubedenken, dass sich der in seinem Recht auf informationelle Selbstbestimmung Betroffene zwar nicht rechtlich, aber tatsächlich stets in der schlechteren Position befindet, und zwar in doppelter Hinsicht . .
73
73 73 76
80
84
V. Verletzung der informationellen Selbstbestimmung im Drittverhältnis und deren Folgen . . . . . 86
67
Gallwas
347
§ 26
Schranken der Informationsfreiheit Rz.
Rz.
1. Die Unterscheidung von Beeinträchtigung und Verletzung . . . . . 86 2. Anspruchssystem . . . . . . . . . . . . . 89 a) Unterlassungs- und Beseitigungsansprüche . . . . . . . . . . . . 90
b) Ausgleichsansprüche . . . . . . . . 92 c) Spezielle bereichsspezifische Reaktionsansprüche . . . . . . . . . 93
I. Ausgangslage 1
Der grundrechtliche Schutz des Rechts auf informationelle Selbstbestimmung steht im Drittverhältnis in Spannung zu den gleichfalls grundrechtlich geschützten Informationsinteressen. In welcher Weise die hieraus folgenden Konflikte zu lösen sind, ist eine Frage des verfassungsrechtlichen Datenschutzes im Verhältnis der Grundrechtsberechtigten zueinander. Letztlich geht es um das verfassungsrechtliche Widerlager des Rechts auf informationelle Selbstbestimmung gegen die Informationsfreiheit1.
II. Verfassungsrechtlicher Schutz der Informationsfreiheit 1. Begriff und Inhalt der Informationsfreiheit a) Der grundrechtliche Schutz informationeller Interessen 2
Die Informationsfreiheit als solche ist kein Grundrecht, wohl aber ein Bündel informationeller Interessen, die jeweils für sich genommen grundrechtlich geschützt sind.
3
Informationelle Interessen werden hier in einem weiten Sinn verstanden. Es handelt sich um Interessen, die auf Auswahl und Überprüfung des Informationsobjekts gerichtet sind, auf Beobachtung seines Umfeldes, auf Erhebung und Speicherung sowie auf die Auswertung verfügbarer Informationen, bis hin zu der besonders heiklen Gewinnung neuer Informationen aus vorhandenen Informationen, und auch auf Verbreitung von Informationen2.
1 Über viele Jahre haben der Jubilar und ich an der Juristischen Fakultät der Ludwig Maximilians-Universität in München ein Seminar zu Fragen des Datenschutzes geleitet. Jochen Schneider hatte dabei vorwiegend den datenschutzrechtlichen, ich den verfassungsrechtlichen Part übernommen. Mit der Frage der grundrechtlichen Drittwirkung beim Datenschutz haben wir uns allenfalls sporadisch befasst. Der siebzigste Geburtstag ist ein schöner Anlass für einen Versuch, den Defiziten von damals (auch denen in meinen Darlegungen NJW 1992, 2785 ff.) ein wenig abzuhelfen. 2 Im „Informationsfreiheitsgesetz“ des Bundes v. 5.9.2005, BGBl. S. 2722, wird der Begriff demgegenüber in einem sehr viel engeren Sinn verstanden.
348
Gallwas
§ 26
II. Verfassungsrechtlicher Schutz der Informationsfreiheit
Im Vordergrund des grundrechtlichen Schutzes stehen die Freiheitsrechte 4 und die sich insoweit ergebenden Abwehrrechte des in seiner Freiheit Betroffenen1. So umfasst etwa die Forschungsfreiheit nach Art. 5 Abs. 3 Satz 1 GG den 5 gesamten Bereich der für ein bestimmtes Forschungsvorhaben erforderlichen Informationen, Auswahl und Überprüfung des Forschungsgegenstandes, Beobachtung des Forschungsgebietes, Sammlung, Dokumentation und Sicherung des Forschungsmaterials, Sichtung und Auswertung, nicht zuletzt die Gewinnung und Verbreitung neuer Erkenntnisse. Zudem bezieht sie sich auf die informationsbezogene Beschaffung, Auf- 6 bereitung, Aufbewahrung von Forschungsmaterial samt Organisation von Trägerschaften und Abläufen: etwa in der Medizin die Sammlung, Aufbereitung und Sicherung von Gewebeproben sowie deren Bereitstellung für aktuelle, aber auch für künftige Forschungsvorhaben2 oder in der historischen Forschung das Archivwesen mit der zentralen Frage der Nutzung der Archivalien3. Eine Spezialität bildet demgegenüber das Recht, sich aus allgemein zu- 7 gänglichen Quellen zu unterrichten; Art. 5 Abs. 1 Satz 1 GG4. Hier wird nicht nach Sachbereich und Gegenstand der Unterrichtung differenziert. Das bedeutet: mindestens im Ansatz kann sich das Informationsbedürfnis des Berechtigten auf alles beziehen, was er aus welchem Grund auch immer für wissenswert hält, und zwar auch wenn es noch so personenbezogen, noch so prekär ist. Voraussetzung ist vor allem, dass die Quelle allgemein zugänglich ist5. Über den Inhalt so gewonnener Informationen kann man sich grundsätzlich frei äußern, zudem kann man sie grundsätzlich frei verbreiten6. Man kann sie sammeln, speichern und nach Belieben verarbeiten. Für die Annahme, es handle sich insofern um eine exklusive Spezialität7 8 in dem Sinne, dass von dieser Vorschrift nicht erfasste Informationen, al1 Vgl. hierzu Gallwas, Grundrechte, Rz. 125 ff. 2 Aktuell die Entwicklung sog. Biobanken, vgl. Nationaler Ethikrat, Stellungnahme Biobanken für die Forschung. 3 Dazu Gallwas in Hermann/Bannasch (Hrsg.), S. 31 ff.; Gallwas, Der Archivar, 1996, S. 85 ff. 4 Auch dieses Recht sieht sich als Informationsfreiheit angesprochen, vgl. etwa Starck in v. Mangoldt/Klein/Starck, GG I, Art. 5 Rz. 39 ff. Doch handelt es sich wiederum nur um einen Ausschnitt der erheblich weiter ausgreifenden Informationsfreiheit in dem hier verstandenen Sinn. 5 Vgl. hierzu Herzog in Maunz-Dürig, GG, Art. 5 Abs. I, II, Rz. 88 ff. 6 Etwa in dem Sinn, dass ein bestimmter Buchautor sein Werk im Wesentlichen abgeschrieben habe und es daher ein Plagiat sei; eine allgemeine Grenze ergibt sich allerdings aus bzw. im Rahmen des Art. 5 Abs. 2 GG (Recht der persönlichen Ehre, Vorschriften der allgemeinen Gesetze; zudem darf man sich bei der Ausübung dieser Freiheit nicht beliebig über andere Grundrechte Betroffener hinwegsetzen). 7 Zum Begriff Gallwas, Grundrechte, Rz. 293. Gallwas
349
§ 26
Schranken der Informationsfreiheit
so alle aus nicht öffentlich zugänglichen Quellen, überhaupt nicht oder grundsätzlich nicht grundrechtlich, vor allem nicht durch die Freiheitsrechte geschützt seien, gibt es keinen zureichenden Grund. b) Informationsfreiheit im Drittverhältnis 9
Die grundrechtlichen Verbürgungen der Informationsfreiheit beziehen sich nicht nur auf das klassische Grundrechtsverhältnis zwischen dem Einzelnen und dem Staat, sondern erstrecken sich auch auf das Drittverhältnis, also die rechtlichen Beziehungen zwischen Privaten1. Das folgt letztlich aus dem Charakter der Grundrechtbestimmungen als Verkörperung einer „objektiven Wertordnung“, die nach den Worten des Bundesverfassungsgerichts „für alle Bereiche des Rechts gilt“2, eine Wirkung, die sich in erster Linie im Wege einer Konkretisierung über die Generalklauseln des Privatrechts entfaltet, sich aber, wenn auch nur ausnahmsweise, unmittelbar aus den einschlägigen Grundrechten ergeben kann3.
10
Freilich gibt es insoweit Abwandlungen. Sie folgen daraus, dass beide an diesem Verhältnis Beteiligten grundrechtsberechtigt sind, also letztlich im Konfliktfall Grundrecht gegen Grundrecht steht4. 2. Die grundrechtliche Zuordnung der Informationsfreiheit a) Der Vorrang spezieller Grundrechte
11
Aus dem System der Grundrechte folgt, dass für den Schutz der Informationsfreiheit in erster Linie das jeweils thematisch spezielle Grundrecht maßgebend ist5; für informationelle Interessen im Gesundheitsbereich also das Recht auf Gesundheit, Art. 2 Abs. 2 Satz 1 GG, im beruflichen Bereich die Berufsfreiheit, Art. 12 Abs. 1 GG, im Bereich der Meinungsbildung und -verbreitung, Art. 5 Abs. 1 GG usw.
12
Sofern sich jedoch für ein bestimmtes informationelles Interesse kein spezieller Grundrechtsschutz ausmachen lässt, ist auf das Recht auf freie Entfaltung der Persönlichkeit, auf das Auffangrecht des Art. 2 Abs. 1 GG zurückzugreifen6.
1 Vgl. dazu BVerfGE 84, 192 (195) sowie BVerfG v. 23.10.2006 – 1 BvR 2027/02, Absatz-Nr. 31 ff., http://www.bverfg.de/entscheidungen/rk20061023_1bvr202702. html. 2 BVerfGE 7, 198 (205) und Leitsatz 1. 3 Ständige Rechtsprechung des BVerfG seit der Entscheidung Bd. 7, 198. 4 Gallwas, Grundrechte, Rz. 351 ff. 5 Dieses systematische Verständnis der Grundrechte gehört zur ständigen Rechtsprechung des BVerfG seit dem sog. Elfes-Urteil, Bd. 6, 32 (37). 6 Zum Aspekt informationeller Spezialität Gallwas, Der Staat, 1979, S. 507 (514); Gallwas, NJW 1992, 2785 (2788).
350
Gallwas
§ 26
II. Verfassungsrechtlicher Schutz der Informationsfreiheit
b) Die Auffangfunktion des Art. 2 Abs. 1 GG Das Grundrecht des Art. 2 Abs. 1 GG erfasst die Informationsfreiheit in 13 ihren beiden Ausprägungen, dem verfassungsrechtlichen Persönlichkeitsrecht und der allgemeinen Handlungsfreiheit. Beim Schutz der Handlungsfreiheit steht die aktive Seite der Informati- 14 onsfreiheit im Vordergrund. Sie umschließt alle Interessen, die mit der Auswahl, Beschaffung und Verwendung von Informationen durch den Einzelnen zusammenhängen1. Demgegenüber geht es bei der persönlichkeitsrechtlichen Funktion vor 15 allem um die passive Seite, nämlich um den Schutz des im Zuge der Wahrnehmung der Informationsfreiheit in irgendeiner Weise Betroffenen, also desjenigen, über den Informationen gesammelt oder der durch den Umgang mit solchen Informationen in seinen Rechten beeinträchtigt, gefährdet oder in sonstiger Weise berührt wird2. Allerdings ist auch denkbar, dass sich im Rahmen des verfassungsrecht- 16 lichen Persönlichkeitsrechts besondere Schutzpositionen zugunsten dessen ergeben, der seine Informationsfreiheit aktiv wahrnimmt oder wahrnehmen möchte. Zu denken ist insoweit an ein aus dem verfassungsrechtlichen Persönlichkeitsrecht abzuleitendes und folglich mit Verfassungsrang ausgestatteten Rechts auf eine bestimmte Information, etwa über die eigene Abstammung, die eigene biologische Vaterschaft3 oder an ein aus dem allgemeinen Persönlichkeitsrecht abgeleitetes spezielles Verbot, eine bestimmte Information zu erheben oder zu verwenden4. c) Die grundrechtliche Schutzpflicht des Staates Verfassungsrechtlicher Grund für die Drittwirkungen beider Funktionen 17 ist letztlich die sich aus Art. 2 Abs. 1 Satz 1 GG ergebende grundrechtliche Schutzpflicht des Staates sowohl zugunsten dessen, der Informationen sammelt, verwendet oder verbreitet, als zugunsten dessen, der hiervon betroffen ist. In der Regel besteht diese Schutzpflicht nicht in der Bereitstellung eines bündigen Schutzinstrumentariums zur Disposition des Betroffenen durch die Verfassung selbst, sondern lediglich in einer verfassungsrechtlichen Zielvorgabe für die staatlichen Gewalten, das entsprechende Recht des Einzelnen in einen sowohl sachgerechten wie
1 Zum „Recht auf freie Entfaltung der Persönlichkeit“ verstanden als „Handlungsfreiheit im umfassendsten Sinne“ BVerfGE 6, 32 (36 f.). 2 Vgl. dazu BVerfGE 54, 148 (155); 208 (217 ff.), sowie die Übersicht bei Starck in v. Mangoldt/Klein/Starck, GG I, Art. 2 Rz. 82 ff. 3 Vgl. dazu BVerfGE 79, 256 (269) Recht des Kindes; BVerfGE 117, 202 (225 f.) Recht des Vaters, allerdings in beiden Fällen noch keine Ansprüche auf Information. 4 Beispiel: BVerfGE 117, 202 (221) Untersagung eines heimlichen Gentests. Gallwas
351
§ 26
Schranken der Informationsfreiheit
wirksamen Schutz umzusetzen1, ihn also mit den für die Wahrnehmung seines Rechts erforderlichen Ansprüchen auszustatten. 3. Vorgaben des Art. 2 Abs. 1 GG für das informationelle Drittverhältnis a) Zum Begriff des informationellen Drittverhältnisses 18
Die Grundrechtsdogmatik benutzt den Begriff „Drittverhältnis“, um die Beziehung zwischen zwei Grundrechtsberechtigten zu kennzeichnen, deren grundrechtlich geschützte Interessen miteinander im Konflikt liegen. Der Staat ist hierbei gleichsam der Dritte im Bunde, weil er gegenüber den beiden Kontrahenten in der Pflicht steht, den Konflikt durch Einsatz seiner gesetzgebenden, vollziehenden und richterlichen Gewalt zu bereinigen.
19
Genau genommen handelt es sich um ein „mehrpoliges Rechtsverhältnis“, das nur in der Regel dreipolig ist; also hier der Staat, dort einmal der aktiv Handelnde und ihm gegenüber der Betroffene. Nicht selten gibt es aber mehrere Beteiligte oder Betroffene; dies zumal in der Konstellation, dass hinter dem Betroffenen ein zweiter Betroffener steht, etwa wenn jemand einem anderen eine Handlung abfordert, die einen Dritten in Mitleidenschaft zieht, wenn also jemand eine Information verlangt, die eine weitere Person betrifft. An dessen grundrechtliche Betroffenheit wird häufig nicht gedacht, dabei steht sie in der Regel der des zweiten nicht nach2.
20
Das Drittverhältnis ist „informationeller“ Art, wenn personenbezogene Informationen eines der Beteiligten den Gegenstand des Konflikts zwischen Privaten bilden, wenn solche Informationen abverlangt, erhoben, verarbeitet, verbreitet usw. werden (informationelle Aktivinteressen) und der davon Betroffene sich dagegen mit Unterlassungs- oder Beseitigungs- oder einem anderen Begehren zur Wehr setzt (informationelle Passivinteressen).
1 Ausdrücklich hierzu BVerfGE 117, 202 (226 ff.) „Die Grundrechte enthalten nicht nur Abwehrrechte des Einzelnen gegenüber der öffentlichen Gewalt, sondern stellen zugleich Wertentscheidungen der Verfassung dar, aus denen sich Schutzpflichten für die staatlichen Organe ergeben. Die Verfassung gibt solchen Schutz als Ziel vor, nicht aber seine Ausgestaltung im Einzelnen. Sie ist Aufgabe der jeweils zuständigen staatlichen Organe, denen bei der Erfüllung der Schutzpflichten ein weiter Gestaltungsspielraum zukommt, vgl. BVerfGE 96, 56 (64). Notwendig ist jedoch ein unter Berücksichtigung anderer, möglicherweise entgegenstehender Rechtsgüter angemessener Schutz, der auch wirksam ist, vgl. BVerfGE 88, 203 (254)“. 2 Nicht umsonst gebietet das Datenschutzrecht die Erhebung beim Betroffenen im Grundsatz unter dessen Mitwirkung, vgl. § 4 Abs. 2 BDSG; vgl. hierzu auch OLG Hamm v. 6.2.2013 – I-14 U 7/12, openJur 2013, 4638.
352
Gallwas
§ 26
II. Verfassungsrechtlicher Schutz der Informationsfreiheit
Die Drittwirkung der Grundrechte begründet eine staatliche Verpflich- 21 tung, jeden Grundrechtsberechtigten vor Übergriffen Dritter1 in Schutz zu nehmen. Für das informationelle Drittverhältnis besteht solcher Schutz einerseits in der Gewährung informationeller Ansprüche, andererseits in der Auferlegung spiegelbildlich entsprechender informationeller Duldungspflichten. Ansprüche sind immer auf ein Tun, Dulden oder Unterlassen gerichtet, 22 beim Recht auf informationelle Selbstbestimmung vor allem auf Unterlassung von Beeinträchtigungen durch Dritte, speziell bei der grundrechtlich geschützten Informationsfreiheit, auf Duldung der Beschaffung, Verarbeitung oder sonstiger Verwendung einer personenbezogenen Information. Ihre rechtliche Grundlage finden die Ansprüche in der grundrechtlichen 23 Schutzpflicht des Staates zugunsten der Informationsfreiheit bzw. der informationellen Selbstbestimmung. Sie konkretisieren gegenüber den am Drittverhältnis Beteiligten das Gebot gegenseitiger Rücksichtnahme allgemein in Form eines Gesetzes und im Einzelfall durch richterliche Entscheidung. Dass sich ein Anspruch oder eine Duldungspflicht nach Art und Umfang 24 unmittelbar aus dem drittwirkenden Grundrecht ergibt, ist allerdings die große Ausnahme2. In der Regel ist der Gesetzgeber, vor allem der Privatrechtsgesetzgeber zur Konkretisierung berufen. Wo allerdings eine spezielle, bereichsspezifische Norm fehlt, ist auf die 25 jedes Privatrechtsverhältnis regierenden Generalklauseln des Zivilrechts zurückzugreifen3. Diese sind unter Berücksichtigung der Ausstrahlungs-
1 Das sind in der Regel alle dem deutschen Verfassungsrecht unterliegenden Personen des Privatrechts. Dass die Schutzpflicht aber auch darüber hinausgeht, zeigt die Gegenwart in der Überwachung der Kommunikationswege durch oder mit Billigung ausländischer staatlicher Stellen. In diesem Fall ist die auswärtige Gewalt Adressat der grundrechtlichen Schutzpflicht. 2 Bemerkenswert insoweit die Differenzierung zwischen Recht auf Kenntnis und Anspruch auf Verschaffung entsprechender Informationen in BVerfGE 79, 256 (269); 96, 56 (63); 117, 202 (226). Der Begriff Recht ist hier zwar als subjektives Recht zu verstehen, aber eben nicht im Verhältnis zum Dritten, sondern nur gegenüber den staatlichen Organen, und zwar auf Erfüllung der grundrechtlichen Schutzpflicht im Rahmen ihrer Kompetenzen, ihrer Gestaltungsspielräume und nicht zuletzt unter Ausrichtung auf das Gemeinwohl im weitesten Sinne. 3 Letztlich folgt bereits aus BVerfGE 7, 198 (206), dass sich der Konkretisierungsvorgang auf drei Stufen vollzieht, der Stufe der jeweils einschlägigen Grundrechte (Konkretisierung der grundrechtlichen Zielvorgabe), der Stufe der einschlägigen Zivilrechtsnormen (Konkretisierung des einschlägigen Normprogramms vor dem Hintergrund der grundrechtlichen Zielvorgabe) und der Stufe der richterlichen Entscheidung im Einzelfall (Konkretisierung durch Anwendung des einschlägigen Normprogramms unter Beachtung der grundrechtlichen Zielvorgabe). Das Konkretisierungsergebnis ist die „verfassungskonforme Synthese“ Gallwas
353
§ 26
Schranken der Informationsfreiheit
wirkung der jeweils einschlägigen Grundrechte der Beteiligten fallspezifisch zu konkretisieren1. 26
Die Duldungspflicht des Betroffenen kann auch auf dessen Einwilligung beruhen. Auch sie unterliegt allerdings grundrechtlichen Schranken. So muss die Freiwilligkeit gewährleistet sein, d.h., sie darf nicht unter Ausnutzung einer privaten Machtstellung erlangt sein2. Zudem muss sie sachgerecht und angemessen sein
27
Gleichviel, ob sich die Duldungspflicht des Betroffenen aus einer nachrangigen Rechtsvorschrift, durch Konkretisierung privatrechtlicher Generalklauseln oder aus einem Vertrag zwischen den Beteiligten ergibt, stets ist sie auf den verfassungsrechtlichen Prüfstand zu stellen. Sie muss sich im Rahmen des Verfassungsrechts halten und die Ausstrahlungswirkung der Grundrechte beachten. b) Art. 2 Abs. 1 GG als Strukturmodell
28
Ein Modell für die Konfliktlösung im informationellen Drittverhältnis liefert mindestens im Kern die Struktur des Rechts auf freie Entfaltung der Persönlichkeit nach Art. 2 Abs. 1 GG, nämlich: Gewährleistung der informationellen Handlungsfreiheit in umfassendsten Sinn einerseits und Beschränkung dieser Freiheit durch die beiden Säulen des SoweitSatzes, die „verfassungsmäßige Ordnung“ und die „Rechte anderer“ andererseits.
29
Dabei übernimmt die Schranke der „verfassungsmäßigen Ordnung“ den Löwenanteil, weil dieser Begriff jeden mit dem Grundgesetz in formeller und materieller Hinsicht zu vereinbarenden Rechtssatz meint, gleichviel ob privatrechtlich oder öffentlichrechtlich, ob im Range eines Parlamentsgesetzes oder eines nachrangigen Rechtssatzes, ob landes-, bundesoder gemeinschaftsrechtlich, ob speziell daten- oder informationsrechtlichen oder allgemeineren Inhalts3.
30
Somit gilt: das Recht auf informationelle Selbstbestimmung, aber auch jede Informationsfreiheit findet, sofern sie nicht durch ein spezielleres Grundrecht in Schutz genommen ist, eine Schranke in jeder verfassungsgemäßen Rechtsnorm.
(zum Begriff vgl. Gallwas, Der Missbrauch von Grundrechten, S. 57 ff.) der widerstreitenden grundrechtlichen Schutzpflichten des Staates. 1 Zusammenfassend dazu Grüneberg in Palandt, BGB, § 242, Rz. 8 ff. 2 Beispiele: unzulässige vertragliche Bindung eines Mieters gegenüber dem Eigentümer BVerfGE 84, 192 (195 f.); einseitige Bestimmungsmacht einer Versicherung BVerfG v. 23.10.2006 – 1 BvR 2027/02, Absatz-Nr. 34 ff., http://www.bverfg. de/entscheidungen/-rk20061023_1bvr202702.html. 3 Zum Verständnis des Begriffs vgl. BVerfGE 6, 32 (41 f.) „verfassungsmäßige Ordnung“ = „verfassungsgemäße Ordnung“.
354
Gallwas
§ 26
II. Verfassungsrechtlicher Schutz der Informationsfreiheit
Die „Rechte anderer“ führen demgegenüber, angesichts des immer enger 31 werdenden Netzes einschlägiger Normen, eher ein Schattendasein. Gleichwohl handelt es sich nicht um eine „leerlaufende“ Schranke; dies aus doppeltem Grund: Zum einen: „Rechte anderer“ gibt es auch jenseits des bereits zur förmli- 32 chen Rechtsvorschrift „geronnenen“ Rechts. Gemeint ist der Komplex des Rechts im Werden. Hier ist zumal an Rechtspositionen zu denken, die sich in Literatur und Rechtsprechung aus der verfassungsrechtlichen Schutzpflicht angesichts neuer Schutzbedürfnisse entwickeln und das Placet des Bundesverfassungsgerichts gefunden haben oder finden. Naheliegendstes Beispiel hierfür ist das auch in das Privatrecht ausstrahlende „informationelle Selbstbestimmungsrecht“1. Zum anderen: „Rechte anderer“, verstanden als Rechte Betroffener, die 33 sich gegenüber Freiheiten und Rechten Dritter aus der Ausstrahlungswirkung der Grundrechte ergeben, liefern einen Maßstab für die verfassungsrechtliche Kontrolle von Normen oder Entscheidungen, die Informationsfreiheit im Grundsatz einräumen oder gar ein bestimmtes Informationsinteresse im Detail gesetzlich in Schutz nehmen. Ein Beispiel hierfür bietet die Begrenzung von Privatautonomie und privatrechtlicher Vertragsfreiheit durch das Recht auf informationelle Selbstbestimmung2. Die Schranke der „Rechte anderer“ ist nicht zuletzt der Ort, der in allen 34 Kollisionsfällen zwischen aktiver und passiver Informationsfreiheit zu einer verfassungsrechtlichen Abwägung zwingt. Hierfür sind die widerstreitenden informationellen Interessen unter allen in Betracht kommenden Gesichtspunkten zu sichten, vor dem Hintergrund verfassungsrechtlicher Vorgaben und ihrer tatsächlichen Wirkungen zu gewichten und zu einem beidseitig schonenden Ausgleich zu führen3. Zielvorstellung ist ein bereichs- und fallspezifisches Schutzkonzept, das in formeller und materieller Hinsicht mit dem Grundgesetz in Einklang steht. 1 Vgl. dazu die drei Schritte des BVerfG, wobei es beim zweiten und dritten an einer zureichenden Begründung fehlt: Erstens: BVerfGE 65, 1 (43): Anerkennung des informationellen Selbstbestimmungsrechts im Verhältnis zwischen Bürger und Staat „unter den modernen Bedingungen der Datenverarbeitung“. Zweitens: BVerfGE 78, 77 (84): Ausdehnung des Rechts auf informationelle Selbstbestimmung über den Bereich der automatischen Datenverarbeitung hinaus. Drittens: BVerfGE 84, 192 (195): Ausstrahlungswirkung in das Privatrecht; dazu Gallwas; NJW 1992, 2785 (2787). 2 Beispiele: die in BVerfGE 84, 192 (195 f.) genannte unzulässige mietvertragliche Offenbarungspflicht oder die versicherungsvertragliche Entbindung von der Schweigepflicht. 3 BVerfGE 97, 169 (176): Die „kollidierenden Grundrechtspositionen“ seien „in ihrer Wechselwirkung zu erfassen und so zu begrenzen, dass sie für alle Beteiligten weitgehend wirksam werden“. Hier wird zudem ausdrücklich das verfassungsrechtliche Gebot zur Herstellung einer „praktischen Konkordanz“ angesprochen. Gallwas
355
§ 26
Schranken der Informationsfreiheit
III. Informationelle „Rechte anderer“1 als Schranken der Informationsfreiheit 1. Das „Recht auf informationelle Selbstbestimmung“ a) Gewährleistungsbereich 35
Das „Recht auf informationelle Selbstbestimmung“ bildet nach seinem Schutzgegenstand den umfassendsten Schutz für den informationell Betroffenen gegenüber sämtlichen Informationsaktivitäten.
36
Es umfasst alle Arten von personenbezogenen Informationen, seien sie inhaltlich hochsensibel, wie etwa Gesundheits- oder Intimdatendaten, oder eher banal, wie etwa Hotelrechnungen. Grund dafür sind die Nutzungsmöglichkeiten „unter den modernen Bedingungen der Datenverarbeitung“2.
37
Diese Bedingungen ermöglichen Speicherung ohne die Gnade des Vergessens. Sie verschaffen immerwährenden und weltweiten Zugriff. Vor allem lassen sich durch Nutzung, nicht zuletzt durch Zusammenführung der womöglich vielerorts gespeicherten Daten neue Daten gewinnen, und zwar bis hin zur Erstellung von mehr oder minder umfassenden Verhaltens- und Persönlichkeitsprofilen zu beliebigen Zwecken, von der politischen bis zur wirtschaftlichen Verhaltenssteuerung des Einzelnen. b) Schutzinstrumentarium
38
Gegenüber Informationsbedürfnissen öffentlicher Stellen werden personenbezogene Informationen durch die Wirkungsweise des Gesetzesvorbehalts und des Vorbehalts der Einwilligung des Betroffenen geschützt. Nur sie schaffen den Grund und liefern den Rahmen für eine Beschränkung der informationellen Selbstbestimmung.
39
Der Gesetzesvorbehalt folgt aus ihrem grundrechtlichen Schutz durch das Persönlichkeitsrecht, und zwar letztlich aus der unmittelbaren Bindung aller staatlichen Gewalten an die Grundrechte als geltendes Recht3.
40
Diese begründet ein Regel-Ausnahme-Verhältnis. Danach ist informationelle Selbstbestimmung die Regel, informationelle Fremdbestimmung die Ausnahme. Es besteht somit dem Staat gegenüber eine grundrechtliche Vermutung zugunsten der informationellen Selbstbestimmung.
1 Wie sich aus dem Vorstehenden ergibt, sind damit nicht solche Rechte gemeint, die aus einer Vorschrift folgen, die Bestandteil der „verfassungsmäßigen Ordnung“ ist, also zumal nicht die Rechte des Betroffenen nach dem BDSG oder nach §§ 22 ff. KUG. 2 BVerfGE 65, 1 (42 f.). 3 Art. 1 Abs. 3 GG.
356
Gallwas
§ 26
III. Informationelle „Rechte anderer“ als Schranken
Daraus erwächst ein eindeutiger verfassungsrechtlicher Vorrang: Es 41 bleibt bei der Selbstbestimmung, solange und soweit eine Beeinträchtigung nicht durch eine entsprechende Rechtsvorschrift gerechtfertigt ist. Auch im Zweifel über Geltung und Inhalt der Rechtsvorschrift bleibt es stets bei der informationellen Selbstbestimmung1. Der Vorbehalt der Einwilligung folgt aus der grundsätzlichen „Ver- 42 fügungsmacht“ des zur Selbstbestimmung Berechtigten über die seinem Recht unterliegenden Gegenstände. Auch für sie ergeben sich freilich Bindungen. Sie dienen dem Schutz des 43 zur Selbstbestimmung Berechtigten und begrenzen seine Verfügungsmacht. So muss die Einwilligung gegenständlich bestimmt, begrenzt und dem Einwilligenden bewusst sein (so genannter „informed consent“)2. Überdies muss die Einwilligung freiwillig und auf Augenhöhe erteilt sein. Auf die Einwilligung kommt es nicht an, solange und soweit der prinzi- 44 pielle Vorrang der Selbstbestimmung durch eine entsprechende Rechtsvorschrift, gleich welchen Ranges, in verfassungsrechtlich korrekter Weise zurückgedrängt ist. Ihr Vorteil liegt freilich darin, dass sie die Beeinträchtigung des informationellen Selbstbestimmungsrechts in allen Fällen rechtfertigt, in denen eine rechtfertigende Norm fehlt oder ihre Reichweite im Streit ist3. c) Ausschließlicher Abwägungsvorbehalt als Besonderheit des Drittverhältnisses Gegenüber privaten Informationsinteressen liegen die Dinge grundlegend 45 anders. Hier streitet keine Vermutung, kein Regel Ausnahme-Verhältnis zuguns- 46 ten der informationellen Selbstbestimmung, hier gibt es auch keine unmittelbare Grundrechtsbindung nach Art. 1 Abs. 3 GG. Grund dafür ist, dass es sich, wo immer Informationsinteressen Privater auf das Recht auf informationelle Selbstbestimmung stoßen, um eine Grundrechtskollisi1 Zur „non-liquet“-Situation Gallwas, Grundrechte, Rz. 583. 2 Zum Begriff vgl. beispielhaft die Definition von Kendra Cherry, Informed Consent Psychologie about.com.: „Informed consent is a legal procedure to ensure that a patient, client, and research participants are aware of all the potential risks and costs involved in a treatment or procedure. The elements of informed consent include informing the client of the nature of the treatment, possible alternative treatments, and the potential risks and benefits consent to be considered valid, the client must be competent and the consent should be given voluntarily.“ 3 Das verleitet allerdings, wie die Beispielfälle unzulässige vertragliche Bindung eines Mieters gegenüber dem Eigentümer BVerfGE 84, 192 (195 f.) und einseitige Bestimmungsmacht einer Versicherung BVerfG v. 23.10.2006 – 1 BvR 2027/02, Absatz-Nr. 34 ff. zeigen, zum Missbrauch. Gallwas
357
§ 26
Schranken der Informationsfreiheit
on handelt. Das grundrechtlich geschützte Informationsinteresse steht gegen die gleichfalls grundrechtlich geschützt informationelle Selbstbestimmung. 47
Die Lösung dieses Konflikts kann nicht darin bestehen, dass eines der beiden Interessen dem anderen bereits von Verfassungs wegen in einer Weise vorgeht, dass das andere jeweils erst auf Grund und nur im Rahmen einer entsprechenden Rechtsvorschrift verfolgt werden darf. Dafür wäre Voraussetzung, dass das Recht auf informationelle Selbstbestimmung gegenüber allen privaten Informationsinteressen oder die Informationsfreiheit gegenüber dem Recht auf informationelle Selbstbestimmung mit verfassungsrechtlichem Vorrang ausgestattet wäre. Dafür gibt jedoch der Grundrechtsteil des Grundgesetzes nichts her1. Grundrechte haben im Prinzip gleichen Rang. Alles andere führte dazu, dass wer zuerst kommt, auch zuerst mahlte.
48
Nachdem es also für Beeinträchtigungen der informationellen Selbstbestimmung durch Informationsinteressen Privater anders als im klassischen Grundrechtsverhältnis keinen prinzipiellen Vorrang von Verfassung wegen, kein Regel-Ausnahme-Verhältnis und auch keine Vermutung zu Gunsten des Betroffenen gibt, ist in jedem Konfliktfall eine Gewichtung der widerstreitenden informationellen Interessen im Wege einer verfassungskonformen Abwägung der gegenseitigen Schutzbedürfnisse und der entsprechenden grundrechtlichen Schutzpflichten geboten.
49
Das Recht auf informationelle Selbstbestimmung setzt sich folglich gegenüber dem Informationsinteresse eines Privaten, abgesehen vom Fall der Einwilligung des Betroffenen, nur durch, wenn und soweit es durch die Verfassung selbst oder durch eine nachrangige Rechtsvorschrift im Rahmen der Verfassung mit einem entsprechenden Vorrang ausgestattet ist
50
Umgekehrt ist auch ein Freiheitsinteresse eines Privaten gegenüber dem Recht auf informationelle Selbstbestimmung, abgesehen vom Fall der Einwilligung des Betroffenen, nur zu verwirklichen, wenn und soweit es durch die Verfassung selbst oder durch eine nachrangige Rechtsvorschrift im Rahmen der Verfassung mit einem entsprechenden Vorrang ausgestattet ist
51
Ob eine Beeinträchtigung des Rechts auf informationelle Selbstbestimmung zur Verletzung wird, hängt daher im Drittverhältnis stets vom Ergebnis einer verfassungskonformen Abwägung der widerstreitenden Interessen und grundrechtlichen Schutzpflichten ab, genauer: Die Abwägung der widerstreitenden Interessen muss entweder schon auf der Ver1 Was freilich nicht ausschließt, dass der Gesetzgeber Beeinträchtigungen der informationellen Selbstbestimmung allgemein oder bereichsspezifisch unter Gesetzesvorbehalt stellt, wie dies etwa in § 4 BDSG, allerdings mit der Ausnahme des § 1 Abs. 2 Nr. 3, letzter Halbs. BDSG, geschehen ist.
358
Gallwas
§ 26
III. Informationelle „Rechte anderer“ als Schranken
fassungsebene ein vorrangiges Schutzbedürfnis des Betroffenen und eine entsprechend vorrangige staatliche Schutzpflicht ergeben. Oder es ist, wenn das nicht der Fall ist, sich also ein solcher verfassungsrechtlicher Vorrang nicht ausmachen lässt, von verfassungsrechtlicher Gleichrangigkeit der beiden Grundrechtspositionen und gleichem Rang der staatlichen Schutzpflichten auszugehen. In diesem Fall gilt für die Beteiligten Privaten jedoch mindestens eine ge- 52 genseitige grundrechtliche Verpflichtung zur Rücksichtnahme und für den Staat eine korrespondierende Verpflichtung zur Konkretisierung dieses Gebots im Sinne einer praktischen Konkordanz. Sie herzustellen ist Sache des nachrangigen Rechts1. Abstrakt-generelle 53 Regelungen hat der Gesetzgeber zu treffen2, den Einzelfall entscheiden die Gerichte auf Grund solcher Gesetze und notfalls auf der Basis der zivilrechtlichen Generalklauseln3. Der Vorrang des informationellen Selbstbestimmung bzw. der Informati- 54 onsfreiheit kann strikter oder prinzipieller Art sein. Strikt ist er, wenn er unter keinen Umständen eine Ausnahme zulässt, prinzipiell, wenn sich Umstände denken lassen, die den verfassungsrechtlichen Vorrang relativieren oder im Rahmen der Verfassung eine Relativierung erlauben4. d) Gesichtspunkte zugunsten der informationellen Selbstbestimmung Das Recht auf informationelle Selbstbestimmung ist ein „dienendes 55 Recht“. Es schützt den Betroffenen bei der Entfaltung seiner Persönlichkeit, in der Wahrnehmung besonders geschützter Freiheiten, vor Diskriminierung und fördert letztlich die Unantastbarkeit seiner Würde. Für den Rang des Rechts auf informationelle Selbstbestimmung kommt es mithin zunächst darauf an, im Dienste welcher Grundrechtsposition es steht. Unter dem Aspekt des Schutzes der Entfaltung seiner Persönlichkeit und 56 der Wahrnehmung seiner Freiheiten, dient es der Abwehr von Gefahren für besonders schutzwürdige Lebensbereiche wie etwa der Privatsphäre5, 1 Eingehend zu den grundrechtlichen Schutzpflichten bei Gestaltung von privatrechtlichen Konflikten durch Gesetzgebung und richterliche Gewalt und zu den insoweit bestehenden Gestaltungsspielräumen BVerfGE 96, 56 (64 f.) unter Hinweis auf BVerfGE 88, 203 (262). 2 Beispiel hierfür sind die Regelungen über die Datenverarbeitung nicht öffentlicher Stellen §§ 27 ff. BDSG, § 22 KUG, § 48 UrhG. 3 Etwa dem Verbot rücksichtsloser Rechtsausübung nach §§ 242, 826 BGB. 4 So ist etwa der verfassungsrechtliche Schutz des Interesses eines Kindes, über seine Abstammung Klarheit zu erhalten, nur prinzipieller Art und begründet für sich genommen noch keinen entsprechenden Auskunftsanspruch gegen Eltern oder Dritte, so ausdrücklich BVerfGE 96, 56 (63). 5 So die st. Rspr. des BVerfG, vgl. etwa BVerfGE 90, 255 (260) mit Hinweis auf die Ständigkeit. Gallwas
359
§ 26
Schranken der Informationsfreiheit
der Selbstdarstellung in der Öffentlichkeit1 und einer Umhegung der Freiheit durch Sicherung der Umstände, die dafür, wenn auch nicht unabdingbar so doch immerhin in der Lebenswirklichkeit vorauszusetzen sind. In diesem Zusammenhang ist an das Phänomen der „beobachteten Freiheit“ zu denken, das nach alltäglicher Erfahrung allenthalben zu einer Hemmschwelle für die Ausübung von Freiheiten führt2. 57
Unter dem Aspekt des Schutzes vor Diskriminierung dient es dem Schutz des Einzelnen vor ungerechtfertigter Differenzierung und abfälliger Behandlung. Der Katalog des Art. 3 Abs. 3 GG ist insoweit nicht abschließend. Vielmehr ergeben sich auch aus den einzelnen Freiheitsrechten Diskriminierungsverbote3, etwa wenn man sein Abitur an einer Privatschule oder auf dem „Zweiten Bildungsweg“ gemacht, wenn man sich einer Geschlechtsumwandlung unterzogen oder die Religion gewechselt hat. Das Recht der freien Entfaltung der Persönlichkeit erfüllt auch insoweit eine Auffangfunktion. Niemand darf diskriminiert werden, weil er sich in anderer Weise als die Mehrheit entfaltet4.
58
Unter dem Aspekt des Schutzes der Menschenwürde dient es dazu, schutzwürdige Positionen des Einzelnen, die nicht oder noch nicht durch oder im Rahmen spezieller Rechte verfassungsrechtlich verbürgt sind, aufzufangen.
59
Das Schutzbedürfnis der informationellen Selbstbestimmung richtet sich sodann nach der Intensität der Betroffenheit.
60
Hier kommt es vor allem auf die Art der Gefährdung und deren Nachhaltigkeit für den Grundrechtsschutz des Betroffenen an. Insofern gilt die allgemeine sicherheitsrechtliche Maxime: je höher der verfassungsrechtliche Rang des Schutzgutes, je intensiver und nachhaltiger die zu erwartende Beeinträchtigung und je geringer die Abwehrchancen, umso größer das Schutzbedürfnis. Zur Art der Gefährdung gehören die besonderen Bedingungen der Informationsverarbeitung. Es macht einen Unterschied, ob Daten nur im Gedächtnis, nur schriftlich oder unter den Bedingungen der sich ständig fortentwickelnden elektronischen Datenverarbeitung gespeichert werden; ob sie in mühevoller Kleinarbeit oder gleichsam auf Knopfdruck von jedermann im In- wie im Ausland abgerufen und womöglich zu Verhaltens- oder Persönlichkeitsprofilen zusammengeführt werden können.
61
Ein weiterer Aspekt des Gefährdungspotentials sind die Missbrauchsmöglichkeiten des Mediums, vor allem unbefugte Nutzung der gespei1 Schutz des gesprochenen Wortes vgl. BVerfGE 54, 148 ff. und 208 ff. 2 Vgl. Gallwas, Der Staat, 1979, S. 507 (514 f.); BVerfGE 65, 1 (42), sowie BVerfGE 106, 28 (39 ff.) und neuerdings BVerfGE 120, 274 (312). 3 Gallwas, Grundrechte, Rz. 262 ff. 4 Vgl. dazu auch den besonderen datenschutzrechtlichen Schutz vor Diskriminierung für die in § 3 Abs. 9 BDSG besonderen personenbezogenen Daten.
360
Gallwas
§ 26
III. Informationelle „Rechte anderer“ als Schranken
cherten Informationen und deren Zweckentfremdung. Hinzu kommen fehlende Kontrollmöglichkeiten. Das Besondere an den Beeinträchtigungen des Selbstbestimmungsrechts durch Informationserhebung, durch Speicherung, Nutzung und Verbreitung liegt in dem Umstand, dass der Betroffene sie anders als bei anderen Rechtsverletzungen nicht ohne weiteres wahrnehmen kann. Auch hieraus erwächst ein spezifisches Schutzbedürfnis und die Notwendigkeit zu flankierenden Maßnahmen, wie etwa die Pflicht die entsprechenden Vorgänge zu dokumentieren und den Betroffenen über sie zu informieren. Zudem kommt es auf die Anfälligkeit des Mediums gegen unbefugten 62 Zugang zum System an. Schutz der Vertraulichkeit und der Integrität des Informationssystems1 ist auch zwischen Privaten geboten. Man denke etwa an eine Infiltration eines für Forschungszwecke genutzten Systems, um das Arbeitsfeld, die Materialsammlung und die Arbeitsabläufe eines Kollegen oder um Patientendaten auszuspähen. Nicht zuletzt ist nach den Vorkehrungen zu fragen, die der Betroffene 63 treffen kann oder getroffen hat, um Beeinträchtigungen seines Rechts auf informationelle Selbstbestimmung entgegenzuwirken. Grundsätzlich obliegt es nämlich dem Betroffenen selbst, seine Kommunikationsbeziehungen zu gestalten und in diesem Rahmen darüber zu entscheiden, ob er bestimmte Informationen preisgibt oder zurückhält2. Informationelle Selbstbestimmung umfasst zudem das Recht des Einzel- 64 nen, Informationen in für ihn besonders wichtigen Lebensbereichen in besonderer Weise zu umhegen und so gegen Einsichtnahme und Ausspähung zu sichern. Der Aspekt der Wahrung von Vertraulichkeit und Integrität des Mediums bekommt hierdurch zusätzliches Gewicht. Zu berücksichtigen ist schließlich auch, wie es mit einem berechtigten 65 Vertrauen eines Betroffenen auf allgemeine Achtung seiner Privatsphäre und seiner Integrität in der Öffentlichkeit steht. 2. Gegenpositionen Zur Gegenposition: Informationsinteressen Privater, andere verfassungs- 66 rechtliche Vorgaben und Aspekte des Gemeinwohls a) Vorrangige Informationsinteressen anderer Privater Auf der anderen Seite sind vor allem die verschiedenen, die Informations- 67 interessen Privater jeweils schützenden Grundrechtspositionen in die Abwägung einzustellen. 1 BVerfGE 120, 274 (311 ff.) unter ausdrücklichem Hinweis auf Gefährdungen durch „private Akteure“. 2 Vgl. dazu BVerfG v. 23.10.2006 – 1 BvR 2027/02, Absatz-Nr. 32 ff., http://www. bverfg.de/entscheidungen/rk20061023_1bvr202702.html. Gallwas
361
§ 26
Schranken der Informationsfreiheit
68
Anzusetzen ist dabei bei der jeweils einschlägigen speziellen grundrechtlichen Gewährleistung1.
69
Ein Beispiel hierfür ist das Recht, sich aus allgemein zugänglichen Quellen zu unterrichten2, das sich auch auf allgemein zugängliche personenbezogene Informationen bezieht. Desgleichen kann die Forschungsfreiheit unter Umständen einen Vorrang gegenüber der informationellen Selbstbestimmung begründen, nämlich wenn die personenbezogene Information für das Forschungsvorhaben unerlässlich ist, aber von dem Betroffenen eine Einwilligung nicht oder nicht rechtzeitig zu erhalten ist3.
70
Sofern das Informationsinteresse nicht durch ein spezielles Grundrecht in Schutz genommen ist, kann auch insoweit auf das Recht auf freie Entfaltung der Persönlichkeit in seinen beiden Ausprägungen zurückgegriffen werden.
71
Womöglich folgt aus dem verfassungsrechtlichen Persönlichkeitsrecht sogar ein Anspruch auf Information4. b) Sonstige verfassungsrechtliche Vorgaben, Gemeinwohlforderungen
72
Bei der Beurteilung des Ranges grundrechtlich geschützter Informationsinteressen Privater, können verstärkend auch solche verfassungsrechtliche Vorgaben ins Spiel kommen, die nicht in erster Linie dem Einzel1 Das Feld der grundrechtlich geschützten Informationsinteressen ist, abgesehen von den Ausnahmen im Familienrecht, noch immer zu wenig bestellt, vgl. dazu Gallwas, NJW 1992, 2785 (2789) allerdings dort noch zu sehr auf das Interesse an Informationen über die eigene Person beschränkt. 2 Nach Art. 5 Abs. 1 Satz 1 GG, so darf etwa ein veröffentlichtes wissenschaftliches Werk darauf untersucht, ob der Autor ordnungsgemäß und vollständig zitiert hat und ein Plagiatsvorwurf in aller Öffentlichkeit erhoben werden, auch wenn der Betroffene dadurch beruflich aus der Bahn geworfen wird. 3 Beispiel Biobank: Grundsätzlich werden Patientendaten, Gewebe-, Blut- und sonstige Proben für medizinische Forschung auf der Basis einer Einwilligung nach entsprechender Aufklärung über das einzelne Forschungsvorhaben gesammelt und verarbeitet. Zur Wirksamkeit der Einwilligung muss das einzelne Forschungsvorhaben dem Betroffenen verständlich erklärt und außerdem von der zuständigen Ethikkommission „zustimmend bewertet“ worden sein. Bei Daten und Proben, die für künftige Forschung archiviert werden sollen, sind diese Voraussetzungen, vor allem die Bindung an das Prinzip hinreichend bestimmter Zweckbindung, nicht zu erfüllen. Um gleichwohl entsprechende künftige Forschung zu ermöglichen, müssen sachgerechte und für den Betroffenen zumutbare Regelungen getroffen werden, durch welche die Defizite für das Recht auf Selbstbestimmung angemessen kompensiert werden. So ist z.B. sicherzustellen, dass Daten und Proben sorgfältig gegen unbefugte Nutzung gesichert und zudem die Verwendung erst gestattet wird, wenn das derzeit noch nicht absehbare Forschungsvorhaben zuvor von der insoweit zuständigen Ethikkommission zustimmend bewertet wurde. 4 Beispiel: BVerfGE 117, 202 (226 ff.) grundrechtliche Verpflichtung, einen Verfahrensweg zu eröffnen, auf dem das Recht auf Kenntnis der Abstammung in angemessener Weise geltend gemacht und durchgesetzt werden kann.
362
Gallwas
IV. Drei Grundstze fr den „informationellen Abwgungsvorbehalt“
§ 26
nen zu dienen bestimmt sind, sondern das gesellschaftliche Leben prägen, wie etwa die Gewährleistung eines möglichst ungehinderten Meinungsbildungs- und Kommunikationsprozesses1, oder die sonst im öffentlichen Interesse liegen, z.B. um die Volksgesundheit für die Zukunft durch Entwicklung neuer Arzneimittel oder allgemein die künftige medizinische Forschung zu gewährleisten. Letztlich steht hier das gesamte Arsenal der Bewahrung und Entwicklung des Gemeinwohls nach Maßgabe parlamentarischer Entscheidungen zu Gebote.
IV. Drei Grundsätze für den „informationellen Abwägungsvorbehalt“ 1. Erster Grundsatz: Zunächst sind stets zwei Abwägungsstufen zu unterscheiden, nämlich eine verfassungsrechtliche und eine nachrangige, in der Regel privatrechtliche a) Bindende verfassungsrechtliche Vorgaben Ob sich die Informationsfreiheit gegenüber der informationellen Selbst- 73 bestimmung durchzusetzen vermag oder umgekehrt die informationelle Selbstbestimmung gegenüber der Informationsfreiheit, ist vorab eine Frage der Abwägung auf verfassungsrechtlicher, speziell auf der grundrechtlichen Ebene. Dabei steht die Frage im Vordergrund, ob sich womöglich für die eine 74 oder andere der beiden Grundrechtspositionen ein verfassungsrechtlicher Vorrang unmittelbar aus der Verfassung ergibt. Und zwar ein Vorrang, der sowohl den einzelnen im Drittverhältnis unmittelbar kraft Verfassung bindet, indem er den verfassungsrechtlichen Schutz der Informationsfreiheit oder der informationellen Selbstbestimmung zugunsten des jeweils anderen Rechts beschränkt bzw. dem einen gegen den anderen einen Anspruch auf ein informationelles Tun, Dulden oder Unterlassen gibt. Hinzukommt die entsprechende grundrechtliche Bindung der gesetzge- 75 benden, vollziehenden und richterlichen Gewalt aus Art. 1 Abs. 3 GG in der Modalität grundrechtlicher Schutzpflichten. Aus ihr folgt eine staatliche Pflicht, im Widerstreit von Informationsfreiheit und informationeller Selbstbestimmung den grundrechtlichen Schutz allgemein und im Einzelfall zu konkretisieren, d.h. die einschlägigen Grundrechtspositionen der Beteiligten gegeneinander abzugrenzen und die Rechtsfolgen von Grenzüberschreitungen festzulegen. 1 Zum Kampf der Meinungen als „Lebenselement“ der „geistigen Auseinandersetzung“ bereits BVerfGE 7, 198 (208); vgl. auch BVerfGE 65, 1 (43 f.) Hinweis auf die Eigenschaft von Informationen als „Abbild sozialer Realität“ und auf die „Gemeinschaftsbezogenheit und Gemeinschaftsgebundenheit“ der durch das Recht auf informationelle Selbstbestimmung geschützten Person. Gallwas
363
§ 26
Schranken der Informationsfreiheit
b) Das konkretisierungsbedürftige Prinzip gegenseitiger Rücksichtnahme 76
Sofern sich ein die am Drittverhältnis Beteiligten unmittelbar bindenden verfassungsrechtlicher Vorrang der kollidierenden Grundrechte nicht feststellen lässt, ist auf das Prinzip gegenseitiger Rücksichtnahme zurückzugreifen. Wobei es letztlich nicht darauf ankommt, ob es sich dabei um ein allgemeines Rechtsprinzip, ein privatrechtliches Prinzip oder ein verfassungsrechtliches Prinzip handelt1.
77
Entscheidend ist insoweit eine umfassende Interessenabwägung auf unterverfassungsrechtliche Ebene. Dabei kommt es neben der Beachtung der grundrechtlichen Zielvorgabe vor allem darauf an, welches Maß an Rücksichtnahme der Gesetzgeber den am Konflikt Beteiligten bereichsspezifisch abverlangt2.
78
Fehlt es an einer entsprechenden gesetzlichen Vorgabe, hat der Richter den Konflikt zu entscheiden. Er muss prüfen, ob einer der Beteiligten von dem anderen etwas fordert, was mit dem Gebot der Rücksichtnahme nicht vereinbar ist.
79
Das kann auf der einen Seite in dem Verlangen bestehen, eine begehrte Information zu geben bzw. ihre Verschaffung, Verarbeitung und Verbreitung zu dulden, und auf der anderen Seite, die Verweigerung einer Auskunft oder die Untersagung, sich die Information in sonstiger Weise zu verschaffen, sie zu verarbeiten oder zu verbreiten. 2. Zweiter Grundsatz: Verfassungsrechtlich wie zivilrechtlich sind Informationsfreiheit und informationelle Selbstbestimmung im Drittverhältnis immer nur nach Maßgabe verfassungs- und zivilrechtlicher Abwägung geschützt, also nicht nach Regel-Ausnahme-Strukturen
80
Verfassungsrechtlich wie zivilrechtlich sind Informationsfreiheit und informationelle Selbstbestimmung im Drittverhältnis immer nur nach Maßgabe verfassungs- und zivilrechtlicher Abwägung geschützt, also nicht nach Regel-Ausnahme-Strukturen3.
81
Die verfassungsrechtliche Abwägung wird in der Regel nicht von den jeweils einschlägigen Grundrechten selbst und unmittelbar, sondern viel-
1 Das Rechtsstaatsprinzip als elementares Prinzip des Grundgesetzes und die Formulierung des Soweit-Satzes in Art. 2 Abs. 1 GG können für das Rechtsgebot gegenseitiger Rücksichtnahme als Basis dienen. Dieses wird sodann durch die aus dem einschlägigen Grundrecht folgende staatliche Schutzpflicht flankiert, d.h. rechtlich durchsetzbar gemacht. 2 Beispiel: § 1600 Abs. 2 BGB, der das Informationsbedürfnis über eine biologische Vaterschaft zum Schutz des Kindeswohls beschränkt. 3 Vgl. oben Rz. 9 f.
364
Gallwas
IV. Drei Grundstze fr den „informationellen Abwgungsvorbehalt“
§ 26
mehr nach Inhalt, Gewicht und dem Maß der jeweils einschlägigen grundrechtlichen Schutzpflicht bestimmt. Für die zivilrechtliche Abwägung, sei sie vom Gesetzgeber allgemein 82 oder vom Richter im Einzelfall vorgenommen, steht ein breiter Spielund Gestaltungsraum zur Verfügung, allerdings immer unter dem Vorbehalt der einschlägigen verfassungs- und speziell grundrechtlichen Vorgaben Sie darf einem aus den Grundrechten selbst herzuleitenden und unmittelbar geltenden Vorrang nicht widersprechen. Vor allem ist aber die Schutzpflicht aller staatlichen Gewalten zugunsten der Grundrechte des Betroffenen, vor allem die Schutzpflicht zugunsten des verfassungsrechtlichen Persönlichkeitsrechts und seiner Ausformungen wie das Recht auf informationelle Selbstbestimmung zu beachten und bereichsbzw. fallspezifisch zu konkretisieren1. Dabei muss eine privatrechtliche Entscheidung zu Lasten der informatio- 83 nellen Selbstbestimmung stets einen legitimen Zweck verfolgen, geeignet und erforderlich sein, auch darf sie den Betroffenen nicht unverhältnismäßig im Sinne eines offenkundigen Missverhältnisses zwischen Nutzen und Nachteil belasten2. 3. Dritter Grundsatz: Im Zuge der informationellen Abwägung ist schließlich mitzubedenken, dass sich der in seinem Recht auf informationelle Selbstbestimmung Betroffene zwar nicht rechtlich, aber tatsächlich stets in der schlechteren Position befindet, und zwar in doppelter Hinsicht – Der Eingriff in das informationelle Selbstbestimmungsrecht ist für ihn 84 mindestens nicht ohne weiteres wahrnehmbar. Darin liegt die entscheidende Besonderheit des Eingriffs in das Recht auf informationelle Selbstbestimmung gegenüber dem Typus von Verletzungen anderer Rechtsgüter, sei es eine Körperverletzung, eine Sachbeschädigung oder nur eine Vertragsverletzung. – Der Betroffene trägt im Konfliktfall die Argumentationlast dafür, dass sein Selbstbestimmungsrecht der Informationsfreiheit des anderen generell oder doch mindestens im Einzelfall vorgeht. Dieses Dilemma lässt sich letztlich nur durch flankierende Regelungen 85 und Maßnahmen, etwa durch staatliche Kontrollmöglichkeit mildern. Hierfür geben die einschlägigen Grundrechte, abgesehen von einer konkretisierungsbedürftigen Schutzpflicht des Staates3, aber nichts her. Inso1 Zur Strukturierung dieses Abwägungsvorgangs vgl. BVerfGE 96, 56 (64 ff.) sowie allgemeiner, nicht auf den informationellen Bereich bezogen, BVerfG v. 29.12.2004 – 1 BvR 2283/02, Absatz-Nr. 21 ff., http://www.bverfg.de/entscheidun gen/rk20041229_1bvr2283 03.html. 2 Dazu BVerfGE 79, 256 (269 f.). 3 Beispiel hierfür die Meldepflichten nach §§ 4d und 4e, sowie die Vorschriften über den Beauftragten für den Datenschutz, §§ 4f ff. BDSG. Gallwas
365
§ 26
Schranken der Informationsfreiheit
weit öffnet sich das weite Feld der Informationspolitik und des nachrangigen Informationsrechts.
V. Verletzung der informationellen Selbstbestimmung im Drittverhältnis und deren Folgen 1. Die Unterscheidung von Beeinträchtigung und Verletzung 86
Das Recht auf informationelle Selbstbestimmung ist beeinträchtigt, wenn ein Privater personenbezogene Informationen erhebt, verarbeitet oder in sonstiger Weise nutzt, ohne vom Betroffenen hierzu eigens und rechtswirksam ermächtigt zu sein.
87
Die Beeinträchtigung als solche indiziert aber noch nicht die Rechtswidrigkeit. Hierzu ist vielmehr erforderlich, dass entweder eine Abwägung der beteiligten Grundrechte einen Vorrang zugunsten der informationellen Selbstbestimmung im allgemeinen oder wenigstens im einzelnen Fall ergibt, dass eine privatrechtliche Rechtsvorschrift die informationelle Selbstbestimmung gegenüber der Informationsfreiheit im Rahmen der einschlägigen grundrechtlichen und sonstigen verfassungsrechtlichen Vorgaben mit einem Vorrang ausstattet oder das Gebot gegenseitiger Rücksichtnahme unter Berücksichtigung aller rechtlichen Vorgaben und tatsächlicher Umstände des Einzelfalles einen solchen Vorrang begründet1.
88
Die bloße Beeinträchtigung hat der Betroffene zu dulden, die rechtswidrige Beeinträchtigung verletzt das Recht auf informationelle Selbstbestimmung und führt zu Reaktionsansprüchen des Betroffenen. 2. Anspruchssystem
89
Das Recht auf informationelle Selbstbestimmung reagiert auf die Rechtsverletzung durch entsprechende Abwehr- und Ausgleichsansprüche sowie durch besondere vom Gesetzgeber eigens geschaffene oder zu schaffende Ansprüche. 1 In dieser Hinsicht weist die Entscheidung des OLG Hamm v. 6.2.2013 – I-14 U 7/12, openJur 2013, 4638, zum Auskunftsanspruch eines Kindes gegen den Arzt, der die künstliche Befruchtung vorgenommen hat, doch einige Defizite auf: So geht das Gericht von einem Vorrang des Auskunftsrechts des Kindes aus, ohne dies eigens zu begründen; immerhin folgt ein solcher Anspruch nicht unmittelbar aus den Grundrechten der Klägerin. Es erwähnt mit keinem Wort, dass die von dem Arzt verlangte Auskunft in das Recht auf informationelle Selbstbestimmung des Samenspenders eingreift. Und es geht auch nicht auf die Umstände ein, unter denen die Samenspende erfolgte; vor allem fragt es hier nicht, ob es nicht vielleicht gewichtige Gründe gab und noch gibt, Anonymität des Spenders zur Bedingung der Spende zu machen, und ob und in welchem Umfang eine entsprechende Vereinbarung zwischen den Beteiligten womöglich auch heute noch Vertrauensschutz genießt.
366
Gallwas
V. Verletzung der informationellen Selbstbestimmung im Drittverhltnis
§ 26
a) Unterlassungs- und Beseitigungsansprüche An erster Stelle stehen Unterlassungs- und Beseitigungsansprüche, also 90 etwa die Forderung, rechtswidrig erhobene oder sonst erlangte Informationen nicht erneut bzw. weiter zu erheben, zu verarbeiten oder zu nutzen1. Sind sie gespeichert, so ist das insoweit geschaffene und fortbestehende Gefährdungspotential durch Löschung zu beseitigen. Diese Ansprüche folgen unmittelbar aus der grundrechtlichen Gewähr- 91 leistung2. b) Ausgleichsansprüche Darüber hinaus kommen Schadensersatzansprüche in Betracht ein- 92 schließlich eines Schmerzensgeldanspruchs. Grundlage hierfür ist letztlich, dass das Recht auf informationelle Selbstbestimmung ein Teil des Persönlichkeitsrechts ist, und daher die Schadensersatzpflicht nach dem Recht der unerlaubten Handlung greift3. c) Spezielle bereichsspezifische Reaktionsansprüche Über weitere Reaktionsansprüche zu entscheiden4, ist Sache des Gesetz- 93 gebers. Entscheidungsbedarf besteht hier zumal in der Frage der Erforderlichkeit spezieller Verwertungsverbote. Etwa für den Fall, dass dem Betroffenen im Drittverhältnis trotz offenkundiger Verletzung seines informationellen Selbstbestimmungsrechts zugemutet wird, die Nutzung rechtswidrig gewonnener Informationen zu dulden5.
1 Zur Verwertung einer rechtswidrig erlangten DNA-Analyse BVerfGE 117, 202 (228) wegen Verletzung des Persönlichkeitsrechts des Kindes und des Sorgerechts der Mutter. 2 Vgl. Gallwas, Grundrechte, Rz. 137 ff. 3 Vgl. dazu Sprau in Palandt, BGB, § 823 Rz. 84 ff.; zum Anspruch auf Schmerzensgeld vgl. Grüneberg in Palandt, BGB, § 253 Rz. 10. 4 Etwa ein über die unmittelbar Beteiligten hinausgehendes Verwertungsverbot rechtswidrig erlangter Informationen. 5 Während dies derzeit mehr oder minder stillschweigend bei der Weitergabe und Nutzung rechtswidrig beschaffter Steuerdaten geschieht, und zwar offenbar mal wieder nach dem längst überholten polizeistaatlichen Prinzip „ius ad finem dat ius ad medium“. Gallwas
367
§ 27 Erhebung und Verarbeitung von Bewerber- und Arbeitnehmerdaten Rz. I. Ausgangslage . . . . . . . . . . . . . . . . .
1
II. Umgang mit Bewerberdaten. . . . . 1. Rechtsgrundlagen . . . . . . . . . . . . . a) Persönlichkeitsrecht und Recht auf informationelle Selbstbestimmung . . . . . . . . . . b) § 32 Abs. 1 Satz 1 BDSG als Erlaubnisnorm . . . . . . . . . . . . . c) Auslegung des Begriffs der Erforderlichkeit. . . . . . . . . . . . . d) Parallele Wertungen des Arbeitsrechts und des Datenschutzrechts . . . . . . . . . . . . . . . e) Kein Rangverhältnis von allgemeinem Arbeitsrecht und Datenschutzrecht . . . . . . . . . . . 2. Grunddaten . . . . . . . . . . . . . . . . . . a) Grunddaten zwecks Kontaktaufnahme. . . . . . . . . . . . . . . . . . b) AGG-relevante Grunddaten . . 3. Berechtigtes, billigenswertes und schutzwürdiges Interesse an Datenverarbeitung . . . . . . . . . . . . 4. Sensible Daten und AGGMerkmale. . . . . . . . . . . . . . . . . . . . a) Verhältnis AGG-relevanter Daten zu gem. § 3 Abs. 9 BDSG sensiblen Daten . . . . . . . b) Vom AGG erfasste Diskriminierungsformen . . . . . . . . . . c) Ausnahmsweise Rechtfertigung gem. § 8 AGG . . . . . . . . d) Entschädigung und Schadensersatz . . . . . . . . . . . . . . . . . . . . . e) Verhältnis des AGG zum BDSG . . . . . . . . . . . . . . . . . . . . . f) Erhebung und Verarbeitung sensibler Bewerberdaten . . . . . 5. Umfang des Fragerechts . . . . . . . . a) Generelle Unzulässigkeit von irrelevanten Fragen . . . . . . . . . . b) Fragen zu AGG-relevanten Merkmalen . . . . . . . . . . . . . . . . c) Fragen nach der Gesundheit . . d) Informationen über strafrechtliche Delikte. . . . . . . . . . . e) Frage nach Gehaltspfändungen . . . . . . . . . . . . . . . . . . . .
2 2
368
Kort
2
Rz.
6. 7.
3 4 5 6 7
8. 9. 10. 11.
7 8 9 10 10 11 12 13 14 15 16 16 20 21 23 25
12.
f) Zulässige tätigkeitsbezogene Fragen. . . . . . . . . . . . . . . . . . . . . g) Recht auf Lüge . . . . . . . . . . . . . Bedeutung der Einwilligung für das Fragerecht . . . . . . . . . . . . . . . . Erkundungen . . . . . . . . . . . . . . . . . a) Erkundungen im Internet und in sozialen Netzwerken . . . . . . b) Nachfrage beim alten Arbeitgeber . . . . . . . . . . . . . . . . c) „Terrorlisten“-Abgleich . . . . . . d) Sonstige background checks . . Mitteilungspflicht ohne Frage . . . Ungefragte Mitteilung ohne Mitteilungspflicht . . . . . . . . . . . . . Medizinische und psychologische Tests . . . . . . . . . . . . . . . . . . E-Recruiting und Bewerberdatenbanken . . . . . . . . . . . . . . . . . a) E-Recruiting . . . . . . . . . . . . . . . b) Bewerberdatenbanken . . . . . . . c) Skill-Datenbanken . . . . . . . . . . Umgang mit erfolglosen Bewerbungen . . . . . . . . . . . . . . . . . . . . . .
III. Umgang mit Arbeitnehmerdaten im Beschäftigungsverhältnis . . . . 1. Rechtsgrundlagen . . . . . . . . . . . . . 2. Grunddaten . . . . . . . . . . . . . . . . . . 3. Personalplanungsdaten . . . . . . . . . 4. Daten aus der Privatsphäre . . . . . . 5. Daten im Zusammenhang mit Arbeitgeberpflichten . . . . . . . . . . . 6. Arbeitszeitdaten und Gehaltsabrechnungsdaten . . . . . . . . . . . . . 7. Daten zu Mutterschutz, Schwerbehinderung und Krankheit . . . . . a) Mutterschutz. . . . . . . . . . . . . . . b) Schwerbehinderung . . . . . . . . . c) Krankheit. . . . . . . . . . . . . . . . . . 8. Bedeutung der Personalakte . . . . . a) Materieller Personalaktenbegriff . . . . . . . . . . . . . . . . . . . . . b) Datenschutzrechtliche Bedeutung der Personalakte . . . . . . . . c) Entfernungsanspruch . . . . . . . . d) Geltung der Betroffenenrechte der §§ 33 ff. BDSG . . . . . . . . . . .
26 28 29 30 30 33 34 36 39 43 48 55 56 57 58 59 60 60 62 64 65 68 70 72 72 73 74 79 80 83 84 86
§ 27
II. Umgang mit Bewerberdaten
I. Ausgangslage Bei der Erhebung und Verarbeitung von Bewerber- und Arbeitnehmer- 1 daten stellen sich Fragen des Persönlichkeitsschutzes sowie der datenschutzrechtlichen Rechtfertigung nach §§ 4, 32 und 28 BDSG.
II. Umgang mit Bewerberdaten 1. Rechtsgrundlagen a) Persönlichkeitsrecht und Recht auf informationelle Selbstbestimmung Als Rechtsgrundlagen für den Umgang mit den personenbezogenen Da- 2 ten von Bewerbern für ein Beschäftigungsverhältnis sind zum einen das allgemeine Persönlichkeitsrecht des Bewerbers sowie dessen Recht auf informationelle Selbstbestimmung zu nennen1. Das allgemeine Persönlichkeitsrecht ist als Recht i.S.v. §§ 242, 823, 1004 BGB zivilrechtlich geschützt. Das Recht auf informationelle Selbstbestimmung ist zwar ein von der Rechtsprechung des BVerfG für das Verhältnis Bürger – Staat entwickeltes Grundrecht2, nach modernem Grundrechtsverständnis3 gilt das Recht auf informationelle Selbstbestimmung aber auch im Privatrechtsverkehr und kann damit vom Bewerber gegenüber dem Bewerberdaten sammelnden und verarbeitenden potentiellen Arbeitgeber geltend gemacht werden, wiederum (u.a.) i.V.m. §§ 242, 823, 1004 BGB. Auf der Grundlage insbesondere des zivilrechtlichen Schutzes des allgemeinen Persönlichkeitsrechts hat vor allem die Rechtsprechung des BAG einen ausdifferenzierten Katalog zulässiger und unzulässiger Fragen des Arbeitgebers im Laufe des Bewerbungsverfahrens (Fragerecht des Arbeitgebers) entwickelt4. b) § 32 Abs. 1 Satz 1 BDSG als Erlaubnisnorm Vor allem aber ist seit 1.9.2009 § 32 Abs. 1 Satz 1 BDSG als datenschutz- 3 rechtliche Erlaubnisnorm für die Erhebung von Bewerberdaten relevant5. Nach dem Wortlaut von § 32 Abs. 1 Satz 1 BDSG dürfen personenbezogene Daten des Bewerbers nur erhoben und verarbeitet werden, wenn die Datenerhebung bzw. Datenverarbeitung „für die Entscheidung über die Begründung des Beschäftigungsverhältnisses … erforderlich ist.“ Mit 1 2 3 4
Dazu allg. Schneider, Handbuch des EDV-Rechts, B Rz. 8 ff.; Gallwas, § 26. BVerfG v. 15.12.1983 – 1 BvR 209/83 u.a., NJW 1984, 419. Gola/Schomerus, BDSG, Einleitung Rz. 6. Dazu Stamer/Kuhnke in Plath, BDSG, § 32 Rz. 23 ff.; Däubler in Däubler/Klebe/ Wedde/Weichert, BDSG, § 32 Rz. 16 ff. 5 Ausführlich dazu Stamer/Kuhnke in Plath, BDSG, § 32 Rz. 20 ff.; Seifert in Simitis, BDSG, § 32 Rz. 22 ff.; Fitting/Engels/Schmidt/Trebinger/Linsenmaier, BetrVG, § 94 Rz. 16 ff.; Zöll in Taeger/Gabel, BDSG, § 32 Rz. 19 f.; Däubler, Gläserne Belegschaften?, Rz. 207 ff. Kort
369
§ 27
Erhebung und Verarbeitung von Bewerber- und Arbeitnehmerdaten
dem Kriterium der „Erforderlichkeit“ kann keine „absolute“ Erforderlichkeit gemeint sein. Andernfalls wäre die Erhebung und Verarbeitung von Bewerberdaten nahezu gänzlich unzulässig, weil eine Erforderlichkeit der Datenerhebung und -verarbeitung im engeren Sinn für die Begründung des Beschäftigungsverhältnisses allenfalls im Hinblick auf die Grunddaten1 besteht. c) Auslegung des Begriffs der Erforderlichkeit 4
Zwar geht § 32 Abs. 1 Satz 1 BDSG über den bis 2009 auf die Erhebung und Verarbeitung von Bewerberdaten anzuwendenden § 28 Abs. 1 Satz 1 Nr. 1 BDSG hinaus, der nur eine „Dienlichkeit“, nicht aber eine Erforderlichkeit der Datenerhebung und Datenverarbeitung für das Vertragsverhältnis verlangt2. Die in § 32 Abs. 1 Satz 1 BDSG angesprochene „Erforderlichkeit“ meint aber eine Erforderlichkeit im weiteren Sinn und setzt damit „ungeschrieben“ eine Abwägung der Interessen des potentiellen Arbeitgebers an der Erhebung und Verarbeitung von Bewerberdaten mit dem Interesse des Bewerbers auf Unterlassung dieser Datenerhebung und Datenverarbeitung voraus. Letztlich ist entscheidend, ob ein berechtigtes Informationsinteresse des Arbeitgebers an den Bewerberdaten besteht3. d) Parallele Wertungen des Arbeitsrechts und des Datenschutzrechts
5
Die datenschutzrechtliche Interessenabwägung gem. § 32 Abs. 1 Satz 1 BDSG hat sich an der Rechtsprechung des BAG4 auszurichten. Die Prüfung der arbeitsrechtlichen Zulässigkeit der Bewerberdatenerhebung sowie -verarbeitung und die Prüfung von deren datenschutzrechtlicher Zulässigkeit gem. § 32 Abs. 1 Satz 1 BDSG gehen nicht etwa zwei verschiedene Wege, sondern fußen beide auf der Abwägung der grundrechtlich geschützten Positionen des Bewerbers am Schutz seiner Persönlichkeit und seines Rechts auf informationelle Selbstbestimmung auf der einen Seite und dem ebenfalls grundrechtlich (Art. 12, 14 GG) verbürgten Schutz der unternehmerischen Handlungsfreiheit des potentiellen Arbeitgebers und dessen Recht auf eine Information über den Bewerber vor der Einstellungsentscheidung auf der anderen Seite.
1 Dazu unten Rz. 7 f. 2 Thüsing, NZA 2009, 865 (866 f.); Däubler, Gläserne Belegschaften?, Rz. 209a; a.A. Gola/Schomerus, BDSG, § 32 Rz. 12 (Deckungsgleichheit der Anforderungen). 3 Zöll in Taeger/Gabel, BDSG, § 32 Rz. 19. 4 Dazu Gola/Wronka, Handbuch zum Arbeitnehmerdatenschutz, Rz. 130 ff.
370
Kort
§ 27
II. Umgang mit Bewerberdaten
e) Kein Rangverhältnis von allgemeinem Arbeitsrecht und Datenschutzrecht Es stellt sich damit – anders als in manchen anderen Bereichen des Daten- 6 schutzrechts – nicht die Frage des Rangverhältnisses des Datenschutzrechts zu anderen Rechts- bzw. Normkomplexen. Vielmehr besteht ein Gleichklang der Wertungen in den beiden Rechtsgebieten des Datenschutzrechts und des allgemeinen Arbeitsrechts in Bezug auf den Umgang mit Bewerberdaten, der es nicht nur erlaubt, sondern sogar gebietet, die arbeitsrechtliche Rechtsprechung für die Auslegung von § 32 Abs. 1 Satz 1 BDSG heranzuziehen. 2. Grunddaten a) Grunddaten zwecks Kontaktaufnahme Der Arbeitgeber ist berechtigt, im Bewerbungsverfahren allgemeine 7 Grunddaten wie den Namen, die Anschrift, die Telefonnummer und die E-Mail-Adresse des Bewerbers zu erfragen und zu registrieren. Diese Daten sind für die Kontaktaufnahme mit dem Bewerber erforderlich und damit auch zur Begründung des Beschäftigungsverhältnisses i.S.v. § 32 Abs. 1 Satz 1 BDSG. b) AGG-relevante Grunddaten Im Hinblick auf die Gefahr einer nach dem AGG verbotenen Ungleichbe- 8 handlung (Diskriminierung) ist es hingegen nicht unproblematisch, nach dem Geburtsdatum bzw. dem Alter, dem Geburtsnamen, dem Geburtsort, dem Familienstand oder der Nationalität zu fragen. Solche Fragen des Arbeitgebers können ein Indiz für eine Diskriminierung des Bewerbers unter Verstoß gegen das AGG sein1. Werden solche möglicherweise AGG-relevanten Daten ungefragt vom Bewerber mitgeteilt, stellen sich besondere Fragen2. 3. Berechtigtes, billigenswertes und schutzwürdiges Interesse an Datenverarbeitung Die Zulässigkeit der Erhebung und Verarbeitung weiterer Bewerberdaten 9 als der oben unter I. 2 genannten Grunddaten richtet sich danach, ob der Arbeitgeber – so die Formel der Rechtsprechung des BAG – ein berechtigtes, billigenswertes und schutzwürdiges Interesse3 an einer solchen Datenerhebung und Datenverarbeitung hat. Diese ursprünglich für das Fragerecht entwickelte Formel des BAG gilt heute für die gesamte Datenerhebung und Datenverarbeitung von Bewerberdaten4. 1 2 3 4
Stamer/Kuhnke in Plath, BDSG, § 32 Rz. 33; dazu näher unten Rz. 9 ff. Dazu unten Rz. 43 ff. So schon BAG v. 5.12.1957 – 1 AZR 594/56, NJW 1958, 516. Ähnlich i.E. Seifert in Simitis, BDSG, § 32 Rz. 22. Kort
371
§ 27
Erhebung und Verarbeitung von Bewerber- und Arbeitnehmerdaten
4. Sensible Daten und AGG-Merkmale a) Verhältnis AGG-relevanter Daten zu gem. § 3 Abs. 9 BDSG sensiblen Daten 10
Wie bereits oben1 erwähnt, ist es problematisch, Bewerberdaten zu erheben oder zu verarbeiten, die sich auf die in § 1 AGG genannten Merkmale erstrecken oder erstrecken können2. Dasselbe gilt für die Erhebung und Verarbeitung von Bewerberdaten, soweit diese „besondere Arten personenbezogener Daten“ i.S.v. § 3 Abs. 9 BDSG sind (sensible Daten). Bei diesen sensiblen Daten handelt es sich um Daten, die sich auf Angaben i.S.v. § 3 Abs. 9 BDSG beziehen und damit auf Merkmale, die größtenteils, aber nicht vollständig, mit den Merkmalen des § 1 AGG übereinstimmen. b) Vom AGG erfasste Diskriminierungsformen
11
Das Benachteiligungsverbot des § 7 AGG erstreckt sich auf alle in § 3 AGG genannten Formen von diskriminierendem Verhalten, einschließlich der Versagung einer Chance3. Umfasst ist damit auch die Teilnahme an einem fairen Auswahlverfahren bei Bewerbungen4. c) Ausnahmsweise Rechtfertigung gem. § 8 AGG
12
Eine Erhebung und Verarbeitung von Bewerberdaten, die sich auf die Merkmale des § 1 AGG beziehen, ist nur gerechtfertigt, wenn die sehr engen Voraussetzungen des § 8 AGG gegeben sind. Das abgefragte Datum muss sich also auf wesentliche und entscheidende berufliche Anforderungen beziehen5, was nur selten der Fall ist. d) Entschädigung und Schadensersatz
13
Diskriminierende Fragen des Arbeitgebers können gem. §§ 1, 7 Abs. 1 AGG unzulässig sein und Entschädigungs- sowie Schadensersatzansprüche gem. § 15 AGG zur Folge haben6. e) Verhältnis des AGG zum BDSG
14
Das Verhältnis des AGG zum BDSG ist so einzuschätzen, dass das AGG das BDSG nicht vollständig „verdrängt“ (i.S. eines Vorrangs des AGG 1 S. Rz. 8. 2 Dazu im Einzelnen Thüsing, Arbeitnehmerdatenschutz und Compliance, Rz. 387. 3 BAG v. 28.5.2009 – 8 AZR 536/08, MDR 2009, 1397; BAG v. 19.8.2010 – 8 AZR 530/09, NZA 2010, 1412. 4 Schlachter in ErfK ArbR, § 7 AGG Rz. 1. 5 Stamer/Kuhnke in Plath, BDSG, § 32 Rz. 41. 6 Seifert in Simitis, BDSG, § 32 Rz. 27.
372
Kort
§ 27
II. Umgang mit Bewerberdaten
gem. § 1 Abs. 3 Satz 1 BDSG). Dem BDSG kommt aber nur noch eine „Komplementärfunktion“ gegenüber dem AGG zu. Eine Erhebung oder Verarbeitung von Bewerberdaten unter Verstoß gegen das AGG kann daher nicht gem. § 32 Abs. 1 Satz 1 BDSG zulässig sein1. f) Erhebung und Verarbeitung sensibler Bewerberdaten Werden sensible Bewerberdaten i.S.v. § 3 Abs. 9 BDSG erhoben oder ver- 15 arbeitet, so ist nicht nur das AGG zu beachten, soweit es sich zugleich um Daten über AGG-relevante Merkmale handelt, sondern auch § 28 Abs. 6 bis 9 BDSG, die bei der Erhebung und Verarbeitung sensibler Bewerberdaten anstelle von § 32 Abs. 1 Satz 1 BDSG als Erlaubnisnorm relevant sind. 5. Umfang des Fragerechts a) Generelle Unzulässigkeit von irrelevanten Fragen Die Prüfung der Zulässigkeit von Fragen des Arbeitgebers im Rahmen 16 von Bewerbungen ist primär dadurch geprägt, dass sowohl bei der datenschutzrechtlichen Zulässigkeitsprüfung als auch bei der (durch parallele Wertungen gekennzeichneten) allgemeinen arbeitsrechtlichen Zulässigkeitsprüfung zu beachten ist, dass sich das Fragerecht des Arbeitgebers jedenfalls nur auf Informationen erstreckt, die für das Beschäftigungsverhältnis relevant sind. Eine irrelevante Frage ist also nie zulässig. Daher sind etwa Fragen nach dem Sexualleben, nach Hobbys und Ge- 17 wohnheiten, nach Freunden und Verwandten nicht zulässig. Auch die Frage nach der Zugehörigkeit zu einer Religions- oder Weltanschauungsgemeinschaft oder einer politischen Partei darf – außer bei Tendenzunternehmen – nicht gestellt werden2, wohl aber die Frage nach der Zugehörigkeit zu „Scientology“3, und zwar auch von privaten Arbeitgebern, wenn es um eine Bewerbung für eine Stelle mit besonderem Vertrauen oder eine Stelle mit Repräsentationscharakter geht4. Ferner darf der Arbeitgeber in der Bewerbungsphase nicht nach der Gewerkschaftszugehörigkeit fragen. Fragen nach privaten Vermögensverhältnissen sind in der Regel unzuläs- 18 sig, es sei denn, die angestrebte Stelle ist mit einem nicht nur geringfügigen, eigenverantwortlichen finanziellen Spielraum verbunden5, etwa als Angestellter eines Finanzdienstleistungsunternehmens6.
1 2 3 4 5 6
Seifert in Simitis, BDSG, § 32 Rz. 27. Fitting/Engels/Schmidt/Trebinger/Linsenmaier, BetrVG, § 94 Rz. 17. Dazu BAG v. 22.3.1995 – 5 AZB 21/94, MDR 1996, 77. Fitting/Engels/Schmidt/Trebinger/Linsenmaier, BetrVG, § 94 Rz. 17. BAG v. 29.8.1980 – 7 AZR 726/77, AuR 1981, 60. Stamer/Kuhnke in Plath, BDSG, § 32 Rz. 37. Kort
373
§ 27 19
Erhebung und Verarbeitung von Bewerber- und Arbeitnehmerdaten
Unzulässig ist im Allgemeinen ferner die Frage nach der Mitgliedschaft in privaten sozialen Netzwerken oder gar das Ansinnen, die Zugangsberechtigung zu solchen Netzwerken im Rahmen der Bewerbung preiszugeben1. b) Fragen zu AGG-relevanten Merkmalen
20
Sind Fragen, die keinen Bezug zum Beschäftigungsverhältnis haben, somit unzulässig, folgt daraus nicht umgekehrt, dass alle Fragen mit Bezug zum Beschäftigungsverhältnis ohne Weiteres zulässig sind. Wie bereits oben2 angesprochen dürfen im Grundsatz keine Informationen über AGG-relevante Merkmale eingeholt werden. So mag es aus Sicht des Arbeitgebers für das Arbeitsverhältnis relevant sein, welches Alter ein Bewerber hat, ob eine Bewerberin schwanger ist, welchen Familienstand ein Bewerber hat, ob er Kinder hat bzw. ein Wunsch nach Kindern besteht, aber ein darauf gerichtetes Fragerecht besteht in der Bewerbungsphase vorbehaltlich von § 8 AGG nicht. Ferner sind Fragen nach Rasse oder ethnischer Herkunft ebenso verboten wie solche nach der sexuellen Identität3. c) Fragen nach der Gesundheit
21
Fragen nach dem Gesundheitszustand sowie nach einer Alkohol- oder Drogenabhängigkeit sind nur eingeschränkt zulässig. Erstens können solche Fragen (indirekt) als gem. § 1 AGG unzulässige Fragen nach einer Behinderung aufzufassen sein4. Daher sind Fragen nach dem Gesundheitszustand oder nach einer Alkohol- oder Drogenabhängigkeit nicht etwa ohne Weiteres deshalb schon zulässig, weil daraus resultierende Beeinträchtigungen für das Beschäftigungsverhältnis in irgendeiner Weise relevant sein könnten. Vielmehr besteht ein Fragerecht nur dann, wenn die gesundheitliche Beeinträchtigung dazu führt, dass eine wesentliche und entscheidende Anforderung an die angestrebte berufliche Tätigkeit nicht erfüllt werden kann.
22
Angesichts dieser strengen Kriterien ist die Frage nach einer HIV-Infektion unzulässig, es sei denn, es besteht ganz ausnahmsweise Ansteckungsgefahr. d) Informationen über strafrechtliche Delikte
23
Fragen nach Vorstrafen und laufenden Ermittlungsverfahren sind allenfalls zulässig, soweit die betreffenden Straftaten für das Beschäftigungs-
1 2 3 4
Kort, DuD 2012, 722 (724 f.). S. Rz. 8 und 10 ff. Stamer/Kuhnke in Plath, BDSG, § 32 Rz. 42. Stamer/Kuhnke in Plath, BDSG, § 32 Rz. 44.
374
Kort
§ 27
II. Umgang mit Bewerberdaten
verhältnis von Bedeutung sind1. Nach Ablauf der in § 53 BZRG genannten Fristen darf sich ein gefragter oder ungefragter Bewerber als nicht vorbestraft bezeichnen2. Auch darf ein Bewerber nach Einstellung eines Ermittlungsverfahrens gegen ihn aufgrund der Unschuldsvermutung von § 53 BZRG auf Nachfrage dieses Ermittlungsverfahren verschweigen3. Dasselbe gilt für solche Vorstrafen, die gem. § 32 Abs. 2 BZRG nicht in das Bundeszentralregister aufzunehmen sind4. Angesichts der Beschränkung der Zulässigkeit des Fragerechts nach Vor- 24 strafen5 ist es nicht unproblematisch, dass viele private Arbeitgeber die Vorlage eines polizeilichen Führungszeugnisses verlangen. Hierbei ist jedoch das Interesse des Arbeitgebers an einer Verifizierung von Angaben über Vorstrafen sowie das Risiko einer Haftung des Arbeitgebers gegenüber Dritten bei Begehen einschlägiger Straftaten durch den Arbeitnehmer zu beachten6. Daher ist zu differenzieren: Die Vorlage eines polizeilichen Führungszeugnisses kann für eine Tätigkeit verlangt werden, bei der es um den Umgang mit erheblichen Vermögensgegenständen oder die Möglichkeit des Zugangs zu solchen Vermögensgegenständen geht. Hierfür ist nicht eine „gehobene“ Stellung erforderlich, sondern das gilt auch für Wachpersonal und sogar für Reinigungspersonal mit Zugangsmöglichkeit zu Gegenständen von erheblichem Wert. In solchen Fällen kann ein polizeiliches Führungszeugnis verlangt werden. e) Frage nach Gehaltspfändungen Vor der Einstellung ist ferner die Frage nach Gehaltspfändungen und Ge- 25 haltsabtretungen nur zulässig, wenn es sich um eine Position in herausragender Stellung oder eine Vertrauensposition handelt7. f) Zulässige tätigkeitsbezogene Fragen Zulässig sind hingegen Fragen nach der Ausbildung, der beruflichen Qua- 26 lifikation und der zeitlichen Verfügbarkeit des Bewerbers8. Ferner kann sich der Arbeitgeber nach der Dauer der bisherigen Beschäftigung erkundigen9. Nach dem bisherigen Gehalt darf der Arbeitgeber hingegen nur fragen, wenn das im Hinblick auf seine Einsatz- und Leistungsbereitschaft von Bedeutung ist10. 1 2 3 4 5 6 7 8
Stamer/Kuhnke in Plath, BDSG, § 32 Rz. 38. Kania/Sansone, NZA 2012, 360 (362). BAG v. 15.11.2012 – 6 AZR 339/11, MDR 2013, 413. LAG Düsseldorf v. 24.4.2008 – 11 Sa 2101/07, PersR 2008, 465. S. oben Rz. 23. Stamer/Kuhnke in Plath, BDSG, § 32 Rz. 47. Seifert in Simitis, BDSG, § 32 Rz. 25. BAG v. 6.6.1984 – 5 AZR 286/81, MDR 1985, 168; Zöll in Taeger/Gabel, BDSG, § 32 Rz. 19. 9 BAG v. 12.2.1970 – 2 AZR 184/69, NJW 1970, 1565. 10 BAG v. 19.5.1983 – 2 AZR 171/81, VersR 1984, 373. Kort
375
§ 27 27
Erhebung und Verarbeitung von Bewerber- und Arbeitnehmerdaten
Der insbesondere vom BAG entwickelte Katalog zulässiger Fragen gilt auch nach Inkrafttreten von § 32 BDSG (1.9.2009), er ist also bei der Auslegung des BDSG im Allgemeinen und bei der Auslegung von § 32 Abs. 1 Satz 1 BDSG im Besonderen zu berücksichtigen. g) Recht auf Lüge
28
Dasselbe gilt auch für das ebenfalls vom BAG entwickelte „Recht auf Lüge“: Bei nicht wahrheitsgemäßer Beantwortung einer unzulässigen Frage im Bewerbungsverfahren kann der Arbeitgeber den später zustande kommenden Arbeitsvertrag nicht nach § 123 Abs. 1 BGB anfechten, der Bewerber hat also ein „Recht auf Lüge“. 6. Bedeutung der Einwilligung für das Fragerecht
29
Die Möglichkeit, den Katalog zulässiger Fragen durch eine Einwilligung des Bewerbers gem. §§ 4 Abs. 1, 4a BDSG zu erweitern, besteht nicht. Ganz abgesehen davon, dass die Einwilligung als datenschutzrechtlicher Erlaubnistatbestand gerade in der Bewerbungsphase ohnehin nur selten in Betracht kommt, kann die Einwilligung jedenfalls nicht dazu dienen, unzulässige Fragen zulässig zu machen1. Das gilt nicht nur für AGG-widrige Fragen, sondern auch für sonstige nach der Rechtsprechung des BAG unzulässige Fragen. 7. Erkundungen a) Erkundungen im Internet und in sozialen Netzwerken
30
Die Erhebung von Bewerberdaten durch Internet-Recherche mittels allgemeiner Suchmaschinen lässt sich auf § 28 Abs. 1 Nr. 3 BDSG, der neben § 32 Abs. 1 Satz 1 BDSG als Erlaubnisnorm in Betracht kommt und nicht durch ihn verdrängt wird, stützen2. Hierbei ist nicht der ansonsten bei Begründung und Durchführung eines Beschäftigungsverhältnisses geltende Grundsatz der Direkterhebung gem. § 4 Abs. 2 Satz 1 BDSG zu beachten, da § 28 Abs. 2 Nr. 3 BDSG eine spezielle Erlaubnisnorm ist3.
31
Hingegen lässt sich eine Recherche des Arbeitgebers in sozialen Netzwerken nicht mittels § 28 Abs. 1 Nr. 3 BDSG rechtfertigen, weil es sich um Netzwerke mit beschränktem Zugang bzw. mit Zugangsberechtigung handelt und die Daten eines solchen Netzwerks gerade nicht „all-
1 Stamer/Kuhnke in Plath, BDSG, § 32 Rz. 24; Gola/Wronka, Handbuch zum Arbeitnehmerdatenschutz, Rz. 397. 2 Kort, DuD 2012, 722 (723); Forst, NZA 2010, 427 (429 f.); Ernst, NJOZ 2011, 953 (955). 3 Gola/Schomerus, BDSG, § 32 Rz. 35a: enger Seifert in Simitis, BDSG, § 32 Rz. 48 ff.
376
Kort
§ 27
II. Umgang mit Bewerberdaten
gemein zugänglich“ i.S.v. § 28 Abs. 1 Nr. 3 BDSG sind1. Das gilt auch für berufsbezogene soziale Netzwerke, soweit sie zugangsbeschränkt sind, da auch die in ihnen enthaltenen Daten dann nicht allgemein zugänglich sind und § 28 Abs. 1 Nr. 3 BDSG daher nicht anwendbar ist2. Einer Anwendung von § 32 Abs. 1 Satz 1 BDSG auf die Recherche des Arbeitgebers in berufsbezogenen sozialen Netzwerken steht der Grundsatz der Direkterhebung entgegen. Fraglich ist, ob eine Recherche in sozialen Netzwerken auf der Grund- 32 lage einer Einwilligung des Bewerbers möglich ist. Bittet der Arbeitgeber um eine Einwilligung in die Netzwerk-Recherche, so ist zu unterscheiden: Die Frage nach dem Zugangscode etwa für Facebook im Bewerbungsgespräch oder auf andere Weise ist ein unzulässiger Eingriff in das Persönlichkeitsrecht des Bewerbers und nicht etwa Basis für die Erteilung einer wirksamen Einwilligung in die Netzwerkrecherche3. Selbst bei berufsbezogenen sozialen Netzwerken sind an die Wirksamkeit der Einwilligung zwecks Recherche über den Bewerber hohe Anforderungen zu stellen, die Einwilligung ist dort allerdings denkbar4. b) Nachfrage beim alten Arbeitgeber Nach herrschender Ansicht sind Erkundigungen des potentiellen neuen 33 Arbeitgebers über den Bewerber beim alten Arbeitgeber nur mit Einwilligung des Bewerbers zulässig5. Dem ist angesichts der Geltung des Grundsatzes der Direkterhebung zuzustimmen. Erkundigungen beim alten Arbeitgeber ohne Einwilligung sind auch nicht etwa zur „Verifizierung“ von Angaben des Bewerbers zulässig6. Vielmehr ist auch dafür eine Einwilligung des Bewerbers einzuholen. c) „Terrorlisten“-Abgleich Nicht nur aufgrund von US-Bestimmungen7, sondern auch aufgrund der 34 EG-Verordnungen Nr. 881/2002 und 2580/2001 sollen u.a. Geschäftskontakte mit möglichen Terroristen ausgeschlossen werden. Wer zu diesem Kreis möglicher Terroristen zählt, ergibt sich aus ständig aktualisierten Listen. Den betroffenen Personen dürfen weder Geld noch sonstige Ressourcen zur Verfügung gestellt werden. Dem Verbot unterliegt auch der Abschluss von Arbeitsverträgen8. 1 Gola/Schomerus, BDSG, § 32 Rz. 35; Wedde in Däubler/Klebe/Wedde/Weichert, BDSG, § 28 Rz. 58; Kort, DuD 2012, 722 (723); Determann, BB 2013, 181 (187 f.); teilweise abweichend Ernst, NJOZ 2011, 953 (955). 2 Näher Kort, DuD 2012, 722 (723). 3 Kort, DuD 2012, 722 (725). 4 Näher Kort, DuD 2012, 722 (723). 5 Zöll in Taeger/Gabel, BDSG, § 32 Rz. 19 m.w.N. 6 So aber Stamer/Kuhnke in Plath, BDSG, § 32 Rz. 29. 7 Dazu Breinlinger, ZD 2013, 267. 8 Gola/Wronka, Handbuch zum Arbeitnehmerdatenschutz, Rz. 1067. Kort
377
§ 27 35
Erhebung und Verarbeitung von Bewerber- und Arbeitnehmerdaten
Aufgrund dieser Vorgaben kann der Arbeitgeber berechtigt sein, einen Terrorlisten-Abgleich mit den Bewerberdaten durchzuführen1. Als Erlaubnistatbestand hierfür kommen in der Regel nicht die entsprechenden normativen Vorgaben für die Erstellung der „Terrorlisten“ als „andere Rechtsvorschrift“ i.S.v. § 4 Abs. 1 BDSG in Betracht, und zwar nicht einmal die EU-Verordnungen2, sondern beim Mitarbeiterdaten-Abgleich § 32 BDSG oder ggf. § 28 Abs. 1 Nr. 2 BDSG3. Nach Auffassung des BFH4 kann die Erteilung eines AEO-Zertifikats (Authorised Economic Operator – AEO), das zu Vergünstigungen bei sicherheitsrelevanten Zollkontrollen führt sowie sonstige Erleichterungen des Zollverfahrens ermöglicht, von der Durchführung eines Abgleichs von Beschäftigtendaten mit den Terrorlisten abhängig gemacht werden. Dieser Terrorlisten-Abgleich verstößt nach Auffassung des BFH nicht gegen datenschutzrechtliche Bestimmungen. Der Düsseldorfer Kreis5 ist hingegen zurückhaltend in Hinblick auf die datenschutzrechtliche Zulässigkeit umfassender Terrorlisten-Abgleiche. d) Sonstige background checks
36
Die Durchführung von background checks der Bewerber ist nur möglich, soweit hieran ein berechtigtes Interesse des potentiellen Arbeitgebers besteht. Das ist nur ausnahmsweise der Fall, da solchen background checks häufig der Grundsatz der Direkterhebung gem. § 4 Abs. 2 Satz 1 BDSG entgegensteht6. Ein background check von Bewerbern ist daher ohne Einwilligung des Bewerbers nur zulässig, wenn konkrete Anhaltspunkte des Arbeitgebers bestehen, dass der Bewerber auf zulässige Fragen nicht wahrheitsgemäß oder nicht vollständig geantwortet haben könnte oder bei ausnahmsweise bestehender Offenbarungspflicht7 einstellungsrelevante Umstände verschwiegen haben könnte.
37
Mit Einwilligung des Bewerbers ist ein background check hingegen möglich. Jedoch stellen sich hierbei verschiedene Probleme: Zum einen kann die Information des Bewerbers über die Planung eines background checks dessen Zweck gerade vereiteln, zum anderen ist es schwierig, in der Bewerbungsphase eine wirksame Einwilligung einzuholen, da es ihr oft an der Freiwilligkeit mangeln wird.
1 Dazu Hehlmann/Sachs, EuZW 2012, 527; Roeder/Buhr, BB 2012, 193; Otto/ Lampe, NZA 2011, 1134. 2 Breinlinger, ZD 2013, 267 (268 f.). 3 Breinlinger, ZD 2013, 267 (269 f.). 4 BFH v. 19.6.2012 – VII R 43/11, RDV 2012, 303. 5 Beschl. v. 23.11.2011 „Beschäftigtenscreening bei AEO-Zertifizierung wirksam begrenzen“. 6 Zu dessen Geltung auch im Hinblick auf Daten zur Begründung und Durchführung des Beschäftigungsverhältnisses Stamer/Kuhnke in Plath, BDSG, § 32 Rz. 19. 7 S. dazu unten Rz. 39 ff.
378
Kort
§ 27
II. Umgang mit Bewerberdaten
Liegen – ausnahmsweise – die Voraussetzungen für einen background 38 check des Bewerbers vor, kann der Arbeitgeber hierfür auch professionelle Dienstleister einschalten1. 8. Mitteilungspflicht ohne Frage Der Bewerber hat nur in sehr beschränktem Umfang die Pflicht, im Be- 39 werbungsverfahren ungefragt Informationen über sich zu erteilen2. Nur wenn Umstände vorliegen, die die Durchführung des Beschäftigungsverhältnisses unmöglich oder völlig unzumutbar machen, kann eine solche Offenbarungspflicht des Bewerbers bestehen. Das gilt etwa für den Entzug der Fahrerlaubnis eines Bewerbers als Kraftfahrer3 oder die Alkoholsucht eines solchen Bewerbers4. Dasselbe gilt bei mehrjährigem Fehlen von Fahrpraxis bei einem Bewerber als Berufskraftfahrer5. Ferner muss ein Bewerber ungefragt mitteilen, dass er einem nachvertraglichen Wettbewerbsverbot aus einem früheren Beschäftigungsverhältnis unterliegt6, da andernfalls das Risiko besteht, dass sich nicht nur der Arbeitnehmer, sondern ggf. auch der neue Arbeitgeber Ansprüchen des alten Arbeitgebers ausgesetzt sieht7. Auch die unmittelbar anstehende Verbüßung einer Haftstrafe ist unge- 40 fragt zu offenbaren8, und zwar unabhängig davon, ob die Verurteilung aufgrund eines für das Beschäftigungsverhältnis „einschlägigen“ Delikts erfolgt ist oder nicht. Entscheidend für die Offenbarungspflicht ist nämlich nicht das Begehen des Delikts, sondern die Verhinderung der Erbringung der Arbeitsleistung wegen Haft9. Ferner besteht eine Offenbarungspflicht bei einer gesundheitlichen Be- 41 einträchtigung, die den Bewerber voraussichtlich vollständig an der Ausübung der Tätigkeit hindern würde10. Hingegen besteht keine Offenbarungspflicht in Hinblick auf Umstände, 42 nach denen der Arbeitgerber nicht hätte fragen dürfen11, insbesondere – aber nicht nur – in Hinblick auf AGG-relevante Umstände. Angesichts 1 2 3 4 5 6 7 8 9 10
11
Stamer/Kuhnke in Plath, BDSG, § 32 Rz. 27. Schmidt in ErfK ArbR, Art. 2 GG Rz. 95. Däubler, Gläserne Belegschaften?, Rz. 228. ArbG Kiel v. 21.1.1982 – 2c Ca 2062/81, BB 1982, 804; Stamer/Kuhnke in Plath, BDSG, § 32 Rz. 26. BAG v. 24.1.1974 – 3 AZR 488/72, VersR 1974, 1137. Däubler in Däubler/Klebe/Wedde/Weichert, BDSG, § 32 Rz. 18. Gola/Wronka, Handbuch zum Arbeitnehmerdatenschutz, Rz. 478. LAG Frankfurt v. 7.8.1986 – 12 Sa 361/86, NZA 1987, 352. Gola/Wronka, Handbuch zum Arbeitnehmerdatenschutz, Rz. 475. BAG v. 7.2.1964 – 1 AZR 251/63, AP BGB § 276 Nr. 6 Verschulden bei Vertragsschluss; Däubler, Gläserne Belegschaften?, Rz. 228; Gola/Wronka, Handbuch zum Arbeitnehmerdatenschutz, Rz. 476; Stamer/Kuhnke in Plath, BDSG, § 32 Rz. 26. Gola/Wronka, Handbuch zum Arbeitnehmerdatenschutz, Rz. 474. Kort
379
§ 27
Erhebung und Verarbeitung von Bewerber- und Arbeitnehmerdaten
dieses Grundsatzes ist die Schwerbehinderteneigenschaft nicht ungefragt zu offenbaren1. Die ältere Rechtsprechung des BAG2 hierzu ist insofern überholt. 9. Ungefragte Mitteilung ohne Mitteilungspflicht 43
Probleme entstehen, wenn Bewerber ungefragt persönliche Daten übermitteln, etwa im Rahmen einer Initiativbewerbung, oder ungefragt im Bewerbungsgespräch Informationen mitteilen, die de facto Kriterium für die Einstellungsentscheidung sein können. Datenschutzrechtlich handelt es sich bei der „Entgegennahme“ dieser Daten durch den Arbeitgeber nicht um eine Datenerhebung. Jeglicher weiterer Umgang mit diesen Daten kann aber eine Datenverarbeitung oder Datennutzung sein, also datenschutzrechtlich eines Erlaubnistatbestands bedürfen3.
44
Unproblematisch ist das in der Regel, wenn es sich um Daten handelt, die Gegenstand einer zulässigen Frage des Arbeitgebers hätten sein können. Dann liegt im Hinblick auf deren Verarbeitung entweder eine Erforderlichkeit i.S.v. § 32 Abs. 1 Satz 1 BDSG vor, oder es kann in der Mitteilung dieser Daten durch den Bewerber eine Einwilligung in die Verarbeitung dieser Daten gesehen werden.
45
Probleme entstehen hingegen, wenn ungefragt Informationen mitgeteilt werden, die sich auf AGG-relevante Merkmale beziehen oder ansonsten Gegenstände betreffen, nach denen der Arbeitgeber nicht hätte fragen dürfen. Der Arbeitgeber sollte tunlichst den Eindruck vermeiden, er habe bei der Einstellungsentscheidung derartige Daten bzw. Informationen berücksichtigt. Andernfalls droht ein AGG-Verstoß.
46
Das gilt auch bei einer (vermeintlich) „positiven“ Ungleichbehandlung, wenn also der Arbeitgeber die Einstellungsentscheidung zugunsten eines Bewerbers gerade deshalb trifft, weil dieser Bewerber ihm ungefragt mitgeteilt hat, er gehöre einer bestimmten (Minderheits-)Gruppe mit Diskriminierungsmerkmalen an.
47
Die ungefragte Mitteilung, man gehöre einer bestimmten (möglicherweise diskriminierten) Gruppe an, kann als solche bei Ablehnung dieses Bewerbers nicht die Vermutungswirkung des § 22 AGG auslösen. Umgekehrt ist es aber (vorbehaltlich der Besonderheiten des Schwerbehindertenrechts) auch nicht zulässig, die Zugehörigkeit eines Bewerbers zu einer möglicherweise diskriminierungsgefährdeten Minderheit positiv zu berücksichtigen. Auch das wäre im Allgemeinen ein Verstoß gegen § 7 AGG. Der Arbeitgeber muss also versuchen, im Hinblick auf die ungefragte Mitteilung AGG-relevanter Umstände bei der Einstellungsentscheidung „die Schere im Kopf“ zu nutzen. 1 Däubler, Gläserne Belegschaften?, Rz. 228. 2 BAG v. 1.8.1985 – 2 AZR 101/83, NZA 1986, 635. 3 Stamer/Kuhnke in Plath, BDSG, § 32 Rz. 25.
380
Kort
§ 27
II. Umgang mit Bewerberdaten
10. Medizinische und psychologische Tests Die Durchführung medizinischer und psychologischer Tests im Bewer- 48 bungsverfahren bzw. im Anbahnungsverfahren kann bei wirksamer Einwilligung des Bewerbers zulässig sein. Jedoch sind in der Bewerbungsphase besonders hohe Anforderungen an die Freiwilligkeit der Einwilligung zu stellen. Da diese Freiwilligkeit der Einwilligung oft fehlen dürfte, kommt als datenschutzrechtlicher Erlaubnistatbestand für medizinische und psychologische Tests § 32 Abs. 1 Satz 1 BDSG in Betracht1. Die Durchführung derartiger Tests muss demgemäß im berechtigten Interesse des Arbeitgebers liegen. Bei medizinischen Untersuchungen erfolgt die Information über Test- 49 ergebnisse zweigeteilt: Der Arbeitgeber ist nur über die Geeignetheit des Bewerbers für die Stelle zu informieren, der Bewerber selbst erhält die vollständige Information über die medizinischen Testergebnisse2. Der medizinische Test darf sich nur auf die Gewinnung solcher Informationen beziehen, nach denen auch gefragt werden dürfte. Daher dürfen etwa HIV-Tests nur in Ausnahmefällen Teile medizinischer Tests sein. Nicht zulässig sind standardmäßige Drogen- und Alkoholtests von Be- 50 werbern3, da auch die generelle – nicht durch die konkreten Arbeitsplatzanforderungen veranlasste – Frage nach einer Drogen- oder Alkoholabhängigkeit unzulässig wäre. Hingegen ist die Durchführung von Drogen- und Alkoholtests zulässig, wenn auch nach einer Drogen- oder Alkoholabhängigkeit gefragt werden könnte, also bei einschlägigen beruflichen Anforderungen wie etwa bei Berufskraftfahrern4. Psychologische Eignungstests bestehen häufig – entgegen ihrer Bezeich- 51 nung – eher im Abfragen von Wissen oder im Test der Intelligenz oder Bildung der Bewerber. Sie sind zulässig, soweit es um Informationen über Kenntnisse und Fähigkeiten geht, die für die Ausübung der beruflichen Tätigkeit von Bedeutung sind. Soweit es hingegen um psychologische Tests im eigentlichen Sinn des 52 Begriffs „psychologisch“ geht, ist bisweilen fraglich, ob es noch um die zulässige Überprüfung von Kenntnissen und Fähigkeiten geht (etwa: Stressbelastung) oder nicht vielmehr um eine nicht mehr von § 32 Abs. 1 Satz 1 BDSG gedeckte, umfassende „Durchleuchtung“ der Persönlich-
1 Stamer/Kuhnke in Plath, BDSG, § 32 Rz. 49. 2 Iraschko-Luscher/Kiekenbeck, NZA 2009, 1239. 3 BAG v. 12.8.1999 – 2 AZR 55/99, BB 1999, 2564; Stamer/Kuhnke in Plath, BDSG, § 32 Rz. 50; Thüsing, Arbeitnehmerdatenschutz und Compliance, Rz. 394. 4 Stamer/Kuhnke in Plath, BDSG, § 32 Rz. 50; Diller/Powietzka, NZA 2001, 1227 (1228). Kort
381
§ 27
Erhebung und Verarbeitung von Bewerber- und Arbeitnehmerdaten
keit des Bewerbers (durch Erstellung eines allgemeinen „Persönlichkeitsprofils“)1. 53
Auch Tests zur Überprüfung der allgemeinen, nicht mehr arbeitsplatzbezogenen Intelligenz oder Bildung können gem. § 32 Abs. 1 Satz 1 BDSG unzulässig sein2.
54
Genetische Untersuchungen beurteilen sich nach den gegenüber dem BDSG speziellen Normen des Gendiagnostikgesetzes (§§ 19 bis 22 GenDG)3. 11. E-Recruiting und Bewerberdatenbanken
55
Fragen der datenschutzrechtlichen Zulässigkeit des E-Recruiting und der Einrichtung von Bewerberdatenbanken gewinnen zunehmend an Bedeutung. a) E-Recruiting
56
Beim inzwischen weit verbreiteten E-Recruiting geben die Bewerber per Internet in vorgegebene Datenfelder ihre Bewerberdaten ein4. Das E-Recruiting unterliegt in der Regel nicht § 6a BDSG, es sei denn, es erfolgt sofort eine ablehnende Entscheidung durch das System selbst (ohne Letztentscheidung eines Menschen), etwa weil der Bewerber eine bestimmte Punktzahl nicht erreicht hat oder sonstige Kriterien (Skills) nicht erfüllt5. b) Bewerberdatenbanken
57
Werden Daten von Bewerbern in Bewerberdatenbanken gespeichert, so sind die Bewerber darüber nach § 33 BDSG zu informieren6. Durch Bewerberdatenbanken soll die Möglichkeit geschaffen werden, ein Datenpool für spätere Stellenbewerbungen mit interessanten Kandidaten aufzubauen7. Der Bewerber hat in der Regel die Möglichkeit, auch später noch auf seine Bewerberdaten zuzugreifen und diese zu ändern oder zu ergänzen. Häufig kommt die Möglichkeit eines Self-Assessments hinzu, also die eigene Einschätzung der Fähigkeiten und der Persönlichkeit8.
1 Franzen in ErfK ArbR, § 32 BDSG Rz. 9. 2 Franzen in ErfK ArbR, § 32 BDSG Rz. 9. 3 Näher dazu Seifert in Simitis, BDSG, § 32 Rz. 39 f.; Stamer/Kuhnke in Plath, BDSG, § 32 Rz. 52; Däubler, Gläserne Belegschaften?, Rz. 232 ff. 4 Dazu Gola, Datenschutz am Arbeitsplatz, Rz. 563; Händsche, RDV 2002, 124. 5 Gola/Schomerus, BDSG, § 6a Rz. 5; Gola/Wronka, Handbuch zum Arbeitnehmerdatenschutz, Rz. 197; Gola, Datenschutz am Arbeitsplatz, Rz. 570. 6 Zöll in Taeger/Gabel, BDSG, § 32 Rz. 19. 7 Gola, Datenschutz am Arbeitsplatz, Rz. 564. 8 Gola, Datenschutz am Arbeitsplatz, Rz. 564.
382
Kort
§ 27
III. Umgang mit Arbeitnehmerdaten im Beschftigungsverhltnis
c) Skill-Datenbanken In Skill-Datenbanken werden nicht nur die Daten von Bewerbern, son- 58 dern auch die Daten bereits Beschäftigter gespeichert, um entweder ein Recruiting von Führungskräften oder eine Einsatzplanung bei Projekten zu ermöglichen. Die Datenspeicherung in solchen Skill-Datenbanken unterliegt § 32 Abs. 1 Satz 1 BDSG1. 12. Umgang mit erfolglosen Bewerbungen Werden erfolglose Bewerbungen nicht aufgrund entsprechender Einwil- 59 ligung des Bewerbers „auf Vorrat“ aufbewahrt oder – ebenfalls mit Einwilligung des Bewerbers – in Bewerberdatenbanken2 aufgenommen, so besteht nach Ablauf eines etwa im Hinblick auf die Beweislage bei AGGVerstößen relevanten Zeitraums kein Recht des Arbeitgebers mehr, die Daten erfolgloser Bewerber aufzubewahren. Für die Bestimmung des Zeitraums zulässiger Aufbewahrung der Daten erfolgloser Bewerber ist der Zwei-Monats-Zeitraum des § 15 Abs. 4 AGG allerdings nicht als Höchstfrist anzusehen. Nach Ablauf etwa eines halben Jahres kann ein Löschungsanspruch des erfolglosen Bewerbers nach § 35 Abs. 2 Nr. 3 BDSG bestehen3.
III. Umgang mit Arbeitnehmerdaten im Beschäftigungsverhältnis 1. Rechtsgrundlagen Im Hinblick auf die Rechtsgrundlagen für den Umgang mit Arbeitneh- 60 merdaten im Beschäftigungsverhältnis gilt im Grundsatz das oben4 zum Umgang mit Bewerberdaten Ausgeführte ganz entsprechend, nur dass der Zweck der Datenerhebung und Datenverarbeitung auf die Durchführung des laufenden Arbeitsverhältnisses und nicht auf dessen Begründung ausgerichtet sein muss. Was die Bedeutung des allgemeinen Persönlichkeitsrechts, des Rechts auf informationelle Selbstbestimmung, die datenschutzrechtliche Bedeutung und Auslegung von § 32 Abs. 1 Satz 1 BDSG betrifft, insbesondere im Hinblick auf die gebotene weite Auslegung des Begriffs der Erforderlichkeit, ist auf das oben Ausgeführte5 abzustellen. Ferner ist auch für die Durchführung des Beschäftigungsverhältnisses die arbeitsrechtliche Rechtsprechung auch nach Inkrafttreten des § 32 BDSG zum 1.9.2009 weiterhin – auch zur Auslegung dieser Norm – von Bedeutung.
1 2 3 4 5
Gola, Datenschutz am Arbeitsplatz, Rz. 567. S. dazu oben Rz. 57. Insofern wie hier Stamer/Kuhnke in Plath, BDSG, § 32 Rz. 31. S. oben Rz. 2 ff. S. oben Rz. 2 ff. Kort
383
§ 27 61
Erhebung und Verarbeitung von Bewerber- und Arbeitnehmerdaten
Angesichts des Charakters des Arbeitsverhältnisses als Dauerschuldverhältnis hat § 32 Abs. 1 Satz 1 BDSG das Spannungsverhältnis1 zwischen dem Recht des Arbeitgebers auf Entscheidungsfreiheit hinsichtlich der Organisation betrieblicher Abläufe2 und dem Recht des Arbeitnehmers auf Beachtung seines Persönlichkeitsrechts, insbesondere seiner Privatsphäre3, sowie der Wahrung des Grundsatzes der Datenvermeidung und Datensparsamkeit gem. § 3a BDSG zu lösen. Angesichts der Entscheidungsfreiheit des Arbeitgebers hinsichtlich der Organisation betrieblicher Abläufe besteht im Hinblick auf die Arbeitsverhältnisse die Tendenz zur Sammlung auch von Daten, die erst zukünftig für das Beschäftigungsverhältnis von Bedeutung sein mögen. Dem wohnt ein „latenter Hang zur Vorratsdatenspeicherung“4 inne. 2. Grunddaten
62
Der Arbeitgeber ist berechtigt, alle Grunddaten (oder: Stammdaten) zu speichern, die für den Ablauf des Arbeitsverhältnisses von Bedeutung sein können5. Hierzu zählen nicht nur Name, Adresse und Beruf, sondern auch Daten über die Qualifikation und Einsatzfähigkeit des Arbeitnehmers6. Insbesondere können alle Daten gespeichert werden, die nach § 2 Abs. 1 NachwG relevant sind7. Aufgenommen werden können auch der Familienstand8 und das Alter. Zwar darf im Bewerbungsverfahren nicht nach dem Familienstand und dem Alter gefragt werden, für die Durchführung des Arbeitsverhältnisses ist der Familienstand jedoch ebenso wie das Alter von Bedeutung. Ferner kann nach der Anzahl der Kinder gefragt werden9.
63
Das Gleiche gilt hinsichtlich der Schwerbehinderteneigenschaft und der Gewerkschaftsmitgliedschaft. Diese dürfen vor Begründung des Beschäftigungsverhältnisses nicht erfragt werden. Hingegen besteht nach Begründung des Beschäftigungsverhältnisses ein berechtigtes Interesse des Arbeitgebers auf Information über diese Daten. Dasselbe gilt ferner hinsichtlich der Frage nach Zugehörigkeit zu einer Religionsgemeinschaft, soweit das für abrechnungstechnische Zwecke bei der Kirchensteuer von Belang sein kann10. Auch die Krankenkassenzugehörigkeit kann im laufenden Beschäftigungsverhältnis erfragt und gespeichert werden11.
1 2 3 4 5 6 7 8 9 10 11
Dazu Stamer/Kuhnke in Plath, BDSG, § 32 Rz. 54. Dazu Gola/Schomerus, BDSG, § 32 Rz. 12. Dazu Seifert in Simitis, BDSG, § 32 Rz. 59 f. So die pointierte Formulierung von Seifert in Simitis, BDSG, § 32 Rz. 57. Gola/Schomerus, BDSG, § 32 Rz. 11. Gola/Schomerus, BDSG, § 32 Rz. 11. Zöll in Taeger/Gabel, BDSG, § 32 Rz. 22. S. Stamer/Kuhnke in Plath, BDSG, § 32 Rz. 55. Däubler in Däubler/Klebe/Wedde/Weichert, BDSG, § 32 Rz. 73. Däubler, Gläserne Belegschaften?, Rz. 258. Stamer/Kuhnke in Plath, BDSG, § 32 Rz. 55.
384
Kort
§ 27
III. Umgang mit Arbeitnehmerdaten im Beschftigungsverhltnis
3. Personalplanungsdaten Die zulässige Erfassung von Arbeitnehmerdaten kann auch die Speiche- 64 rung in einem Personalinformationssystem (PIS) umfassen1. Es handelt sich hierbei nach Auffassung des BAG nicht um eine unzulässige Vorratsdatenspeicherung. In ein solches System können alle Daten aufgenommen werden, die für die Personalplanung von Bedeutung sind, die sich also z.B. auf Ausbildung, Studium, Berufserfahrung oder Sprachkenntnisse erstrecken2. Aufgenommen werden können ferner Daten über die Regelbeurteilung, also Daten über die Leistung und das Verhalten des Arbeitnehmers ohne konkreten Entscheidungsbedarf3. 4. Daten aus der Privatsphäre Angesichts des Schutzes des Persönlichkeitsrechts des Arbeitnehmers 65 darf auch während des laufenden Beschäftigungsverhältnisses nicht nach Gegenständen gefragt werden oder dürfen entsprechende Daten ansonsten erhoben oder verarbeitet werden, die die Privatsphäre des Arbeitnehmers betreffen. Das betrifft die sexuelle Orientierung sowie Informationen über Freunde und Verwandte, Gewohnheiten und Hobbys. Eine Rechtfertigung für den Umgang mit auf die Privatsphäre bezogenen Daten nach § 32 Abs. 1 Satz 1 BDSG scheidet in aller Regel aus4. Ausnahmsweise kann nach Kontakten zu Freunden und Verwandten gefragt werden, wenn etwa die Gefahr von Interessenkonflikten naheliegt. Ferner ist die Frage nach Aktivitäten in privaten sozialen Netzwerken in 66 aller Regel unzulässig. Auch scheidet die Erfassung privater Telefonnummern und privater E-Mail-Adressen aus, es sei denn, es besteht ein Interesse des Arbeitgebers an Erreichbarkeit, insbesondere Rufbereitschaft5. Auch ist die Veröffentlichung sogar von beschäftigungsbezogenen Daten 67 im Internet ohne Einwilligung des Arbeitnehmers nicht zulässig, soweit es nicht um Mitarbeiter mit besonderen Aufgaben, wie etwa Vertriebsmitarbeiter oder um Mitarbeiter mit Öffentlichkeitsaufgaben geht6. 5. Daten im Zusammenhang mit Arbeitgeberpflichten Den Arbeitgeber treffen in Bezug auf die Arbeitsverhältnisse sozialver- 68 sicherungsrechtliche und steuerrechtliche Pflichten sowie sonstige gesetzliche Pflichten und Obliegenheiten, etwa im Hinblick auf den
1 2 3 4 5 6
BAG v. 22.10.1986 – 5 AZR 660/85, CR 1987, 627 m. Anm. Kort. Zöll in Taeger/Gabel, BDSG, § 32 Rz. 22. Gola/Schomerus, BDSG, § 32 Rz. 11. Stamer/Kuhnke in Plath, BDSG, § 32 Rz. 56. Zöll in Taeger/Gabel, BDSG, § 32 Rz. 22. Zöll in Taeger/Gabel, BDSG, § 32 Rz. 22. Kort
385
§ 27
Erhebung und Verarbeitung von Bewerber- und Arbeitnehmerdaten
Nachweis richtiger Sozialauswahl gem. § 1 Abs. 3 KSchG1. Es besteht ein Recht des Arbeitgebers auf Datenerhebung und Datenverarbeitung in Bezug auf solche Informationen. 69
Ferner besteht – anders als in der Bewerbungsphase2 – generell ein Recht des Arbeitgebers, Gehaltspfändungen und Gehaltsabtretungen zu erfragen3. 6. Arbeitszeitdaten und Gehaltsabrechnungsdaten
70
Der Arbeitgeber ist zur Erhebung und Verarbeitung von Daten über die Arbeitszeit, und zwar sowohl über die „Soll“-Arbeitszeit als auch über die „Ist“-Arbeitszeit, berechtigt4 und teilweise verpflichtet.
71
Berechtigt und verpflichtet ist der Arbeitgeber ferner zur Datenerhebung und Datenverarbeitung bei der Gehaltsabrechnung und der Gehaltszahlung5. In Bezug auf Informationen über das Arbeitsentgelt bestehen gesetzliche Vorhalte- und Aufbewahrungspflichten etwa gem. § 147 Abs. 1 Nr. 5 i.V.m. Abs. 3 AO und § 41 Abs. 1 Satz 9 EStG6. 7. Daten zu Mutterschutz, Schwerbehinderung und Krankheit a) Mutterschutz
72
Nach § 5 Abs. 1 Satz 1 MuSchG sollen Schwangere dem Arbeitgeber die Schwangerschaft sowie den mutmaßlichen Tag der Entbindung mitteilen. Kommt ein Beschäftigungsverbot in Betracht, besteht sogar eine Mitteilungspflicht der werdenden Mutter7. Daten zur Erfüllung gesetzlicher Pflichten aus dem MuSchG können vom Arbeitgeber erhoben und verarbeitet werden8. b) Schwerbehinderung
73
Die Frage nach einer Schwerbehinderung ist nach Auffassung des BAG jedenfalls sechs Monate nach Begründung des Arbeitsverhältnisses, also mit regelmäßigem Eintreten des Kündigungsschutzes nach KSchG, zu-
1 2 3 4 5 6 7 8
Zöll in Taeger/Gabel, BDSG, § 32 Rz. 22. Dazu oben Rz. 25. Fitting/Engels/Schmidt/Trebinger/Linsenmaier, BetrVG, § 94 Rz. 21. Stamer/Kuhnke in Plath, BDSG, § 32 Rz. 58; Gola/Schomerus, BDSG, § 32 Rz. 13. Dazu näher Gola/Schomerus, BDSG, § 32 Rz. 13. Näher Seifert in Simitis, BDSG, § 32 Rz. 76. Stamer/Kuhnke in Plath, BDSG, § 32 Rz. 73; Iraschko-Luscher/Kiekenbeck, NZA 2009, 1239. Zöll in Taeger/Gabel, BDSG, § 32 Rz. 22.
386
Kort
§ 27
III. Umgang mit Arbeitnehmerdaten im Beschftigungsverhltnis
lässig1. Daten, die für die Arbeitgeberpflichten nach dem SGB IX2 relevant sind, darf der Arbeitgeber erheben und speichern. c) Krankheit Ferner hat der Arbeitgeber ein berechtigtes Interesse daran, zu erfahren 74 und zu speichern, wann der Arbeitnehmer krank ist und ob bzw. wann mit einer Wiederherstellung der Arbeitsfähigkeit zu rechnen ist3. Hierbei geht es nicht nur um Rechte und Pflichten des Arbeitgebers gemäß EFZG, sondern auch die Organisation des Arbeitsplatzwechsels wegen Krankheit bzw. die Planung einer Vertretung für den erkrankten Arbeitnehmer. Ferner kann die Datenerhebung von krankheitsbedingten Fehlzeiten im Hinblick auf die Planung einer krankheitsbedingten Kündigung von Bedeutung sein4. Konkrete Informationen über die Art der Krankheit im Einzelnen darf 75 sich der Arbeitgeber aber nicht beschaffen, eine darauf gerichtete Datenerhebung und Datenverarbeitung ist unzulässig5. Das gilt auch für Krankenrückkehrgespräche6. Es besteht nur ganz ausnahmsweise ein Recht des Arbeitgebers, die Art der konkreten Erkrankung zu erfahren und Daten hierüber zu speichern, etwa bei ansteckenden Krankheiten7. Die Erhebung und Speicherung von Gesundheitsdaten ist ferner zulässig 76 im Rahmen des betrieblichen Eingliederungsmanagements nach § 84 Abs. 2 SGB IX8. Auch die Speicherung krankheitsbedingter Fehlzeiten hat ohne Angabe 77 des Krankheitsgrunds zu erfolgen. Nach der Rechtsprechung des BAG9 darf die Alkoholabhängigkeit eines Arbeitnehmers nicht in die allgemein zugängliche Personalakte10 aufgenommen werden, sondern muss gesondert in einem verschlossenen Umschlag dokumentiert werden, der nur von wenigen Personen geöffnet werden darf. Entsprechendes gilt für die elektronische Dokumentation der Alkoholabhängigkeit. Ebenso unzulässig wie vor Begründung des Arbeitsverhältnisses11 sind 78 auch bei dessen Durchführung allgemeine Alkohol- und Drogentests12.
1 2 3 4 5 6 7 8 9 10 11 12
BAG v. 16.2.2012 – 6 AZR 553/10, MDR 2012, 920. Dazu Zöll in Taeger/Gabel, BDSG, § 32 Rz. 22. Stamer/Kuhnke in Plath, BDSG, § 32 Rz. 66. Stamer/Kuhnke in Plath, BDSG, § 32 Rz. 66. Stamer/Kuhnke in Plath, BDSG, § 32 Rz. 66. Dazu Iraschko-Luscher/Kiekenbeck, NZA 2009, 1239 (1242). Stamer/Kuhnke in Plath, BDSG, § 32 Rz. 66. Stamer/Kuhnke in Plath, BDSG, § 32 Rz. 69. BAG v. 12.9.2006 – 9 AZR 271/06, MDR 2007, 728. Dazu unten Rz. 79 ff. Dazu oben Rz. 50. Näher dazu Stamer/Kuhnke in Plath, BDSG, § 32 Rz. 64. Kort
387
§ 27
Erhebung und Verarbeitung von Bewerber- und Arbeitnehmerdaten
Das gilt nach allerdings fragwürdiger Rechtsprechung des BAG1 sogar für Unternehmen bzw. Arbeitsplätze mit erhöhtem Gefahrenpotential. 8. Bedeutung der Personalakte 79
Die Personalakte ist für den Arbeitgeber als Informationsgrundlage für das gesamte Arbeitsverhältnis außerordentlich wichtig. Ihre Führung wirft aus Sicht des Arbeitnehmers jedoch die Frage nach der persönlichkeitsrechtlichen und datenschutzrechtlichen Rechtfertigung der Aufnahme von Informationen über ihn in die Personalakte auf. a) Materieller Personalaktenbegriff
80
Es gilt ein weiter, materieller Personalaktenbegriff2: Unter „Personalakte“ sind somit nicht (nur) die Daten zu verstehen, die der Arbeitgeber in die Personalakte (als auch äußerlich abgegrenzter Sammlung von Daten über eine bestimmte Person) aufnimmt (formeller Personalaktenbegriff), sondern „Personalakte“ ist die Gesamtheit der über einen bestimmten Arbeitnehmer vom Arbeitgeber gesammelten Informationen.
81
In die Personalakte können neben den Grunddaten3 alle sonstigen für das Beschäftigungsverhältnis relevanten Daten aufgenommen werden, so etwa Daten, die im Hinblick auf eine Zeugniserteilung nach § 109 GewO von Bedeutung sein können4, einschließlich Abmahnungen.
82
Aus dem weiten, materiellen Personalaktenbegriff ergibt sich ferner, dass arbeitsrechtlich eine Personalakte unabhängig davon vorliegt, ob es sich um mehr oder minder unstrukturierte, „händische“ Aufzeichnungen über Personaldaten eines Arbeitnehmers handelt, um eine strukturierte, aber „händisch“ geführte Datei oder um eine digitale Personalakte. Die konkrete Ausgestaltung der Personalakte ist allerdings für die datenschutzrechtliche Frage, inwiefern das BDSG auf eine Personalakte Anwendung findet, von Bedeutung. b) Datenschutzrechtliche Bedeutung der Personalakte
83
Bei der Aufnahme von Informationen über den Arbeitnehmer in die Personalakte handelt es sich um die Verarbeitung personenbezogener Daten, nämlich um ein Speichern i.S.v. § 3 Abs. 4 Satz 2 Nr. 1 BDSG. Die Aufnahme der Abmahnung in die Personalakte bedarf einer datenschutzrechtlichen Rechtfertigung gem. § 32 Abs. 1 Satz 1 BDSG, gem. § 32 Abs. 2 BDSG auch dann, wenn der Arbeitgeber die Information nicht auf
1 2 3 4
BAG v. 12.8.1999 – 2 AZR 55/99, BB 1999, 2564. Seifert in Simitis, BDSG, § 32 Rz. 109; Herfs-Röttgen, NZA 2013, 478. S. dazu oben Rz. 62 f. Dazu Zöll in Taeger/Gabel, BDSG, § 32 Rz. 22.
388
Kort
§ 27
III. Umgang mit Arbeitnehmerdaten im Beschftigungsverhltnis
einem Datenträger speichert, sondern sie in eine manuell geführte Personalakte aufnimmt. § 32 Abs. 2 BDSG erstreckt den Anwendungsbereich von § 32 Abs. 1 BDSG auf bloß manuell geführter Personalakten, die nicht gleichartig aufgebaut sind1. Es unterliegt also die gesamte Personalakte i.S.d. materiellen Personalaktenbegriffs2 dem Erfordernis eines datenschutzrechtlichen Erlaubnistatbestandtatbestand, also § 32 Abs. 1 Satz 1 BDSG. c) Entfernungsanspruch Soweit ein Anspruch auf Entfernung einer Information über den Arbeit- 84 nehmer aus der Personalakte gem. §§ 242, 1004 Abs. 1 Satz 1 BGB besteht, richtet sich dieser auf Löschung der Daten bzw. Entfernung der Information aus dem gesamten Datenbestand des Arbeitgebers und nicht bloß um eine „Herausnahme“ der Information aus der formell verstandenen Personalakte. Der Arbeitgeber kann dadurch, dass er von Anfang an die Information nicht in die „formelle“ Personalakte aufnimmt (sondern sie getrennt von der formellen Personalakte aufbewahrt), nicht verhindern, dass der Arbeitnehmer einen Anspruch auf Entfernung der Information aus der materiell verstandenen Personalakte durchsetzt. Auch wäre es keine Erfüllung eines ggf. bestehenden Entfernungsan- 85 spruchs, wenn der Arbeitgeber die Information über die Abmahnung bloß aus der (formell verstandenen) Personalakte „herausnimmt“, sie aber neben (außerhalb) der formellen Personalakte als Information weiterhin bewahrt. d) Geltung der Betroffenenrechte der §§ 33 ff. BDSG Nach dem BAG3 regelt § 83 Abs. 1 BetrVG nicht abschließend das Recht 86 zur Einsichtnahme des Arbeitnehmers in die Personalakte, sondern § 34 BDSG kann daneben anwendbar sein. Dasselbe gilt erst recht für diejenigen „Betroffenenrechte“ der §§ 33 ff. BDSG, die in arbeitsrechtlichen Gesetzen überhaupt nicht angesprochen sind und bei denen sich die Frage eines Vorrangs arbeitsrechtlicher Normen vor den datenschutzrechtlichen Normen der §§ 33 ff. BDSG überhaupt nicht stellt. Im Grundsatz kann sich der Arbeitnehmer als „Betroffener“ in Bezug auf Personaldaten in der Personalakte somit auf §§ 33 ff. BDSG berufen. Allerdings steht bei bloß händisch geführten, nicht automatisierten Per- 87 sonalakten nach Auffassung des BAG4 § 32 Abs. 2 BDSG einer Anwendung der §§ 33 ff. BDSG entgegen. Gegen diese die Anwendung der
1 2 3 4
Kleinebrink, DB 2012, 1508 f. S. dazu oben Rz. 80. BAG v. 16.11.2010 – 9 AZR 573/09, BB 2011, 1212 mit Anm. Stefan Müller. BAG v. 16.11.2010 – 9 AZR 573/09, BB 2011, 1212 mit Anm. Stefan Müller. Kort
389
§ 27
Erhebung und Verarbeitung von Bewerber- und Arbeitnehmerdaten
§§ 33 ff. BDSG einschränkenden, wenn auch wortlautgetreuen Auslegung von § 32 Abs. 1 BDSG spricht, dass es unsystematisch und inkonsequent ist, dass § 32 Abs. 2 BDSG nur auf § 32 Abs. 1 BDSG verweist. Es liegt nahe, die Kernaussagen der §§ 33 ff. BDSG, die ihrerseits Ausfluss des Persönlichkeitsrechts des von einer Datenverarbeitung Betroffenen sind, auch auf die Datenerhebung und Datenverarbeitung in einer Personalakte anzuwenden, die nicht § 32 Abs. 2 BDSG entsprechen.
390
Kort
§ 28 Digitale Bilddaten in Form von Mitarbeiterfotos in Unternehmen
I. Ausgangssituation. . . . . . . . . . . . .
Rz.
Rz.
1
3. Sondersituation bei Minderjährigen. . . . . . . . . . . . . . . . . . . . . . 28 4. Sondersituation bei Verstorbenen 29
II. Konstellationen der Praxis . . . . . . 4 1. Werksausweise . . . . . . . . . . . . . . . 4 2. Berichte in Hauszeitschrift und Intranet. . . . . . . . . . . . . . . . . . . . . . 6 3. Berichte in Kundenzeitschrift, Firmenbroschüren und Internet . . 8 4. Mitarbeiter als Werbeträger für ein Unternehmen . . . . . . . . . . . . . 10 5. Mitarbeiter als Models . . . . . . . . . 13 III. Rechtliche Ausgangslage . . . . . . . 1. Kunsturhebergesetz (KUG) . . . . . . a) Entstehung und heutige Bedeutung . . . . . . . . . . . . . . . . . b) Anwendbarkeit im Arbeitsleben . . . . . . . . . . . . . . . . . . . . . 2. Bundesdatenschutzgesetz (BDSG) . . . . . . . . . . . . . . . . . . . . . . a) Allgemeiner Anwendungsbereich . . . . . . . . . . . . . . . . . . . . b) Rolle von § 32 BDSG . . . . . . . . 3. Verhältnis von KUG und BDSG . .
14 14 14 18 20 20 21 22
IV. Einwilligung als zentraler Erlaubnistatbestand . . . . . . . . . . . 25 1. Verhältnis von Einwilligung und gesetzlichen Erlaubnistatbeständen . . . . . . . . . . . . . . . . . 25 2. Wirksamkeitsvoraussetzungen einer Einwilligung . . . . . . . . . . . . . 27
V. Formularmäßige Einwilligungen . 1. Einzelfalleinwilligung (mit Muster) . . . . . . . . . . . . . . . . . . 2. Einwilligungsklausel im Arbeitsvertrag . . . . . . . . . . . . . . . . 3. Gestaltungsmöglichkeiten auf kollektivrechtlicher Ebene . . . . . . a) Betriebsvereinbarung statt Einwilligung? . . . . . . . . . . . . . . b) Ausnahmsweise Zulässigkeit . 4. Mitbestimmungsrechte und deren Auswirkung . . . . . . . . . . . . . VI. Situation nach Beendigung des Arbeitsverhältnisses . . . . . . . . . . . 1. Allgemeines zur Widerruflichkeit einer erteilten Einwilligung . 2. Nutzung eines Bildnisses als „Werbeinstrument“ . . . . . . . . . . . 3. Nutzung eines Bildnisses zur bloßen Illustration. . . . . . . . . . . . . a) Einzelperson auf Werbefoto . . . b) Belegschaftsfoto . . . . . . . . . . . . c) Fotos von Personengruppen . . . 4. Nutzung von Modelfotos mit Arbeitnehmern . . . . . . . . . . . . . . .
31 31 34 39 39 42 44 45 45 50 53 54 56 59 62
VII. Abschließende Bewertung der Rechtssituation . . . . . . . . . . . . . . . 64
I. Ausgangssituation Bis vor wenigen Jahren war das Recht am eigenen Bild ein Thema ledig- 1 lich für ausgesprochene Spezialisten, bedeutsam vor allem auf dem Gebiet des Presserechts1. Im Arbeitnehmerdatenschutz spielte es keine Rolle; Gerichtsentscheidungen gab es insoweit – jedenfalls soweit bekannt geworden – lange Jahre nicht. Das hat sich seit etwa 2009 völlig geändert. Das Thema hat die Ebene der ArbG erreicht, wie eine ganze Reihe von 1 S. dazu die Kette der „Caroline von Monaco-Entscheidungen“ und insbesondere das für die weitere Rechtsentwicklung prägende „Caroline-Urteil“ des EGMR, ZUM 2004, 651. Zur Einfügung dieser Entscheidung in das System der deutschen Rechtsordnung s. Schulenberg in Schwartmann, Praxishandbuch, Kap. 9 Rz. 135–142. Ehmann
391
§ 28
Digitale Bilddaten in Form von Mitarbeiterfotos
Entscheidungen belegt1. Über kurz oder lang ist mit ersten Grundsatzentscheidungen des BAG zu rechnen. 2
Die Gründe dieser Entwicklung liegen auf mehreren Ebenen2. Die Digitalfotografie führt dazu, dass Abbildungen leicht herzustellen sind und sofort nach ihrer Anfertigung in weiter verarbeitbarer Form elektronisch zur Verfügung stehen. Unternehmen visualisieren und personalisieren die Öffentlichkeitsarbeit in einen bis vor kurzem kaum vorstellbaren Ausmaß, getrieben ganz wesentlich von den Anforderungen und Erwartungen, die das Internet mit sich bringt. Ein Internetauftritt, bei dem Texte dominieren oder Bilder sogar völlig fehlen, stößt in der Regel auf Ablehnung. Erfolgreiche Auftritte von Unternehmen in sozialen Netzwerken wie Facebook bedingen geradezu die bildliche Darstellung auch von Mitarbeiterinnen und Mitarbeitern.
3
Im Folgenden werden typische aktuelle Problemkreise, die sich aus dieser Situation ergeben, zunächst kurz skizziert und dann im weiteren Gang der Darstellung diskutiert.
II. Konstellationen der Praxis 1. Werksausweise 4
Werksausweise und ähnliche Dokumente, die mit einem Bild des Inhabers versehen sind, dienen der Zugangskontrolle. Die Kontrolle kann dabei in Form einer bloßen Authentifikation (Verifikation) erfolgen. Das ist der Fall, wenn anlässlich der Kontrolle lediglich das Bild im Ausweis mit dem körperlichen Aussehen dessen abgeglichen wird, der den Ausweis vorlegt („1:1-Abgleich“). Von einer Kontrolle in Form einer Identifikation spricht man dagegen, wenn außerdem ein Abgleich des Bildes im Ausweis mit einer Datenbank erfolgt, in der – in der Regel zusammen mit weiteren Daten wie Name und Geburtsdatum – auch die Abbildungen aller Zugangsberechtigten enthalten sind („1:n-Abgleich“)3.
5
Beide Ausgestaltungen werfen Fragen des Rechts am eigenen Bild auf: Ist der Ausweisinhaber verpflichtet, das Anfertigen und Verwenden einer Abbildung für den Werksausweis sowie beim „1:n-Abgleich“ zusätzlich auch die Verwendung der Abbildung im Rahmen der Datenbank zu dulden? Kann er dazu auch im Wege einer Betriebsvereinbarung verpflichtet werden? Oder bedarf es für alle genannten Schritte seiner freien und unter Umständen auch frei widerrufbaren Einwilligung? 1 LAG Köln v. 10.7.2009 – 7 Ta BV 126/09, ITRB 2010, 155; LAG Schleswig-Holstein v. 23.6.2010 – 3 Sa 72/10, MMR 2011, 482; LAG Hamm v. 22.7.2011 – 10 Sa 747/10, juris; LAG Hessen v. 24.1.2012 – 19 SaGa 1480/11, RDV 2012, 204; ArbG Frankfurt v. 20.6.2012 – 7 Ca 1649/12, ZD 2012, 530; LAG Rheinland-Pfalz v. 30.11.2012 – 6 Sa 271/12, ZD 2013, 286. 2 Ehmann, Stichwort „Recht am eigenen Bild“, Ziff. I.2. 3 Ehmann, Stichwort „Biometrische Verfahren“, Ziff. II. 1 m.w.N.
392
Ehmann
§ 28
II. Konstellationen der Praxis
2. Berichte in Hauszeitschrift und Intranet Gerade traditionsbewusste Unternehmen veröffentlichen auch heute 6 noch gedruckte Hauszeitschriften (auch als Mitarbeiterzeitschrift usw. bezeichnet) oder auch gedruckte Jahresberichte. Sie dokumentieren möglichst alle Ereignisse, die das Geschehen im Unternehmen prägen. Dazu gehören auch Abbildungen (meist in Form von Gruppenfotos) von Auszubildenden, die ihr Ausbildungsverhältnis neu begonnen haben oder die das Ausbildungsverhältnis durch eine erfolgreich abgelegte Prüfung abgeschlossen haben1. Nicht selten werden solche Publikationen inzwischen (meist zusätzlich zur Printausgabe) den Mitarbeiterinnen und Mitarbeitern auch in einem Intranet des Unternehmens zur Verfügung gestellt. Der Zugriff ist dabei regelmäßig auf Unternehmensangehörige begrenzt, doch kann deren Zahl bei größeren Unternehmen durchaus in die Tausende gehen. Wiederum stellen sich Fragen des Rechts am eigenen Bild: Genügt es für 7 die Rechtmäßigkeit einer Abbildung, dass der im Normalfall minderjährige Auszubildende mit der Abbildung einverstanden ist oder bedarf es (stattdessen oder zusätzlich) einer Einwilligung der Sorgeberechtigten? Hat ein Auszubildender, der sein Ausbildungsverhältnis schon nach kurzer Zeit abbricht oder die Prüfung nicht besteht, einen Anspruch darauf, dass sein Gesicht jedenfalls im Intranet durch „Verpixelung“ oder ähnliche Maßnahmen unkenntlich gemacht wird? Gelten dabei für die Printausgabe einer Publikation dieselben Regeln wie für deren Veröffentlichung als PDF-Datei im Intranet? 3. Berichte in Kundenzeitschrift, Firmenbroschüren und Internet Dieselben Berichte, die in Hauszeitschrift und Intranet Verwendung fin- 8 den, werden einschließlich der dort vorhandenen Abbildungen von Arbeitnehmern bisweilen auch in Kundenzeitschriften, Firmenbroschüren oder den Internetauftritt eines Unternehmens aufgenommen, um das Geschehen im Unternehmen nach außen zu dokumentieren2. Da der Personenkreis, dem die Abbildungen zugänglich werden, jeden- 9 falls bei einer Verwendung in einem Internetauftritt nicht mehr abgrenzbar ist, bleibt zu prüfen, ob die für Hauszeitschrift und Intranetdarstellungen geltenden Regeln aus diesem Grund modifiziert oder ergänzt werden müssen.
1 S. als Beispiel ArbG Frankfurt v. 20.6.2012 – Ca 1649/12, ZD 2012, 530. 2 ArbG Frankfurt v. 20.6.2012 – Ca 1649/12, ZD 2012, 530; dort ist in Rz. 11 erwähnt, dass der Jahresbericht 2006, in dem eines der strittigen Fotos enthalten war, „zunächst in Papierform“ vorliege, wobei dieses Dokument aber außerdem als PDF-Datei nicht nur in einem Intranet für die Mitarbeiterinnen und Mitarbeiter, sondern sogar im Internet der Beklagten (einer Bank) für jedermann frei abrufbar war. Ehmann
393
§ 28
Digitale Bilddaten in Form von Mitarbeiterfotos
4. Mitarbeiter als Werbeträger für ein Unternehmen 10
Manche – vor allem leitende – Mitarbeiter sind für die Außenwahrnehmung eines Unternehmens so wichtig, dass sie einschließlich einer Abbildung als Individuum nach außen werblich hervorgehoben werden, in der Regel im Rahmen eines Internetauftritts. Dies ist vor allem bei freien Berufen, wie Ärzten, Rechtsanwälten oder Steuerberatern inzwischen geradezu Standard1.
11
Scheidet der abgebildete Mitarbeiter aus dem Unternehmen aus, womöglich um konkurrierend tätig zu werden, muss die Frage beantwortet werden, ob er eine Entfernung seines Abbildes verlangen kann.
12
Einer modifizierten Betrachtung bedürfen dabei möglicherweise die Fälle, in denen größere Gruppen von Arbeitnehmern eines Unternehmens (etwa ein Trupp von Monteuren) im Internet abgebildet sind, um so die Größe und Zusammensetzung der Belegschaft zu illustrieren, ohne dass es dabei in der Außenwahrnehmung auf das einzelne Gruppenmitglied ankäme2. 5. Mitarbeiter als Models
13
Gelegentlich kommt es vor, dass Unternehmen Mitarbeiter bei FotoShootings einsetzen, um Produkte des Unternehmens (etwa Textilien) am „lebenden Objekt“ zu präsentieren3. Sofern die entsprechenden Mitarbeiter nicht ausdrücklich als Models eingestellt wurden, besteht zwischen diesen Aktivitäten und ihrem Arbeitsverhältnis letztlich kein direkter inhaltlicher Bezug. An ihre Stelle könnten auch beliebige Außenstehende treten. Hinsichtlich des Rechts am eigenen Bild führt das zu der Frage, ob aus diesem Grund Besonderheiten gegenüber dem Einsatz von Mitarbeitern als Werbeträger spezifisch für das Unternehmen gelten.
III. Rechtliche Ausgangslage 1. Kunsturhebergesetz (KUG) a) Entstehung und heutige Bedeutung 14
Das Recht am eigenen Bild, der Sache nach eine spezifische Ausprägung des allgemeinen Persönlichkeitsrechts4, wurde bereits im Jahr 1907 im Rahmen des Kunsturhebergesetzes förmlich kodifiziert – also lange, be1 LAG Hessen v. 24.1.2012 – 19 SaGa 1480/11, RDV 2012, 204 (Fall einer angestellten Rechtsanwältin in einer Steuer- und Rechtsanwaltssozietät); s. dazu Aghamiri, ITRB 2012, 178. 2 LAG Köln v. 10.7.2009 – 7 Ta BV 126/09, ITRB 2010, 155. 3 LAG Schleswig-Holstein v. 23.6.2010 – 3 Sa 72/10, MMR 2011, 482. 4 Specht in Dreier/Schulze, UrhG, vor § 22 KUG Rz. 3.
394
Ehmann
§ 28
III. Rechtliche Ausgangslage
vor die Rechtsprechung, zunächst zögerlich, dann rasch voranschreitend, dem allgemeinen Persönlichkeitsrecht als solchem, das bis heute nicht zu einer förmlichen Kodifizierung gelangt ist, rechtliche Geltung verschaffte1. Den Anstoß für die Kodifizierung gab der vor dem Reichsgericht verhan- 15 delte, seinerzeit als spektakulär empfundene „Bismarck-Fall“2, der den unzulänglichen Rechtsschutz vor ungewollten Bildveröffentlichungen deutlich belegt hatte. Die daran anschließende mehrjährige Diskussion3 führte schließlich zum Bildnisschutz im Rahmen des Kunsturhebergesetzes. Außer Betracht blieb dabei der Schutz gegen ungewolltes Fotografieren als solches; dies war und ist nicht Thema des Kunsturhebergesetzes4. Die Ansiedlung des Rechts am eigenen Bild im Kunsturhebergesetz er- 16 klärt sich daraus, dass mit der Anerkennung eines solchen Rechts zugleich eine Beschränkung des Urheberrechts des Künstlers an dem von ihm hergestellten Bildnis einhergeht5. Das Kunsturhebergesetz in seiner 1 Letztlich beginnend erst in den 1950er Jahren mit BGHZ 13, 334 (Veröffentlichung von Briefen) und BGHZ 26, 349 (Herrenreiter). Prägend für die Entwicklung insgesamt war Hubmann, Das Persönlichkeitsrecht, 1. Aufl. 1953 (2. veränderte Aufl. 1967). 2 Der Sachverhalt lässt sich dahin zusammenfassen, dass Bildreporter nach Bestechung eines Dieners in Bismarcks Sterbezimmer eingedrungen waren und den dort aufgebahrten Verstorbenen fotografierten, um die Bilder zu verkaufen. Zu den Hintergründen aus historischer Sicht Machtan, Bismarcks Tod, passim, zur Entstehung und Bearbeitung des Totenbildes besonders S. 168–176; dort auch das Originalbild S. 73 sowie eine stark retuschierte Fassung S. 217; das Original befindet sich laut Bildnachweis S. 251 heute im Privatbesitz von Machtan und wurde erst 1952 (nicht wie Machtan S. 74 schreibt, 1953) erstmals in einer Zeitschrift veröffentlicht, nämlich in der Frankfurter Illustrierten Heft 50/1952 v. 14.12.1952 (Wiedergabe des Ausschnitts in Steinhauer, Bildregeln, S. 151 [Abb. 3]). Umfassend zur rechtsikonografischen Einordnung des Bildmotivs Steinhauer, Bildregeln, S. 145–155. Text der Entscheidung des RG v. 28.12.1899 s. RGZ 45, 170–174; inhaltliche Einordnung der rechtlichen Argumentation auf der Basis des damals noch anwendbaren gemeinen (römischen) Rechts s. ausführlich Süß, JURA 2011, 610 sowie Hengst, Der strafrechtliche Schutz, S. 6/7. Specht in Dreier/Schulze, UrhG, vor § 22 KUG Rz. 2 bemerkt zu Recht, dass das Reichsgericht zur Bewältigung des Falles auf die „Heranziehung wesensfremder Rechtsgrundlagen“ angewiesen war, als es – ausgehend vom Tatbestand des Hausfriedensbruchs – eine Rechtsfigur des gemeinrechtlichen Konditionenrechts heranzog, um Herausgabeansprüche in Bezug auf Negativ und Abzüge zu begründen. Andererseits hätte das BGB, das am 1.1.1900 in Kraft trat und dessen Anwendung das Reichsgericht durch eine Entscheidung drei Tage zuvor vermied, nach damaliger Interpretation überhaupt keinen Ansatz mehr für einen derartigen Anspruch geboten. 3 Zusammenfassend dazu Hengst, Der strafrechtliche Schutz, S. 7–9. 4 Lorenz, ZD 2012, 367 (368) m.w.N.; Rechtsschutz bietet insoweit unmittelbar das allgemeine Persönlichkeitsrecht, s. Wanckel, Fotorecht Rz. 55, 56 m.w.N. aus der Rspr.; daneben ist auch ein polizeirechtliches Eingreifen denkbar, s. VGH Baden-Württemberg v. 8.5.2008 – 1 S 2914/07, NVwZ-RR 2008, 700. 5 Hengst, Der strafrechtliche Schutz, S. 6. Ehmann
395
§ 28
Digitale Bilddaten in Form von Mitarbeiterfotos
heute geltenden Fassung erscheint als ein auf den ersten Blick merkwürdiger Gesetzestorso, da es mit dem Inkrafttreten des Urheberrechtsgesetzes von 1965 aufgehoben wurde, „soweit es nicht den Schutz von Bildnissen betrifft.“1 17
Nur noch die diesem Schutz dienenden Regelungen sind in Kraft geblieben und nach wie vor geltendes Recht. Durch die Kombination der technischen Möglichkeiten des Digitalfotografierens mit den Möglichkeiten des Internet haben sie in den letzten Jahren eine ungeahnte Bedeutung erlangt. Stark in den Vordergrund getreten ist dabei die kommerzielle Komponente des Rechts2, ohne dass es jedoch seine persönlichkeitsrechtliche Herkunft und Ausgestaltung hätte abstreifen können3. b) Anwendbarkeit im Arbeitsleben
18
Im Arbeitsleben entfaltet meist nur der persönlichkeitsrechtliche Aspekt des Rechts seine Wirkung; nur bei bestimmten Konstellationen, wenn etwa ein Mitarbeiter als Werbeträger für ein Unternehmen in Erscheinung tritt4, spielt auch die kommerzielle Komponente des Rechts eine Rolle.
19
Ob die Bestimmungen über das Recht am eigenen Bild im Arbeitsleben überhaupt anwendbar sind, wird durchgehend nicht problematisiert, sondern stillschweigend als gegeben unterstellt5. Dies ist im Ergebnis nicht zu kritisieren. Zum einen nehmen die Bestimmungen Arbeitsverhältnisse schlicht nicht von ihrem Anwendungsbereich aus, zum anderen gilt das allgemeine Persönlichkeitsrecht, als dessen Ausfluss sich das Recht am eigenen Bild darstellt, auch und gerade im Arbeitsleben. Seine Einhaltung gehört sogar ausdrücklich zu den Überwachungsaufgaben des Betriebsrats, sofern ein solcher vorhanden ist6. Dass der Gesetzgeber bei Schaffung der Regelungen Arbeitsverhältnisse gewiss nicht im Blick hatte, ist angesichts ihrer abstrakten Formulierung ohne Belang.
1 So § 141 Abs. 5 UrhG v. 9.9.1965, BGBl. I 1273 (1293); in den aktuellen Gesetzessammlungen ist diese Bestimmung heute in der Regel nicht mehr wiedergegeben. 2 Zu ihr grundlegend Zech, Information, S. 219 (Zuweisung der Abbildung einer Person zu dieser durch § 22 KUG) sowie S. 216 (Bedeutung der Einwilligung als Instrument, mit dessen Hilfe aus dem Datenschutzrecht eine „Quelle von Verfügungsmacht“ wird). Ähnlich Unseld, Kommerzialisierung, S. 229 (Verselbständigung des Rechts am eigenen Bild und Lösung vom Rechtsinhaber durch § 22 Satz 2 KUG). 3 Specht in Dreier/Schulze, UrhG, vor § 22 KUG Rz. 1. 4 LAG Schleswig-Holstein v. 23.6.2010 – 3 Sa 72/10, MMR 2011, 482. 5 So von Brand, AiB 2012, 591, Linnartz, StBW 2012, 476, Sauer, K&R 2012, 404. 6 S. § 75 Abs. 2 BetrVG und dazu Brand, AiB 2012, 591 (592).
396
Ehmann
§ 28
III. Rechtliche Ausgangslage
2. Bundesdatenschutzgesetz (BDSG) a) Allgemeiner Anwendungsbereich Bildnisse, auf denen eine oder mehrere Personen zu erkennen sind, zäh- 20 len unstreitig zu den personenbezogenen Daten gem. § 3 Abs. 1 BDSG. Somit ist der sachliche Anwendungsbereich des BDSG hinsichtlich des Anfertigens (Erhebung gem. § 3 Abs. 3 BDSG), des Speicherns (s. § 3 Abs. 4 Satz 2 Nr. 1 BDSG) und des Veröffentlichens (Übermittlung gem. § 3 Abs. 4 Satz 2 Nr. 3 BDSG) solcher Bildnisse eröffnet1. Damit stellt sich ein Konkurrenzproblem im Verhältnis zwischen KUG und BDSG. b) Rolle von § 32 BDSG Die Frage, ob die erst im Jahr 20092 geschaffene Regelung des § 32 BDSG 21 beim Bildnisschutz im Rahmen von Arbeitsverhältnissen eine Rolle spielen kann, scheint bisher noch nicht problematisiert worden zu sein. Sie ist grundsätzlich zu bejahen, soweit die Erhebung, Verarbeitung oder Nutzung von Bilddaten „für Zwecke des Beschäftigungsverhältnisses“ erfolgt (§ 32 Abs. 1 Satz 1 BDSG). Als Besonderheit ist dabei zu beachten, dass dies in Abweichung von § 27 Abs. 1 Satz 1 BDSG auch dann gilt, wenn kein Bezug zu einer Datei besteht (§ 32 Abs. 2 BDSG). Das erweitert im Rahmen von Beschäftigungsverhältnissen die erwähnte Konkurrenzproblematik auf Fälle, in denen Bilddaten nicht automatisiert verarbeitet werden. 3. Verhältnis von KUG und BDSG Ausgangspunkt für die Lösung der Konkurrenzproblematik ist die Rege- 22 lung des § 1 Abs. 3 Satz 1 BDSG, wonach bereichsspezifische Sonderregelungen dem Bundesdatenschutzgesetz insgesamt (und damit auch dem § 32 BDSG) vorgehen3. Jedenfalls hinsichtlich des Veröffentlichens und des Verbreitens von Bildnissen trifft das Kunsturhebergesetz derartige Spezialregelungen4 und ist damit im Verhältnis zum Bundesdatenschutzgesetz insoweit als lex specialis anzusehen. Damit ist allerdings noch nichts darüber ausgesagt, ob in keinerlei Hin- 23 sicht auf das BDSG zurückgegriffen werden kann oder muss, wenn der Anwendungsbereich des Kunsturhebergesetzes eröffnet ist. Diese Frage wird insbesondere im Hinblick darauf bedeutsam, ob eine Einwilligung gem. § 22 KUG der Schriftform bedarf oder nicht. Das KUG enthält hierzu keine Regelung. Vereinzelt wird vertreten, es liege insofern im Verhältnis zum BDSG eine Regelungslücke vor, die durch die Heranziehung von § 4a Abs. 1 Satz 3 BDSG, der die Schriftform vorschreibt, geschlossen 1 2 3 4
Zutreffend Lorenz, ZD 2012, 367 (368). Zu Details der Entstehungsgeschichte s. Seifert in Simitis, BDSG, § 32 Rz. 1. Seifert in Simitis, BDSG, § 32 Rz. 18. Lorenz, ZD 2012, 367 (369). Ihm folgend Brandt, AiB 2012, 591 (592). Ehmann
397
§ 28
Digitale Bilddaten in Form von Mitarbeiterfotos
werden müsse1. Der BGH2 und die Kommentarliteratur3 verneinen ein solches Formerfordernis, ohne sich freilich mit § 4a Abs. 1 Satz 3 BDSG explizit auseinanderzusetzen. 24
Richtigerweise ist nicht vom Vorliegen einer Regelungslücke auszugehen. Zwar trifft es zu, dass das KUG speziell zur Schriftform keinerlei Aussage enthält. Das rechtfertigt jedoch nicht den Schluss, dass insoweit eine Regelungslücke bestehe. § 22 Abs. 1 KUG trifft nämlich eine ganze Reihe detaillierter Aussagen dazu, welche spezifischen Vorgaben bei einer Einwilligung im Sinne dieser Bestimmung gelten, bis hin zu der Frage, wie nach dem Tod des Abgebildeten zu verfahren ist. Deshalb wäre es nicht statthaft, einzelne Aspekte aus diesem Gesamtgefüge von Regelungen zur Einwilligung herauszulösen. Dieses Gesamtgefüge als solches ist als Spezialregelung für das Erteilen von Einwilligungen im Rahmen des Kunsturhebergesetzes anzusehen, die dem Bundesdatenschutzgesetz vorgeht. Im Ergebnis stellt das Kunsturhebergesetz somit im Verhältnis zum Bundesdatenschutzgesetz insgesamt eine vorrangige Spezialregelung dar.
IV. Einwilligung als zentraler Erlaubnistatbestand 1. Verhältnis von Einwilligung und gesetzlichen Erlaubnistatbeständen 25
In einer Zweigleisigkeit, welche die Struktur des wesentlich jüngeren § 4 Abs. 1 BDSG4 gewissermaßen vorwegnimmt, erlaubt das Kunsturhebergesetz das Verbreiten und das öffentliche Zurschaustellen von Bildnissen einer Person dann, wenn entweder eine Einwilligung (§ 22 Satz 1 KUG) vorliegt oder wenn einer der gesetzlichen Erlaubnistatbestände des § 23 KUG erfüllt ist. Zu ergänzen wäre dabei noch, dass sich aus anderen Normen, etwa aus anderen gesetzlichen Regelungen, daneben noch weitere Erlaubnistatbestände ergeben können. Anders als in § 4 Abs. 1 Satz 1 BDSG („andere Rechtsvorschrift“) ist diese Möglichkeit in § 23 KUG zwar nicht erwähnt, doch spricht nichts dafür, dass § 23 KUG (und ergänzend noch § 24 KUG) die Existenz weiterer Erlaubnistatbestände ausschließen sollen. Das Arbeitsverhältnis als solches ist dabei kein im Gesetz vorgesehener Erlaubnistatbestand5.
26
Für den Umgang mit Bildnissen im Rahmen von Beschäftigungsverhältnissen ergibt sich daraus, dass der Einwilligung des Betroffenen (bzw. im Fall seines Todes der Einwilligung seiner Angehörigen, § 22 Satz 3 KUG) eine ausschlaggebende Bedeutung zukommt, sofern nicht einer der ge1 Lorenz, ZD 2012, 367 (369). 2 BGH, NJW 2005, 56 (57). 3 Specht in Dreier/Schulze, UrhG, § 22 KUG Rz. 19; Heckmann/Roggenkamp, Internetrecht, Kap. 10 Rz. 583 unter Bezug auf OLG Hamburg v. 22.9.1994 – 3 U 106/09, NJW-RR 1995, 220 (221). 4 Zu ihrer grundlegenden Bedeutung Sokol in Simitis, BDSG, § 4 Rz. 2. 5 Zutreffend Sauer, K&R 2012, 404 (406).
398
Ehmann
§ 28
IV. Einwilligung als zentraler Erlaubnistatbestand
setzlichen Erlaubnistatbestände erfüllt ist. Dies erklärt, warum sich viele der einschlägigen Entscheidungen intensiv mit der Frage befassen, ob im konkreten Einzelfall eine wirksame Einwilligung vorliegt. 2. Wirksamkeitsvoraussetzungen einer Einwilligung Für die Wirksamkeit einer Einwilligung ist von zentraler Bedeutung, dass 27 dem Abgebildeten Zweck, Art und Umfang der geplanten Verwendung klar ist1. Dabei greift – vor allem, aber nicht nur2 – die vom Urheberrecht her kommende Kommentarliteratur3 auf den Zweckübertragungsgedanken zurück, der z.B. in § 31 UrhG zum Ausdruck kommt. Zu fragen ist also danach, ob der Abgebildete bei Erteilung seiner Einwilligung erkennen konnte, wie das Bildnis verwendet werden soll. Praktische Beispiele: – Wenn sich jemand „für den Jahresbericht“ ablichten lässt, hat er damit in der Regel zunächst nur eine Einwilligung in Bezug auf einen gedruckten Jahresbericht erteilt. Auf ein Einstellen des Jahresberichts als Datei im PDF-Format im Internet erstreckt sich die Einwilligung nur dann, wenn ihm bekannt war, dass der Jahresbericht auch in dieser Form erscheint. – Eine ähnliche Problematik stellt sich, wenn ein Mitarbeiter sich als Model für Werbeaufnahmen mit Textilien seines Arbeitgebers zur Verfügung stellt. Obwohl im konkreten Fall unstreitig war, dass der Arbeitnehmer mit der Verwendung von Fotos für einen Werbe-Flyer einverstanden war, tat sich das LAG Schleswig-Holstein4 schwer damit, daraus den Schluss zu ziehen, dass die Fotos auch auf dem Internetauftritt des Unternehmens für Werbezwecke verwendet werden dürfen. Lediglich der Umstand, dass der Arbeitnehmer persönlich die Fotos auf einer CD an einen Zeugen überbracht hatte, der mit der Gestaltung des Internetauftritts beauftragt war, führte das Gericht schließlich zu dieser Schlussfolgerung5. – Der bloße Umstand, dass der Abgebildete dafür, dass er sich abbilden lässt, eine Entlohnung erhält, so dass kraft gesetzlicher Vermutung seine Einwilligung im Zweifel als erteilt gilt (§ 22 Satz 2 KUG), führt nicht dazu, dass die Abbildung beliebig verwendet werden darf. Vielmehr ist auch in einem solchen Fall zu prüfen, welchen Umfang die „entlohnte“ Einwilligung hat6. Zu bedenken ist ferner, dass die Zahlung von Arbeitslohn in der Regel nur dann eine Entlohnung in diesem Sinn darstellt, wenn das Sich-zur-Verfügung-Stellen für Abbildungen 1 Specht in Dreier/Schulze, UrhG, § 33 KUG Rz. 19. 2 S. etwa LAG Rheinland-Pfalz v. 30.11.2012 – 6 Sa 271/12, ZD 2013, 286, Rz. 63. Ebenso Sauer, K&R 2012, 404 (406). 3 Specht in Dreier/Schulze, UrhG, § 22 KUG Rz. 21; Götting in Schricker/Loewenheim, UrhR, § 22 KUG Rz. 44. 4 LAG Schleswig-Holstein v. 23.6.2010 – 3 Sa 72/10, MMR 2011, 482. 5 LAG Schleswig-Holstein v. 23.6.2010 – 3 Sa 72/10, Rz. 28. 6 Specht in Dreier/Schulze, UrhG, § 22 KUG Rz. 19a. Ehmann
399
§ 28
Digitale Bilddaten in Form von Mitarbeiterfotos
Gegenstand des Arbeitsvertrags ist (denkbar etwa bei Mannequins) oder wenn für das Durchführen des Fotografierens zumindest bewusst bezahlte Arbeitszeit genutzt wird1. 3. Sondersituation bei Minderjährigen 28
Die Probleme, die sich bei Abbildungen von Minderjährigen ergeben können, werden in der Praxis regelmäßig unterschätzt. Derartige Abbildungen sind im Arbeitsleben häufiger als sonst, etwa bei der Verbreitung von Bildern mit Auszubildenden und ähnlichem2. Im Ergebnis ist das Verbreiten oder Zurschaustellen von Abbildungen Minderjähriger (Personen, die das 18. Lebensjahr noch nicht vollendet haben, § 2 BGB) nur zulässig, wenn sowohl der Sorgeberechtigte als auch der Minderjährige selbst damit einverstanden sind. Formal korrekt wäre dabei zu formulieren, dass die Einwilligung der Sorgeberechtigten erforderlich ist, der Minderjährige jedoch aufgrund der persönlichkeitsrechtlichen Komponente des Rechts am eigenen Bild dieser Einwilligung widersprechen kann3. Das gilt ab dem Zeitpunkt, zu dem der Minderjährige überschauen kann, was mit seinem Abbild geschieht und seine Haltung dazu faktisch äußern kann. Davon wird man zumindest ab einem Lebensalter von etwa 10 Jahren ausgehen können. 4. Sondersituation bei Verstorbenen
29
Nach dem Tode des Abgebildeten bedarf es bis zum Ablauf von zehn Jahren der Einwilligung der Angehörigen des Abgebildeten (§ 22 Satz 3 KUG)4, wobei der Begriff der „Angehörigen“ im Gesetz definiert ist (s. § 22 Satz 4 KUG). 1 S. dazu unten Rz. 63. 2 Praxisfall: ArbG Frankfurt v. 20.6.2012 – 7 Ca 1649/12, ZD 2012, 530 (Bild mit sechs Azubis plus Ausbildungsleiterin). Im Fall der Veröffentlichung solcher Abbildungen in den Medien ist die Rechtsprechung des BGH zu berücksichtigen, nach der es an einem Schutzbedürfnis regelmäßig völlig fehlt, „wenn sich Eltern mit ihren Kindern bewusst der Öffentlichkeit zuwenden, etwa gemeinsam an öffentlichen Veranstaltungen teilnehmen oder gar in deren Mittelpunkt stehen“, und nach der auch in Fällen, in denen Kinder ohne ihre Eltern abgebildet werden, stets eine einzelfallbezogene Abwägung zwischen dem beeinträchtigten Persönlichkeitsrecht und der Meinungs- und Pressefreiheit unter Berücksichtigung des Informationsinteresses erforderlich ist (s. zuletzt BGH v. 28.5.2013 – VI ZR 125/12 – „Eisprinzessin Alexandra“; die Entscheidung betraf die elfjährige Tochter einer prominenten Adligen). 3 Specht in Dreier/Schulze, UrhG, § 22 KUG Rz. 16 sprechen sachlich treffend davon, es bestehe „de facto eine Doppelzuständigkeit“ von Sorgeberechtigten und Minderjährigem. Ähnlich Schulenburg in Schwartmann, Praxishandbuch, Kap. 9 Rz. 109 m.w.N., der von der Notwendigkeit einer doppelten Einwilligung spricht. 4 Zu der Problematik, dass es zusätzlich auch noch einer Einwilligung der Erben bedarf, falls diese nicht mit den Angehörigen identisch sind, s. Schönberger, Postmortaler Persönlichkeitsschutz, S. 143.
400
Ehmann
§ 28
V. Formularmßige Einwilligungen
Diese Regelung geht zurück auf die Erfahrungen des bereits näher ge- 30 schilderten „Bismarck-Falls“ und kann in der Praxis zu nennenswerten Schwierigkeiten führen. Beispielsfall aus der Praxis des Autors: Ein in der Fachwelt bekannter Mitarbeiter hatte sich für das Titelbild des Jahresberichts einer öffentlich-rechtlichen Institution zur Verfügung gestellt. Kurz vor Drucklegung des Berichts verunglückte er tödlich. Da den Angehörigen ein eigenes Einwilligungsrecht zusteht und die Verbreitung der Abbildung noch nicht erfolgt war, wird man nicht davon ausgehen können, dass in einem solchen Fall die ursprünglich vorhandene Einwilligung des Mitarbeiters über dessen Tod hinaus fortwirkt und die Einwilligung der Angehörigen entbehrlich macht. Im konkreten Praxisfall war eine Entscheidung dieser Frage letztlich nicht erforderlich. Eine höfliche Nachfrage bei den Angehörigen ergab, dass man das Titelbild als posthume Würdigung des Verstorbenen zu schätzen wusste.
V. Formularmäßige Einwilligungen 1. Einzelfalleinwilligung (mit Muster) Der Landesbeauftragte für den Datenschutz Niedersachsen hat ein Mus- 31 ter für öffentliche Stellen dieses Bundeslandes zur Verfügung gestellt, das auch für Privatunternehmen geeignet erscheint. Es ist zur Verwendung aus Anlass einer konkreten Einzelanfertigung von Abbildungen gedacht (und berücksichtigt – insoweit in der Folge nicht wiedergegeben – auch die Situation, dass die Abbildung von Minderjährigen vorgesehen ist)1. Das Muster ist auch im Verhältnis Arbeitgeber/Arbeitnehmer verwendbar. Sein Text lautet wie folgt: Einwilligung zur Verçffentlichung von Fotos nach dem Kunsturhebergesetz Einwilligungserklrung fr die Verçffentlichung von Fotos im Intranet-/Internetauftritt der/des … (Name und Anschrift der çffentlichen Stelle) Die … (Benennung der zustndigen Stelle, z.B. „Behçrdenleitung“) beabsichtigt … (Benennung Zweck, z.B. „bei der Weihnachtsfeier, dem Tag der offenen Tr“.) Fotos anzufertigen und diese im Intranet/in den Internetauftritt/auf der Homepage (www.çffentlicheStelle.de) fr … (Angabe Zeitraum) einzustellen.
1 S. http://www.lfd.niedersachsen.de/portal/live.php?navigation_id=12982&article _id=56127&_psmand=48, Button „Einwilligungserklärung zur Veröffentlichung von Fotos“. Dass das Muster dort nur als Muster für öffentliche Stellen dieses Bundeslandes ausgewiesen ist, liegt daran, dass die formale Zuständigkeit des Landesbeauftragten auf solche Stellen beschränkt ist. Ehmann
401
§ 28
Digitale Bilddaten in Form von Mitarbeiterfotos
Wir weisen darauf hin, dass die Fotos bei der Verçffentlichung im Internet weltweit abrufbar sind. Eine Weiterverwendung dieser Fotos durch Dritte kann daher nicht generell ausgeschlossen werden. Die Einwilligungserklrung gilt ab dem Datum der Unterschrift bis zu dem Zeitpunkt, an dem Sie … (Bezeichnung der çffentlichen Stelle) verlassen. Nach Verlassen der … (Bezeichnung der çffentlichen Stelle) werden die Fotos vernichtet/gelçscht. Datum, Ort und Unterschrift der oder des Betroffenen Achtung, bei der Einstellung von Fotos Minderjhriger, die das 15. Lebensjahr vollendet haben (z.B. Praktikanten oder Auszubildende), ist neben der Einwilligung der Personensorgeberechtigten auch die Einwilligung des Minderjhrigen erforderlich! […] 32
Ein wesentlicher Vorzug solcher Einzelfalleinwilligungen liegt darin, dass sie die konkrete Situation berücksichtigen können, was die Berücksichtigung des „Zweckübertragungsaspekts“ bedeutend erleichtert. Das dargestellte Muster beschränkt sich darauf, auf der Basis der gesetzlichen Regelung die Konkretisierungen vorzunehmen, die zu deren Ausfüllung erforderlich sind. Das ist empfehlenswert und dem Versuch vorzuziehen, durch „geschickte Formulierungen“ von den gesetzlichen Vorgaben zum Nachteil des Betroffenen abzuweichen. Dies hätte nämlich regelmäßig zur Folge, dass, falls das Muster als AGB zu werten ist, im Rahmen der Inhaltskontrolle gem. §§ 305 ff. BGB mit Problemen zu rechnen ist.
33
Diskussionswürdig ist die vom Landesbeauftragten in einem „Hinweis“ vertretene Auffassung, bei Minderjährigen sei erst ab Vollendung des 15. Lebensjahres auch deren eigene Einwilligung erforderlich. Es erscheint bedenklich, eine „natürliche Einsichtsfähigkeit“ bezüglich Abbildungen der eigenen Person erst ab diesem Alter anzunehmen. Es steht nichts dagegen, davon spätestens ab dem 10. Lebensjahr auszugehen. Ein zusätzliches rechtliches Risiko ist damit nicht verbunden. 2. Einwilligungsklausel im Arbeitsvertrag
34
Der Gedanke, im Arbeitsvertrag eine Einwilligungsklausel einzubauen, die das Verbreiten und Zurschaustellen von Abbildungen des Arbeitnehmers abdeckt, liegt auf den ersten Blick nahe. Wie wenig damit häufig erreicht wird, zeigt folgendes Beispiel einer Klausel, die Gegenstand einer Entscheidung des ArbG Frankfurt/M. war1:
35
„Hiermit erkläre ich mich einverstanden, dass mein Arbeitgeber ein digitales Bild/ Foto in Online-Präsentationen und/oder für einen internen oder externen (z.B. Internet etc.) Auftritt meiner Bank/Abteilung innerhalb der (Name der Bank als Arbeitgeberin) verwenden und speichern kann. Einer Veröffentlichung oder Ver1 ArbG Frankfurt v. 20.6.2012 – 7 Ca 1649/12, ZD 2012, 530.
402
Ehmann
§ 28
V. Formularmßige Einwilligungen
wendung ausschließlich zu diesem Zweck (Repräsentation oder bildhafte Darstellung der Ansprechpartner) stimme ich zu. Diese Einverständniserklärung ist freiwillig und jederzeit widerruflich.“
Der Wortlaut legt nahe, dass der Verfasser der Klausel einerseits mög- 36 lichst viele Konstellationen erfassen wollte, was besonders deutlich wird bei der Formulierung „internen oder externen (z.B. Internet etc.) Auftritt meiner Bank/Abteilung“. Andererseits scheint er sich aber auch bewusst gewesen zu sein, dass eine solche Klausel als Allgemeine Geschäftsbedingung zu werten ist und deshalb Gefahr läuft, den Arbeitnehmer unangemessen zu benachteiligen, weil sie mit wesentlichen Grundgedanken der gesetzlichen Regelung (§ 22 KUG), von der abgewichen wird, nicht zu vereinbaren ist (§ 307 Abs. 2 Nr. 1 BGB). Um der daraus resultierenden Gefahr der Unwirksamkeit der Klausel (§ 307 Abs. 1 Satz 1 BGB) zu entgehen, hat er unter Berücksichtigung des Zweckübertragungsaspekts den von ihm vermuteten Hauptzweck „Repräsentation oder bildhafte Darstellung der Ansprechpartner“ sehr konkret und damit eher eng formuliert. Dieses an sich sachgerechte Vorgehen führte im konkreten Fall dazu, 37 dass die Klausel für die Fallentscheidung letztlich überhaupt keine Rolle spielte. Strittig war nämlich zum einen eine Abbildung des „Ausbildungsjahrgangs 2006“, dem die Klägerin angehörte, in einem Jahresbericht der beklagten Bank, zum anderen eine Abbildung, welche die Klägerin als Teilnehmerin einer Generalversammlung der Beklagten zeigte. Der Argumentation des Gerichts, in beiden Fällen gehe es weder um Repräsentationszwecke noch um die Benennung von Ansprechpartnern1, ist zuzustimmen. Daraus folgt, dass die Vertragsklausel insoweit von vornherein nicht einschlägig ist und die – wohl zu verneinende – Frage ihrer Vereinbarkeit mit AGB-rechtlichen Vorschriften dahinstehen konnte. Das geschilderte Dilemma, mit dem sich der Verfasser der zitierten Klau- 38 sel konfrontiert sah, ist letztlich nicht lösbar. Daraus folgt die Empfehlung, hinsichtlich des Rechts am eigenen Bild nicht mit Einwilligungsklauseln im Arbeitsvertrag zu arbeiten2, sondern Einzelvereinbarungen aus konkretem Anlass den Vorzug zu geben, zumal Einwilligungsklauseln der beschriebenen Art in Arbeitsverträgen teils generell wegen fehlender Freiwilligkeit für unwirksam gehalten werden3. Der damit verbundene Aufwand erscheint vertretbar. 3. Gestaltungsmöglichkeiten auf kollektivrechtlicher Ebene a) Betriebsvereinbarung statt Einwilligung? Ein Ausweg aus dem geschilderten Dilemma, der Einzelvereinbarungen 39 vermeidet, könnte – sofern ein Betriebsrat vorhanden ist – der Abschluss 1 ArbG Frankfurt v. 20.6.2012 – 7 Ca 1649/12, ZD 2012, 530, Rz. 70. 2 Sauer, K&R 2012, 404 (406). 3 Sauer, K&R 2012, 404 (406). Ehmann
403
§ 28
Digitale Bilddaten in Form von Mitarbeiterfotos
einer entsprechenden Betriebsvereinbarung sein, die kraft Gesetzes unmittelbar und zwingend gilt (§ 77 Abs. 4 Satz 1 BetrVG). Dabei sind freilich enge Grenzen zu beachten. 40
Aus § 75 Abs. 2 BetrVG (Pflicht der Betriebsparteien zum Schutz der Persönlichkeitsrechte) wird abgeleitet, dass eine Regelung in einer Betriebsvereinbarung nicht hinter dem gesetzlichen Schutz zurückbleiben darf. Daraus folgt, dass eine – wie wegen § 22 KUG – kraft Gesetzes erforderliche persönliche Einwilligung nicht durch eine Betriebsvereinbarung ersetzt werden kann1.
41
Hintergrund ist dabei der Grundsatz, dass die Regelungskompetenz der Betriebsparteien dort ihre Grenzen findet, wo es um Individualrechte des Arbeitnehmers geht2, und dass der Bereich der privaten Lebensführung (klassisches Beispiel: Regelungen zur Verwendung des Lohns) einer Regelung durch sie völlig entzogen ist3. Damit sind freilich auch bereits die Ausnahmen skizziert, in denen eine Regelung durch Betriebsvereinbarung sehr wohl möglich ist. b) Ausnahmsweise Zulässigkeit
42
Die erste (genau besehen eher scheinbare) Ausnahme betrifft Fälle, in denen es entgegen dem ersten Eindruck einer Einwilligung nach dem KUG nicht bedarf. So hat das Bayerische Landesamt für Datenschutzaufsicht darauf hingewiesen, dass für die Wiedergabe eines Mitarbeiterbildes in einem Werksausweis keine Einwilligung des Arbeitnehmers erforderlich ist, weil dieses Bild weder verbreitet noch öffentlich zur Schau gestellt werde4. Damit richte sich die Verwendung des Bildes ausschließlich nach dem BDSG und in diesem Kontext sei die Verwendung des Bildes für die Durchführung des Beschäftigungsverhältnisses erforderlich (§ 32 Abs. 1 Satz 1 BDSG). Dann aber steht nichts entgegen, den Umgang mit bebilderten Werksausweisen (einschließlich der Speicherung der Bilddaten in einer Datenbank) in einer Betriebsvereinbarung zu regeln, sofern dabei das allgemeine Persönlichkeitsrecht angemessen berücksichtigt wird5.
43
Die zweite – letztlich ebenfalls scheinbare – Ausnahme betrifft Fälle, in denen die Betriebsvereinbarung die Einwilligung nicht ersetzen soll, sondern Modalitäten regelt, die beim Einholen einer Einwilligung zu beach1 2 3 4
Brandt, AiB 2012, 591 (593). Fitting, BetrVG, § 77 Rz. 55. Fitting, BetrVG, § 77 Rz. 56. 5. Tätigkeitsbericht 2011/2012 (abrufbar unter http://www.lda.bayern.de/lda/da tenschutzaufsicht/lda_daten/dsa_Taetigkeitsbericht20112012.pdf), S. 65. Ebenso im Ergebnis („… kann der Arbeitgeber verlangen, dass der Firmenausweis mit einem Bild versehen wird“), aber ohne dies näher zu begründen Brandt, AiB 2012, 591 (594). 5 Zumal selbst eine Regelung zur Videoüberwachung nach umfassender Güterabwägung für zulässig gehalten wird, s. Fitting, § 77 Rz. 59.
404
Ehmann
§ 28
VI. Situation nach Beendigung des Arbeitsverhltnisses
ten sind. Beispiele1: Vorgabe der verbindlichen Schriftform für eine etwaige Einwilligung; obligatorische Einräumung einer bestimmten Bedenkzeit vor Erklären der Einwilligung; obligatorische Widerrufsmöglicheit einer Einwilligung. 4. Mitbestimmungsrechte und deren Auswirkung Mitbestimmungsrechte des Betriebsrats sind bei dem Umgang mit Abbil- 44 dungen eher selten denkbar. In Betracht kommen sie jedoch z.B. beim Umgang mit Werksausweisen, die mit einem Bild versehen sind, unter dem Aspekt der Ordnung im Betrieb (§ 87 Abs. 1 Nr. 1 BetrVG)2. Sie beeinflussen weder Inhalt noch Gültigkeit von etwa nötigen Einwilligungen.
VI. Situation nach Beendigung des Arbeitsverhältnisses 1. Allgemeines zur Widerruflichkeit einer erteilten Einwilligung Die urheberrechtlich geprägte Literatur betont die grundsätzliche Unwi- 45 derruflichkeit einer einmal erteilten Einwilligung nach dem KUG stark, erkennt allerdings Ausnahmen unter dem Aspekt des Rechtsgedankens des § 42 UrhG (Rückrufsrecht wegen gewandelter Überzeugung) an3. Damit fordern diese Autoren der Sache nach einen wichtigen Grund für einen Widerruf. Das wird durchweg mit der Kommerzialisierung des Rechts am eigenen Bild begründet. Sie führe dazu, dass dem Einwilligungsempfänger ein gewisser Vertrauensschutz zustehe. Dieser Gedankengang erklärt, warum die Rechtsprechung der ArbG im 46 Ergebnis mit der Widerrufsmöglichkeit deutlich großzügiger verfährt: Der Kommerzialisierungsaspekt („Verkauf des eigenen Bildes“) spielt bei Abbildungen im Rahmen von Arbeitsverhältnissen eher selten eine Rolle, weshalb ein Vertrauensschutz für den Arbeitgeber jedenfalls unter diesem Aspekt meist nicht gerechtfertigt erscheint. Eher vereinzelt klingt die Argumentation mit dem „wichtigen Grund“ auch in der Rechtsprechung der ArbG an, wenn etwa das ArbG Frankfurt/M.4 die Auffassung vertritt, es bedürfe eines Widerrufsgrundes – wobei offen bleibt, ob es sich bei ihm um einen „wichtigen Grund“ handeln müsste. Dass das Gericht einen Widerrufsgrund aber schon in der bloßen Tatsache des Aus-
1 Brandt, AiB 2012, 591 (594). 2 Brandt, AiB 2012, 591 (594). 3 Specht in Dreier/Schulze, UrhG, § 22 KUG Rz. 35; Götting in Schricker/Loewenheim, § 22 KUG Rz. 40/41. 4 ArbG Frankfurt/M. v. 5.10.2011 – 13 Ga 160/11, wiedergegeben im Urteil der Folgeinstanz LAG Hessen v. 24.1.2012 – 19 SaGa 1480/11, RDV 2012, 204, Rz. 10. Ehmann
405
§ 28
Digitale Bilddaten in Form von Mitarbeiterfotos
scheidens aus dem Arbeitsverhältnis sehen will, nimmt der Argumentation weitgehend die inhaltliche Substanz1. 47
Generell neigen die ArbG dazu, weniger auf der Basis der grundsätzlichen Unwiderruflichkeit zu argumentieren, um dann aus wichtigem Grund im Einzelfall Ausnahmen hiervon zuzulassen, sondern nehmen im Regelfall unmittelbar eine Abwägung der wechselseitigen Interessen vor. (Erst) in deren Rahmen wird dann auch der Kommerzialisierungsgedanke berücksichtigt, sofern dies nach Lage des Einzelfalls geboten erscheint. Im Folgenden sind einige typische Argumentationsmuster dargestellt, die bei der Interessensabwägung herangezogen werden.
48
Dass bei Abbildungen in Print-Produkten ein Widerruf der Einwilligung nur unter besonderen Umständen in Frage käme, ergibt sich daraus, dass dann die Verbreitung aller noch verfügbarer Exemplare unterbleiben müsste und wird soweit ersichtlich auch nicht bestritten. Insofern gilt für Print-Produkte und Dateien im Intranet oder Internet – die Grenzen zwischen beidem sind zu unklar und bei großen Intranets oft fließend – mit identischem Inhalt nicht dasselbe.
49
Entgegen dem ersten Eindruck nicht einschlägig für die Widerrufsthematik ist eine Entscheidung des LAG Hamm2, bei der sich ein Arbeitnehmer nach Beendigung des Arbeitsverhältnisses dagegen wandte, dass eine während des Arbeitsverhältnisses angefertigte Abbildung weiterhin im Internet veröffentlicht wurde. Eine Einwilligung lag nämlich eindeutig nicht vor3 und die Unterlassungsklage wurde nur deshalb abgewiesen, weil es nach Lage des Einzelfalls an der Wiederholungsgefahr fehlte4. 2. Nutzung eines Bildnisses als „Werbeinstrument“
50
Viel diskutiert5 wurde der Fall6 einer Rechtsanwältin, deren Foto zusammen mit einem Text, der ihre Fachkompetenz herausstellte, auf der Homepage der Kanzlei eingestellt wurde, bei der sie beschäftigt war. Als sie noch während der Probezeit ausschied, verlangte sie die Entfernung des Fotos auch aus dem News-Beitrag, mit dem ihr Eintritt in die Kanzlei bekanntgegeben worden war. Die Profilseite der Rechtsanwältin in der Rubrik „Unsere Kanzlei, Rechtsanwälte“ hatte die Beklagte sofort ent1 Ähnlich freilich auch Sauer, K&R 2012, 404 (406), wonach „regelmäßig schon der zeitliche Umfang der Einwilligung auf die Laufzeit des Arbeitsverhältnisses begrenzt“ sei. Woraus sich diese Regelmäßigkeit ergeben soll, bleibt dabei ohne Begründung. 2 LAG Hamm v. 22.7.2011 – 10 Sa 747/11, juris. Ausführlich dazu Linnartz, StBW 2012, 476 (478), insbesondere auch zu der Erledigungsklausel, die hier im Rahmen eines Vergleichs vereinbart worden war. 3 LAG Hamm v. 22.7.2011 – 10 Sa 747/11, Rz. 62. 4 LAG Hamm v. 22.7.2011 – 10 Sa 747/11, Rz. 66. 5 Besonders ausführlich Aghamiri, ITRB 2012, 178 und Sauer, K&R 2012, 404. 6 LAG Hessen v. 24.1.2012 – 19 SaGa 1480/11, RDV 2012, 204.
406
Ehmann
§ 28
VI. Situation nach Beendigung des Arbeitsverhltnisses
fernt. Hinsichtlich des News-Beitrags verweigerte sie dies. Die Einwilligung der Betroffenen ergab sich daraus, dass sie an der Vorbereitung des entsprechenden Beitrags persönlich mitgewirkt hatte1. In durchaus widersprüchlicher Argumentation führt das LAG Hessen2 51 zunächst aus, es sei „evident, dass die Einwilligung … in die Veröffentlichung nur für die Dauer der Beschäftigung gelten sollte“, um dann fortzufahren, dass sie „damit ihre Einwilligung nach Beendigung des Arbeitsverhältnisses wirksam widerrufen“ konnte. Das Gericht übersieht dabei, dass es eines solchen Widerrufs nicht mehr bedürfte, wenn die Geltungsdauer der Einwilligung ohnehin deutlich erkennbar („evident“) auf die Dauer des Arbeitsverhältnisses begrenzt gewesen wäre. Eigenständig daneben steht die vom Gericht ebenfalls herangezogene Ar- 52 gumentation, aus dem Zusammenhang von Bild und Text ergebe sich, dass „durch das Bild bewusst mit der individuellen Persönlichkeit … geworben werden soll“3. Das müsse sich die Betroffene nach ihrem Ausscheiden nicht mehr gefallen lassen, zumal sie inzwischen mit der Kanzlei ihres früheren Arbeitgebers in Konkurrenz stehe4. Dieser Aspekt trägt die Entscheidung letztlich. 3. Nutzung eines Bildnisses zur bloßen Illustration Gewissermaßen das Gegenstück zu den eben angesprochenen Sachver- 53 halten bilden Fälle, in denen zwar bewusst „echte“ Mitarbeiter des Unternehmens abgebildet werden, es aber für die Außenwirkung letztlich gleichgültig ist, um welche konkreten Mitarbeiter es sich handelt. a) Einzelperson auf Werbefoto Prototypisch ist insoweit ein Sachverhalt, über den das LAG Köln zu ent- 54 scheiden hatte5. Eine kaufmännische Angestellte wurde auf Veranlassung ihres Arbeitgebers an ihrem Arbeitsplatz fotografiert. Das Foto zeigt die Angestellte an ihrem Schreibtisch sitzend und ein Telefongespräch führend, wobei sie sich mit leichtem Lächeln der Kamera zuwendet6. Die Arbeitgeberin (im vorliegenden Streit um die Gewährung von Prozesskostenhilfe Antragsgegnerin) verwendete – was die Angestellte wusste – das Foto auf ihrer Homepage sowohl während des Bestehens des Ar-
1 So die Vorinstanz ArbG Frankfurt/M., wiedergegeben in LAG Hessen v. 24.1.2012 – 19 SaGa 1480/11, Rz. 11, der sich das LAG Hessen u.a. in diesem Punkt anschloss, s. ebenda, Rz. 24. 2 LAG Hessen v. 24.1.2012 – 19 SaGa 1480/11, Rz. 39. Den Gedanken als eine Grundregel aufnehmend Sauer, K&R 2012, 404 (406). 3 LAG Hessen v. 24.1.2012 – 19 SaGa 1480/11, Rz. 28. 4 LAG Hessen v. 24.1.2012 – 19 SaGa 1480/11, Rz. 34. 5 LAG Köln v. 10.7.2009 – 7 Ta BV 126/09, ITRB 2010, 155. 6 LAG Köln v. 10.7.2009 – 7 Ta BV 126/09, ITRB 2010, 155, Rz. 5. Ehmann
407
§ 28
Digitale Bilddaten in Form von Mitarbeiterfotos
beitsverhältnisses als auch noch nach dem Ausscheiden der Betroffenen aus dem Arbeitsverhältnis. 55
Das Gericht sah darin keine Verletzung des Rechts am eigenen Bild, im Gegenteil führt es aus: „Die Antragsgegnerin durfte … schuldlos unterstellen, dass sich allein aufgrund der Beendigung des Arbeitsverhältnisses … an der duldenden Einwilligung der Antragstellerin mit der Verwendung ihres Fotos nichts ändern würde.“1 Dabei grenzte es den Sachverhalt sehr bewusst von Fällen wie dem vorstehend behandelten ab, in denen durch die Abbildung „auf die besondere Fachkompetenz eines bestimmten, in der Branche bekannten Mitarbeiters abgestellt werden soll.“2 Diese Differenzierung überzeugt. Die Interessen der Beteiligten sind, was die zeitliche Begrenzung der Einwilligung angeht, in beiden Fällen deutlich unterschiedlich3. b) Belegschaftsfoto
56
Eine Variante des „lediglich illustrativen“ Bildes ist das Belegschaftsfoto im Internet, eine Konstellation, über die das LAG Rheinland-Pfalz zu entscheiden hatte4. Während seiner Beschäftigung als Monteur bei einem Unternehmen wirkte der Betroffene an einem Foto mit, das die gesamte damalige Belegschaft zeigt und von dem er wusste, dass es im Internet veröffentlicht werden würde. Seiner Argumentation, der Arbeitgeber habe das Foto nach Ausscheiden des Betroffenen aus dem Arbeitsverhältnis nicht mehr im Netz belassen dürfen, folgte das Gericht nicht. Seine Einwilligung sei auch noch über das Ende des Arbeitsverhältnisses hinaus wirksam gewesen5.
57
Dass das Bild der Kundenwerbung dient (Belegschaft insgesamt als „Gesicht des Unternehmens“) und darin ein gewisser kommerzieller Aspekt der Verwendung des Bildes liegt, spricht zusätzlich für die Richtigkeit dieses Ergebnisses. Der Arbeitgeber verdient unter diesem Aspekt einen gewissen Vertrauensschutz, der einem Widerruf entgegengehalten werden kann.
58
Allerdings ist der Sachverhalt dadurch gekennzeichnet, dass der Arbeitgeber das Bild letztlich doch aus dem Netz genommen hatte, so dass das Gericht nur entscheiden musste, ob die Einwilligung bis zu diesem Zeitpunkt ein wirksamer Rechtfertigungsgrund war, nicht jedoch, ob sie unter Umständen auf Dauer wirksam geblieben wäre. Das erklärt, warum das Gericht lediglich aussprach, dass „der Zweckbezug der erteilten Ein1 LAG Köln v. 10.7.2009 – 7 Ta BV 126/09, ITRB 2010, 155, Rz. 8. 2 LAG Köln v. 10.7.2009 – 7 Ta BV 126/09, ITRB 2010, 155, Rz. 9. 3 Solche notwendigen Differenzierungen übergeht die Auffassung von Sauer, K&R 2012, 404 (406), wonach der zeitliche Umfang der Einwilligung regelmäßig auf die Laufzeit des Arbeitsverhältnisses begrenzt sei. 4 LAG Rheinland-Pfalz v. 30.11.2012 – 6 Sa 271/12. 5 LAG Rheinland-Pfalz v. 30.11.2012 – 6 Sa 271/12, Rz. 61.
408
Ehmann
§ 28
VI. Situation nach Beendigung des Arbeitsverhltnisses
willigung … nicht termingenau mit dem Ende des Arbeitsverhältnisses bereits erledigt“ war1, sondern bis zur Entfernung des Bildes von der Homepage fortwirkte2. Ob sich daraus schließen lässt, dass nach Auffassung des Gerichts regelmäßig eine Art „Auslauffrist“ für eine Einwilligung anzunehmen ist, muss offen bleiben; möglicherweise ist die Entscheidung auch davon geprägt, dass das Gericht nur im konkreten Einzelfall das Unterlassungsbegehren des Betroffenen den Umständen nach als überzogen ansah. c) Fotos von Personengruppen Anlass zu gewissen Bedenken gibt eine Entscheidung des ArbG Frank- 59 furt/M.3, die vom Sachverhalt her mehr oder weniger zwischen den beiden schon erörterten Entscheidungen steht. Strittig waren dort zwei Abbildungen von Personengruppen, zum einen der insgesamt sechs Azubis eines Jahrgangs zusammen mit der Ausbildungsleiterin, zum anderen von insgesamt zwölf Personen an drei benachbarten Stehtischen bei einer jährlichen Generalversammlung der Arbeitgeberin. Auf beiden Bildern war u.a. eine Frau zu sehen, die nach Abschluss ihrer Ausbildung zunächst im Unternehmen verblieben war, dann jedoch von sich aus gekündigt hatte. Das Gericht lehnte zwar einen Anspruch auf Entfernung der beiden Fotos ab, bejahte jedoch einen Anspruch auf Unkenntlichmachung des Gesichts, beispielsweise durch Verpixelung4. Nach dem bisher Geschilderten wäre dieses Ergebnis bezüglich des Fotos 60 von der Generalversammlung abzulehnen: Bei diesem Foto handelte es sich schon von der Personenzahl her um eine rein illustrative Abbildung, so dass der nach dem Ausscheiden aus dem Arbeitsverhältnis erklärte Widerruf der Einwilligung an sich wohl unbeachtlich wäre. Allerdings weist der Fall im Sachverhalt die Besonderheit auf, dass im Arbeitsvertrag eine Einwilligungsklausel enthalten war, in der es hieß: „Diese Einwilligungserklärung ist freiwillig und jederzeit widerruflich.“ Damit war der Betroffenen ausdrücklich ein Widerrufsrecht eingeräumt, das sie auch ausüben könnte. 1 LAG Rheinland-Pfalz v. 30.11.2012 – 6 Sa 271/12, Rz. 69. 2 Das Arbeitsverhältnis hatte gemäß einem Aufhebungsvertrag zwischen den Parteien mit Ablauf des 15.3.2011 geendet (s. ebenda, Rz. 4), das Bild wurde am 26.1.2012 von der Homepage entfernt (s. LAG Rheinland-Pfalz v. 30.11.2012 – 6 Sa 271/12, Rz. 56). 3 ArbG Frankfurt v. 20.6.2012 – 7 Ca 1649/12, ZD 2012, 530; s. dazu Ehmann, jurisPR-ArbR 14/2013 Anm. 2 sowie Wenn, jurisPR-ITR 25/2012, Anm. 6. 4 Die dahinter stehende Auffassung, dadurch sei die Betroffene generell nicht mehr erkennbar, ist fragwürdig, s. Ehmann, JurisPR-ArbR 14/2013, Anm. 2, lit. C. Immer wieder gibt es Entscheidungen zum Thema „Erkennbarkeit trotz Verpixelung“, s. nur LG Hamburg v. 20.10.2006 – 324 O 922/05 (Erkennbarkeit an Kopfform, Ohren, Frisur, Kleidung, Körperhaltung) sowie AG München v. 15.6.2012 – 158 C 28716/11 (Erkennbarkeit an den Schuhen). Maßgeblich ist die Erkennbarkeit durch den Bekanntenkreis, nicht durch die Allgemeinheit, Specht in Dreier/Schulze, UrhG, § 22 KUG, Rz. 4. Ehmann
409
§ 28 61
Digitale Bilddaten in Form von Mitarbeiterfotos
Beim Gruppenfoto der Auszubildenden führt dieser Umstand ebenfalls dazu, dass die Betroffene widerrufen konnte. Ansonsten wäre das auf der Basis einer Interessensabwägung wohl nur der Fall, wenn sie die Ausbildung abgebrochen hätte, aber nicht, wenn sie die Ausbildung erfolgreich abgeschlossen hat. Dann wären nämlich auch die Interessen der anderen Gruppenmitglieder zu bedenken, die ihre Teilnahme an der Ausbildung möglicherweise weiter nach außen dargestellt haben möchten. 4. Nutzung von Modelfotos mit Arbeitnehmern
62
Wohl um das Geld für ein Profimodel zu sparen, setzte ein Unternehmen einen dort tätigen Studenten als Model für Bekleidungsfotos ein1. Nach seinem Ausscheiden aus dem Unternehmen wollte er seine Einwilligung in die Veröffentlichung im Internet widerrufen und forderte die Unterlassung der weiteren Veröffentlichung. Das Gericht stützt seine Ablehnung dieses Begehrens auf den Aspekt des „reinen Illustrationszwecks“ der Abbildung und nimmt dabei Bezug2 auf die schon diskutierte Entscheidung des LAG Köln3.
63
Damit schöpft es die Problematik indessen nicht aus. Zumindest ergänzend wäre darauf zu verweisen, dass dem Betroffenen klar war, dass er letztlich ein Profi-Model ersetzte. Und einem solchen Profi-Model stünde nach Durchführung eines „Shootings“ regelmäßig gerade kein Widerrufsrecht zu. Dann besteht jedoch auch kein Anlass, ein Widerrufsrecht letztlich nur deshalb zu erwägen, weil der Betroffene in einem Arbeitsverhältnis stand. Lediglich daraus ergibt sich für ihn angesichts der ihm bekannten Verwendungsabsicht bezüglich des Bildes keine zusätzliche Schutzbedürftigkeit, zumal die Aufnahmen offensichtlich während der Arbeitszeit entstanden, so dass er in gewisser Weise dafür eine Vergütung erhielt4.
VII. Abschließende Bewertung der Rechtssituation 64
Die Rechtsprechung der ArbG zum Recht am eigenen Bild im Rahmen von Arbeitsverhältnissen hat die Problematik des Rechts am eigenen Bild um völlig neue Aspekte bereichert. Dabei zeigen sich deutliche Anzeichen dafür, dass sie eigene Maßstäbe entwickelt, die sich von denen entfernen, die sonst die Rechtsprechung zum Recht am eigenen Bild prägt. Diese Tendenz bedarf kritischer Begleitung, da die Begründungen keineswegs in allen Fällen überzeugen.
1 LAG Schleswig-Holstein v. 23.6.2010 – 3 Sa 72/10, MMR 2011, 482. S. dazu Dahl, jurisPR-ArbR 4/2011 An. 6 sowie Spitz, jurisPR-ITR 22/2010 Anm. 5. 2 LAG Schleswig-Holstein v. 23.6.2010 – 3 Sa 72/10, Rz. 38. 3 LAG Köln v. 10.7.2009 – 7 Ta 126/09, ITRB 2010, 155. 4 Zu diesem Aspekt s. schon oben Rz. 27.
410
Ehmann
§ 29 Vermischung von privaten und dienstlichen Daten als Herausforderung für Datenschutz und Datensicherheit Rz. I. Von der Werksglocke zur Vertrauensarbeitszeit . . . . . . . . . . II. Private E-Mail-Nutzung am Arbeitsplatz . . . . . . . . . . . . . . . . . . 1. Lebenssachverhalt. . . . . . . . . . . . . 2. Datenschutzrechtliche Fragestellung. . . . . . . . . . . . . . . . . . . . . . 3. Befassung durch Datenschutzbehörden. . . . . . . . . . . . . . . . . . . . . a) Datenschutzkonferenz . . . . . . . b) Arbeitskreise der Datenschutzkonferenz . . . . . . . . . . . . c) Einzelne Datenschutzbehörden . . . . . . . . . . . . . . . . . .
Rz. d) Wertende Zusammenfassung . 21
1 6 6 7 13 13 14
III. BYOD – Bring Your Own Device . 1. Lebenssachverhalt . . . . . . . . . . . . . 2. Datenschutzrechtliche Fragestellungen. . . . . . . . . . . . . . . . . . . . 3. Befassung durch Datenschutzbehörden. . . . . . . . . . . . . . . . . . . . . a) Einzelne Datenschutzbehörden . . . . . . . . . . . . . . . . . . b) Wertende Zusammenfassung .
24 24 25 26 27 28
IV. Fazit . . . . . . . . . . . . . . . . . . . . . . . . 32
15
I. Von der Werksglocke zur Vertrauensarbeitszeit Noch vor einigen Jahrzehnten war es, wie auch heute noch in einigen 1 produzierenden Unternehmen mit Schichtbetrieb, Gang und Gäbe, dass Werksglocken den Beginn und das Ende der Arbeitszeit einläuteten und die arbeitende Bevölkerung von der einen Welt des Arbeitens oder des Privaten in die jeweils andere Welt hinein- oder hinausging. Dabei gab und gibt es Systeme der Zeiterfassung für feste Arbeitszeiten oder wie heutzutage ganz überwiegend für Gleitzeitregelungen. Zunehmend wird aber auf die Dokumentation der zeitlichen Trennung dieser Lebenswelten durch Vereinbarung von sog. Vertrauensarbeitszeiten, Homeoffice u.a. verzichtet. Diese Entwicklung berücksichtigt sowohl die Interessen der Arbeitgeber- als auch der Arbeitnehmerseite. Für die Arbeitnehmer ergibt sich eine erhöhte Flexibilität, ihre Arbeitszeit so zu gestalten, dass sie mit privaten Interessen kompatibler wird. Für die Arbeitgeberseite hat dies zur Folge, dass in der Person des Arbeitnehmers begründete Abwesenheiten wie Arztbesuch, Behördengänge u.Ä. in der Regel nicht mehr während der Arbeitszeit stattfinden müssen, und generell durch die Flexibilisierung der Arbeitsgestaltung eine erhöhte Motivation der Arbeitnehmerseite erwartet wird und wohl auch gegeben ist. Mit dieser Flexibilisierung geht aber schleichend auch die Erwartung des Arbeitgebers und die mehr oder weniger freiwillige Bereitschaft der Arbeitnehmer einher, dass die Zeiten der Arbeit und der Freizeit nicht mehr so getrennt betrachtet werden und Arbeitnehmer auch in ihrer eigentlichen Freizeit für dienstliche Zwecke erreichbar und ansprechbar werden. Parallel dazu haben sich auch die technischen Arbeitsmittel für Beruf 2 und Freizeit fort- und aufeinander zu entwickelt. Gab es früher in der ArKranig
411
§ 29
Vermischung von privaten und dienstlichen Daten
beitswelt die Schreibmaschine (ein Gerät, das bei ausufernder geheimdienstlicher Überwachung wieder zu höherer Anerkennung zurückfinden könnte), die Lochkarte, den Einzel-PC und das Nur-Telefongerät, findet heute das Arbeitsleben ganz überwiegend mit vernetzten multimediafähigen Arbeitsgeräten statt. Auch im Privatleben hatte die Schreibmaschine ihre Daseinsberechtigung, die sie aber ebenso wie es mittelfristig singulären Spielkonsolen oder dem Fernsehgerät gehen könnte, verloren hat. Multimediageräte, die zum Schreiben, für die verschiedenen Wege der Kommunikation über Telefon, E-Mail, Videotelefonie oder soziale Netzwerke, zur unterschiedlichen Mediennutzung für Musik und Video einschließlich einer großen Zahl an Hörfunk- und Fernsehprogrammen nutzbar sind, bündeln die unterschiedlichsten Wünsche des Privat- und Arbeitslebens und erfüllen diese mit den „gefühlt“ grenzenlosen Möglichkeiten des Internets. 3
Mag die Intention des Herangehens und des Nutzens dieser technischen Ausstattung zu privaten und dienstlichen Zwecken unterschiedlich sein, wird dennoch zunehmend von beiden Seiten im Wesentlichen die gleiche Technik eingesetzt.
4
Insofern ist es nur folgerichtig, dass bei der nicht mehr stringenten Trennung von Arbeits- und Freizeit der Wunsch und das Bedürfnis entstehen, dass auch die Nutzung der technischen Mittel sich vermischt, konkret, dass Arbeitnehmer auch während ihrer Arbeitszeit nicht nur per Telefon, sondern auch über E-Mail, Facebook oder auf sonstigen Kommunikationswegen für Familie und Freunde erreichbar sind, und diese Erreichbarkeit des Mitarbeiters vice versa für den Arbeitgeber und die Arbeitskollegen auch in dessen Freizeit gegeben ist – und beides mit unterschiedlichen Motivationen gerne mit dem eigenen Smartphone oder Tablet des Mitarbeiters erfolgt.
5
Arbeit und Privatleben unterliegen einem deutlich unterschiedlichen Rechtsregime, so dass sich bei der Vermischung dieser Lebenswelten Abgrenzungs- und Konfliktlösungsfragen ergeben. Dies gilt insbesondere auch für den Bereich des Datenschutzes. So ist das Bundesdatenschutzgesetz dann nicht anwendbar, wenn die Erhebung, Verarbeitung oder Nutzung von Daten ausschließlich für persönliche oder familiäre Tätigkeiten erfolgt1, aber schon, wenn der Datenumgang zu dienstlichen Zwecken geschieht. Im Folgenden sollen anhand von zwei praxisrelevanten Beispielen, der privaten E-Mail-Nutzung am Arbeitsplatz und dem Einsatz privater Arbeitsgeräte für dienstliche Zwecke (Bring Your Own Device – BYOD), sich stellende Rechtsfragen kurz angesprochen und dann dargestellt werden, ob und in welcher Art und Weise dies Themen der Datenschutzbehörden sind. Maßgebliches Kriterium dafür ist insbesondere, ob diese Themen in den jeweils letzten Tätigkeitsberichten der
1 § 1 Abs. 2 Nr. 3 BDSG.
412
Kranig
§ 29
II. Private E-Mail-Nutzung am Arbeitsplatz
Datenschutzkontroll- und Datenschutzaufsichtsbehörden Erwähnung gefunden haben.
II. Private E-Mail-Nutzung am Arbeitsplatz 1. Lebenssachverhalt Die private E-Mail-Nutzung am Arbeitsplatz kann im Wesentlichen in 6 zwei Varianten erfolgen. Zum einen kann die dienstliche E-Mail-Adresse auch für private Zwecke genutzt werden. Zum anderen kann die Nutzung von E-Mail-Diensteanbietern wie T-online, Web.de, Google-Mail oder Outlook.com über einen Internetzugang ermöglicht werden, die im Folgenden nicht näher betrachtet werden soll. 2. Datenschutzrechtliche Fragestellung Relevant ist im Zusammenhang mit der privaten E-Mail-Nutzung am 7 Arbeitsplatz insbesondere die Frage, ob und wie sichergestellt werden kann, dass der Arbeitgeber bzw. Arbeitskollegen insbesondere im Vertretungs-, Urlaubs- oder Ausscheidensfall des Betroffenen auf dessen dienstliche E-Mail-Kommunikation zugreifen können, ohne die privaten Mails zur Kenntnis zu nehmen. Aus der anderen Perspektive stellt sich die Frage, wie das Recht auf informationelle Selbstbestimmung des Mitarbeiters beachtet, d.h. konkret, wie die Vertraulichkeit seiner privaten E-MailKommunikation sichergestellt werden kann. Erlaubt ein Arbeitgeber die private E-Mail-Nutzung am Arbeitsplatz oder 8 erweckt er dadurch, dass er die Einhaltung eines mehr oder weniger deutlich ausgesprochenen Verbots durch keinerlei Maßnahmen überprüfen lässt, den Anschein, dass es ihm mit dem Verbot nicht so ernst ist, kann er grundsätzlich als Telekommunikationsdiensteanbieter mit der Folge angesehen werden, dass er der Verpflichtung der Wahrung des Fernmeldegeheimnisses gem. § 88 des Telekommunikationsgesetzes (TKG) unterliegt. Das BVerfG hat in einem Urteil vom 2.3.2006 ausgeführt, dass die nach 9 Abschluss des Übertragungsvorgangs im Herrschaftsbereich des Kommunikationsteilnehmers gespeicherten Verbindungsdaten nicht durch Art. 10 Abs. 1 GG, d.h. dem Fernmeldegeheimnis, sondern durch Art. 2 Abs. 1 i.V.m. Art 1 Abs. 1 GG, d.h. dem Recht auf informationelle Selbstbestimmung, geschützt werden1. Der Hessische Verwaltungsgerichtshof hat in einem Beschluss vom 19.5.2009 diese Argumente übernommen und konkretisiert, indem er ausgeführt hat, dass man als Telekommunikationsanbieter nur anzusehen sei, soweit E-Mails noch nicht beim Empfänger angelangt seien und der Übertragungsvorgang beendet sei. Nach Abschluss des Kommunikations- bzw. Übertragungsvorgangs im Sinne 1 BVerfG v. 2.3.2006 – 2 BvR 2099/04, CR 2006, 383. Kranig
413
§ 29
Vermischung von privaten und dienstlichen Daten
der dargestellten Rechtsgrundsätze des BVerfG gelangten E-Mails in den Herrschaftsbereich des betreffenden Mitarbeiters als Kommunikationsteilnehmer mit der Folge, dass ein nachwirkender Schutz des Fernmeldegeheimnisses in Bezug auf solche E-Mails, die durch Belassung in den Mailordnern Eingang in die zentralen Speichermedien finden oder durch Abspeicherung durch den Mitarbeiter in den Verzeichnissen des innerbetrieblichen Netzes abgelegt werden, nicht bestehe1. 10
Das LAG Niedersachsen hat dagegen in einem Urteil vom 31.5.20102 einen Arbeitgeber, der seinen Mitarbeitern erlaubt hat, den Arbeitsplatzrechner auch zum privaten E-Mail-Verkehr zu nutzen und E-Mails im Posteingang oder -ausgang zu belassen, generell nicht als Telekommunikationsanbieter angesehen und ausgeführt, dass der Zugriff des Arbeitgebers auf die Datenbestände der Mitarbeiter nicht den rechtlichen Bestimmungen des Fernmeldegeheimnisses unterliege. Schutz gegen die rechtswidrige Auswertung dieser Daten werde nur durch die Grundrechte auf informationelle Selbstbestimmung bzw. auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme gewährt. Ihm folgend hat das LAG Berlin-Brandenburg in einem Urteil vom 16.2.2011 ebenso entschieden, dass ein Arbeitgeber, der seinen Arbeitnehmern auch die private Nutzung des dienstlichen E-Mail-Accounts gestatte, kein Dienstanbieter i.S.d. Telekommunikationsgesetzes und deshalb nicht an das Fernmeldegeheimnis nach § 88 TKG gebunden sei3.
11
Relevant ist in diesem Zusammenhang somit, ob bei der privaten Mitnutzung eines dienstlichen E-Mail Accounts das Fernmeldegeheimnis überhaupt gilt, und wenn ja, wie weit es reicht, d.h., ab wann die datenschutzrechtlichen Regelungen greifen und inwieweit bei verbotener oder auch erlaubter E-Mail- und Internetnutzung die Kontrollrechte zulässig sind, ohne das Recht auf informationelle Selbstbestimmung der Mitarbeiter zu verletzen.
12
Die Auffassungen der Konferenz der Datenschutzbeauftragten des Bundes und der Länder (Datenschutzkonferenz – DSK) insgesamt, einiger Arbeitsgruppen der DSK und einzelner Datenschutzbehörden aus deren jeweils letztem Tätigkeitsbericht zu in der Regel einzelnen Fragestellungen aus diesem Gesamtkomplex sollen im Folgenden dargestellt werden. 3. Befassung durch Datenschutzbehörden a) Datenschutzkonferenz
13
Soweit erkennbar hat die Datenschutzkonferenz in der Sitzung vom 7. bis 8.3.2002 mit der Entschließung zur „Datenschutzgerechte(n) Nutzung von E-Mail und anderen Internetdiensten am Arbeitsplatz“ erst1 HessVGH v. 19.5.2009 – 6 A 2672/08.Z, CR 2009, 605. 2 LAG Niedersachsen v. 31.5.2010 – 12 Sa 875/09, MMR 2010, 639. 3 LAG Berlin-Brandenburg v. 16.2.11 – 4 Sa 2132/10, ZD 2011, 43.
414
Kranig
§ 29
II. Private E-Mail-Nutzung am Arbeitsplatz
mals etwas zu diesem Thema veröffentlicht1. Die wesentlichen Aussagen dieser Entschließung waren, dass der Arbeitgeber nicht verpflichtet sei, die private Nutzung des Internets am Arbeitsplatz zu gestatten. Wenn er dies tue, sei die elektronische Post vom Telekommunikationsgeheimnis geschützt und der Arbeitgeber dürfe ihren Inhalt grundsätzlich nicht zur Kenntnis nehmen. Er habe dazu die erforderlichen technischen und organisatorischen Vorkehrungen zu treffen. Wenn er die Nutzung von E-Mail und anderen Internetdiensten am Arbeitsplatz nicht gestatte, dürfe die Nutzung nicht zu einer vollständigen Kontrolle der Bediensteten führen. Vielmehr seien die Beschäftigten umfassend darüber zu informieren, für welche Zwecke sie den Internetzugang am Arbeitsplatz nutzen dürfen und auf welche Weise der Arbeitgeber die Einhaltung der Nutzungsbedingungen kontrolliert. b) Arbeitskreise der Datenschutzkonferenz In einer Fortschreibung hat der Arbeitskreis Medien der DSK in einer 14 Orientierungshilfe vom 24.9.20072 zum Ausdruck gebracht, dass der Arbeitgeber dann, wenn er die Nutzung von E-Mail und Internet ausschließlich zu dienstlichen Zwecken gestatte, nicht Anbieter im Sinne des Telekommunikations- und Telemedienrechts sei. Der Arbeitgeber habe in diesem Fall grundsätzlich das Recht, stichprobenartig zu prüfen, ob Empfang bzw. Versenden von Mails durch Beschäftigte dienstlicher Natur sei. Eine automatisierte Vollkontrolle durch den Arbeitgeber sei ein schwerwiegender Eingriff in das Persönlichkeitsrecht der Beschäftigten und nur bei konkretem Missbrauchsverdacht im Einzelfall zulässig. Eine Betriebs- oder Dienstvereinbarung könne nur dann als besondere Rechtsvorschrift angesehen werden, wenn die Datenerhebung, -verarbeitung und -nutzung ausreichend und präzise innerhalb des Erlaubnisumfangs der gesetzlichen Bestimmungen geregelt und das gesetzliche Schutzniveau nicht unterschritten werde. Wenn ein Arbeitgeber den Beschäftigten die private Nutzung von Internet oder E-Mail erlaube, sei er ihnen gegenüber Telekommunikations- bzw. Telemediendiensteanbieter und zur Einhaltung des Fernmeldegeheimnisses verpflichtet. Es gelten die gleichen Bedingungen wie beim privaten Telefonieren. Der Arbeitgeber sei nicht verpflichtet, den Beschäftigten die private Nutzung des Internets zu erlauben. Entschließe er sich jedoch dazu, müsse es ihm grundsätzlich möglich sein, diese Erlaubnis an einschränkende Voraussetzungen zu knüpfen. Beschäftigte, die diese Beschränkungen nicht akzeptieren wollen, müssten ihre Einwilligung ohne jegliche dienstliche Nachteile verweigern können. Der Umfang der privaten Nutzung, ihre Bedingungen sowie Art und Umfang der Kontrolle, ob und wie diese Be-
1 http://www.bfdi.bund.de/DE/Entschließungen/DSBundLaender/DSBundLaender _node.html. 2 http://www.datenschutz-bayern.de/ unter Veröffentlichungen und Orientierungshilfen. Kranig
415
§ 29
Vermischung von privaten und dienstlichen Daten
dingungen eingehalten werden, müssten unter Beteiligung des Personalrats bzw. Betriebsrats eindeutig geregelt werden. c) Einzelne Datenschutzbehörden 15
In ihren jeweils letzten Tätigkeitberichten haben sich sechs (von 18 möglichen) Datenschutzbehörden mit dem Thema „Private E-Mail- und Internetnutzung am Arbeitsplatz“ aus unterschiedlichen Blickwinkeln auseinandergesetzt.
16
– Bayern, BayLDA1: Soweit keine Trennung von dienstlichen und privaten E-Mails möglich ist (dies wäre bei Einrichtung von zwei getrennten E-Mail-Adressen der Fall), muss auch für die Archivierung von E-Mails bei erlaubter Privatnutzung wegen der hohen Schutzwürdigkeit der Mitarbeiterinteressen eine Einwilligung eingeholt werden. Bei Archivierung auch privater E-Mails ist gegenüber den Absendern nichts veranlasst. Wenn jemand eine private E-Mail an einen dienstlichen E-Mail Account versendet, muss er sich darüber im Klaren sein, dass möglicherweise auch andere Personen als der Adressat die Mail lesen und dass solche Mails auch archiviert werden könnten. E-Mails, die an den Betriebsrat, den Betriebsarzt oder den betrieblichen Datenschutzbeauftragten gerichtet sind, müssen dem Zugriff des Arbeitgebers entzogen bleiben, weil nur so diese Stellen die Vertraulichkeit wahren können, zu der sie verpflichtet sind. Dies muss konsequenterweise nicht nur für den Kommunikationsvorgang, sondern auch für die Archivierung von E-Mails gelten.
17
– Berlin2: Die vollständige Protokollierung des Nutzerverhaltens stellt eine unzulässige Vollkontrolle der Beschäftigten dar. Betriebs- und Dienstvereinbarungen dürfen nicht den Schutz des Bundesdatenschutzgesetzes umgehen. Die Protokollierung anonymisierter Daten externer E-Mail-Domänen und aufgerufener Internetdomänen ist dagegen zulässig. Dabei dürfen die erstellten Protokolle zunächst ausschließlich für Zwecke der Betriebssicherheit gespeichert werden. Das Protokoll kann im Rahmen einer Domäneanalyse der Systemadministration als statistische Aufbereitung der protokollierten anonymen Kontrolldaten monatlich oder aus gegebenem Anlass gesichtet und ausgewertet werden. Zeigt sich bei diesen Auswertungen, dass eine nicht mehr tolerierbare Häufung offensichtlich privater oder unzulässiger IT-Nutzung vorliegt, kann als Stichprobenkontrolle ab dem Zeitpunkt der Feststellung und für die betreffenden Domänen für eine bestimmte, angemessene Dauer pseudonymisiert protokolliert werden. Bestätigen sich die Auffälligkeiten, kann eine Nutzeranalyse stattfinden. Dazu kann eine statistische Aufbereitung der protokollierten
1 http://www.lda.bayern.de/lda/datenschutzaufsicht/lda_taetigkeitsberichte.htm. 2 http://www.datenschutz-berlin.de/content/veroeffentlichungen/jahresberichte.
416
Kranig
§ 29
II. Private E-Mail-Nutzung am Arbeitsplatz
Kontrolldaten angefertigt werden, in der für die betreffenden Domänen und im Zeitraum der Protokollierung die Anzahl der Anrufe bzw. Übertragungsvolumina der pseudonymisierten Nutzenden dargestellt wird. Bevor die Kontrolldaten für die letzte Stufe der personenbezogenen Prüfung herangezogen werden, ist eine Verhältnismäßigkeitsprüfung durchzuführen. So kann z.B. schwerwiegendes vertragswidriges Verhalten oder der Verdacht einer Straftat oder eines Gesetzesverstoßes weitere Überprüfungsmaßnahmen rechtfertigen. Erst danach ist eine Entpseudonymisierung (Herstellung des direkten Personenbezugs) zulässig. Im Anschluss an diese Maßnahmen sind die personenbezogenen Kontrolldaten unverzüglich zu löschen, sofern sie nicht aus Beweissicherungsgründen für etwaige Gerichtsprozesse erforderlich sind. Die Betroffenen sind möglichst frühzeitig anzuhören und auch im Nachhinein über die durchgeführten Maßnahmen zu benachrichtigen. – Brandenburg1: Bei der Organisation von Vertretungsrechten für den 18 E-Mail-Verkehr ist zu beachten, dass die Persönlichkeitsrechte der Mitarbeiter betroffen sein können und die Inhalts- und Adressdaten unter Umständen dem Post- und Fernmeldegeheimnis nach § 88 TKG unterliegen. Hinzu kommt, dass möglicherweise Mitarbeiter im Rahmen von Vertretungszugriffen Kenntnis von personenbezogenen Daten erlangen, die für ihre Aufgabenerfüllung nicht erforderlich sind. Basis für die Regelung von Vertretungszugriffen sind organisatorische Festlegungen (z.B. Dienstanweisungen), die klar definieren, wie mit E-Mails als Kommunikationsmittel im Dienstgeschäft umzugehen ist. Die erste Grundvoraussetzung ist die Klarstellung, ob auch eine private Nutzung des dienstlichen E-Mail-Programms gestattet ist, da die private E-MailKorrespondenz der Mitarbeiter dem Post- und Fernmeldegeheimnis unterliegt. Auch wenn die private Nutzung untersagt ist, ist es möglich, dass der Betroffene – ohne selbst tätig zu werden – private Nachrichten unter seiner dienstlichen E-Mail-Adresse erhält. Diese Tatsache wird bei der Vergabe von Vertreterrechten häufig außer Acht gelassen und unterstellt, dass bei einer rein dienstlichen Nutzung des E-Mail-Programms alle Nachrichten – einschließlich der eingehenden – dienstlichen Charakter haben. Der Vertretungszugriff ist organisatorisch so zu regeln, dass bei Abwesenheit des Empfängers ein fachlich zuständiger Mitarbeiter Einsicht nehmen kann. Ist hierbei erkennbar, dass sich auch private E-Mails im Postfach des Abwesenden befinden, dürfen diese nicht geöffnet werden. – Sachsen-Anhalt2: In einem Fall, in dem der gesamte E-Mail-Eingang 19 einer Behörde durch eine Mitarbeiterin kontrolliert und sortiert wird, ist für die datenschutzrechtliche Beurteilung der E-Mail-Eingangskontrolle zunächst von Bedeutung, ob die private Nutzung der dienst1 http://www.lda.brandenburg.de/cms/detail.php/bb1.c.283823.de. 2 http://www.sachsen-anhalt.de/index.php?id=46053. Kranig
417
§ 29
Vermischung von privaten und dienstlichen Daten
lichen E-Mail-Adresse erlaubt bzw. untersagt ist. Ist nur die dienstliche Nutzung gestattet, spricht aus datenschutzrechtlicher Sicht nichts gegen eine zentrale Poststelle, die die E-Mails an die jeweiligen Mitarbeiter bzw. deren Vertreter oder Abteilungsleiter weiterleitet. Dies wäre vergleichbar mit der Briefpost, die auch in der Poststelle der Behörde geöffnet und verteilt wird. Eine Ausnahme bildet u.a. der Personalrat, dessen E-Mails direkt zugestellt werden. Ist die private Nutzung explizit erlaubt, wird die Behörde gegenüber ihren Mitarbeitern zum Telekommunikationsdiensteanbieter und muss u.a. das Fernmeldegeheimnis gem. § 88 TKG beachten. Dies ist auch der Fall, wenn die private Nutzung nur stillschweigend geduldet wird. Dem Fernmeldegeheimnis unterliegen der Inhalt der Telekommunikation und ihre näheren Umstände, insbesondere die Tatsache, ob jemand an einem Telekommunikationsvorgang beteiligt ist oder war. Aus diesem Grund stellt die Überprüfung von Absender, Empfänger und Betreff der E-Mail durch die zentrale Poststelle bei einer privaten E-Mail schon eine Verletzung des Fernmeldegeheimnisses dar. Um das Fernmeldegeheimnis einschränken zu können, müsste jeder Mitarbeiter schriftlich die Einwilligung erteilen, dass seine eingehenden privaten E-Mails über die zentrale Poststelle an ihn weitergeleitet werden dürfen. Dann stünde immer noch das Fernmeldegeheimnis des Absenders der E-Mail in Frage. Der Landesbeauftragte hat daher empfohlen, die private Nutzung der dienstlichen E-Mail-Adresse in einer Dienstanweisung zu untersagen. 20
– Schleswig-Holstein1: Aufsichtsbehörden und behördliche Datenschutzbeauftragte müssen in einzelnen Fällen auf die persönlichen E-Mail-Postfächer von Beschäftigten zugreifen. Dabei sollte ein transparentes und datensparsames Verfahren angewendet werden. Häufig ist die Nutzung von Internetdiensten und E-Mail nur zu dienstlichen Zwecken im Rahmen des Beschäftigungsverhältnisses erlaubt. Es kann somit erwartet werden, dass in einem E-Mail-Postfach keine relevante Menge privater Kommunikation zu finden ist. Die Betroffenen haben jedoch häufig keine Möglichkeit, den Empfang privater E-Mails zu unterbinden. Es ist somit nicht auszuschließen, dass sich in Einzelfällen private Kommunikation im Postfach befindet. Selbst bei rein dienstlicher Nutzung kann eine E-Mail im Zusammenhang mit besonders zu schützenden Funktionen stehen – z.B. Personalvertretungen, Gleichstellungsbeauftragten, Schwerbehindertenvertretungen, behördlichen Datenschutzbeauftragten – oder besonders geschützte Inhalte haben. Die Einsichtnahme in eine derartige Kommunikation mit privaten Inhalten oder erhöhtem Schutzbedarf darf selbst durch Aufsichts- oder Kontrollorgane nur im Einzelfall nach einer gesonderten Prüfung vorab und insbesondere unter Beteiligung der eventuell betroffenen Funktionsträger erfolgen. Für die Durchführung einer derartigen Kontrolle wird folgendes Vorgehen empfohlen: Vor der Öffnung des 1 https://www.datenschutzzentrum.de/material/tb/.
418
Kranig
§ 29
II. Private E-Mail-Nutzung am Arbeitsplatz
Postfaches sollte festgelegt werden, anhand welcher möglichst konkret festgelegter Kriterien E-Mails zur Einsichtnahme ausgewählt werden, ebenfalls durch möglichst vorab formulierte Ausschlusskriterien ausgeschlossen werden, dass eine Einsichtnahme in erkennbar private E-Mails erfolgt, und geprüft werden, ob die Daten einer funktionierenden Datensicherung unterliegen oder ob andere Mechanismen getroffen wurden, um das Postfach bei einer unerwünschten Änderung während der Prüfung oder bei Automatismen wie z.B. Spamfiltern im Anzeigeprogramm in den Ausgangszustand vor der Prüfung versetzen zu können. Während der Kontrolle sollten die Betroffenen und die Fachvorgesetzten beteiligt werden, und eine schriftliche Protokollierung der beteiligten Personen und jeder Einsichtnahme erfolgen. Hierbei muss jedes Öffnen einer E-Mail explizit nachvollzogen werden können, die Kommunikation mit besonders zu schützenden Funktionsträgern oder schutzwürdigen Inhalten, insbesondere privater Natur, enthält. Danach sollte das erstellte Protokoll von allen Beteiligten unterzeichnet und an die Betroffenen übergeben werden. d) Wertende Zusammenfassung Rechtsvorschriften und Rechtsprechung bieten derzeit noch keine klare 21 Orientierung, wovon bei der privaten Mitnutzung eines dienstlichen E-Mail-Accounts und in abgeschwächter Form des dienstlichen Internetzugangs auszugehen ist. Gute Argumente sprechen im Ergebnis dafür, dass den Entscheidungen der oben genannten LAGe im Ergebnis zu folgen ist. Schon aus dienstlichen Gründen dürfte es sich kaum ein Arbeitgeber leisten können, sich bewusst so zu verhalten, dass er als Telekommunikationsdiensteanbieter betrachtet wird, da er sich dadurch in seinem Organisations- und Kontrollrecht erheblich beschränken würde. Er könnte nicht mehr auf die E-Mail-Kommunikation seiner Mitarbeiter mit Kunden oder Geschäftspartnern seines Unternehmens zugreifen. Telekommunikationsdiensteanbieter wie Telekom, Vodafone, 1&1 oder O2 bieten ihre Dienstleistung in Form eines auf einen externen Vertragspartner bezogenen Internet- oder Telefonanschlusses gegen Entgelt an. Davon unterscheidet sich der Arbeitgeber deutlich, der seinem Mitarbeiter den nicht für private, sondern für dienstliche Zwecke eingerichteten Internet- oder Telefonanschluss zur in der Regel beschränkten und kostenlosen privaten Mitnutzung zur Verfügung stellt. Bei einem Verbot der Privatnutzung ist der Arbeitnehmer nicht rechtlos gestellt. Der Arbeitgeber darf keine regelmäßige und vollständige Kontrolle des tatsächlichen E-Mail-Verkehrs durchführen, da dies zu einer unzulässigen Mitarbeiterüberwachung führen würde. Vorbehalten könnte er sich aber einzelne Zugriffe auf das E-Mail-Postfach des Mitarbeiters, eigene bzw. durch Vertreter des Mitarbeiters. Die Abgrenzung des Herrschaftsbereichs zwischen Telekommunikationsdiensteanbietern und Unternehmen bzw. Mitarbeitern ist nicht so trennscharf möglich, wie es auf den ersten Blick erscheinen mag und wünschenswert wäre. Zu klären ist in Kranig
419
§ 29
Vermischung von privaten und dienstlichen Daten
diesem Zusammenhang, ob der Telekommunikationsvorgang des Übertragens abgeschlossen ist, wenn eine E-Mail auf dem Server des Providers des Unternehmens oder auf dem Rechner des Mitarbeiters abgespeichert ist. Kommt es darauf an, ob die Mail tatsächlich auch abgerufen und geöffnet wurde? Ist es wirklich sinnvoll, einen Herrschaftsbereich über die Verfügung von E-Mails beim Mitarbeiter des Unternehmens anzusiedeln, der Mails möglicherweise auf seinem Arbeitsplatz löschen kann, aber, wenn die Anforderungen des § 9 BDSG mit der Anlage zu § 9 BDSG ordnungsgemäß erfüllt sind, keine Möglichkeit hat, auch auf den Servern der Datensicherung diese Mails zu löschen? Letztere Abgrenzung betrifft zwar nur den unternehmensinternen Bereich, mag aber trotzdem bei der Frage, wie weit das Fernmeldegeheimnis reichen soll, Berücksichtigung finden. 22
Ergänzend zu den obigen Ausführungen im Tätigkeitsbericht des BayLDA ist wohl davon auszugehen, dass derjenige, der eine private E-Mail an den dienstlichen Account eines Mitarbeiters eines Unternehmens oder einer Behörde schickt, davon ausgehen muss, dass diese Mail auch von anderen gelesen werden kann, sei es der Vertreter oder ein Mitarbeiter der IT-Abteilung. Dies bedeutet, dass der Absender dieser Mail damit konkludent sein Einverständnis erklärt und damit der Vertreter, der die Mail öffnet, sich nicht wegen Verletzung des persönlichen Lebens- und Geheimbereichs strafbar macht.
23
Zusammenfassend lässt sich feststellen, dass es einerseits eine erhebliche Unsicherheit über die rechtlichen Voraussetzungen der privaten Mitnutzung eines E-Mail- und Internetzugangs am Arbeitsplatz geben mag, dass es aber andererseits auch in Kenntnis der datenschutzrechtlichen und arbeitsrechtlichen Vorschriften und Rechtsprechung ausreichenden Spielraum gibt, im Rahmen einer Betriebsvereinbarung oder individueller Vereinbarungen Regelungen zu treffen, die den beiderseitigen Interessen von Arbeitgebern und Arbeitnehmer gerecht werden und ein hohes Maß an Rechtssicherheit schaffen können1. Nicht aus den Augen gelassen werden sollte in diesem Zusammenhang, dass es hier nicht „nur“ um eine datenschutz- und telekommunikationsrechtliche Fragestellung geht, sondern Straftatbestände im Hintergrund stehen, die leicht erfüllt werden können. Die in der Kautelarjustiz immer geltende Maxime, in Zeiten des guten Verständnisses sich solche Regelungen zu geben, die im Fall des „worst case“ alle Beteiligten gesichtswahrend verhandlungsfähig bleiben lassen, hat auch für diesen Fall Gültigkeit. Nichts tun ist in diesem Zusammenhang suboptimal.
1 S. dazu die nicht mehr ganz aktuellen, aber dennoch hilfreichen Hinweise des BITKOM: Die Nutzung von E-Mail und Internet im Unternehmen, http:// www.bitkom.org/de/publikationen/38336_50372.aspx.
420
Kranig
§ 29
III. BYOD – Bring Your Own Device
III. BYOD – Bring Your Own Device 1. Lebenssachverhalt In offensichtlich zunehmendem Umfang möchten Arbeitgeber und Ar- 24 beitnehmer private Notebooks, Smartphones oder auch Tablets zu dienstlichen Zwecken mitnutzen (lassen). Die Motivation dafür ist für die beiden Seiten des Arbeitsverhältnisses natürlich ziemlich unterschiedlich. Möchten die Arbeitnehmer die eigenen Geräte einsetzen, weil sie evtl. besser als die vom Arbeitgeber zur Verfügung gestellten sind, weil sie in der Regel relativ aktuell und leistungsfähig sind, weil sie sich mit ihnen auskennen, weil sie ein Stück Freiheit und Flexibilität schaffen, während der Dienstzeit private Dinge zu erledigen und in der Freizeit dienstliche Informationen abzurufen, hat auch die Arbeitgeberseite mögliche Interessen, nämlich insbesondere, dass Arbeitnehmer auch außerhalb der regulären Arbeitszeit für die Kollegen und Chefs des Unternehmens, ggf. aber auch Kunden erreichbar sind. Hinzu kommen sinkender Schulungsbedarf oder Einsparungen bei Beschaffung von Hardund Software. 2. Datenschutzrechtliche Fragestellungen Unabhängig von der Eigentumssituation am Gerät ist davon auszugehen, 25 dass nicht der Beschäftigte (und Eigentümer des Geräts) als natürliche Person, sondern das Unternehmen, soweit es die dienstliche Mitnutzung erlaubt, insoweit verantwortliche Stelle im Sinne des Datenschutzrechts ist1. Für den Umgang mit personenbezogenen Daten ergeben sich dabei keine Unterschiede im Verhältnis zur Nutzung eines vom Arbeitgeber zur Verfügung gestellten stationären Rechners am Arbeitsplatz. Wenn und soweit das Unternehmen den Einsatz privater Geräte verboten hat – und auch erkennbar dieses Verbot durchsetzen möchte – bleibt der Eigentümer, d.h. der Arbeitnehmer, datenschutzrechtlich verantwortliche Stelle2. Die Verpflichtung, die technisch-organisatorischen Maßnahmen nach § 9 BDSG und der Anlage zu § 9 BDSG auf dem Gerät seines Mitarbeiters einzuhalten, stellt den Arbeitgeber aber vor große Herausforderungen. Er muss deshalb sowohl durch rechtliche Verpflichtungen als auch technische Maßnahmen sicherstellen, dass er diesen Anforderungen gerecht werden kann3. Die Erfüllung dieser Verpflichtungen kann mit einer möglicherweise erheblichen Selbstbeschränkung des Eigentümers des Gerätes verbunden sein. So könnte der Arbeitgeber sich in diesem Zusammenhang überlegen, ob die Funktionen des Fotografierens, Musikabspielens, Herunterladens von Apps, Besuch bestimmter Websites, Verbindung mit offenen WLAN-Netzwerken oder offene Bluetooth1 Dammann in Simitis, § 3 BDSG Rz. 26; Jandt/Steidle, CR 2013, 338 ff. 2 Conrad/Schneider, Einsatz von „privater IT“ im Unternehmen, ZD 2011, 153 ff. 3 S. die Handlungsempfehlungen in Jandt/Steidle, CR 2013, 338 ff.; zum Inhalt einer Nutzungsvereinbarung s. Arning/Moos/Becker, CR 2012, 592 ff. Kranig
421
§ 29
Vermischung von privaten und dienstlichen Daten
Nutzung eine Gefährdung der Sicherheit darstellen und deshalb auch für die private Nutzung ausgeschlossen werden sollen. 3. Befassung durch Datenschutzbehörden 26
BYOD ist, wie sich aus der Tatsache ergibt, dass in immerhin sieben (von maximal 18) der letzten Tätigkeitsberichte der Datenschutzaufsichtsbzw. -kontrollbehörden diesem Thema eigene Ausführungen gewidmet haben, auch für die Datenschutzbehörden ein aktuelles Thema. a) Einzelne Datenschutzbehörden
27
Im Folgenden sind die wesentlichen Ausführungen zu BYOD aus den Tätigkeitsberichten in alphabetischer Reihenfolge zusammengefasst: – Bayern, LfD1: Es ist offen, wie auf dem privaten Gerät ausreichende Sicherheitsmaßnahmen getroffen werden können oder wie die Nutzung durch andere Personen, wie z.B. Familienmitglieder und Freunde, unterbunden werden kann. Auch der Austausch von Geräten und die datenschutzgerechte Entsorgung sind für die öffentliche Stelle nicht kontrollierbar. Die Nutzung von Privatgeräten bei der Verarbeitung von personenbezogenen Daten mit besonderem Schutzbedarf ist unzulässig. Im Bereich mit normalem Schutzbedarf kann der Einsatz nach eingehender Einzelfallprüfung zulässig sein, wenn – der Eigentümer des Geräts u.a. verpflichtet wird, vorgegebene Sicherheitsmaßnahmen auf seinem Gerät umzusetzen, – eine Trennung zwischen privaten Anwendungen und Daten sowie dienstlichen Anwendungen und Daten erfolgt, – bei Nutzung von Bluetooth sichergestellt ist, dass der Kommunikationspartner keinen Zugriff auf dienstliche Daten hat, – die Speicherung dienstlicher personenbezogener Daten verschlüsselt erfolgt, – sichergestellt ist, dass alle dienstlichen Daten von dem privaten Gerät gelöscht werden, wenn ein Bediensteter ausscheidet, – bei Verlust des Geräts eine Fernlöschung möglich ist und – arbeitsrechtlich abgeklärt ist, dass die IT-Abteilung auch im Streitfall zwischen Dienstherrn und Mitarbeiter insoweit eine Verfügungsgewalt über das Privatgerät besitzt, dass eine Löschung von dienstlichen Daten sichergestellt werden kann. – Bayern, BayLDA2: Lösungsmöglichkeiten für den datenschutzgerechten Einsatz privater Geräte sind in technischer Hinsicht im Rahmen
1 http://www.datenschutz-bayern.de/. 2 http://www.lda.bayern.de/lda/datenschutzaufsicht/lda_taetigkeitsberichte.htm.
422
Kranig
§ 29
III. BYOD – Bring Your Own Device
einer kontrollierten Geräteverwaltung (Mobile Device Management) und in rechtlicher Hinsicht mit einer detaillierten Regelung der jeweiligen Verantwortlichkeit und Zugriffsmöglichkeit gegeben. Es handelt sich um eine strategische Entscheidung der Geschäftsleitung, die einen nicht zu vernachlässigenden Aufwand an Kosten und Zeit erfordert. – Berlin1: Meist entziehen sich die (Eigentümer der) Privatgeräte dem IT-Management, mit dem der Arbeitgeber die eigenen informationstechnischen Geräte – auch aus Gründen des Datenschutzes – verwaltet und kontrolliert. Ihr Einsatz birgt deshalb auch datenschutzrechtliche und technische Risiken. In der öffentlichen Verwaltung ist daher der Einsatz privater Datenverarbeitungsgeräte bisher prinzipiell untersagt. Vor dem Einsatz privater Geräte zu dienstlichen Zwecken ist im nicht-öffentlichen Bereich eine individuelle Vereinbarung zu treffen, die auf der Freiwilligkeit beider Seiten basiert. Beschäftigte dürfen nicht zur dienstlichen Verwendung privater Geräte verpflichtet werden. Ausgangspunkt der Überlegungen ist, dass auch bei der Verarbeitung personenbezogener Daten auf privaten Geräten das Unternehmen die verantwortliche Stelle im Sinne des Datenschutzrechts bleibt. BYOD ist grundsätzlich auch dazu geeignet, Verhalten und Arbeitsweise der Beschäftigten zu überwachen, so dass sich insoweit, falls vorhanden, ein Mitbestimmungsrecht des Betriebsrats ergibt. In der Vereinbarung sind insbesondere Regelungen vorzusehen über zu treffende Sicherheitsvorkehrungen, Zugriff des Arbeitgebers auf dienstliche Daten in Verbindung mit der Sicherstellung des Nichtzugriffs auf private Daten, Verpflichtung zur Löschung nicht mehr erforderlicher Daten, Maßnahmen bei Verlust des Gerätes einschließlich Möglichkeit der Fernlöschung (auch privater Daten?), Meldepflicht bei Verlust des Gerätes, Verbot der Nutzung des privaten Gerätes durch Dritte, zuständige Stelle für Reparatur- und Wartungsarbeiten, Kostenregelung, Laufzeit der Vereinbarung mit Regelung über Rückgabe der Daten, Zulässigkeit des Herunterladens weiterer Apps und nicht zuletzt Verschlüsselung der Daten. – Bremen2: Die Organisationen können in der Regel keine administrative Hoheit über das Endgerät selbst und damit über die dort konfigurierten Sicherheitsmaßnahmen erhalten. Personenbezogene Daten, für die die Organisation verantwortlich ist, werden also plötzlich in einem potentiell unsicheren, weil nicht kontrollierbaren Umfeld genutzt und verarbeitet. Somit ist von BYOD-Bestrebungen abzusehen. – Mecklenburg-Vorpommern3: Die „Bring-Your-Own-Device“-Strategie führt zu erheblichen Sicherheitsrisiken und ist eine schwere Aufgabe für verantwortliche Abteilungen der öffentlichen Verwaltung. In kei1 http://www.datenschutz-berlin.de/content/veroeffentlichungen/jahresberichte. 2 http://www.datenschutz.bremen.de/sixcms/detail.php?gsid=bremen236.c.7242. de. 3 http://www.lfd.m-v.de/datenschutz/publikationen/tb.html. Kranig
423
§ 29
Vermischung von privaten und dienstlichen Daten
nem Fall sollten die Geräte ohne geeignete Administrationsumgebungen eingesetzt werden, die einerseits eine klare Trennung zwischen dienstlicher und privater Nutzung ermöglichen und andererseits die Administrationsmöglichkeiten der Nutzer wirkungsvoll verhindern oder zumindest erheblich einschränken. Die Einbindung solcher Geräte in Cloud-Strukturen ist ebenfalls nur unter sehr eingeschränkten Möglichkeiten denkbar. – Saarland1: Es sind Strategien für den Fall des Verlustes des Gerätes festzulegen. Dienstliche Daten müssen vom jeweiligen Gerät entfernbar sein, ohne die privaten Daten anzutasten. Das heißt, dass eine getrennte Datenhaltung z.B. durch sog. Containerlösungen zu implementieren ist. Dabei ist auf die Einhaltung des Fernmeldegeheimnisses zu achten. – Schleswig-Holstein2: Ein angemessener Schutz der Daten kann nicht allein durch organisatorische Maßnahmen wie Dienstanweisungen oder vertragliche Vereinbarung zum ordnungsgemäßen Umgang mit den Daten und Geräten erreicht werden Eine BYOD-Strategie mit einem Konzept und technischer Hinterlegung ist erforderlich, wobei – vor dem ersten BYOD-Einsatz – die Zugriffsrechte, -wege und -bedingungen verbindlich und kontrollierbar festgelegt werden müssen. Die sicherste Umsetzung von BYOD ist die Realisierung einer Terminallösung, bei der die Daten über eine sichere Verbindung lediglich auf dem privaten Gerät angezeigt werden. Hierbei behält der Arbeitgeber alle Möglichkeiten der Kontrolle. Die Daten werden weiterhin nur intern gespeichert und verarbeitet. Die Zugriffsberechtigungen können jederzeit gelöscht und Verbindungsversuche von fremden oder tatsächlich bzw. potentiell infizierten privaten Geräten technisch unterbunden werden. b) Wertende Zusammenfassung 28
Die Ausführungen in den Tätigkeitsberichten beinhalten eine große Bandbreite der Entscheidungsmöglichkeiten von „jedenfalls im öffentlichen Bereich unzulässig“, „soweit mit sensiblen Daten i.S.d. § 3 Abs. 9 BDSG oder der entsprechenden Regelungen in den Landesdatenschutzgesetze umgegangen werden soll, unzulässig“, „grundsätzlich abzulehnen“ bis „als bewusste strategische Entscheidung der Geschäftsleitung mit nicht zu vernachlässigendem Aufwand an Kosten und Zeit zu verwirklichen“. Unabhängig davon, ob es im öffentlichen Bereich auf eine Beanstandung oder im nicht-öffentlichen Bereich auf eine Anordnung nach § 38 Abs. 5 BDSG hinauslaufen könnte, dürfte man bei der Kontrolle des datenschutzkonformen Einsatzes der „own devices“ durch die Datenschutzbehörden an Grenzen stoßen, wenn z.B. eine Datenschutzaufsichtsbehörde unter Bezugnahme auf § 38 Abs. 4 Satz 2 BDSG Daten1 http://www.lfdi.saarland.de/index.php/publikationen/taetigkeitsberichte. 2 https://www.datenschutzzentrum.de/material/tb/.
424
Kranig
§ 29
III. BYOD – Bring Your Own Device
verarbeitungsprogramme auf einem gemischt genutzten Gerät einsehen und die Einhaltung der Regelungen in § 9 BDSG und der Anlage dazu prüfen möchte und der betroffene Mitarbeiter bzw. Eigentümer dieses Gerätes sich unter Bezugnahme auf die auch zulässige Privatnutzung weigert, diese Einsicht bzw. Überprüfung zu ermöglichen1. Wenn Arbeitgeber oder Datenschutzbeauftragte ihren Kontrollpflichten 29 bei privaten Geräten nachkommen wollen, stehen sie vor einer schwierigen Situation. Der Mitarbeiter kann sich bezüglich seines Geräts auf seine Grundrechte auf Eigentum, Schutz des Persönlichkeitsrechts und auch das Recht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme berufen. Ein unmittelbares tatsächliches Zugriffsrecht des Arbeitgebers oder Datenschutzbeauftragten besteht somit nicht. Kontrollmöglichkeiten können deshalb lediglich in Form einer vertraglichen Vereinbarung geschaffen werden. Sollte die Einhaltung und Kontrolle der erforderlichen technisch-organisatorischen Maßnahmen zweifelhaft oder nicht möglich sein, bzw. auch in Abhängigkeit zur Sensibilität der Daten, die auf den privaten Gerät verarbeitet werden sollen, eine angemessene Zugriffs- und Kontrollmöglichkeit nicht bestehen, bleibt dem Arbeitgeber als verantwortlicher Stelle nichts anderes übrig als die Datenverarbeitung durch den Mitarbeiter auf dessen privatem Gerät zu untersagen. Die Tatsache, dass ein Verstoß des Arbeitgebers als verantwortlicher Stelle gegen die Anforderungen des § 9 BDSG nicht bußgeldbewehrt ist, sollte ihn nicht veranlassen, diese Anforderungen eher locker zu sehen, da ihn bei einer Datenpanne i.S.d. § 42a BDSG die bußgeldbewehrte „richtige, vollständige und rechtzeitige“ Meldepflicht trifft und er sich im Übrigen bei Vorliegen der entsprechenden Voraussetzungen auch einem Schadensersatzanspruch nach § 7 BDSG ausgesetzt sehen kann. Zusammenfassend lässt sich bezüglich des Einsatzes privater Geräte zur 30 Datenverarbeitung zu dienstlichen Zwecken feststellen, dass alle Datenschutzaufsichtsbehörden auf erhebliche rechtliche und technische Herausforderungen hinweisen und die Empfehlung aussprechen, klare Regelungen für den Einsatz privater Smartphones, Notebooks und/oder Tablets zu dienstlichen Zwecken zu treffen. Wenn öffentliche Dienststellen und private Unternehmen nicht das Risiko eingehen wollen, dass durch Nichtstun möglicherweise eine betriebliche Übung entsteht, wäre es zunächst dringend angeraten, eine dienstliche (Mit-)Benutzung privater Geräte zu verbieten. Wenn an eine Erlaubnis gedacht werden soll, ist in rechtlicher Hinsicht eine Dienst- oder Betriebsvereinbarung, gegebenenfalls auch eine Individualvereinbarung mindestens über die oben angesprochenen Punkte abzuschließen. Ferner stellen sich gravierende Rechtsfragen aus dem Zivilrecht (Herausgabe bei unzulässiger Nutzung, Haftung bei Verlust), dem Urheberrecht (Nutzungsrechte für Software), Telekommunikationsrecht (Netzzugang durch Arbeitgeber), Betriebsver1 So auch Conrad/Schneider, ZD 2011, 153 ff. Kranig
425
§ 29
Vermischung von privaten und dienstlichen Daten
fassungsrecht (Mitbestimmung), Handelsrecht (Aufbewahrungspflicht) und nicht zuletzt dem Strafrecht (Ausspähen und Abfangen von Daten, Geheimnisverrat, Datenveränderung). Parallel dazu ist in technischer Hinsicht das entsprechende Gerät so auszustatten bzw. zu programmieren, dass eine getrennte Datenhaltung für die privaten und dienstlichen Nutzungsbereiche auf dem jeweiligen Gerät sichergestellt ist1. Ohne dass in diesem Rahmen näher auf technische Anforderungen für BYOD eingegangen werden soll, soll dennoch auf die „Technische(n) und organisatorische(n) Anforderungen an die Trennung von automatisierten Verfahren bei der Benutzung einer gemeinsamen IT-Infrastruktur – Orientierungshilfe Mandantenfähigkeit –“ der Datenschutzkonferenz vom 11.10.2012 hingewiesen werden2. Die dort enthalten Überlegungen mögen für die datenschutzkonforme Gestaltung von BYOD durchaus heranzuziehen sein. 31
Wie auch bei der privaten E-Mail-Nutzung am Arbeitsplatz gilt auch hier, dass Nichtstun mindestens suboptimal ist.
IV. Fazit 32
Die Interessen an einer gemischten Nutzung von E-Mail und Internet am (stationären) Arbeitsplatz in einer Dienststelle im öffentlichen Bereich oder bei einem privaten Unternehmen verlaufen ebenso wie die Interessen an einer gemischten Nutzung eines Laptops, Smartphones oder Tablets im Eigentum eines Bediensteten oder Arbeitnehmers zu privaten und dienstlichen Zwecken zum Teil gegenläufig, zum Teil aber auch durchaus parallel. Bedingt durch die sehr unterschiedlichen rechtlichen Anforderungen im Datenumgang im privaten und im nicht-privaten Bereich erfordert die Zulassung dieser gemischten Nutzung eine genaue rechtliche Regelung und spezifische technische Maßnahmen. Diese hängen auch von der Art der betroffenen Daten ab und dürften insbesondere im Umgang mit sensitiven Daten i.S.d. § 3 Abs. 9 BDSG ggf. auch unter Berücksichtigung der Anforderungen des § 203 StGB zu derzeit noch weitgehend unlösbaren Problemen führen. Die Anforderungen an eine rechtlich und technisch einwandfreie Lösung für die gemischte Nutzung von E-Mail und Internet am stationären Arbeitsplatz sind überschaubar und lösbar, für den Einsatz eigener Geräte zu dienstlichen Zwecken im Zweifel aber mit einem so hohen Aufwand bei der Einrichtung und Wartung und dem Risiko der beschränkten Kontrollmöglichkeiten verbunden, dass sich dieser wohl nur in besonderen Einzelfällen rechnen dürfte. Die Verantwortung und Entscheidung darüber obliegt uneingeschränkt der Behörden- bzw. Unternehmensleitung.
1 S. dazu Leitfaden des BITKOM, http://www.bitkom.org/de/themen/50792_ 75275.aspx. 2 http://www.lda.bayern.de/lda/datenschutzaufsicht/lda_fachthemen.htm.
426
Kranig
§ 29
IV. Fazit
Sicher mag es für den Einzelnen bequem sein, Arbeit und private Interes- 33 sen mit nur einem Gerät erledigen zu können. Für die Einhaltung des Datenschutzes dürfen aber nicht die Bequemlichkeit des Nutzers, sondern die notwendigen Anforderungen an den Schutz der Grundrechte der Betroffenen das Maß der Dinge sein. Solange es keine technisch ausgereiften Produkte gibt, die diesen Anforderungen zweifelsfrei Rechnung tragen, sollten man den Empfehlungen der Datenschutzbehörden Folge leisten und im Zweifel die Möglichkeit des BYOD in den Dienststellen und Unternehmen (noch) nicht zulassen.
Kranig
427
§ 30 Kundendaten in CRM und Data Warehouse Rz. I. Einführung: Der Schutz von Kundendaten . . . . . . . . . . . . . . . . . 1. Wo spielt der Kundendatenschutz im Unternehmen eine Rolle? . . . . . . . . . . . . . . . . . . . 2. Welche datenschutzrechtlichen Fragen ergeben sich? Ein Überblick über die Darstellung . . . . . . II. Wichtige datenschutzrechtliche Hintergründe . . . . . . . . . . . . . . . . . 1. Welche Datenschutzgesetze kommen zur Anwendung? . . . . . . 2. Das Verbotsprinzip, die Zerteilung in Einzelschritte und die Zweckbindung. . . . . . . . . . . . . . . . 3. Die datenschutzrechtlichen Begleitpflichten . . . . . . . . . . . . . . . 4. Checkliste . . . . . . . . . . . . . . . . . . . III. CRM-Systeme und Datenschutz . 1. Was sind CRM-Systeme? . . . . . . . 2. CRM-Systeme: Welche datenschutzrechtliche Erlaubnis greift? . . . . . . . . . . . . . . . . . . . . . . . a) Das „Befüllen“ des CRM-Systems (§ 28 Abs. 1 Satz 1 Nr. 1 BDSG) . . . . . . . . . . . . . . . . . . . . b) Die Nutzung der gespeicherten Daten zur Vertragserfüllung (§ 28 Abs. 1 Satz 1 Nr. 1 BDSG) . . . . . . . . . . . . . . . . . . . . c) Das Durchführen von Analysen, Auswertungen etc. (§ 3 Abs. 5 BDSG) . . . . . . . . . . . 3. CRM-Systeme: Welche datenschutzrechtlichen Begleitpflichten gelten? . . . . . . . . . . . . . . . . . . . a) Verbot der automatisierten Einzelentscheidungen, § 6a BDSG . . . . . . . . . . . . . . . . . b) Technische und organisatorische Schutzmaßnahmen, § 9 BDSG . . . . . . . . . . . . . . . . . . c) Auftragsdatenverarbeitung, § 11 BDSG . . . . . . . . . . . . . . . . . d) Zweckfestlegung, § 28 Abs. 1 Satz 2 BDSG . . . . . . . . . . . . . . . e) Weitere Unterrichtungspflichten, § 33 BDSG . . . . . . . . f) Löschpflichten, § 35 BDSG . . . 4. Die Nutzung von CRM-Systemen und § 7 UWG. . . . . . . . . . . . .
428
Selk
1 1 9 22 23 29 36 40 42 42 46 50
54 57 91 96 99 105 106 107 110 114
Rz. IV. Data Warehouse-Systeme, Business Intelligence und Datenschutz. . . . . . . . . . . . . . . . . . 1. Datenschutzrechtliche Beurteilung und die Unterschiede zu CRM-Systemen . . . . . . . . . . . . . . . 2. Pseudonyme und anonyme Daten als Lösung? . . . . . . . . . . . . . a) Anonyme Daten . . . . . . . . . . . . b) Pseudonyme Daten . . . . . . . . . . c) Sonderfrage: Pseudonymisierung innerhalb einer verantwortlichen Stelle möglich? . . . . . . . . . . . . . . . . . . d) Kritik . . . . . . . . . . . . . . . . . . . . . V. Löschen von Daten – eine (un-)mögliche Vorgabe?. . . . . . . . . 1. Überblick . . . . . . . . . . . . . . . . . . . . 2. Was heißt dies für CRM- und Data Warehouse-Systeme? . . . . . . 3. Gibt es Lösungen? . . . . . . . . . . . . . 4. Ungelöste Probleme . . . . . . . . . . . a) Datenverknüpfungen . . . . . . . . b) Datenkonsistenz . . . . . . . . . . . . 5. Pseudonymisieren/Anonymisieren als Lösung zum Löschen? . . . . 6. Einwilligung als Lösung? . . . . . . . 7. Fazit zum Löschen . . . . . . . . . . . . VI. Konzernweiter Zugriff auf Kundendatenbanken . . . . . . . . . . . 1. Gründe für einen konzernweiten Zugriff/Fehlen eines Konzernprivilegs . . . . . . . . . . . . . . . . . . . . . 2. Datenschutzrechtliche Lösungen a) Lösung über die Auftragsdatenverarbeitung nach § 11 BDSG . . . . . . . . . . . . . . . . . b) Vorliegen einer Übermittlung . aa) Legitimation über eine Einwilligung . . . . . . . . . . . . bb) Legitimation über eine gesetzliche Erlaubnis . . . . . c) Wichtige Prüfpunkte/Prüfschema . . . . . . . . . . . . . . . . . . . .
115 115 125 127 133
143 149 153 153 170 178 190 191 199 206 225 239 243 243 254 255 261 262 267 282
VII. Datenklau – Wenn durch eigene Mitarbeiter Kundendaten gestohlen werden . . . . . . . . . . . . . . . 283 1. Datenklau – ein Überblick über die relevanten Normen . . . . . . . . . 283 2. Exemplarisch: Die Regelungen aus dem BDSG dazu . . . . . . . . . . . 288
§ 30
I. Einfhrung: Der Schutz von Kundendaten Rz.
Rz.
a) Überblick. . . . . . . . . . . . . . . . . . 288 b) Ordnungswidrigkeits-Tatbestände . . . . . . . . . . . . . . . . . . . 296
c) Straftatbestände . . . . . . . . . . . . 307 3. Fazit zu den Sanktionen . . . . . . . . 313
I. Einführung: Der Schutz von Kundendaten 1. Wo spielt der Kundendatenschutz im Unternehmen eine Rolle? Aus jeder Vertragsbeziehung und -abwicklung mit Kunden entstehen 1 Daten über den Kunden und den mit dem Kunden abgeschlossenen Vertrag, also Abschlusszeitpunkt, Ansprechpartner, bezogene Waren oder Dienstleistungen, Zahlungsfristen, aber auch Informationen, wie z.B. „hat pünktlich und gut bezahlt“ etc. Diese Daten und Informationen resultieren direkt aus einer vertraglichen Beziehung und liegen daher zwingend vor1. Daneben fallen die Daten an, die sich aus der Kommunikation und Inter- 2 aktion mit dem Kunden ergeben, also etwa die Notizen von Telefonaten, Beschwerden usw. Auch diese haben oft noch vertraglichen Charakter, etwa wenn es um die Beschwerde betreffend eines Mangels geht, der zu beheben ist. Daneben wird meist erheblicher Aufwand betrieben, um seine Kunden 3 (noch) besser zu kennen. Ziel ist es, die Kunden mit diesem Wissen gezielter ansprechen und bewerben zu können. Im Extremfall geht es um eine auf einen einzelnen Kunden bezogene und nur auf dessen Interessen abgestimmte Werbung, wofür sich der Begriff „One-to-One-Marketing“ eingebürgert hat2: Dazu werden Kundenprofile gebildet, die man durch Sammeln von Kundendaten erhält, und zwar durch die Definition von Kundensegmenten und Anreicherung dieser Daten aus weiteren Quellen3. Im Internetbereich können etwa sehr genaue Nutzungsprofile von Websei- 4 tenbesuchern angelegt und darüber Aussagen getroffen werden, für welche Produkte sich ein Kunde möglicherweise noch interessiert, auch wenn er im Moment nur ein anderes Produkt kauft, was er für Präferenzen hat, etc. Diese Informationen zu und von Kunden sind heiß begehrt, da sie für ein 5 Unternehmen einen echten wirtschaftlichen Mehrwert darstellen kön1 So muss jeder Vertragspartner mindestens über die essentialia negotii verfügen, also sowohl sein Gegenüber als auch Namen und Anschrift seines Vertragspartners kennen, aber zwingend auch, was Leistungsinhalt ist. Daneben fallen aber oft noch zahlreiche weitere Daten an, die alle auf den Vertragspartner und damit personenbezogen nach § 3 Abs. 1 BDSG sind: Bankdaten bei einer Abbuchungsermächtigung, Kreditkartendaten bei einer entsprechenden Bezahlung, abweichende Lieferanschriften etc. 2 Dieser Begriff hat sich um die Jahrtausendwende eingespielt, s. dazu auch Ihde, CR 2000, 110 ff. 3 So Wikipedia zum Begriff „One-to-One-Marketing“ (www.wikipedia.de). Selk
429
§ 30
Kundendaten in CRM und Data Warehouse
nen. Zugleich haben diese zusätzlichen Daten nichts oder zumindest nicht unmittelbar mit einer gegebenenfalls erfolgenden Vertragserfüllung zu tun. 6
Mit beiden Datenkategorien gibt es im Unternehmen vielfältige Berührungspunkte: Die Daten aus Verträgen spielen etwa nicht nur für die eigentliche Vertragsdurchführung eine Rolle, sondern auch handels- und steuerrechtlich, wenn es um die Einhaltung der gesetzlichen Aufbewahrungsfristen nach HGB1 oder AO2 geht3.
7
Um aus den Vertragsdaten, aber auch den genannten weiteren Kundendaten möglichst viel Nutzen ziehen zu können, müssen diese gesammelt, gespeichert und ausgewertet werden, um darüber Muster zu erkennen, bestimmte Verhaltensweisen vorauszusehen und darauf reagieren zu können, aber auch um möglichst realistisch Interessen zu erahnen, um die Werbung darauf auszurichten. Dieses umfängliche Sammeln und Aufbewahren von Daten wird als „data mining“ bezeichnet4.
8
Dabei stellen sich spannende datenschutzrechtliche Fragen, von denen einige wichtige im Folgenden näher betrachtet werden5. 2. Welche datenschutzrechtlichen Fragen ergeben sich? Ein Überblick über die Darstellung
9
Alle Kundendaten, die im Laufe des Geschäftslebens mit einem bestimmten Kunden anfallen oder zu diesem gesammelt werden, werden in der Regel zu diesem Kunden in dessen Profil gespeichert. Die Software, in der dies erfolgt, ist üblicherweise sog. „CRM-Software“6.
10
Daraus kann und soll die komplette Kunden-Historie über viele Jahre hinweg nachvollzogen werden, was wertvolle Hinweise zum Kunden liefern kann. Zugleich wird versucht, durch statische Methoden die Erkenntnisse zu einem Kunden auf anderen Kunden mit ähnlichen Verhaltensweisen zu übertragen. Je mehr an Kunden und Kundendaten ein Unternehmen dabei zur Verfügung hat, desto besser lassen sich solche Vorhersagen errechnen und anwenden.
11
Ist dies datenschutzrechtlich zulässig? Welche datenschutzrechtlichen Begleitpflichten gelten für die „Verdatung“ von Kunden in einem CRM-
1 S. etwa § 257 HGB: Dort sind zehn- wie auch sechsjährige Aufbewahrungsfristen definiert. 2 S. hier § 147 AO. Dort sind ähnliche Fristen festgelegt. 3 Es gibt zahlreiche weitere Aufbewahrungsfristen und -pflichten, die nicht übersehen werden dürfen und oft branchenspezifisch sind. 4 S. dazu auch www.wikipedia.de zum Begriff „Data mining“. 5 Eine erschöpfende Betrachtung würde den Rahmen dieses Beitrags sprengen. 6 Customer Relationship Management, also Kundenbindungsmanagement-Software, s. dazu im Detail unten Kapitel III.
430
Selk
§ 30
I. Einfhrung: Der Schutz von Kundendaten
System? Wie lange darf man in CRM-Systemen personenbezogene Daten von Kunden aufbewahren? Das CRM-System stellt meist das sog. operative System dar, also dasjeni- 12 ge, mit dem täglich „live“ von den Mitarbeitern gearbeitet wird und mit dem die laufenden Aufgaben erfüllt werden. Aus Performance-, aber auch aus Sicherheitsgründen eignet es sich daher 13 nur begrenzt, um – oft sehr rechenintensive – Auswertungen darüber laufen zu lassen. Deswegen werden die Daten aus einem solchen operativen System meist in ein zweites System gespiegelt, in dem dann die Auswertungen gefahren werden. Dieses zweite System wird in der Regel als „Data Warehouse“ bezeichnet, also als großer Speicherort, in dem möglichst alle Kundendaten auf möglichst lange Zeit vorgehalten werden (sollen), um daraus Erkenntnisse gewinnen zu können. Die Disziplin, die sich mit dem Erkennen von Mustern, Zusammenhän- 14 gen, Abhängigkeiten, Vorhersagen zum Kundenverhalten etc. beschäftigt, wird oft „Customer Insight“ genannt, auch der Bereich der „Business Intelligence“ beschäftigt sich intensiv damit1. Ist es zulässig, eine solche zweite Datenbank zu haben? Welche Auswer- 15 tungen sind dort zulässig? Hilft es, wenn die Daten dort nur pseudonymisiert2 vorliegen oder gar nur anonymisiert3? Welche Löschfristen gelten dort? Beider Systeme bedient sich dann der Marketingbereich, um konkrete 16 Werbemaßnahmen zu planen, also etwa bestimmte Kunden zu segmentieren und nur diesen ein auf diese speziell zugeschnittenes Produkt anzubieten. Darüber sollen Streuverluste und damit Kosten vermieden und die Erfolgsquote erhöht werden. Rechtlich kompliziert wird die Sache, wenn in einem Konzern oder einer 17 Unternehmensgruppe, die aus mehreren selbständigen Gesellschaften besteht, alle ihre Kundendaten in nur einen großen Datenpool geben, auf den auch alle anderen Konzernunternehmen zugreifen sollen. Bekanntlich gibt es im deutschen Datenschutzrecht kein Privileg, inner- 18 halb einer Unternehmensgruppe oder eines Konzerns erleichtert perso1 Der Oberbegriff dürfte – die Begriffe sind unscharf und werden nicht einheitlich verwendet – das bereits genannte „Data Mining“ sein. 2 Der Gesetzgeber definiert in § 3 Abs. 6a BDSG das „Pseudonymisieren“ als „das Ersetzen des Namens und anderer Identifikationsmerkmale durch ein Kennzeichen zu dem Zweck, die Bestimmung des Betroffenen auszuschließen oder wesentlich zu erschweren.“ 3 In § 3 Abs. 6 BDSG ist das Anonymisieren definiert als „das Verändern personenbezogener Daten derart, dass die Einzelangaben über persönliche oder sachliche Verhältnisse nicht mehr oder nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können.“ Selk
431
§ 30
Kundendaten in CRM und Data Warehouse
nenbezogene Daten austauschen zu dürfen1: Vielmehr wird datenschutzrechtlich jedes andere Konzernunternehmen als „fremd“ angesehen, unabhängig davon, ob es die Muttergesellschaft, Tochtergesellschaft oder ein sonstiges zur Gruppe oder Konzern gehörendes Unternehmen ist2. 19
Wie kann dies datenschutzrechtlich gelöst werden? Was gilt für Unternehmen, die grenzüberschreitend tätig werden?
20
Während es bei vorgenannten Fragen darum geht, wie das Unternehmen mit Kundendaten umgehen darf, gibt es auch eine Kehrseite der Medaille: Viele und gut strukturierte Kundendaten stellen einen erheblichen Wert dar, der entsprechende Begehrlichkeiten wecken kann. In letzter Zeit häufen sich daher die Fälle, in denen es zum „Diebstahl“ von Kundendaten kommt und zwar durch eigene Mitarbeiter – die oft umfänglichen Zugriff darauf haben.
21
Wie ist dies zu bewerten – zivil-, straf- und datenschutzrechtlich?
II. Wichtige datenschutzrechtliche Hintergründe 22
Um die aufgeworfenen Fragen klären zu können, ist ein kurzer Blick auf die wichtigsten insofern geltenden datenschutzrechtlichen Regelungen zu werfen: 1. Welche Datenschutzgesetze kommen zur Anwendung?
23
Es gibt nicht nur ein Datenschutzgesetz, sondern die datenschutzrechtlichen Regelungen sind verteilt. Dabei gilt der Grundsatz, dass etwaige bereichsspezifische Gesetze vorgehen, was für den Bereich des Internets oder „mobile Apps“ das TMG ist, ist für den Bereich der Telekommunikation das TKG.
24
Subsidiär kommt das BDSG zur Anwendung, das zugleich das „Hauptgesetz“ im Datenschutzrecht darstellt3.
25
Im Kundendatenbereich bewegt man sich meist im BDSG und TMG. Das Verhältnis beider Gesetze zueinander ist nicht klar geregelt; Fragen stellen sich aber auch nur, wenn es auch um Internetsachverhalte geht, also etwa die Frage, welches Gesetz für die in einem Online-Formular einzugebenden Daten samt etwaiger Registrierungsdaten gilt. 1 Vgl. dazu Gola/Schomerus, BDSG, § 27 Rz. 4 und Simitis in Simitis, BDSG, § 4c Rz. 61, jeweils m.w.N. 2 S. dazu auch genauer unten Kapitel VI. Rechtlicher Hintergrund ist die spezielle Definition des „Dritten“ nach § 3 Abs. 8 BDSG. 3 Daneben gibt es noch weitere zahlreiche datenschutzrechtliche Normen, etwa im Sozial- oder Medizinbereich, auf deren Darstellung hier aber verzichtet wird. Bei dortigen Datenbanksystemen sind diese Sondernormen aber dann entsprechend zu beachten.
432
Selk
§ 30
II. Wichtige datenschutzrechtliche Hintergrnde
Nach dem Wortlaut der entsprechenden Normen im TMG und dessen An- 26 wendungsvorrang gilt dieses vorrangig für die in § 14 TMG definierten Bestandsdaten sowie die in § 15 TMG definierten Nutzungsdaten1. Als Bestandsdatum zählen beispielsweise die Registrierungsdaten (Login, Passwort etc.), als Nutzungsdaten die bei der Nutzung eines Internetdienstes anfallenden Daten, also die IP-Adresse, der Zeitpunkt eines Logins etc. Was ist aber mit den eigentlichen Inhaltsdaten? Da im TMG nicht gere- 27 gelt, gilt für diese ergänzend das BDSG2. Inhaltsdaten sind dabei all diejenigen Daten, die mit Hilfe eines Telemediendienstes übermittelt werden, um die durch den Teledienst begründeten Leistungs- und Rechtsverhältnisse zu erfüllen3. Die Kategorie „Kundendaten“ gibt es dagegen im Gesetz nicht. Vielmehr 28 ist jeweils zu fragen und zu klären, ob ein Kundendatum ein Bestands-, Nutzungs-, Inhaltsdatum oder ein sonstiges personenbezogenes Datum ist und nach vorgenannten Kriterien zu bestimmen, ob für die geplante Erhebung oder Verwendung das TMG oder das BDSG gilt. 2. Das Verbotsprinzip, die Zerteilung in Einzelschritte und die Zweckbindung Die grundlegende und derzeit alles bestimmende Regelung sowohl im 29 TMG wie auch BDSG ist das sog. Verbotsprinzip, § 12 Abs. 1 TMG und § 4 Abs. 1 BDSG: Danach ist jede Erhebung, Verarbeitung oder Nutzung von personenbezo- 30 genen Daten verboten, wenn nicht entweder ausnahmsweise über eine darauf gerichtete Einwilligung des Betroffenen oder eine gesetzliche Erlaubnis legitimiert, die die geplante Datenverarbeitung erfasst. Hintergrund dieses strengen Regelungsmechanismus ist der Umstand, 31 dass der Datenschutz schon seit dem Volkszählungsurteil des BVerfG4 ein grundrechtsgleiches Recht darstellt, also die Verarbeitung von personenbezogenen Daten (durch den Staat) quasi einen Grundrechtseingriff darstellt5. Das BVerfG spricht dabei vom „Recht auf informationelle Selbstbestimmung“6. 1 Spindler/Schuster sprechen davon, dass das TMG nur den Datenschutz hinsichtlich der Daten, die im Zusammenhang mit der Durchführung der Telemediendienste erhoben oder verwendet werden, regelt, Recht der elektronischen Medien, § 12 Rz. 4. 2 Spindler/Schuster, Recht der elektronischen Medien, § 12 Rz. 4; Roßnagel, Kap. 7.9 Rz. 59; Spindler/Schmitz/Geis/Schmitz, TMG, § 3 TDDSG Rz. 8. 3 Spindler/Schuster, Recht der elektronischen Medien, § 12 Rz. 4; Roßnagel, Kap. 7.9 Rz. 59; Spindler/Schmitz/Geis/Schmitz, TMG, § 3 TDDSG Rz. 8. 4 BVerfG v. 15.12.1983 – 1 BvR 209/83, NJW 1994, 419 ff. 5 Daneben ist der „Schutz personenbezogener Daten“ in Art. 8 nunmehr ausdrücklich in die EU-Grundrechtscharta aufgenommen worden, in dem in Abs. 2 ebenfalls das Verbotsprinzip geregelt ist. 6 BVerfG v. 15.12.1983 – 1 BvR 209/83, NJW 1994, 419 ff. Selk
433
§ 30
Kundendaten in CRM und Data Warehouse
Der Datenschutz hat – insofern ist der Begriff des „Datenschutzes“ durchaus missverständlich – primär nicht den Schutz der Daten zum Inhalt. Schutzsubjekt sind vielmehr natürliche Personen, die vor einer übermäßigen Verdatung geschützt werden sollen. Der bessere Begriff wäre daher „Verdatungsschutz“1. 32
Im Datenschutzrecht ist es zudem so, dass ein bestimmter Datenverarbeitungsprozess in gesetzlich genau definierte Einzelschritte zu zerlegen ist, vgl. § 3 Abs. 3–5 BDSG:
33
Die einzelnen Schritte sind das – Erheben (§ 3 Abs. 3 BDSG), – Verarbeiten in Form des – Speicherns (§ 3 Abs. 4 Nr. 1 BDSG), – Veränderns (§ 3 Abs. 4 Nr. 2 BDSG), – Übermittelns (§ 3 Abs. 4 Nr. 3 BDSG), – Sperrens (§ 3 Abs. 4 Nr. 4 BDSG) und – Löschens (§ 3 Abs. 4 Nr. 5 BDSG), – Nutzen – was der „Rest“ ist von dem, was kein „Erheben“ oder „Verarbeiten“ ist (§ 3 Abs. 5 BDSG).
34
Jeder einzelne Einzelschritt ist verboten, wenn nicht genau dieser Einzelschritt erlaubt ist, also speziell dafür eine darauf gerichtete Einwilligung vorliegt oder eine gesetzliche Erlaubnis.
35
Wenn dann „ausnahmsweise“ personenbezogene Daten erhoben oder verwendet werden dürfen, dann darf dies nur zu dem Zweck erfolgen, zu dem die Daten erhoben wurden. Jede anderweitige Nutzung stellt eine Zweckänderung dar, die wiederum unzulässig ist, wenn nicht eine darauf gerichtete Einwilligung vorliegt oder eine gesetzliche Erlaubnis diese gestattet2. 3. Die datenschutzrechtlichen Begleitpflichten
36
Liegt für einen bestimmten Einzelschritt (also das Erheben oder das Speichern, ein Nutzen etc.) eine datenschutzrechtliche Erlaubnis vor, ist dies lediglich die „halbe Miete“.
1 Dieser Begriff hat sich aber bislang nicht durchgesetzt und wird nur – wenngleich prägnant – selten verwendet. 2 Man spricht insofern vom „Zweckbindungsgrundsatz“ im Datenschutzrecht, der für sich genommen nicht explizit konstituiert ist, sich aber in zahlreichen datenschutzrechtlichen Vorschriften findet, wie etwa § 4 Abs. 3 Nr. 2 BDSG, § 28 Abs. 1 Satz 2 BDSG etc.).
434
Selk
§ 30
II. Wichtige datenschutzrechtliche Hintergrnde
Denn zusätzlich müssen in einem zweiten Schritt noch alle daran ge- 37 knüpften datenschutzrechtlichen Begleitpflichten eingehalten werden, wie etwa Hinweispflichten (§ 12 Abs. 1 TMG oder § 4 Abs. 3 BDSG etc.) oder Löschpflichten (§ 13 Abs. 4 Nr. 2 TMG oder § 35 BDSG), Auskunftspflichten (§ 34 BDSG) etc. Auch diese müssen pro Einzelschritt bestimmt und geprüft werden, da 38 an eine Datenerhebung andere Begleitpflichten geknüpft sein können (wie etwa § 4 Abs. 3 BDSG) als an eine spätere Nutzung. Liegt für einen Einzelschritt eine Erlaubnis vor und sind daneben und zu- 39 gleich alle dafür geltenden Begleitpflichten ausreichend erfüllt, ist dieser Einzelschritt datenschutzrechtlich zulässig. Entsprechend muss dies für alle vorliegenden Einzelschritte für sich geprüft und festgestellt werden. 4. Was heißt dies für die Verarbeitung von Kundendaten? Steht die Erhebung sowie folgende Verarbeitung oder Nutzung von per- 40 sonenbezogenen Kundendaten an1, ergibt sich im Sinne einer Checkliste folgendes Vorgehen: Checkliste 1. Welchem Gesetz unterfällt die geplante Datenerhebung oder Verwendung? a) TMG: ja, wenn es sich um Bestandsdaten nach § 14 TMG oder Nutzungsdaten nach § 15 TMG handelt. b) BDSG: ja, wenn es sich um Inhaltsdaten oder sonstige personenbezogene Daten handelt. 2. In welche Einzelschritte lässt sich das geplante Vorhaben gem. § 3 Abs. 3–5 BDSG zerteilen? a) Datenerhebung b) Mehrere einzelne Verarbeitungsschritte und/oder mehrere „Nutzungen“ – die allesamt einzeln betrachtet werden müssen. 3. Pro identifiziertem Einzelschritt ist sodann zu prüfen a) Liegt speziell dafür eine Erlaubnis vor aa) Gesetzliche Erlaubnis? bb) Einwilligung? b) Sind alle an diesen speziellen Einzelschritt geknüpften Begleitpflichten eingehalten?
1 Die „Verarbeitung“ sowie „Nutzung“ von personenbezogenen Daten wird begrifflich zusammen als „Verwendung“ bezeichnet, s. etwa § 11 Abs. 1 TMG. Selk
435
§ 30 41
Kundendaten in CRM und Data Warehouse
Aufgrund der Vorgabe, jeden Einzelschritt für sich prüfen zu müssen, ist die Prüfung von – technisch meist hochkomplexen – CRM-Systemen in der Regel sehr aufwendig.
III. CRM-Systeme und Datenschutz 1. Was sind CRM-Systeme? 42
In CRM-Systemen werden die Kundendaten meist zentral gespeichert und verwaltet. Ihnen kommt daher eine auch datenschutzrechtlich zentrale Rolle zu.
43
Eine griffige Definition dazu findet sich in Wikipedia1: „Customer-Relationship-Management, kurz CRM (dt. Kundenbeziehungsmanagement) oder Kundenpflege, bezeichnet die konsequente Ausrichtung einer Unternehmung auf ihre Kunden und die systematische Gestaltung der Kundenbeziehungsprozesse. Die dazugehörende Dokumentation und Verwaltung von Kundenbeziehungen ist ein wichtiger Baustein und ermöglicht ein vertieftes Beziehungsmarketing. In vielen Branchen (z.B. Telekommunikation, Versandhandel, Dienstleistungsunternehmen) sind Beziehungen zwischen Unternehmen und Kunden langfristig ausgerichtet. Mittels CRM werden diese Kundenbeziehungen gepflegt, was sich maßgeblich auf den Unternehmenserfolg auswirken soll.“
44
Um diese Kundenbindung zu erreichen, ist es notwendig, seine Kunden entsprechend gut zu kennen, also zahlreiche personenbezogene Daten zu den Kunden zu erheben, speichern und zu nutzen, sei es in Form von internen Auswertungen oder der Nutzung der Adresse für ein Anschreiben.
45
Aufgrund des Verbotsgrundsatzes und des gewählten restriktiven Ansatzes im Datenschutzrecht liegt die Kollision auf der Hand. 2. CRM-Systeme: Welche datenschutzrechtliche Erlaubnis greift?
46
Zunächst ist festzustellen, dass es nicht „die eine“ Erlaubnis für ein CRM-System geben kann.
47
Vielmehr ist datenschutzrechtlich sorgfältig zu prüfen, welche Einzelschritte in einem CRM-System erfolgen, und sodann pro Einzelschritt zu prüfen, ob es dafür eine Erlaubnis gibt, welche Begleitpflichten dafür gelten und ob diese allesamt eingehalten sind.
48
So kann das Speichern von Daten durchaus noch von einer gesetzlichen Erlaubnis abgedeckt sein, eine spätere spezielle Nutzung in Form einer Auswertung dagegen nicht mehr.
49
Zu beachten ist auch, dass die Nutzung eines Datums, das zulässigerweise im CRM liegt (etwa Name und Anschrift des Kunden aufgrund eines 1 www.wikipedia.de zum Suchbegriff „Customer-Relationship-Management“.
436
Selk
§ 30
III. CRM-Systeme und Datenschutz
Bestellvorgangs), zu einem anderen Zweck (etwa der Nutzung der Adresse, um einen Werbebrief zu drucken) zunächst ebenfalls verboten ist, wenn nicht für diese Zweckänderung speziell eine Erlaubnis vorliegt. Damit spielt der Zweck, zu welchem ein Datum erhoben wurde und vorliegt, eine entscheidende Rolle1. a) Das „Befüllen“ des CRM-Systems (§ 28 Abs. 1 Satz 1 Nr. 1 BDSG) Kundendaten zeichnet aus, dass sie auf einem mit dem Kunden be- 50 stehenden oder früher einmal existenten Vertrag basieren, da nur dann begrifflich kein „Interessent“ o.Ä. mehr vorliegt, sondern ein „echter“ Kunde im Sinne eines Vertragspartners. Die zur Begründung, Durchführung sowie Beendigung des Vertrages er- 51 forderlichen personenbezogenen Daten des Kunden dürften per gesetzlicher Erlaubnis des § 28 Abs. 1 Satz 1 Nr. 1 BDSG zu diesen Zwecken erhoben, verarbeitet und genutzt werden. Insofern besteht also für das Erheben, aber auch Speichern der Kunden- 52 daten in einem CRM-System eine gesetzliche Erlaubnis, soweit der Zweck sich auf die Vertragsbegründung bzw. -durchführung oder -beendigung beschränkt2. Gibt es beispielsweise nur das CRM-System für die Speicherung der ent- 53 sprechenden Vorgänge (wie üblich), ist das Befüllen eines CRM-Systems damit per gesetzlicher Erlaubnis abgedeckt3. b) Die Nutzung der gespeicherten Daten zur Vertragserfüllung (§ 28 Abs. 1 Satz 1 Nr. 1 BDSG) Gleiches gilt für den Rückgriff und die Nutzung der im CRM-System lie- 54 genden personenbezogenen Daten, soweit dies für die Vertragsdurchführung nötig ist, etwa, um die Telefonnummer nachzusehen und den Kunden über einen Liefertermin telefonisch zu informieren. Dabei ist zu beachten, dass jede einzelne Form der Nutzung datenschutz- 55 rechtlich zu prüfen ist. Die Nutzung der Daten zur eigentlichen späteren Ansprache des Kunden 56 kann dann zusätzlich noch weiteren speziellen Regelungen, etwa bei einer telefonischen oder Ansprache zu Werbezwecken per E-Mail den Regelungen des § 7 UWG unterliegen; diese haben aber mit dem eigentlichen CRM-System als Datenbank nichts zu tun, sondern gelten für Folgeaktionen. 1 S. auch oben Kapitel II.2 schon zur Zweckbindung. 2 Der Zweck ist dabei nach § 28 Abs. 1 Satz 2 BDSG festzulegen. 3 Daneben sind noch die dafür geltenden datenschutzrechtlichen Begleitpflichten zu prüfen und müssen eingehalten werden. Selk
437
§ 30
Kundendaten in CRM und Data Warehouse
c) Das Durchführen von Analysen, Auswertungen etc. (§ 3 Abs. 5 BDSG) 57
Der Mehrwert eines CRM-Systems ist aber auch, über die reine Vertragsabwicklung hinaus die dort gespeicherten Kundendaten zu nutzen, vor allem zur Auswertung, zum Reporting und für Werbezwecke.
58
Darin liegt im Verhältnis zur Vertragserfüllung meist eine Zweckänderung: Denn es geht nicht mehr um die Durchführung eines Vertrages, sondern vielmehr um die Vorbereitung eines neuen Vertrages, die Anbahnung eines weiteren Geschäfts, das Wecken von Interesse an weiteren Produkten etc.
59
Unterstellt, die Nutzung des CRM-Systems erfolgt dabei nur zu eigenen Geschäftszwecken des Unternehmens1, finden sich in § 28 Abs. 2 BDSG Regelungen, nach denen die Nutzung von Daten zu anderen Zwecken per gesetzlicher Erlaubnis gestattet sein kann.
60
Im Ergebnis verbleibt § 28 Abs. 2 Nr. 1 i.V.m. § 28 Abs. 1 Satz 1 Nr. 2 BDSG, da die anderen Ziffern von § 28 Abs. 2 hier nicht einschlägige Sachverhalte betreffen.
61
Damit ist gem. § 28 Abs. 1 Satz 1 Nr. 2 BDSG zu fragen ist, ob die Zweckänderung – auf der einen Seite „zur Wahrung berechtigter Interessen“ des Unternehmens „erforderlich“ ist und – auf der anderen Seite keine Gegeninteressen der Kunden bestehen, die überwiegen.
62
Es sind also die jeweiligen Interessen festzustellen und gegeneinander abzuwägen.
63
Dabei gilt aber folgende Besonderheit: § 28 Abs. 3 Satz 1 BDSG regelt speziell die Verarbeitung und Nutzung von personenbezogenen Daten zum Zwecke des Adresshandels und der Werbung. Dort wird zwingend eine Einwilligung des Betroffenen verlangt. Nur ausnahmsweise in bestimmten Fällen besteht nach den Sätzen 2 ff. eine gesetzliche Erlaubnis.
64
Aufgrund des Wortlauts von § 28 Abs. 3 BDSG handelt es sich betreffend den Adresshandel und die Werbung um eine abschließende Regelung; ein Rückgriff auf andere gesetzliche Erlaubnisse ist nicht mehr möglich2.
1 Nur dann gilt § 28 BDSG; die Nutzung zu eigenen Geschäftszwecken ist allerdings auch die Regel. Erfolgt die Datenerhebung und -verarbeitung dagegen geschäftsmäßig mit dem Ziel und Zweck, die Daten später anderen zu übermitteln, würde § 29 BDSG gelten. 2 Wronka spricht von einer „lex specialis gegenüber § 28 Abs. 1 und 2“, RDV 2009, 247. Simitis bezeichnet dies als „bereichsspezifische Regelung im Kleinstformat, Simitis in Simitis, BDSG, § 28 Rz. 212.
438
Selk
§ 30
III. CRM-Systeme und Datenschutz
Damit ist zu fragen, ob das gewünschte Vorhaben an Datenverarbeitung 65 als „Werbung“ anzusehen ist: Wenn ja, kommt lediglich die gesetzliche Erlaubnis des § 28 Abs. 3 Satz 2 ff. BDSG in Betracht, oder aber der Rückgriff auf eine datenschutzrechtliche Einwilligung, die das geplante Vorhaben mit abdeckt. Der Begriff der Werbung ist weder im TMG noch im BDSG definiert, 66 wird aber verschiedentlich dort verwendet1. Oft wird in der Literatur dazu der Begriff der Werbung nicht näher definiert, sondern im allgemein üblichen Sprachsinn verwendet2. Eine griffige Definition stammt aus dem Wettbewerbsrecht und zwar in 67 Anlehnung an die Irreführungsrichtlinie 84/450/EG mit der späteren Ergänzung in Form der Richtlinie 97/55/EG. Nach Art. 2 ist Werbung „jede Äußerung bei der Ausübung eines Handels, Gewerbes, Handwerks oder freien Berufs mit dem Ziel, den Absatz von Waren oder die Erbringung von Dienstleistungen, einschließlich unbeweglicher Sachen, Rechte und Verpflichtungen zu fördern.“ Eine ähnliche Definition liefert der BGH. Danach ist Werbung jedes An- 68 gebot, mit dem gezielt das wohlwollende Interesse der Nutzer an bestimmten Waren oder Dienstleistungen geweckt oder gefördert werden soll3. Geht man von diesem wettbewerbsrechtlichen Verständnis von „Wer- 69 bung“ aus, liegt in der vorgeschalteten internen Nutzung von personenbezogenen Daten in dem CRM-System im Vorfeld zu einer werblichen Ansprache noch kein solches konkretes „Angebot“, wie es der BGH nennt, sondern eben nur eine Datennutzung vorab. Diese reine vorherige Datennutzung würde danach also (noch) keine Werbung darstellen, sondern vielmehr erst die daraus abgeleitete spätere konkrete Ansprache des Kunden in Form eines Angebots. Lässt sich dies ohne Weiteres datenschutzrechtlich übertragen?
70
Das Datenschutzrecht stellt darauf ab, ob eine Datenverarbeitung „zum Zwecke der Werbung“ erfolgt. Datenabfragen etwa dahingehend, welche Kunden im Jahre XY das Produkt Z erworben haben, um gerade diesem Kunden ein bestimmtes Angebot zukommen zu lassen, erfolgen also meist dazu, um dem Kunden gegenüber später ein Angebot zu tätigen.
1 Etwa hier in § 28 Abs. 3 BDSG, § 29 Abs. 2 Satz 1 Nr. 1b) BDSG, § 15 Abs. 3 TMG. 2 Interessant ist dabei ein Blick in Erwägungsgrund 30 der EU-Datenschutzrichtlinie 95/46/EG: Dort wird „kommerzielle Werbung“ sowie „Werbung von Wohltätigkeitsverbänden oder anderen Vereinigungen und Stiftungen“ erwähnt; Ehmann beschäftigt sich in Simitis, BDSG, § 29 Rz. 80 im Detail mit dem Begriff und einer für das Datenschutzrecht geltenden Definition. 3 BGHSt 34, 218 (220). Selk
439
§ 30
Kundendaten in CRM und Data Warehouse
71
Der Zweck einer solchen Datenverarbeitung ist also der einer späteren Bewerbung des Kunden, womit diese – der späteren Ansprache vorgeschaltete – Datenverarbeitung „zu Zwecken der Werbung“ erfolgt. Datenschutzrechtlich spricht man von einer „Nutzung zu Werbezwecken“.
72
Das Datenschutzrecht knüpft also – zu Recht – nicht an die konkrete (spätere) werbliche Handlung an, wie das Wettbewerbsrecht1. Vielmehr stellt das Datenschutzrecht auf den Zweck und die Motivation einer Datenverarbeitung ab. Ist dieser werblich und etwa auf eine spätere werbliche Ansprache gerichtet, liegt im datenschutzrechtlichen Sinne „Werbung“ bzw. eine werbliche Nutzung vor.
73
Wenn aber in einer – der späteren Werbungshandlung vorgeschalteten – Datenverarbeitung datenschutzrechtlich „Werbung“ liegt, gilt für dafür erfolgende Datenverarbeitungen § 28 Abs. 3 BDSG, und zwar abschließend.
74
Damit ist vom Kunden entweder eine Einwilligung nötig, mit der er auch solche (zu Werbezwecken erfolgenden) Auswertungen legitimiert hat.
75
Oder aber es liegt, wenn es an einer Einwilligung fehlt, nach den Sätzen 2 ff. des § 28 Abs. 3 BDSG eine gesetzliche Erlaubnis vor.
76
Soweit es um Bestands- oder Nutzungsdaten im Sinne des TMG geht, ist dort nach einer gesetzlichen Erlaubnis zu suchen. § 15 Abs. 3 TMG kann für Nutzungsdaten in bestimmten Fällen eine solche darstellen, ansonsten wird man dort meist nicht fündig werden und – sollte es um Bestands- oder Nutzungsdaten nach dem TMG gehen – auf eine Einwilligung zurückgreifen müssen.
77
Ganz generell gilt: Um den Rückgriff auf eine oft nicht vorliegende oder nicht einfach zu erlangende Einwilligung, die umfassend genug ist, zu vermeiden, sind im Anwendungsbereich des BDSG die in den Sätzen 2 ff. des § 28 Abs. 3 enthaltenen gesetzlichen Erlaubnisnormen sorgfältig zu prüfen und zu beurteilen, wie viel an „Verdatung“ und Datenverarbeitung auf deren Basis (noch) zulässig ist.
78
Da sehr einzelfallabhängig, soll nur auf eine Besonderheit hingewiesen werden, die sich so aus dem Wortlaut nicht ergibt:
79
Der Rückgriff auf das sog. Listenprivileg des § 28 Abs. 3 Satz 2 BDSG hilft meist nicht weiter, da danach nur eine Verarbeitung ganz bestimmter, listenmäßig in Satz 2 genannter personenbezogener Daten zulässig ist, nicht aber anderer Daten. Die für das CRM interessanten Daten, also 1 Was nur so sein kann, regelt das Wettbewerbsrecht doch „nur“ die konkrete nach außen sichtbare Handlung, also die werbliche Handlung selbst, wie etwa eine Anzeige, einen Anruf etc. Den Weg dazu, also etwa das Heraussuchen von Telefonnummern in der Kundendatenbank, ist vom Wettbewerbsrecht nicht erfasst (sondern vielmehr Regelungsgegenstand des Datenschutzrechts).
440
Selk
§ 30
III. CRM-Systeme und Datenschutz
etwa die Historie, die E-Mail-Adresse, das Kaufverhalten, Prognosen etc. sind gerade nicht dabei. Satz 3 bestimmt aber, dass die verantwortliche Stelle zu diesen Listen- 80 Daten weitere Daten „hinzuspeichern“ darf. Da das reine Speichern von Daten wenig Nutzen hat, sondern erst der Rückgriff darauf, nützt diese Regelung von ihrem Wortlaut her nicht viel weiter. Insofern entspricht es aber der herrschenden Meinung, dass es sich um ein redaktionelles Versehen handelt und nicht nur das Speichern gemeint sein kann, sondern auch das Nutzen der hinzugespeicherten Daten1. Interessanterweise regelt der Gesetzgeber nicht, welche Daten hinzuge- 81 speichert werden dürfen; sie müssen lediglich rechtskonform bei der verantwortlichen Stelle vorliegen. Tun sie dies, dürfen sie hinzugespeichert und zu den in Satz 2 Nr. 1 genannten Zwecken genutzt werden. Dies sind „Zwecke der Werbung für eigene Angebote der verantwortlichen Stelle“, also gerade das, was das Unternehmen bei CRM-Systemen als Intention verfolgt. Folge ist, dass von ihrer Art her quasi beliebige personenbezogene Daten 82 zu Zwecken der Werbung einem bestehenden Kundendatensatz hinzugespeichert und zu Werbezwecken verwendet werden dürfen und zwar auf Basis einer gesetzlichen Erlaubnis. Die Daten müssen nur rechtmäßig vorliegen und erhoben worden sein. Nach den folgenden Regelungen ist sogar unter bestimmten Vorausset- 83 zungen die Nutzung der Daten für Werbung für fremde Angebote zulässig, nämlich dann, wenn „für den Betroffenen bei der Ansprache zum Zwecke der Werbung die für die Nutzung der Daten verantwortliche Stelle eindeutig erkennbar ist.“2 Ergebnis ist, dass als mögliche gesetzliche Erlaubnis für die Verarbeitung 84 von personenbezogenen Daten zu Werbezwecken zwar lediglich die Norm des § 28 Abs. 3 BDSG gilt, und zwar abschließend, also kein Rückgriff auf die Interessenabwägung des § 28 Abs. 1 Satz 1 Nr. 2 BDSG möglich ist, soweit und solange es um Werbung geht. Üblicherweise ist dies aber bei der Nutzung von CRM-Systemen gerade der Fall. Dafür lässt aber § 28 Abs. 3 Satz 3 BDSG zu, dass rechtmäßig vorliegende 85 andere personenbezogene Daten zum Kundendatensatz hinzugespeichert und vor allem zum Zwecke der Werbung für eigene Angebote genutzt werden dürfen, ebenso für fremde Angebote, wenn der Betroffene bei der späteren werblichen Ansprache darüber informiert ist, wer die datenschutzrechtliche verantwortliche Stelle ist. 1 Gola/Schomerus, § 28 BDSG Rz. 54, wo sogar davon die Rede ist, dass es primär um die Verwendung der Daten geht, nicht nur um das Speichern; Simitis in Simitis, BDSG, § 28 Rz. 240. 2 § 28 Abs. 3 Satz 5 BDSG. Selk
441
§ 30
Kundendaten in CRM und Data Warehouse
86
In der Praxis lassen sich damit einige der wichtigsten Einzelschritte, die in einem CRM-Tool ablaufen, per gesetzlicher Erlaubnis datenschutzrechtlich abdecken.
87
Nach § 28 Abs. 3 Satz 6 BDSG hat noch eine abschließende Interessenabwägung zu erfolgen, bei der aber die Grundaussagen des Gesetzgebers in § 28 Abs. 3 BDSG, wonach die Nutzung von personenbezogenen Daten zu Werbezwecken gewisse Privilegien genießt, zu berücksichtigen sind.
88
Dient ein Einzelschritt nicht der Werbung im hier verstandenen Sinne, kann dagegen geprüft werden, ob über die Interessenabwägung des § 28 Abs. 1 Satz 1 Nr. 2 BDSG (die über die Zweckänderungsvorschrift des § 28 Abs. 2 BDSG anwendbar ist) eine gesetzliche Erlaubnis erreicht werden kann. Vorrangig zu prüfen ist dabei § 28 Abs. 1 Satz 1 Nr. 1 BDSG, also die Frage, ob die Datenverarbeitung nicht schon zur Vertragsbegründung, -durchführung oder -beendigung erforderlich ist.
89
Soweit ein Einzelschritt nicht per gesetzlicher Erlaubnis legitimiert ist, bleibt nur der Weg über eine Einwilligung. Diese regelt § 4a Abs. 1 BDSG, aber auch § 28 Abs. 3 Satz 1 BDSG enthält Vorgaben, insbesondere den Verweis auf § 28 Abs. 3a BDSG. Im TMG finden sich dazu Regelungen in § 13 Abs. 2 und 3 TMG.
90
Bei Rückgriff auf eine Einwilligung sind die daran geknüpften Vorgaben zu beachten, insbesondere – die Formvorschriften (schriftlich, § 4a Abs. 1 Satz 3 BDSG, oder elektronisch i.S.v. § 28 Abs. 3a BDSG), – die seit 2009 konstituierte schriftliche Bestätigungspflicht bei nicht schriftlicher bzw. nicht elektronischer Einwilligung1, – die Hervorhebung in AGB, § 28 Abs. 3a BDSG und § 4a Abs. 1 BDSG), – eine ausführliche Beschreibung und Information, in welche genaue Datenverarbeitung der Betroffene einwilligen soll, s. dazu § 4a Abs. 1 BDSG. 3. CRM-Systeme: Welche datenschutzrechtlichen Begleitpflichten gelten?
91
Findet man in einem ersten Schritt eine Erlaubnis, nach der personenbezogene Daten im CRM-System gespeichert bzw. die gespeicherten Daten zu den gewünschten Zwecken genutzt werden dürfen, stellt sich in ei1 Wobei in Diskussion steht, ob die Regelung des § 28 Abs. 3a BDSG nur für Werbeeinwilligungen gilt oder für alle Einwilligungen, s. dazu Gola/Schomerus, § 28 BDSG Rz. 45. Insofern wird vertreten, dass Abs. 3a nicht allgemein für Einwilligungen gelte, da er ansonsten zum Bestandteil des § 4a BDSG hätte gemacht werden müssen. Die Norm erging aber im Zusammenhang mit der Neufassung von § 28 BDSG, insbesondere Abs. 3, der sich mit der Werbung beschäftigt.
442
Selk
§ 30
III. CRM-Systeme und Datenschutz
nem zweiten Schritt die Frage, welche datenschutzrechtlichen Begleitpflichten gelten1. Deren Einhaltung kommt essentielle Bedeutung zu: Eine Nichteinhal- 92 tung stellt einen Datenschutzverstoß dar; in § 43 BDSG sind eine Reihe dieser Verstöße bußgeldbewehrt. Zudem kann die im Rahmen der verschiedenen gesetzlichen Erlaubnisse meist vorzunehmende Interessenabwägung überhaupt nur dann positiv ausfallen, wenn alle geltenden Begleitpflichten eingehalten sind. Denn ansonsten lässt sich kaum vertreten, dass etwaige Gegeninteressen zurückstehen müssen. Besteht bei den Begleitpflichten Spielraum, etwa bei einem Hinweis, der 93 gerade ausreichend oder sehr ausführlich formuliert werden kann, hilft eine „überobligatorische“ Erfüllung von Begleitpflichten auch bei der Interessenabwägung. Welche Begleitpflichten gelten, ist einzelfallabhängig. Es müssen – s. 94 oben – für jeden Einzelschritt anhand der für diesen Schritt geltenden Erlaubnis die dafür geltenden Begleitpflichten aus den einschlägigen Gesetzen herausgearbeitet und geprüft werden2. Um einen Eindruck zu geben, werden im Folgenden einige üblicherweise 95 für CRM-Systeme wichtige Begleitpflichten aufgelistet und kurz dargestellt: a) Verbot der automatisierten Einzelentscheidungen, § 6a BDSG Nach § 6a Abs. 1 BDSG dürfen Entscheidungen, die für den Betroffenen 96 eine rechtliche Folge nach sich ziehen oder ihn erheblich beeinträchtigen, nicht ausschließlich auf eine automatisierte Verarbeitung personenbezogener Daten gestützt werden, die der Bewertung einzelner Persönlichkeitsmerkmale dienen. Abs. 2 enthält sodann einige Ausnahmen. Anhand von Auswertungen in CRM-Tools können durchaus automati- 97 sierte Entscheidungen getroffen werden. § 6a Abs. 1 BDSG greift dabei aber nur, wenn die Entscheidung für den Betroffenen eine rechtliche Folge nach sich zieht (wie etwa eine Kündigung3, was in CRM-Systemen aber meist nicht der Fall ist) oder aber den Betroffenen „erheblich beeinträchtigt“. Letzteres könnte man überlegen, wenn über im CRM-Tool vorgenomme- 98 ne Auswertungen ein bestimmter Kunde ausgewählt und automatisiert entschieden wird, ihm bestimmte Angebote – etwa per E-Mail oder Post – zukommen zu lassen, je nachdem, wie „wertvoll“ dieser Kunde und seine Kaufkraft und Interessen eingestuft werden. Oder es wird darüber 1 S. zu dieser Zweiteilung oben Kapitel II.2. 2 S. dazu auch oben Kapitel II.3. 3 So Gola/Schomerus, BDSG, § 6a Rz. 10. Selk
443
§ 30
Kundendaten in CRM und Data Warehouse
entschieden, einem Kunden Kauf auf Rechnung anzubieten oder ihm dies gerade zu verweigern. § 6a BDSG kann also bei CRM-Systemen durchaus eine Rolle spielen. b) Technische und organisatorische Schutzmaßnahmen, § 9 BDSG 99
Nach § 9 BDSG sind die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die Ausführung der Vorschriften des BDSG, insbesondere die in der dortigen Anlage zu § 9 BDSG genannten Anforderungen, zu gewährleisten.
100
Dabei sind – dies stellt der Gesetzgeber in § 9 Satz 2 BDSG – klar, Maßnahmen nur erforderlich, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht.
101
Die Anlage zu § 9 BDSG nennt 8 spezifische Themen der technischen und organisatorischen Datensicherheit, zu denen die erforderlichen Maßnahmen getroffen sein müssen.
102
CRM-Systeme unterliegen dabei regelmäßig einer hohen bis sehr hohen Schutzklasse, alleine schon aufgrund der Vielzahl der dort gespeicherten und vor allem auch meist strukturiert vorliegenden personenbezogenen Kundendaten. Nicht vergessen werden darf ferner, dass CRM-Systeme in der Regel mitloggen, welcher Sachbearbeiter in dem CRM-System welche Schritte und Datenverarbeitungen vorgenommen hat, alleine schon, um der sog. Eingabekontrolle (Nr. 5 der Anlage zu § 9 BDSG) Genüge zu tun. Dann aber liegen insofern unter Umständen auch zahlreiche auf Mitarbeiter bezogene Daten vor, die ganz erhebliche Profile und Rückschlüsse über die Arbeitsweise eines Sachbearbeiters zulassen können. Dies wiederum kann, soweit ein Betriebsrat im Unternehmen vorhanden ist, ein Mitbestimmungsrecht des Betriebsrates nach § 87 Abs. 1 Nr. 6 BetrVG auslösen.
103
Der hohe Schutzbedarf von CRM-Systemen hat zur Folge, dass hohe technische und organisatorische Schutzmaßnahmen dafür getroffen werden müssen. Dazu gehört insbesondere im Rahmen der sog. Zugriffskontrolle nach Nr. 3 der Anlage zu § 9 BDSG ein ausdifferenziertes Rollenund Berechtigungskonzept, aus dem sich ergibt, welcher User (nur) welche Daten im System sieht und – wenn überhaupt – verändern kann.
104
Es empfiehlt sich, die für das CRM-System getroffenen technischen und organisatorischen Maßnahmen gesondert aufzulisten und zur CRM-Akte zu nehmen (in die interne Verfahrensübersicht nach § 4g Abs. 1 Satz 2 BDSG sind sie ohnehin mit aufzunehmen, § 4e Nr. 9 BDSG).
444
Selk
§ 30
III. CRM-Systeme und Datenschutz
c) Auftragsdatenverarbeitung, § 11 BDSG Wird das CRM-System nicht selbst betrieben oder gewartet, sondern von 105 einem Externen oder ist extern gehostet, wird in der Regel ein Fall der Auftragsdatenverarbeitung nach § 11 BDSG, gegebenenfalls § 11 Abs. 5 BDSG vorliegen. Es ist eine entsprechende Vereinbarung mit dem Dienstleister abzuschließen, bei der die zum Teil sehr speziellen Vorgaben des § 11 BDSG, z.B. schon bei der Auftragsvergabe, zu beachten sind. Verstöße dagegen können nach § 43 Abs. 1 Nr. 2b BDSG Bußgelder von bis zu 50 000 Euro auslösen. d) Zweckfestlegung, § 28 Abs. 1 Satz 2 BDSG Es muss bereits bei Erhebung – intern – der Zweck festgelegt werden. 106 Meist erfolgt dies in der Verfahrensmeldung für die interne Verfahrensübersicht1. e) Weitere Unterrichtungspflichten, § 33 BDSG Werden erstmals vom Unternehmen und Betreiber des CRM-Tools per- 107 sonenbezogene Daten für eigene Zwecke ohne Kenntnis des Betroffenen gespeichert, ist nach § 33 Abs. 1 Satz 1 BDSG der Betroffene von der Speicherung, der Art der Daten, der Zweckbestimmung der Erhebung, Verarbeitung oder Nutzung und der Identität der verantwortlichen Stelle zu benachrichtigen. Nach § 33 Abs. 1 Satz 3 BDSG ist der Betroffene auch über die Kategorien 108 von Empfängern zu unterrichten; dies aber nur, soweit er nach den Umständen des Einzelfalles nicht mit der Übermittlung an diese rechnen muss. § 33 Abs. 2 enthält eine Reihe von Ausnahmetatbeständen, so dass zu- 109 nächst diese zu prüfen sind. Oft lässt § 33 Abs. 2 Nr. 1 BDSG aber die Benachrichtigungspflicht entfallen. f) Löschpflichten, § 35 BDSG Aus datenschutzrechtlicher Sicht ist das Löschen von personenbezoge- 110 nen Daten ein wichtiger Schritt, da mit einer ordnungsgemäßen Löschung der „Verdatungseffekt“ und damit der Eingriff in das Persönlichkeitsrecht endet2. Demgemäß regelt § 35 BDSG, wann personenbezogene Daten zu löschen, also tatsächlich zu vernichten sind. Personenbezogene Daten sind danach u.a. dann zu löschen, wenn sie für eigene Zwecke verarbeitet wer-
1 S. § 4g Abs. 1 Satz 1 BDSG. 2 S. dazu oben auch Kapitel II.2. Selk
445
§ 30
Kundendaten in CRM und Data Warehouse
den, sobald ihre Kenntnis für die Erfüllung des Zwecks der Speicherung nicht mehr erforderlich ist. 111
Etwaige bestehende gesetzliche Aufbewahrungsfristen, etwa aus dem Steuer- oder Handelsrecht, gehen dabei vor1.
112
Benötigt man also operativ bestimmte Daten nicht mehr, müssen diese aber z.B. aus Steuergründen noch aufbewahrt werden, werden die Daten für die Dauer der Aufbewahrungspflicht zunächst nur „gesperrt“, bleiben aber noch gespeichert, vgl. § 35 Abs. 3 Nr. 1 BDSG. Zugriff auf die gesperrten Daten darf danach nur noch der Personenkreis haben, für den die gesperrten Daten aufbewahrt werden, also etwa die Revision oder eine Steuerprüfung.
113
Es besteht ein großes praktisches Problem, in CRM-Systemen Daten zu löschen. An dieser Stelle soll der Hinweis auf die Löschpflicht als eine der verschiedenen Begleitpflichten genügen. Detaillierte Ausführungen dazu finden sich unten2. 4. Die Nutzung von CRM-Systemen und § 7 UWG
114
Wie schon oben erwähnt ist – je nach Nutzung des CRM-Systems – die Norm des § 7 UWG zu bedenken3. Dies gilt insbesondere dann, wenn es um die Nutzung von personenbezogenen Daten zu Zwecken der werblichen Ansprache per Telefon- und E-Mail-Werbung geht. Zu beachten ist dabei, dass § 7 UWG aus dem Wettbewerbsrecht stammt und daher einen anderen Ansatzpunkt als der Datenschutz hat: § 7 UWG will die Betroffenen vor unzumutbarer (werblicher) Belästigung schützen, der Datenschutz die Personen vor einer unzulässigen „Verdatung“4. Damit sind weder die Regelungen zu den Erlaubnistatbeständen noch die zur Zustimmung bzw. Einwilligung mit denen des BDSG gleichlaufend.
IV. Data Warehouse-Systeme, Business Intelligence und Datenschutz 1. Datenschutzrechtliche Beurteilung und die Unterschiede zu CRM-Systemen 115
Wie schon erwähnt, erfolgen im CRM-System als operativem und „Live“-System meist keine vertieften Auswertungen, da dies das operative System zu sehr belasten würde, zudem auch ein Sicherheitsrisiko darstellen kann. 1 S. dazu Reitsam/Seonbuchner, § 60, dort insbesondere Kap. II. 2 S. dazu unten Kap. V. 3 S. dazu allgemein Köhler/Bornkamm, UWG, Rz. 8, 132 ff., 162 ff., 183 und 185 ff. sowie in diesem Buch Feldmann/Höppner, Kap II.2. und II.3. 4 S. dazu oben Kap. II.2.
446
Selk
§ 30
IV. Data Warehouse-Systeme, Business Intelligence und Datenschutz
Vielmehr werden die Daten aus dem CRM-System – in der Regel jede 116 Nacht – in ein zweites System gespiegelt, das sog. Data Warehouse. Dort erfolgen dann, losgelöst vom operativen System, das insofern entlastet wird, die eigentlichen und detaillierten Auswertungen, wie durch Unternehmensabteilungen „Business Intelligence“ oder „Business Analytics“. Wenn es dabei nicht um personenbezogene Daten geht, sondern nur um 117 statistische, also anonymisierte Daten i.S.v. § 3 Abs. 6 BDSG, ist der Datenschutz schon nicht mehr einschlägig, Vorgaben bestehen nicht. Es ist aber oft nicht leicht, sinnvoll Daten zu anonymisieren; insofern stellen sich weitere rechtliche Fragen, die im Folgenden noch zu vertiefen sind. Meist sollen aber die Auswertungen personenbezogen erfolgen oder am 118 Ende die Ergebnisse zumindest wieder konkreten Kunden zugeordnet werden, da nur dann eine gezielte Ansprache genau dieses Kunden möglich ist. Es liegt daher oft Personenbezug vor; mithin sind die Datenschutzgesetze einschlägig. Die datenschutzrechtlichen Fragestellungen sind mit den Fragen zum 119 operativen CRM-System fast identisch: Auch beim Data Warehouse sind die dort erfolgenden Prozesse in die datenschutzrechtlichen Einzelschritte zu zergliedern (§ 3 Abs. 3–5 BDSG) und ist sodann für jeden einzelnen Schritt zu prüfen, ob für diesen eine Erlaubnis vorliegt (gesetzliche Erlaubnis oder Einwilligung) und ob – wenn ja – alle an diesen Schritt geknüpften Begleitpflichten eingehalten werden. Beim Data Warehouse kommt hinzu, dass eine Datennutzung dort fast 120 nie „erforderlich“ für die Vertragsdurchführung i.S.v. § 28 Abs. 1 Satz 1 Nr. 1 BDSG ist. Dies resultiert schon daraus, dass die „erforderlichen“ Daten und Prozesse im CRM-System erfolgen. Das Data Warehouse ist nur ein Zweitsystem. Im Unterschied zu einem CRM-System muss daher bei einem Data 121 Warehouse gerade schon die Befüllung, also die dortige Speicherung von personenbezogenen Daten i.S.v. § 3 Abs. 4 Nr. 1 BDSG im Detail geprüft werden, quasi als erster Einzelschritt. Dies gilt selbstverständlich auch für alle Folgeschritte im Data Ware- 122 house-System. Vor allem aber ist das etwaige Rückspielen von im Data Warehouse-Sys- 123 tem gewonnenen Erkenntnissen in das CRM-System kritisch zu prüfen: Wenn im Data Warehouse-System gewonnene Ergebnisse in das CRM gespielt und dort zu bestimmten Kunden hinzugespeichert werden sollen, liegt darin eine (weitere) Speicherung i.S.v. § 3 Abs. 4 Nr. 1 BDSG, die legitimiert sein muss. Unterstellt, die Daten wurden rechtmäßig im Data Warehouse-System gebildet, kann für dieses „Hinzuspeichern“ im CRM die gesetzliche Erlaubnis des § 28 Abs. 3 Satz 3 BDSG helfen.
Selk
447
§ 30 124
Kundendaten in CRM und Data Warehouse
Im Übrigen ist für jede Datenverwendung im Data Warehouse zu prüfen, ob dafür eine Erlaubnis vorliegt und die Begleitpflichten eingehalten sind. Hier kann auf obige Ausführungen zu CRM-Systemen verwiesen werden, die entsprechend gelten1. 2. Pseudonyme und anonyme Daten als Lösung?
125
Während im CRM-System im Ergebnis – es handelt sich um das operative System, mit dem die Geschäfte getätigt werden – sinnvoll nur mit personenbezogenen Daten gearbeitet werden kann, ist dies in einem gespiegelten Data Warehouse etwas anderes. Denn zum Gewinnen von etwa nur allgemeinen Erkenntnissen über die eigene Kundenstruktur oder das Kundenverhalten ist es oft nicht nötig, mit personenbezogenen Daten zu arbeiten; es reicht die Auswertung von anonymen bzw. zuvor anonymisierten Daten aus, um etwa festzustellen, welche Quote an weiblichen Kunden im Altersbereich zwischen 30 und 40 Jahren besteht.
126
Was ändert die Verwendung von anonymen oder pseudonymen Daten datenschutzrechtlich an der Bewertung? a) Anonyme Daten
127
Die Anonymisierung ist in § 3 Abs. 6 BDSG geregelt.
128
Sie hat zur Folge, dass die ursprünglich personenbezogenen Daten nach ihrer Anonymisierung keinen solchen Bezug mehr aufweisen und damit dem Datenschutz nicht mehr unterfallen2. Obige Vorgaben zum Datenschutzrecht gelten dafür dann nicht.
129
Zu beachten ist, dass der Vorgang des Anonymisierens selbst noch dem Datenschutzrecht unterfällt, und zwar in Form einer „Nutzung“ nach § 3 Abs. 5 BDSG. Dafür muss also eine Erlaubnis vorliegen und es müssen alle Begleitpflichten eingehalten werden.
130
Es lässt sich aber vertreten, dass diese Datenverarbeitung nicht zum Zwecke der Werbung erfolgt, da nach der Anonymisierung gerade keine personenbezogenen Daten mehr vorliegen, mit denen eine individuelle Ansprache möglich ist, mithin auch keine Nutzung (mehr) zu Werbezwecken erfolgen kann.
131
Mögliche Legitimationsgrundlage für ein Anonymisieren ist § 28 Abs. 1 Satz 1 Nr. 2 BDSG, also die schon oben dargestellte Interessenabwägung. 1 S. oben Kap. III. 2 Sie können aber – je nach Einzelfall – weiterhin schützenswert sein, alleine schon aus dem Grund, dass auch durch anonyme Daten viele Rückschlüsse auf die allgemeinen Kundenstrukturen eines Unternehmens denkbar sind. So können anonymisierte Datenbestände unter Umständen ein Geschäfts- und/oder Betriebsgeheimnis nach § 17 UWG sein. Insgesamt kann auch anonymisierten Daten ein ganz erheblicher Wert zukommen.
448
Selk
§ 30
IV. Data Warehouse-Systeme, Business Intelligence und Datenschutz
Da bei einer Anonymisierung gerade der Personenbezug entfernt wird, dürften in der Regel überwiegende Interessen des anonymisierenden Unternehmens vorliegen – unterstellt, die Anonymisierung ist ausreichend erfolgt, also tatsächlich i.S.v. § 3 Abs. 6 BDSG nicht oder nur mit unverhältnismäßigem Aufwand noch ein Personenbezug herstellbar. Bei den Begleitpflichten ist die Unterrichtungspflicht des § 4 Abs. 3 132 BDSG hervorzuheben. b) Pseudonyme Daten Rechtlich deutlich spannender sind pseudonyme Daten.
133
Nach § 3 Abs. 6a BDSG ist pseudonymisieren „das Ersetzen des Namens 134 und anderer Identifikationsmerkmale durch ein Kennzeichen zu dem Zweck, die Bestimmung des Betroffenen auszuschließen oder wesentlich zu erschweren.“ Wesentlich ist, dass im Unterschied zum Anonymisieren noch die Mög- 135 lichkeit besteht, einen pseudonymen Datensatz einer bestimmten Person zuzuordnen. Bildlich lässt sich dies so verdeutlichen:
136
Es werden quasi zwei Datentöpfe gebildet: In dem einen Datentopf sind die eigentlichen Kundendaten und -profile, aber jeweils sorgfältig um alle Identifikationsmerkmale bereinigt, über die auf eine auch nur bestimmbare Person rückgeschlossen werden kann. Anstelle dieser entfernten Identifikationsmerkmale ist aber ein eindeutiges Kennzeichen eingefügt worden, also z.B. eine laufende einmalige Nummer (das „Pseudonym“). Im zweiten Datentopf ist dann zu jeder laufenden Nummer beschrieben, 137 wer sich dahinter verbirgt, also Name und Anschrift und weitere Identifizierungsmerkmale der betroffenen Person. Über den zweiten Datentopf kann also – der für sich genommen nicht mehr personenbezogene – Datensatz aus dem ersten Datentopf einer bestimmten Person zugeordnet werden1. Soweit eine verantwortliche Stelle über beide Datentöpfe verfügt oder da- 138 von zumindest Kenntnis erlangen kann, besteht – da eine Aufschlüsselung der Pseudonyme zu bestimmten Personen möglich ist – Personenbezug: Denn nach § 3 Abs. 1 BDSG reicht dafür bloße Bestimmbarkeit aus. Diese ist gegeben, da die verantwortliche Stelle die Möglichkeit hat, beide Datentöpfe zusammenzuführen. Besteht diese Möglichkeit nicht, weil der zweite Datentopf mit der Zu- 139 ordnungsfunktion bei einem gänzlich anderen Unternehmen liegt und
1 Man spricht insofern auch von „Zuordnungsfunktion“. Selk
449
§ 30
Kundendaten in CRM und Data Warehouse
etwa per Vertrag geregelt ist, dass keinerlei Herausgabe erfolgt, sind die pseudonymen Daten für die verantwortliche Stelle nicht mehr personenbezogen, mithin anonym1. 140
Genau genommen sind damit für eine verantwortliche Stelle pseudonyme Daten entweder personenbezogen oder nicht-personenbezogen, etwas „dazwischen“ ist im deutschen Datenschutzrecht im hier relevanten Bereich im BDSG nicht vorgesehen. Dies ist zugleich eine der derzeitigen Schwächen des an und für sich positiven Instrumentariums der Pseudonymität: Es wäre durchaus sinnvoll, für pseudonymisierte Daten mehr Privilegierungen im Datenschutzrecht zu schaffen2.
141
Bei der Vornahme von datenschutzrechtlichen Interessenabwägungen, wie oben bei § 28 Abs. 1 Satz 1 Nr. 2 BDSG, kann die Verwendung von „personenbezogenen-pseudonymen“ Daten aber vorteilhaft sein und zu einem „weniger“ an Beeinträchtigung des Betroffenen führen, mithin eher zu überwiegenden Interessen des Unternehmens.
142
„Nicht-personenbezogene pseudonymisierte“ Daten, also anonymisierte Daten dagegen unterfallen schon nicht (mehr) dem Datenschutz. c) Sonderfrage: Pseudonymisierung innerhalb einer verantwortlichen Stelle möglich?
143
Eine in der Praxis wichtige und in der Literatur – soweit ersichtlich – bislang noch nicht näher vertiefte Fragestellung zu pseudonymisierten Daten ist, ob „nicht-personenbezogene“ Pseudonymität auch vorliegt3, wenn innerhalb ein- und derselben verantwortlichen Stelle beide Datentöpfe vorhanden sind, zugleich aber intern streng geregelt ist, dass beide Datentöpfe nicht miteinander verbunden werden dürfen. Wie lässt sich diese Frage datenschutzrechtlich beantworten?
144
Im deutschen Datenschutzrecht wird auf die verantwortliche Stelle abgestellt4.
145
Wenn für diese Stelle eine Person zu einem Datum zumindest noch bestimmbar ist, liegen nach § 3 Abs. 1 BDSG personenbezogene Daten vor. Bei der Bestimmbarkeit wiederum kommt es darauf an, ob die verant-
1 Dies beruht auf dem sog. relativen Ansatz des Personenbezugs, vgl. dazu Gola/ Schomerus, § 3 BDSG Rz. 10 und 44a; Dammann in Simitis, BDSG, § 3 Rz. 23 ff. 2 Eine der wenigen Ausnahmen dazu in § 15 Abs. 3 TMG, wonach das Erstellen von Nutzungsprofilen im Internetbereich bei der Verwendung von Pseudonymen privilegiert ist. 3 Besser und konsequenter sollte dann sogleich von „anonymen“ Daten gesprochen werden. 4 Zur Definition s. § 3 Abs. 7 BDSG.
450
Selk
§ 30
IV. Data Warehouse-Systeme, Business Intelligence und Datenschutz
wortliche Stelle die Möglichkeit hat, die Zuordnung vorzunehmen oder eben nicht. Ihr muss es dabei möglich sein, den Bezug mit den ihr normalerweise zur Verfügung stehenden Mitteln und ohne unverhältnismäßigen Aufwand herzustellen1. Genau dies ist aber bei einer innerhalb derselben verantwortlichen Stelle 146 liegenden Zuordnungsfunktion, also dem zweiten Datentopf, der Fall: Es bedarf lediglich eines internen und jederzeit möglichen und auch zulässigen Aktes, auf den zweiten Datentopf zuzugreifen und dann die beiden Datentöpfe zu verbinden. Dem Argument, dass insofern eine Art „interne Selbstbeschränkung“ 147 vereinbart ist, die dies verbietet, ist entgegenzuhalten, dass jedenfalls der Geschäftsführer diese jederzeit wieder aufheben kann und damit ihm als gesetzlichem Vertreter und so der verantwortlichen Stelle diese Möglichkeit jederzeit offen steht. Da aber die bloße Bestimmbarkeit nach § 3 Abs. 1 BDSG ausreicht und 148 eine solche gegeben ist, sind solche pseudonymen Daten, bei denen innerhalb der verantwortlichen Stelle beide Datentöpfe vorhanden sind, rechtlich gesehen unverändert personenbezogen, also im hiesigen Sinne „personenbezogene pseudonyme Daten“. Für sie gelten damit die Datenschutzgesetze im normalen Umfang2. d) Kritik Dem ist wiederum als Kritik entgegenzuhalten, dass selbst dann, wenn 149 man innerhalb eines Konzerns beide Datentöpfe auf zwei Konzerngesellschaften aufteilt, zwar dem Wortlaut nach nicht mehr „die“ verantwortliche Stelle Zugriff auf den zweiten Datentopf hat, man insofern also konsequenterweise von „nicht-personenbezogenen pseudonymen“ Daten ausgehen muss. Innerhalb einer Konzerns ist aber oft die Situation nicht viel anders als 150 innerhalb einer verantwortlichen Stelle: Denn gesellschaftsrechtlich wird die Muttergesellschaft in der Regel durchaus auf die Tochtergesellschaft durchgreifen können, ähnlich wie im obigen Beispiel innerhalb einer verantwortlichen Stelle der Geschäftsführer. Dann aber läge – trotz unterschiedlicher Gesellschaften – weiterhin „Bestimmbarkeit“ im Sinne von § 3 Abs. 1 BDSG und damit Personenbezug vor. Wo aber zieht man dann die Grenze? Kann es dann auch innerhalb eines 151 Konzerns keine „nicht-personenbezogenen pseudonymen“ Daten geben?
1 Gola/Schomerus, BDSG, § 3 Rz. 10. 2 Mit dem möglichen Vorteil bei einer Interessenabwägung und etwaigen (selten) Privilegierungen, wie bei § 15 Abs. 3 TMG. Selk
451
§ 30 152
Kundendaten in CRM und Data Warehouse
Damit besteht betreffend des von der Idee her guten und dem Gedanken des Datenschutzes entgegenkommenden Modells der Pseudonymität gesetzgeberischer Handlungsbedarf, auch und gerade auf europäischer Ebene.
V. Löschen von Daten – eine (un-)mögliche Vorgabe? 1. Überblick 153
Wie schon oben bei Auflistung der Begleitpflichten erwähnt, schreibt das Datenschutzrecht vor, dass personenbezogene Daten irgendwann einmal wieder gelöscht werden müssen.
154
Löschen ist in § 3 Abs. 4 Nr. 5 BDSG als das „Unkenntlichmachen gespeicherter personenbezogener Daten“ definiert. Die zu löschende Information darf der verantwortlichen Stelle nicht mehr zur Verfügung stehen, also nicht wiederherstellbar sein1. Es geht damit um ein „echtes“ Löschen, wie etwa der physikalischen Vernichtung von Datenträgern, dem Schreddern von Festplatten etc.
155
Es handelt sich quasi um den letzten Akt der Verarbeitung von personenbezogenen Daten: Denn mit einer datenschutzkonformen Löschung im vorgenannten Sinn existiert nichts mehr, was in die Persönlichkeitsrechte der Betroffenen eingreifen kann. Das Risiko der übermäßigen „Verdatung“ endet2. Deswegen sind aus datenschutzrechtlicher Sicht personenbezogene Daten idealerweise möglichst bald zu löschen.
156
§ 35 BDSG regelt im Einzelnen, wann personenbezogene Daten zu löschen sind und wann welche Ausnahmen greifen.
157
Die wichtigste Vorgabe im hier untersuchten Bereich der Kundendaten enthält § 35 Abs. 2 Nr. 3 BSDG: Danach sind personenbezogene Daten dann zu löschen, soweit sie für eigene Zwecke verarbeitet werden (was bei Kundendaten im hiesigen Szenario der Fall ist), „sobald ihre Kenntnis für die Erfüllung des Zweckes der Speicherung nicht mehr erforderlich ist“. Es ist damit auf den Zweck der Speicherung abzustellen.
158
Man könnte insofern daran denken, diesen Zweck aus Unternehmenssicht damit am besten möglichst weit zu fassen, um darüber nicht nur eine umfassendere datenschutzrechtliche Verarbeitungserlaubnis zu erreichen, sondern auch eine längere Speichermöglichkeit.
159
Da der Zweck aber schon bei Beginn der Datenerhebung intern festzulegen ist (§ 28 Abs. 1 Satz 2 BDSG) und der Zweck maßgeblich die Reich-
1 Gola/Schomerus, BDSG, § 3 Rz. 40. 2 S. oben, Kapitel II.1.
452
Selk
§ 30
V. Lçschen von Daten – eine (un-)mçgliche Vorgabe?
weite einer gesetzlichen Erlaubnis bestimmt, wird dieser in der Praxis im CRM- und Data Warehouse eher klein sein, um überhaupt eine gesetzliche Erlaubnis zu erhalten1. Zudem ergibt sich der Zweck oft direkt aus der Kundenbeziehung selbst: 160 Bei Kauf eines Buches über einen Onlineshop ist Zweck der Datenerhebung, Speicherung und Nutzung alleine die Vertragsabwicklung. Die Vertragsabwicklung ist aber meist schnell durchgeführt, meist im OnlineVersandhandel nach wenigen Tagen. Zumindest wenn alles gut lief, besteht also kaum noch „Erforderlich- 161 keit“, aus dem Kauf und der Vertragsabwicklung stammende personenbezogene Daten zu „Abwicklungszwecken“ vorzuhalten, denn die Abwicklung ist schlicht schon zu Ende. § 35 Abs. 3 BDSG regelt Ausnahmen, in welchen Fällen nicht zu lö- 162 schen, sondern die Daten zunächst nur zu sperren sind. Es handelt sich beim „Sperren“ um eine Art Vorstufe zum Löschen. Sperren ist in § 3 Abs. 4 Nr. 4 BDSG definiert als „das Kennzeichnen ge- 163 speicherter personenbezogener Daten, um ihre weitere Verarbeitung oder Nutzung einzuschränken“. § 35 Abs. 3 Nr. 1 BDSG erkennt dann eine Ausnahme von der Lösch- 164 pflicht an, „soweit (…) einer Löschung gesetzliche, satzungsmäßige oder vertragliche Aufbewahrungsfristen entgegenstehen“. Aufbewahrungsfristen aus dem Steuerrecht stellen insofern den praktisch wichtigsten Fall dar; diese betragen in der Regel 10 Jahre und betreffen in der Praxis gerade personenbezogene Daten2. Damit stehen sich etwaige gesetzliche Aufbewahrungspflichten und 165 -fristen auf der einen Seite sowie die datenschutzrechtliche Löschpflicht auf der anderen Seite diametral gegenüber. Zu beachten und bedenken sind ferner die Vorgaben des § 9 BDSG:
166
Danach hat das Unternehmen die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, die Vorgaben des BDSG zu gewährleisten; in Satz 2 wird geregelt, dass Maßnahmen nur erforderlich sind, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht3.
1 Hintergrund ist die durchzuführende Interessenabwägung: Je enger der Zweck ist, zu dem Daten (nur) verarbeitet werden sollen, desto wahrscheinlicher ist es – pauschal gesagt –, dass überwiegende Gegeninteressen bestehen. 2 S. dazu in diesem Buch den Beitrag von Reitsam/Seonbuchner mit einer ausführlichen Darstellung dazu. 3 S. dazu oben, Kap. III.3.b). Selk
453
§ 30
Kundendaten in CRM und Data Warehouse
167
Mit anderen Worten: Es muss nicht mit „Kanonen auf Spatzen geschossen“ werden. Insofern besteht beim „wie“ der technischen und organisatorischen Maßnahmen ein Ermessensspielraum. Beim „ob“ dagegen ist dies nicht der Fall: Aus dem Gesetzeswortlaut des § 9 BDSG ergibt sich insofern klar, dass solche Maßnahmen – welche auch immer – zu treffen sind.
168
Dies bedeutet, dass der Vorgang des Sperrens und des Löschens und die diesbezüglichen rechtlichen Vorgaben flankierend durch begleitende technische und organisatorische Maßnahmen umzusetzen und abzusichern sind. Ein Beispiel ist eine automatische Löschroutine, die etwa jährlich bestimmte Daten löscht; es bedarf dann keiner manuellen Handlung dazu, die vergessen werden kann. Organisatorisch könnte man daran denken, dass etwa der Abteilungsleiter sich einmal im Jahr von der zuständigen Person das Löschen bzw. die Kontrolle, dass dieses automatisch ordnungsgemäß erfolgte, bestätigen lässt.
169
Insgesamt ergeben sich also zum Löschen von personenbezogenen Daten umfängliche Pflichten und Vorgaben, zum einen aus dem Datenschutzrecht, zum anderen aber auch aus anderen Gesetzen. 2. Was heißt dies für CRM- und Data Warehouse-Systeme?
170
Der große Konflikt liegt bei CRM- und Data Warehouse-Systemen in der Praxis darin, dass dort Zweck oft oder – bei Data Warehouse-Systemen – sogar primär ist, möglichst viele und möglichst lange Daten zu speichern, um diese (irgendwann einmal) zu im Moment noch nicht bekannten Zwecken auswerten zu können.
171
Es geht also mit anderen Worten gerade in Data Warehouse-Systemen um eine Art „Vorratsdatenspeicherung“.
172
Genereller Zweck ist dabei meist die Kundenanalyse, am Ende mit dem „finalen“ Zweck der Werbung.
173
Um aber ein möglichst gutes und detailliertes Bild von seinen Kunden zu haben, ist es erforderlich, nicht nur deren Kaufverhalten der letzten Wochen oder Monate zu kennen, sondern am besten der letzten Jahre.
174
Je länger zurück Kaufdaten vorliegen und ausgewertet werden können, desto genauer lässt sich ein Kundenprofil erstellen und desto feingliedriger kann individualisierte Werbung ausgespielt werden.
175
Zum Teil lässt sich mit anonymisierten Daten arbeiten, was aber auch nur anonymisierte bzw. statistische Aussagen zur Folge hat. Will man dagegen gezielt auf bestimmte Kunden zugehen, wird eine „Zuspielung“ der Ergebnisse zu einzelnen Kundendatensätzen erfolgen müssen, womit
454
Selk
§ 30
V. Lçschen von Daten – eine (un-)mçgliche Vorgabe?
Personenbezug entsteht bzw. vorliegt. Bei einer konkreten Ansprache, sei es per E-Mail oder per Post, läge dann spätestens Personenbezug vor und die datenschutzrechtlichen Vorgaben gelten. Das business-seitige Interesse seitens der Data Warehouse- und Business 176 Intelligence Abteilungen ist also, möglichst viele, gerade auch personenbezogene oder zumindest personenbeziehbare Daten möglichst lange und umfassend aufzubewahren, um diese (irgendwann einmal) nutzen zu können. Dieses Interesse steht also konträr den datenschutzrechtlichen Vorgaben 177 nach einer möglichst schnellen Löschung und einer – wenn überhaupt zulässigen – streng zweckgebundenen Sperrung und diesbezüglicher Aufbewahrung entgegen1. 3. Gibt es Lösungen? Wie löst man diese Konflikte am besten auf? Welche Lösungswege gibt 178 es? Wie sich aus der gesetzlichen Struktur im Datenschutzrecht ergibt, stellt der Verarbeitungszweck das maßgebliche Kriterium dar. Denn nach diesem richtet sich die Frage einer Erlaubnis, aber auch, wann der Zweck erreicht ist und damit datenschutzrechtlich eine Löschpflicht bestehen kann. Zugleich aber – so der Wortlaut des § 35 Abs. 2 Nr. 3 BDSG – gehen an- 179 derweitige, also vor allem steuerliche Aufbewahrungsfristen vor. Insofern gestattet das Datenschutzrecht, dass personenbezogene Daten 180 zwar gespeichert bleiben dürfen, dabei aber „gesperrt“ sein müssen. Die Daten bleiben also ungelöscht und personenbezogen im Datenbank-System und müssen als gesperrte Daten gekennzeichnet werden, dürfen aber auch nur noch für ganz bestimmte Zwecke verwendet werden: Nämlich im hiesigen Beispiel nur zu den Zwecken, zu denen die steuerrechtlichen Aufbewahrungspflichten die Speicherung vorschreiben. Mit anderen Worten: Für alle anderen Zwecke, also solche Zwecke, die 181 nicht von der jeweils geltenden gesetzlichen Aufbewahrungspflicht und -frist umfasst sind, dürfen diese Daten nicht (mehr) genutzt werden. Sie sind dafür endgültig „gesperrt“. Ein und dasselbe Datum kann dabei unterschiedlichen Aufbewahrungs- 182 pflichten und -fristen unterliegen. Gelöscht werden darf ein Datum aber
1 Es fällt immer wieder auf, dass oft nur wenig Bewusstsein besteht, dass personenbezogene Daten irgendwann einmal wieder zu löschen sind. Selk
455
§ 30
Kundendaten in CRM und Data Warehouse
erst dann, wenn die längste der für dieses Datum geltende gesetzliche Aufbewahrungsfrist abgelaufen ist. 183
Wichtig ist dabei, dass bei Geltung mehrerer unterschiedlich langer Aufbewahrungsfristen mit Ende einer Frist die Daten zwar noch wegen etwaiger anderer Aufbewahrungszwecke vorgehalten werden müssen; bezüglich des „abgelaufenen“ Aufbewahrungszwecks dürfen sie aber nach Ablauf dieser Frist dafür nicht mehr verwendet werden.
184
Ein Zugriff und eine Verwendung ist dann nur noch für die „verbleibenden“ Aufbewahrungsgründe und -pflichten zulässig.
185
Es stellt eine große technische Herausforderung dar, dies umzusetzen, etwa durch Verschieben in Archivsysteme samt ausgeklügeltem Berechtigungskonzept.
186
In der Praxis – dies ist allerdings keine datenschutzrechtliche Frage, sondern eine Frage etwa des Handels- oder Steuerrechts etc. – ist es allerdings selten, dass zugleich weitere gesetzliche Aufbewahrungspflichten für ein und dasselbe Datum gelten, aber nicht ausgeschlossen1.
187
Ferner ist zu beachten, dass es – so der Wortlaut des § 35 Abs. 2 Nr. 3 BDSG – auch noch „satzungsmäßige“ Aufbewahrungsfristen geben kann, die ebenfalls der datenschutzrechtlichen Löschpflicht vorgehen.
188
Es ergibt sich dabei folgende praktische Vorgehensweise: 1. Pro Datum wird festgelegt, zu welchen Zwecken dieses Datum gespeichert ist (Abwicklung Kaufvertrag, steuerliche Aufbewahrung, Schutz vor Gewährleistungsansprüchen etc.). 2. Zu jedem Zweck wird sodann festgelegt, wie lange für diesen das Datum aus welchen zwingenden Aufbewahrungspflichten gespeichert bleiben muss. 3. Jedes Mal, wenn einer dieser Zwecke wegfällt, weil das Datum die entsprechende Zeit aufbewahrt wird, reduziert sich der Umfang, wer und aus welchen Gründen man auf das noch vorgehaltene Datum zugreifen darf. 4. Mit Ende der längsten Aufbewahrungsfrist ist das Datum dann tatsächlich zu löschen.
189
Alleine schon aufgrund der tatsächlichen und technischen Komplexität von CRM- und Data Warehouse-Systemen wird man dies schriftlich in Prozessanweisungen fixieren und damit ein meist sog. „Löschkonzept“ verfassen müssen.
1 S. zu den Details den Beitrag von Reitsam/Seonbuchner in diesem Buch.
456
Selk
§ 30
V. Lçschen von Daten – eine (un-)mçgliche Vorgabe?
4. Ungelöste Probleme Im Rahmen dieses Beitrages kann zu dem sehr umfassenden Thema des 190 Löschens nur ein Überblick gegeben werden, wozu auch eine Nennung noch ungelöster Probleme gehört. Deren zwei sind die folgenden: a) Datenverknüpfungen Technisch ist es sowohl bei CRM- wie auch Data Warehouse-Anwendun- 191 gen so, dass die personenbezogenen Daten dort in Tabellen gespeichert sind, auf die die Datenbankanwendung zugreift und sich die Daten von dort „holt“. Eine größere SAP Installation weist typischerweise Hunderttausende solcher Tabellen auf, in denen die Daten oder Teile davon liegen. Viele dieser Tabellen sind dabei untereinander, meist sehr eng, verknüpft 192 und/oder referenzieren aufeinander. Löscht man – im Sinne einer echten Datenvernichtung – also in einer 193 Tabelle ein Datum oder einen Datensatz, kann dies zu immensen technischen Problemen führen, wenn auf diese Stelle andere Tabellen verweisen und nach der Löschung quasi ins Leere zeigen. Dies kann von falschen Gesamt-Daten bis zu Systemabstürzen führen, je nach Aufbau und Komplexität der Tabellenstrukturen und der Software. Es ist daher in aller Regel wichtig, dass man bei oben aufskizziertem Vor- 194 gehen für jedes einzelne Datum – soweit möglich – auch den Speicherort bzw. die Speicherorte notiert, um zum einen zu wissen, wo überall eine Löschung dieses Datums erfolgen muss, aber zum anderen auch, um Abhängigkeiten zwischen den Tabellen prüfen und beheben zu können. Zum Teil ist Datenbanksoftware aber auch so programmiert, dass die Da- 195 ten zentral nur in einer Tabelle gehalten werden, dann ist das vorbeschriebene Vorgehen meist leicht oder leichter umzusetzen. Handelt es sich dagegen um eine aufgeteilte Datenhaltung, ist es oft äu- 196 ßerst aufwendig, wenn überhaupt noch im Nachhinein machbar, alle Speicherorte zu identifizieren und über einen „Löschlauf“ löschen zu lassen. Selbst die großen Datenbank-Applikationen, bei denen man meinen 197 könnte, dass die entsprechenden Herstellerfirmen Lösungen zum Löschen haben, können nicht immer mit den Lösch-Anforderungen des BDSG umgehen; oft war dies in der Vergangenheit überhaupt nicht der Fall1. 1 Ausführlich äußerte sich der Hessische Landesdatenschutzbeauftragte in seinem Tätigkeitsbericht 2007 dazu, u.a. mit der Aussage: „Die Löschung von Daten ist im SAP-Standard nicht vorgesehen“, s. den 36. Tätigkeitsbericht des Hessischen Landesdatenschutzbeauftragten, Kap. 5.10.3. Selk
457
§ 30 198
Kundendaten in CRM und Data Warehouse
Im Ergebnis ist dieses Problem theoretisch durch eine entsprechende technische Ausgestaltung lösbar; insofern besteht über § 9 BDSG ohnehin eine Pflicht die Technik, mit der die Datenverarbeitung betrieben wird, so auszugestalten, dass die rechtlichen Vorgaben umgesetzt werden können1. Praktisch stößt man technisch aber oft schnell an Grenzen2. b) Datenkonsistenz
199
Das zweite Problem ist das folgende: Unterstellt, im Data WarehouseSystem würde nach 1 Jahr gelöscht, im operativen System werden die Daten dagegen für 10 Jahre aufbewahrt, sind aber nach 3 Jahren – da operativ nicht mehr benötigt – gesperrt und bis zum Ende der Aufbewahrungszeit nur noch für steuerliche Zwecke zugänglich.
200
Daraus resultiert das Problem, dass sich aus den unterschiedlichen Datenbeständen zwei unterschiedliche „Wirklichkeiten“ ergeben können: Denn während in der einen Datenbank die Daten noch vollumfänglich vorhanden sind und in Reportings einfließen, würden diese in der anderen Datenbank, die, wenngleich aus einem anderen Blickwinkel, dieselbe Situation abbildet, fehlen. Die Daten sind dann über die Systeme hinweg nicht mehr konsistent.
201
Dies kann ganz massive Auswirkungen haben, stützt man etwa – was einer der Hauptzwecke der Auswertungen im Business Intelligence Bereich ist – strategische Geschäftsentscheidungen auf Zahlen und Auswertungen aus diesem Bereich, also dem Data Warehouse-Bereich, in dem aber schnell(er) gelöscht werden muss.
202
Dies gilt selbst innerhalb nur eines Datenbank-Systems, wenn aus diesem Alt-Daten, die operativ nicht mehr benötigt werden, gelöscht sind. Während man beispielsweise in Wirklichkeit im Jahre 2008 100 000 Kunden hatte, das System aber nur noch 75 000 anzeigt, weil 25 000 Datensätze gesperrt oder gelöscht wurden, ist die angegebene Zahl schlicht falsch: Es waren eben nicht nur 75 000, sondern 100 000 Kunden.
203
Technisch und konzeptionell heißt dies, dass bei Auswertungen schon in der Programmierung und dem Customizing von Datenbankanwendungen sehr sorgfältig darauf geachtet werden muss, wie damit umgegangen werden soll.
204
Denkbar sind Lösungen, die mit anonymen bzw. anonymisierten Daten arbeiten: Damit kann zwar bezüglich dieser Datensätze keine personen1 Es ist eine interessante Frage, inwieweit bei einer erworbenen Datenbanksoftware, bei der aus technischen Gründen ein Löschen nicht oder nicht datenschutzkonform erfolgen kann, ein Mangel i.S.d. § 434 bzw. §§ 633 ff. BGB vorliegt, insbesondere dann, wenn ein Löschen zwar „irgendwie“, aber nur mit extremem Zusatzaufwand erfolgen kann. 2 Aufwand, Finanzen, Ausfälle des Systems etc.
458
Selk
§ 30
V. Lçschen von Daten – eine (un-)mçgliche Vorgabe?
bezogene Aussage mehr getroffen werden, solche Datensätze werden aber im vorherigen Beispiel betreffend der Anzahl der Kunden im Jahre 2008 bei einer solchen Auswertung mitgezählt. Vereinfacht gesagt würde man also die gelöschten Daten mit „Dummy-Daten“ ersetzen und käme dann weiterhin auf 100 000 Kunden, ohne aber die gelöschten 25 000 noch identifizieren zu können. Dieser Weg mag zwar für statistische Auswertungen ausreichen und eine 205 Lösung darstellen, kann aber weiterhin zu Ungereimtheiten in den Systemen und Aussagen führen und löst das Problem insgesamt nicht. 5. Pseudonymisieren/Anonymisieren als Lösung zum Löschen? Die Lösungsidee wäre, personenbezogene Datensätze nach Ende der Auf- 206 bewahrungsfrist nicht tatsächlich zu löschen, sondern „nur“ zu anonymisieren oder zu pseudonymisieren. Ein Pseudonymisieren reicht allerdings nach derzeitigem Gesetzesstand 207 nicht aus, wenn die Daten dann weiterhin personenbezogen sind, zumindest dann, wenn das Unternehmen als verantwortliche Stelle Zugriff auf den Zuordnungsschlüssel hat. Über diesen Weg kann nur dann weiter als Lösung nachgedacht werden, 208 wenn sich der Zuordnungsschlüssel nicht mehr im Zugriffsbereich der verantwortlichen Stelle befindet, also an ein anderes Unternehmen ausgelagert und mit entsprechenden vertraglichen, aber auch technischen und organisatorischen Maßnahmen abgesichert ist, dass ein Zugriff ausgeschlossen ist1. Dann aber lägen nach der auch hier vertretenen relativen Auffassung des Personenbezugs anonymisierte Daten vor, für die der Datenschutz ohnehin nicht mehr gilt. Anders ist die Situation beim Anonymisieren von Daten:
209
Erfolgt dieses so, dass eine Rückführung der anonymisierten Daten auf eine bestimmte oder auch nur bestimmbare Person nicht mehr möglich ist, ist der Verdatungseffekt entfallen, ein Eingriff in die Persönlichkeitsrechte des Betroffenen liegt nicht mehr vor und ist auch nicht mehr zu befürchten. Da das Gesetz in § 3 Abs. 4 Nr. 5 BDSG bei der Definition von „Löschen“ 210 von „Unkenntlichmachen“ bei der Löschung spricht, kann rechtlich in einem (ausreichenden) Anonymisieren durchaus ein „Löschen“ im Gesetzessinne liegen. Das praktische Problem zumindest im Data Warehouse-Bereich ist, dass 211 anonymisierte Daten nur noch einen Bruchteil des Wertes und Aussagegehalts haben wie personenbezogene Daten. 1 S. oben, Kap. IV.2. Selk
459
§ 30
Kundendaten in CRM und Data Warehouse
212
Man kann darüber, wenn technisch alle Probleme gelöst sind, also rechtlich eine datenschutzkonforme Löschsituation erreichen, allerdings mit erheblichen Einbußen auf der Business-Seite.
213
Insofern besteht noch ein anderes Problem: Will das Unternehmen Kundenhistorien bilden und verstehen, müssen sich die einzelnen Handlungen eines Kunden immer auf diesen ein- und denselben Kunden beziehen und genau diesem zugeordnet werden. Nur ein solcher Bezug auf eine ganz bestimmte Person führt zu einem auf diese Person bezogenen Kundenprofil.
214
Dabei spielt es für Auswertungen aber oft keine Rolle, wer dieser Kunde eigentlich tatsächlich ist. Wichtig ist vielmehr nur, dass sämtliche seiner Aktionen immer derselben Person – wer auch immer diese ist – zugeordnet sind. Es geht also in solchen Fällen nicht um die Identität des Kunden, sondern nur darum, dass es sich um das Verhalten ein und desselben Kunden handelt.
215
Dies setzt aber voraus, dass die einzelnen Aktionen immer derselben Person zugeordnet werden können, was eine Identifizierbarkeit voraussetzt, entweder über den Namen oder – in Richtung Pseudonyme – über eine Kundennummer oder eine sonstige einmalige ID-Nummer. Reicht dies für ein datenschutzkonformes Löschen aus?
216
Wenn alle Identifizierungsmerkmale gelöscht sind (Nachname, Hausnummer, Geburtsdatum etc.), kann es durchaus sein, dass ein einzelner Datensatz für sich genommen nicht mehr personenbezogen oder -beziehbar, also anonym ist.
217
Um den einzelnen Datensatz geht es aber nicht, sondern um deren Zuordnung zu einer ID-Nummer, nur dann kann die gewünschte Historie dargestellt und ausgewertet werden.
218
Je mehr einzelne Datensätze man aber über die ID-Nummer verknüpft und damit aufeinander beziehbar macht, desto einmaliger wird das Profil. Irgendwann einmal wird es tatsächlich einmalig sein, so dass sich dann die Frage stellt, ob es der verantwortlichen Stelle nicht doch ab einem gewissen Zeitpunkt wieder möglich ist, zumindest mit gewissem Zusatzaufwand auf eine bestimmte oder bestimmbare Person/einen Kunden rückschließen zu können. Dies wird oft der Fall sein, womit Bestimmbarkeit im Sinne von § 3 Abs. 1 BDSG gegeben ist und damit personenbezogene Daten vorliegen.
219
Vor allem aber besteht bei der Frage der Bestimmbarkeit die Besonderheit, dass bei einem aktiven Kunden seine letzten Handlungen noch im operativen System hinterlegt sind und dort – etwa zu Zwecken der Vertragsabwicklung – auch noch gespeichert sein und genutzt werden dür-
460
Selk
§ 30
V. Lçschen von Daten – eine (un-)mçgliche Vorgabe?
fen. Würde man also zu löschende „Alt-Daten“ des Kunden bildlich gesprochen von diesem Profil „abschneiden“ und nach vorgenanntem Modell anonymisieren bzw. pseudonymisieren, wäre die bisherige Historie absolut isoliert und nicht mehr mit der Historie der letzten Zeit (die noch nicht gelöscht werden muss) verbunden. Wo aber zieht man dabei die Grenze? Würde man etwa einmal im Jahr ei- 220 nen Löschlauf im Sinne dieser Abtrennung (und der Anonymisierung der abgeschnittenen Alt-Daten) durchführen, gäbe es stets nur für das letzte Jahr eine damit 1-jährige Historie. Ein Kunde, der zum Beispiel seit 8 Jahren Dauerkunde ist, hätte dann ei- 221 ne aktuelle, etwa einjährige Historie, die noch personenbezogen ist. Für die 7 Jahre zuvor gäbe es 7 jeweils einjährige Historien, die vollkommen losgelöst voneinander und nicht einmal auf sich bezogen wären; nur innerhalb eines Jahres läge ein solcher Bezug vor. Will man dies mit einer gemeinsam ID umgehen und über diese die je- 222 weils einjährigen Historien wieder auf sich beziehbar machen, ist man keinen Schritt weiter: Irgendwann wird das Profil wieder so einmalig, dass zumindest Bestimmbarkeit im Raume steht. Es würde im Übrigen auch nichts nützen, nur im Date Warehouse die 223 Daten zu anonymisieren. Denn solange diese auch noch im operativen System liegen, und sei es nur gesperrt für Steuerprüfzwecke, ist es der verantwortlichen Stelle zumindest oft möglich, über gemeinsame IDNummer oder zur Not auch nur über ein einmaliges Kaufverhalten die anonymisierten Daten über einen Vergleich mit den noch personenbezogenen Daten aus dem operativen System auf einen bestimmten Kunden zurückzuführen. Es müsste also auch eine echte Trennung, die nicht mehr aufhebbar ist, zwischen operativen und Date Warehouse-System geben. Diese Überlegungen zeigen, dass sich zumindest derzeit kaum rechtliche 224 Lösungen finden lassen, ein Data Warehouse mit personenbezogenen Daten über eine längere Zeit zu führen, da nach einigen Jahren sich stets die Löschproblematik stellt und es dafür noch keine befriedigende Lösungen gibt. 6. Einwilligung als Lösung? Ein Lösungsansatz ist, zu fragen, ob und wie über eine Einwilligung des 225 betroffenen Kunden eine längere Speicherdauer erreicht werden kann. Es geht dabei nicht um die Frage, wann eine einmal erteilte Einwilligung 226 quasi verwirkt ist und nicht mehr als Grundlage für eine Datenverarbeitung oder -nutzung zur Verfügung steht, da schon zu alt1. 1 S. dazu Feldmann/Höppner, § 48. Selk
461
§ 30
Kundendaten in CRM und Data Warehouse
227
Es geht vielmehr darum, ob sich ein Unternehmen per Einwilligung gestatten lassen kann, personenbezogene Daten über den Zweck im Sinne von § 35 Abs. 2 Nr. 3 BDSG hinaus länger und damit zu anderen Zwecken – etwa nur noch für Auswertungen – zu speichern und zu nutzen.
228
Da die Einwilligung der bestmögliche Weg ist, den Betroffenen ihr „Recht auf informationelle Selbstbestimmung“ zuzugestehen und sie dieses ausüben zu lassen, ist es durchaus vertretbar, eine Einwilligung als Grundlage für sehr lange Speicherfristen zu verwenden, ebenso wie für damit einhergehende, über viele Jahre gehende Auswertungen und auch Nutzungen.
229
Denn würde man einem Unternehmen bzw. einem Betroffenen verbieten, darin einzuwilligen, würde man genau das vorgenannte, vom Bundesverfassungsgericht in seiner Volkszählungsentscheidung als grundrechtsgleiches Recht gesehenes Recht auf informationelle Selbstbestimmung beschneiden, den Betroffenen also seiner Entscheidungsmöglichkeit berauben. Und ein „mehr“ an informationeller Selbstbestimmung als selbst über die Verwendung der eigenen Daten durch Unternehmen zu entscheiden, gibt es im Ergebnis nicht.
230
Aus den vorgenannten Gründen spricht also nichts dagegen, zunächst dem Grunde nach anzuerkennen, dass ein Betroffener diesbezüglich einwilligen kann.
231
Um wirksam eine Einwilligung abgeben zu können, muss der Betroffene aber zuvor ausreichend und genau genug informiert worden sein, in was er einwilligen soll, also in welche genaue Art von Datenerhebung, -verarbeitung inklusive -speicherung und Nutzung der Daten.
232
Zu Recht spricht man insofern von einer sog. „informierten“ Einwilligung. Nur eine solche kann überhaupt zu einer wirksamen Einwilligung führen, da nur dann der Betroffene Kenntnis davon hat, worauf er sich „einlässt“.
233
Eine Einwilligung, die also die hier diskutierte „Langzeitspeicherung“ legitimieren soll, muss auf diesen Umstand und Zweck explizit hinweisen, § 4a Abs. 1 BDSG.
234
Da zumindest derzeit solche Langzeiteinwilligungen ungewöhnlich sind und auf Einwilligungen regelmäßig das AGB-Recht Anwendung findet, ist es aus AGB-rechtlichen Gründen zudem erforderlich, dies ganz explizit zu betonen und nicht zu verstecken: Anderenfalls droht nicht nur Unwirksamkeit wegen Intransparenz, sondern auch wegen einer überraschenden Klausel.
235
Ob allerdings eine datenschutzrechtliche Einwilligung, die diesen Umstand entsprechend ausführlich hervorhebt und beschreibt, von den Betroffenen noch akzeptiert und abgegeben wird, wäre zu fragen. Bislang 462
Selk
§ 30
V. Lçschen von Daten – eine (un-)mçgliche Vorgabe?
finden – soweit ersichtlich – solche Einwilligungen noch keine Verwendung in der Praxis. Hinzu käme das Problem der Widerrufbarkeit der Einwilligung und allei- 236 ne schon der Möglichkeit eines Widerrufs: Durch die reine Möglichkeit des Widerrufs muss die Datenbank so aufgebaut sein, dass bei einem Widerruf (oder nicht erteilter Einwilligung) sämtliche oben genannten Probleme gelöst sind. Im Falle eines erklärten Widerrufs müsste dieser zudem zeitnah umgesetzt werden, also innerhalb weniger Tage. Auch dafür muss es interne und softwareseitig abgebildete Prozesse geben. Da nicht davon auszugehen ist, dass sämtliche Kunden ausnahmslos ei- 237 ne diesbezügliche „Langzeitspeicherungs-Einwilligung“ abgeben, kann der Weg über eine Einwilligung zwar denkbar sein, ist aber stets nur eine Teillösung. Parallel dazu muss für die Kunden ohne Einwilligung das System datenschutzkonform zum Löschen ausgestaltet sein1. Insgesamt scheinen also die Nachteile einer solchen Einwilligung etwai- 238 ge Vorteile noch zu überwiegen. Als rechtliche Lösung stellt aber die Einholung einer „Nicht-Löschen-Einwilligung“ einen durchaus denkbaren Weg dar, der vor allem von der Akzeptanz der Betroffenen abhängt. 7. Fazit zum Löschen Ein Löschen im Gesetzessinne ist durchaus möglich, unter Umständen – 239 wenn nicht von Anfang an technisch vorgesehen und vorbereitet – aber nur mit erheblichem technischen Aufwand. Das Problem dabei ist, dass der Wert und auch Zweck von CRM- und Data Warehouse-Datenbanken gerade ist, Daten nicht zu löschen. Vorrangig vor den Löschpflichten sind zwar gesetzliche Aufbewahrungs- 240 pflichten, etwa aus dem Steuerrecht. Bewahrt man danach Daten weiter auf, ist aber deren Speicherzweck auch streng darauf begrenzt: Also eben ein Zugriff bei einer Steuerprüfung o.Ä., nicht aber zu Werbe- oder sonstigen Auswertungszwecken. Es gibt derzeit keine befriedigende Lösung, wie man praxistauglich per- 241 sonenbezogene Daten, die gesperrt sind oder eigentlich zu löschen wären, noch zu Auswertungszwecken nutzen kann, selbst wenn dabei weniger die Identität eines Kunden eine Rolle spielt als vielmehr der Umstand, dass es immer um dieselbe Person geht – wer auch immer diese ist: Denn aufgrund des durchaus weiten Begriffs der Bestimmbarkeit 1 Selbst wenn man daran denkt, nur Kunden zu nehmen, die die Einwilligung abgeben: Was ist bei einem Widerruf, der hier nicht abdingbar ist? Konsequenterweise müsste man dann diesen Kunden bei Widerruf zivilrechtlich kündigen – was sich kaum vermitteln lassen dürfte, einmal unterstellt, es wäre rechtlich zulässig. Selk
463
§ 30
Kundendaten in CRM und Data Warehouse
und damit des Personenbezugs – selbst bei der auch hier vertretenen relativen Theorie – bleiben Daten zumindest personenbeziehbar, sollen diese noch nutzbringend in den Datenbanken gespeichert bleiben. 242
Will man die Vorgaben rechtskonform umsetzen, bleibt in der Regel nur der Weg eines „harten“ Löschens, also dem echten Vernichten der Daten oder aber einer Anonymisierung, um zumindest noch darüber anonymisierte Erkenntnisse aus der Vergangenheit gewinnen zu können.
VI. Konzernweiter Zugriff auf Kundendatenbanken 1. Gründe für einen konzernweiten Zugriff/Fehlen eines Konzernprivilegs 243
Gehört ein Unternehmen zu einem Konzern oder einer Unternehmensgruppe, möchten oft die anderen Unternehmen der Gruppe/des Konzerns auf die Kundendaten zugreifen, auch, um diese zu eigenen (Konzern-) Zwecken nutzen.
244
Dies gilt vor allem dann, wenn die unterschiedlichen Aufgaben im Konzern auf verschiedene Gesellschaften verteilt sind, etwa Vertrieb, Abwicklung und Marketing.
245
Ein gemeinsamer Zugriff auf Kundendaten kann aber nicht nur Werbeund Marketingzwecken dienen, sondern etwa auch im Rahmen von Supportzwecken, die gegenüber Dritten zu erbringen sind, erfolgen:
246
Steht etwa ein 24/7 Support im Raume, wird ein solcher gemäß dem „follow the sun“-Prinzip durch diejenige (weltweit) verteilte Konzerngesellschaft geleistet, bei der gerade aufgrund der dortigen Uhrzeit gearbeitet wird. Die Sachbearbeitung wandert also über den Globus immer weiter, je nach Sonnenstand/Uhrzeit. Es ist dabei zwingend nötig, dass alle beteiligten Konzernunternehmen, die den Support erbringen, Zugriff auf die jeweiligen Kundendaten haben.
247
Das Datenschutzrecht stellt – wie schon oben in anderem Zusammenhang betont – auf „die“ verantwortliche Stelle ab. Die verantwortliche Stelle ist in § 3 Abs. 7 BDSG definiert als jede Person oder Stelle, die personenbezogene Daten für sich selbst erhebt, verarbeitet oder nutzt oder dies durch andere im Auftrag vornehmen lässt.
248
Es muss daher – schon aus Transparenzgründen und um Informationspflichten gegenüber dem Kunden, etwa aus § 12 Abs. 1 TMG oder § 4 Abs. 3 BDSG, nachkommen zu können – festgelegt sein, wer die verantwortliche Stelle ist1. Diese wird dann die Kundendatenbank, meist in
1 Über das Modell der Auftragsdatenverarbeitung nach § 11 BDSG können dabei auch im Konzern Verschiebungen erreichbar sein, je nach Ausgestaltung.
464
Selk
§ 30
VI. Konzernweiter Zugriff auf Kundendatenbanken
Form des zuvor behandelten CRM-Systems, betreiben und die von ihr erhobenen Kundendaten dort speichern, verwalten und nutzen. Wie aber sind andere Konzernunternehmen datenschutzrechtlich ein- 249 zustufen? Sind dies im datenschutzrechtlichen Sinne „Dritte“, was zur Folge hätte, dass eine Datenweitergabe dorthin verboten, wenn nicht über eine Einwilligung oder gesetzliche Erlaubnis gestattet ist? § 3 Abs. 8 Satz 2 BDSG definiert „Dritte“ wie folgt: Dritter ist jede Per- 250 son oder Stelle außerhalb der verantwortlichen Stelle. Satz 3 ergänzt, dass Dritte nicht der Betroffene sowie Personen und Stellen sind, die über eine Auftragsdatenverarbeitung für die verantwortliche Stelle tätig sind, soweit dies in der EU/EWR erfolgt. Für den Konzern heißt dies das Folgende: Andere Konzernunternehmen 251 sind generell datenschutzrechtlich „fremde“ Dritte. Dies gilt nur dann nicht, wenn zum einen das andere Konzernunternehmen seinen Sitz in der EU/EWR hat und zugleich zum anderen für die verantwortliche Stelle nur in deren Auftrag und streng nach deren Weisungen und Vorgaben i.S.v. § 11 BDSG deren personenbezogene Daten verarbeitet. Geht es um eine echte gemeinsame und gleichrangige Nutzung von Kun- 252 dendaten, die gewünscht ist, liegt keine Konstellation einer Auftragsdatenverarbeitung mehr vor. Vielmehr bleibt das andere Konzernunternehmen dann ein (fremder) „Dritter“. Die Datenweitergabe an dieses, ebenso wie dessen Zugriff darauf, stellt nach § 3 Abs. 4 Nr. 3 BDSG eine „Übermittlung“ dar. Diese ist gemäß dem Verbotsprinzip unzulässig, wenn nicht über eine Einwilligung aller betroffenen Kunden speziell erlaubt oder aber über eine gesetzliche Erlaubnis abgedeckt. Das BDSG enthält dabei gerade keine Privilegierung, dass etwa innerhalb 253 eines Konzerns erleichtert personenbezogene Daten ausgetauscht werden dürften1. Es gelten auch für eine Weitergabe von personenbezogenen Daten im Konzern also die normalen strengen datenschutzrechtlichen Vorgaben2. 2. Datenschutzrechtliche Lösungen Es gibt im Ergebnis im deutschen Datenschutzrecht nur zwei mögliche 254 Lösungswege:
1 Da dem Gesetzgeber das Problem bekannt ist, er aber in den verschiedenen Novellen des BDSG bis heute ein sog. „Konzerprivileg“ gerade nicht verankerte, kann man von einer bewussten Entscheidung dagegen sprechen. 2 Die Praxis zeigt, dass dieser Umstand, also dass innerhalb eines Konzerns alle Unternehmen datenschutzrechtlich „fremde Dritte“ sind, oft nicht bekannt ist. Selk
465
§ 30
Kundendaten in CRM und Data Warehouse
a) Lösung über die Auftragsdatenverarbeitung nach § 11 BDSG 255
Die einfachste Lösung liegt darin, wenn der Zugriff auf die Kundendaten durch andere Konzernunternehmen als dasjenige, was die datenschutzrechtlich verantwortliche Stelle ist, in Form einer Auftragsdatenverarbeitung nach § 11 BDSG erfolgt.
256
Denn dann liegt in diesem Zugriff keine „Übermittlung“ i.S.v. § 3 Abs. 4 Nr. 3 BDSG, vielmehr zählt das zugreifende Unternehmen, also der Auftragnehmer, als zur verantwortlichen Stelle gehörend und damit nicht als „Dritter“.
257
Voraussetzung ist aber zum einen, dass überhaupt ein Fall der Auftragsdatenverarbeitung nach § 11 BDSG vorliegt, also der Auftragnehmer nur streng auf Weisung und für den Auftraggeber zu dessen (!) Zwecken dessen Daten verarbeitet, ohne eigene Entscheidungs- und Nutzungsbefugnis. Zum anderen darf der Auftragnehmer seinen Sitz nur in der EU/EWR haben1.
258
Bei Kundendaten kann durchaus der Fall einer Auftragsdatenverarbeitung vorliegen, wenn etwa das „data cleaning“ oder der Rechnungsdruck durch eine andere Tochtergesellschaft als Service erfolgt.
259
Je nach zivilrechtlicher Ausgestaltung ist denkbar, auch noch den genannten Supportfall als Auftragsdatenverarbeitung auszugestalten. Die verantwortliche Stelle ist dabei der zivilrechtliche Vertragspartner des Dritten, der bei ihr die Supportleistungen beauftragt hat. Sie bedient sich dann anderer Konzernunternehmen als Sub-Unternehmen, die sie per Auftragsdatenverarbeitungsvereinbarung unterbeauftragt; gem. § 11 Abs. 2 Satz 2 Nr. 6 BDSG muss dies explizit in der Auftragsdatenverarbeitungsvereinbarung so geregelt sein.
260
Wenn aber etwa eines der Konzernunternehmen seinen Sitz nicht in der EU/EWR hat (was bei „follow the sun“-Modellen die Regel ist) oder das Modell der Auftragsdatenverarbeitung mit der strengen „Über-/Unterordnung“ und dem Umstand, dass der Auftragnehmer keinerlei eigene Befugnisse an den Daten hat, nicht gewollt ist, funktioniert dieses Lösungsmodell einer Auftragsdatenverarbeitung nicht mehr. b) Vorliegen einer Übermittlung
261
Liegt keine Auftragsdatenverarbeitung i.S.v. § 11 BDSG vor (was auch der Fall ist, wenn der Auftragnehmer seinen Sitz nicht in der EU/EWR hat) oder ist eine solche nicht gewollt, weil die Daten „auf Augenhöhe“ ausgetauscht werden sollen2, verbleibt es nach deutschem Recht bei der 1 Vgl. § 3 Abs. 8 Satz 3 BDSG. 2 Im Englischen spricht man dann von einer „controller to controller“-Datenweitergabe, s. etwa die EU-Standardverträge.
466
Selk
§ 30
VI. Konzernweiter Zugriff auf Kundendatenbanken
datenschutzrechtlichen „Übermittlung“ nach § 3 Abs. 4 Nr. 3 BDSG1, die einer entsprechenden Legitimation bedarf, sei es in Form einer darauf gerichteten Einwilligung oder gesetzlichen Erlaubnis. aa) Legitimation über eine Einwilligung In der Praxis immer öfter zu finden sind Einwilligungen, die genau solche 262 Übermittlungen innerhalb des eigenen Konzerns erfassen. Wichtig ist wie bei jeder Einwilligung, dass der Betroffene dabei ausrei- 263 chend genau informiert ist, in was er einwilligt. Der Umstand der Datenweitergabe im Konzern muss klar und deutlich angesprochen sein, ebenso wie die Art und Weise, wie die Empfängerunternehmen die ihnen übermittelten Daten weiterverwenden2. Nicht umsonst schreibt § 4 Abs. 3 Nr. 3 BDSG vor, dass zumindest über die Kategorien von Empfängern zu unterrichten ist. Es ist darauf zu achten, dass ausreichend Freiwilligkeit besteht, ebenso 264 wie, dass – und dies ist der praktische Nachteil – die Einwilligung nicht widerrufen wurde. Praktisch oft schwierig umzusetzen sind erklärte Teil-Widerrufe, also 265 dergestalt, dass z.B. der Widerruf nur darauf bezogen ist, dass die Daten die verantwortliche Stelle nicht (mehr) verlassen dürfen, diese selbst aber die Daten durchaus noch nutzen darf. Durch entsprechend sorgfältige Berechtigungskonzepte der Kundendatenbank bzw. des CRM-Tools kann dies aber zum Teil – dann auch konzernweit – abgebildet werden3. Zu beachten sind im Übrigen die allgemeinen Anforderungen an eine 266 Einwilligung, vgl. beispielsweise § 4a BDSG und § 13 Abs. 2 TMG zu den Hinweis- und Unterrichtungspflichten. bb) Legitimation über eine gesetzliche Erlaubnis Wurde nie eine Einwilligung eingeholt, eine solche widerrufen oder 267 deckt eine bestehende, meist anderweitig eingeholte Einwilligung die Datenweitergabe im Konzern inhaltlich nicht ab, bleibt nur der Weg über eine gesetzliche Übermittlungs-Erlaubnis. Soweit die Aufgabe der verantwortlichen Stelle die Datenerhebung nur 268 zu dem Zweck wäre, die Daten an andere Konzernunternehmen weiter1 § 3 Abs. 4 Nr. 3 BDSG, wobei es keine Rolle spielt, ob die Daten weitergegeben werden oder nur Zugriff darauf gewährt wird: Beide Fälle fallen unter § 4 Abs. 3 Nr. 4 BDSG. 2 Man spricht insofern von einer sog. „informierten Einwilligung“, vgl. dazu Gola/ Schomerus, BDSG, § 4a Rz. 25. 3 Es handelt sich dabei ohnehin um eine Vorgabe der „Zugriffskontrolle“ nach Nr. 3 der Anlage zu § 9 BDSG. Selk
467
§ 30
Kundendaten in CRM und Data Warehouse
zugeben, kann § 29 BDSG als Erlaubnis in Betracht kommen, § 28 BDSG gilt für diese Konstellation nicht. 269
Erhebt die verantwortliche Stelle im Konzern dagegen die Daten für sich selbst, etwa weil es „ihre“ Kunden sind, um die es geht, gilt § 28 BDSG1. Im Folgenden wird von diesem Fall ausgegangen, da er der typische Fall in der Praxis ist.
270
In der Regel wird in der Übermittlung der Daten zu einem anderen Konzernunternehmen eine Zweckänderung liegen, so dass zunächst § 28 Abs. 2 BDSG einschlägig ist.
271
Über § 28 Abs. 2 Nr. 1 BDSG gelangt man zu § 28 Abs. 1 Satz 1 Nr. 1 oder Nr. 2 BDSG:
272
Nach Nr. 1 muss die Übermittlung zur Durchführung des mit dem Kunden geschlossenen Vertrages „erforderlich“ sein. Dies kann durchaus der Fall sein, etwa wenn man in Deutschland in einem Hotel einen Aufenthalt in einem anderen Hotel derselben Kette bucht: Dann muss das Hotel, in dem man bucht, die Daten zwingend an das andere Hotel weitergeben, damit dieses bei sich die Reservierung einträgt.
273
Dies geschieht, um den Beherbergungsvertrag mit dem Gast als Kunden zu erfüllen und ist dazu auch i.S.v. § 28 Abs. 1 Satz 1 Nr. 1 BDSG „erforderlich“, also nicht nur nützlich.
274
Daneben bleibt die oben schon dargestellte Interessenabwägung des § 28 Abs. 1 Satz 1 Nr. 2 BDSG, wobei wiederum für Werbezwecke § 28 Abs. 3 BDSG vorrangig ist.
275
§ 28 Abs. 3 Satz 1 BDSG spricht generell von „Verarbeitung“, worunter nach § 3 Abs. 4 BDSG u.a. das „Übermitteln“ fällt.
276
Insofern kann auf obige Ausführungen zur Interessenabwägung sowie § 28 Abs. 3 BDSG verwiesen werden.
277
Es gibt bei Übermittlungen aber eine weitere Variante und mögliche gesetzliche Erlaubnis, nämlich die Norm des § 28 Abs. 2 Nr. 2a) BDSG:
278
Danach ist eine Übermittlung an einen Dritten auch dann gestattet, wenn diese zur Wahrung berechtigter Interessen des Dritten (!) erforderlich ist, also des Empfängers; auch insofern ist aber eine Interessenabwägung vorzunehmen.
1 Es sind auch Mischformen zwischen „zu eigenen Geschäftszwecken“ und „zu Zwecken der Übermittlung“ denkbar, vgl. zur Abgrenzung Gola/Schomerus, BDSG, § 29 Rz. 2.
468
Selk
§ 30
VII. Datenklau
Bei allen drei denkbaren gesetzlichen Erlaubnissen gelangt man aber zu 279 einer Interessenabwägung: – bei § 28 Abs. 1 Satz 1 Nr. 2 BDSG (über § 28 Abs. 2 Nr. 1 BDSG) – bei § 28 Abs. 2 Nr. 2a) und – bei § 28 Abs. 3 Satz 6 BDSG. Dabei ist die Wertung des Gesetzgebers zu beachten: Es gilt das Verbots- 280 prinzip, eine Übermittlung an einen Dritten ist also zunächst verboten. Jede gesetzliche Erlaubnis stellt dazu eine Ausnahme dar, ist also restriktiv anzuwenden. Zudem kennt das Gesetz eben kein Konzernprivileg. Insgesamt gilt auch hier: Je weniger und unkritischere Daten übermittelt 281 werden sollen, je besser dies technisch und organisatorisch abgesichert ist, je weniger Personen beim Empfänger Zugriff erhalten, je schneller die Daten gelöscht sind etc., desto eher können Interessen des Unternehmens bzw. des Empfängers an einer Übermittlung überwiegen. c) Wichtige Prüfpunkte/Prüfschema Es ergibt sich folgendes grobes Prüfschema:
282
1. Es ist also bei einem (möglichen) Konzernzugriff auf die Kundendaten eines Konzernunternehmens zunächst sorgfältig zu prüfen, ob dies über das Modell einer Auftragsdatenverarbeitung nach § 11 BDSG abbildbar ist, was datenschutzrechtlich meist der einfachste Fall, aber auch nur möglich ist, wenn der Auftragnehmer seinen Sitz in der EU/ EWR hat und zum anderen die geforderte „Über- und Unterordnung“ vorliegt. 2. Falls nicht: Dann ist nach einer Übermittlungserlaubnis zu suchen, am leichtesten in Form einer auf den konzernweiten Austausch der Daten gerichteten Einwilligung, ansonsten in Form einer gesetzlichen Erlaubnis; diese sind eher restriktiv anzuwenden. Über eine Interessenabwägung kann sich in verschiedenen Fällen durchaus ein Weg finden lassen, wobei es wiederum wichtig ist, alle Begleitpflichten gut und gegebenenfalls sogar – um bei der Interessenabwägung Vorteile zu haben – überobligatorisch zu erfüllen.
VII. Datenklau – Wenn durch eigene Mitarbeiter Kundendaten gestohlen werden 1. Datenklau – ein Überblick über die relevanten Normen Kundendaten kommt ganz erheblicher Wert zu, was entsprechende Be- 283 gehrlichkeiten auch und gerade der Mitarbeiter wecken kann, die Zugriff zu den Daten haben oder sich verschaffen können.
Selk
469
§ 30
Kundendaten in CRM und Data Warehouse
284
Denkbare Risikoszenarien sind, die Daten an die Konkurrenz weiterzugeben, sich selbst zu eigenen Zwecken zu verschaffen und/oder den eigenen Arbeitgeber zu schädigen, indem die Kundendaten gelöscht oder zumindest unbrauchbar gemacht werden.
285
Nicht umsonst gibt es zahlreiche Rechtsprechung, in der sich die Gerichte mit dem „Diebstahl“ von Kundendaten zu beschäftigen hatten1.
286
Da die Normen, nach denen ein solches Verhalten geahndet werden kann, meist wenig bekannt sind, lohnt ein Blick darauf: Strafrechtliche Normen sowie Ordnungswidrigkeiten finden sich2 – im BDSG in § 43 und § 44 BDSG, – etwas versteckt im UWG in § 17 UWG, – aber auch im StGB in §§ 202a bis c StGB – sowie im UrhG, speziell für Datenbanken in § 108 Abs. 1 Nr. 8 i.V.m. § 87b Abs. 1 UrhG. Zivilrechtliche Ansprüche können sich aus – §§ 823 ff. BGB sowie – § 280 Abs. 1 BGB i.V.m. § 611 BGB, – § 7 BDSG (Schadensersatzanspruch) ergeben.
287
Ferner darf arbeitsrechtlich die Möglichkeit einer Kündigung oder sonstiger Sanktionen nicht vergessen werden. In bestimmten Fällen können auch Normen aus dem Urhebergesetz einschlägig sein, wie die zuvor aufgelistete Norm des § 108 Abs. 1 Nr. 8 UrhG. 2. Exemplarisch: Die Regelungen aus dem BDSG dazu a) Überblick
288
Generell kann zwischen zwei Fällen unterschieden werden:
289
Der Mitarbeiter hat zum einen rechtmäßig Zugriff auf die Kundendaten, etwa weil er mit diesen arbeiten muss. Er überwindet insofern keinen Zugriffsschutz, aber nutzt die Daten rechtswidrig, da über seine Befugnisse hinausgehend, z.B., wenn er sie auf einen eigenen Datenträger kopiert oder sich selbst elektronisch überträgt. Die rechtswidrige Handlung liegt also in dieser unbefugten Nutzung.
1 S. exemplarisch: BGH v. 27.4.2006 – I ZR 126/03; BGH v. 17.3.1992 – I Str 5/92; LAG Berlin v. 10.6.2003 – 16 Sa 545/03 oder LAG Mainz v. 9.1.2012 – 5 Sa 335/11. 2 S. dazu auch Schroth, § 68, der sich aus der Sicht des Ankaufenden mit dieser Thematik beschäftigt.
470
Selk
§ 30
VII. Datenklau
Zum anderen kann es so sein, dass der Mitarbeiter keinen Zugriff auf die 290 Kundendaten hat, sich also zunächst diesen verschaffen muss, in der Regel also einen Account hacken oder mit den Login-Daten eines anderen, die weitere Rechte gewähren, Zugriff nehmen. Ist dies erreicht, werden die Kundendaten wieder auf einen eigenen Da- 291 tenträger kopiert oder übertragen. In beiden Fällen liegt ein Verstoß gegen das Datengeheimnis nach § 5 292 BDSG. Dieses besagt, dass es den bei der Datenverarbeitung beschäftigten Personen untersagt ist, personenbezogene Daten unbefugt zu erheben, zu verarbeiten oder zu nutzen. § 5 Satz 3 BDSG bestimmt sogar, dass das Datengeheimnis auch nach Beendigung der Tätigkeit noch fortbesteht. Auch der, der zwar für seine dienstliche Tätigkeit Zugriff hat, die Daten 293 aber dienstfremd nutzt, handelt i.S.d. § 5 BDSG „unbefugt“. Mit anderen Worten: Jede Datennutzung, die nicht in der dem Mitarbeiter zugewiesenen Aufgabenstellung liegt, ist unbefugt1. Man stellt dabei also nicht darauf ab, ob die verantwortliche Stelle, also 294 der Arbeitgeber des Mitarbeiters, die Datenverarbeitung nicht durchführen darf, sondern auf den konkreten Mitarbeiter selbst. Allerdings ist ein Verstoß gegen das Datengeheimnis in § 5 BDSG nicht 295 direkt sanktioniert. b) Ordnungswidrigkeits-Tatbestände Datenschutzrechtliche Sanktionen können sich aber aus anderen Nor- 296 men ergeben, nämlich § 43 Abs. 2 Nr. 3 und 4 BDSG, die bestimmtes Verhalten in diesem Zusammenhang als Ordnungswidrigkeit definieren. Bei Hinzukommen weiterer Umstände kann nach § 44 BDSG sogar ein 297 Straftatbestand erfüllt sein, der mit Haft bis zu 2 Jahren geahndet werden kann. Nach § 43 Abs. 2 Nr. 3 BDSG handelt derjenige ordnungswidrig, der 298 vorsätzlich oder fahrlässig unbefugt personenbezogene Daten, die nicht allgemein zugänglich sind, abruft oder sich oder einem anderen aus automatisierten Verarbeitungen oder nicht automatisierten Dateien verschafft. Kundendaten, zumindest die in einem CRM-System gespeicherten De- 299 tails, sind nicht allgemein zugänglich. Ein Mitarbeiter, der aufgrund seiner Aufgabenstellung auf diese Daten Zugriff hat und auf einen eigenen Datenträger speichert, ruft sie im Sinne vorgenannter Vorschrift ab. Der 1 So auch Gola/Schomerus, BDSG, § 5 Rz. 6. Selk
471
§ 30
Kundendaten in CRM und Data Warehouse
Abruf setzt nicht voraus, dass der Abrufende, also der Täter, Dritter ist; vielmehr kann Täter auch und gerade derjenigen sein, der im eigenen Unternehmen, Daten unbefugt abruft1. 300
Es ist aber auch nicht jede Kenntnisnahme von Kundendaten zugleich ein Abruf i.S.d. § 43 Abs. 2 Nr. 2 BDSG. Vielmehr zeichnet den Abruf aus, dass ein gezielter, durch Programmbefehle vermittelter Datenzugriff geschaffen wird2. Das bloße Mitschneiden von Datenströmen wäre danach kein Abruf.
301
Es liegt dann aber ein „Sich-Verschaffen“ vor. Unter einem solchen wird ein „Zur-Kenntnis-Nehmen“ oder die Herstellung eines Zustands, der es dem Täter erlaubt, die Daten später zur Kenntnis zu nehmen, sie zu nutzen oder in irgendeiner anderen Weise über sie zu verfügen, ohne dass die verantwortliche Stelle dies noch verhindern kann, verstanden3.
302
Die Daten müssen dabei direkt aus einer automatisierten Verarbeitung oder aus einer nicht automatisierten Datei stammen, was bei Kundendaten aus einer Kundendatenbank oder einem CRM-Tool stets der Fall sein wird.
303
Es reicht dabei auch aus, wenn der Täter die Daten nicht sich, sondern einem anderen verschafft. Die Motive des Täters spielen nach der Regelung des § 43 Abs. 2 Nr. 3 BDSG im Übrigen keine Rolle.
304
Ein Mitarbeiter, der unbefugt Kundendaten abruft und „mitnimmt“, handelt also in aller Regel nach einer der beiden Alternativen des § 43 Abs. 2 Nr. 3 BDSG ordnungswidrig.
305
Die Geldbuße kann in diesen Fällen nach § 43 Abs. 3 Satz 1 BDSG bis zu 300 000 Euro betragen, wobei diese Grenze nach oben offen ist, § 43 Abs. 3 Satz 3 BDSG, wenn der wirtschaftliche Vorteil, den der Täter erlangt hat, diesen Betrag übersteigt.
306
Liegt eine große Kundendatenbank und/oder liegen wertvolle Kundenprofile vor, kann der Betrag von 300 000 Euro nicht nur schnell erreicht, sondern regelmäßig sogar überschritten sein4.
1 Ehmann spricht in Simitis, BDSG, § 43 Rz. 62 treffend von einem „Innentäter“. 2 Ehmann in Simitis, BDSG, § 43 Rz. 63. Der Täter muss bisher „ruhende“ Daten „in Bewegung versetzt“ haben. 3 Ehmann in Simitis, BDSG, § 43 Rz. 64. 4 Ein möglicher Anhaltspunkt für eine Schätzung können die in der Presse immer wieder zitierten Unternehmenstransaktionen sein, bei denen Unternehmen für hohe Kaufpreise erworben werden, deren Wert im Ergebnis nur in den Kunden und damit auch den Kundendaten liegt. Größenordnungen von einigen Hundert Euro pro Kunde sind nicht unüblich; bei Hunderttausenden Datensätzen gelangt man dann schnell in die Größenordnung von sieben- oder gar achtstelligen Beträgen.
472
Selk
§ 30
VII. Datenklau
c) Straftatbestände § 44 Abs. 1 BDSG bestimmt eine Verschärfung: Dort ist geregelt, dass 307 der, der eine in § 43 Abs. 2 bezeichnete vorsätzliche Handlung gegen Entgelt oder in der Absicht, sich oder einen anderen zu bereichern oder einen anderen zu schädigen, begeht, mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft wird. Es muss also eine vorsätzliche Handlung vorliegen, was aber bei dem 308 Diebstahl von Kundendaten stets der Fall sein wird; ein „versehentliches“ Abrufen von Kundendaten und ein „zufälliges“ Speichern dieser Daten auf einem eigenen Datenträger ist kaum vorstellbar. Da die rechtswidrig abgerufenen Kundendaten zu irgendeinem Zweck ge- 309 nutzt werden sollen, der in der Regel finanziell vergütet wird, sind auch die weiteren Tatbestandsmerkmale erfüllt („gegen Entgelt“ bzw. die Bereicherungsabsicht). Wichtig zu wissen ist, dass es sich um ein Antragsdelikt handelt, § 44 310 Abs. 2 BDSG. Die Tat wird also nur auf Antrag verfolgt. Antragsberechtigt sind der Betroffene und die verantwortliche Stelle und die Aufsichtsbehörde (sowie – hier wenig praxisrelevant – der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit). Als Teil des Nebenstrafrechts gilt für § 44 BDSG der Allgemeine Teil des 311 StGB, u.a. damit hinsichtlich der Antragsfrist § 77d StGB: Die Frist beträgt 3 Monate, zudem handelt es sich um eine Ausschlussfrist, die nicht verlängerbar ist. Liegt also ein Fall nach § 44 BDSG vor, muss diese Frist sehr genau no- 312 tiert und eingehalten werden, da es nicht vorgesehen ist, dass die Strafverfolgungsbehörden wegen eines besonderen Interesses an der Strafverfolgung von Amts wegen tätig werden kann, also auch ohne Vorliegen eines Antrags oder dessen verspäteter Einreichung. 3. Fazit zu den Sanktionen Ein Datenklau kann im Speziellen aber nicht nur zu datenschutzrecht- 313 lichen Sanktionen führen. Daneben stehen weitere Straftatbestände, aber auch zivilrechtliche Haftungsnormen im Raum. Dabei kann nicht nur der Täter haften, sondern auch das Unternehmen selbst. Es ist insofern für das Unternehmen immens wichtig, durch geeignete 314 technische und organisatorische Maßnahmen das Risiko eines Datenklaus schon am besten auf tatsächlicher Ebene weitestgehend zu vermeiden, etwa durch den Einsatz von ausdifferenzierten Rollen- und Berechtigungsstrukturen in der jeweiligen Datenbank.
Selk
473
§ 30 315
Kundendaten in CRM und Data Warehouse
Dies gilt umso mehr, wenn man berücksichtigt, dass das Unternehmen auch aus ganz anderer Richtung Risiken zu befürchten hat, etwa unter dem Gesichtspunkt eines Organisationsverschuldens im Sinne von § 91 Abs. 2 AktG. Eine gute Checkliste für die technische und organisatorische Absicherung sind die 8 Punkte, die der Gesetzgeber in der Anlage zu § 9 BDSG selbst nennt. Ein Blick darauf lohnt auch an dieser Stelle.
474
Selk
§ 31 Geodaten in Abgrenzung zu personenbezogenen Daten Rz. I. Ausgangslage . . . . . . . . . . . . . . . . .
1
II. Kriterien der Abgrenzung . . . . . . . 1. Literaturansichten. . . . . . . . . . . . . 2. Gerichtsentscheidungen. . . . . . . .
7 8 9
III. Google-Street-View in der Schweiz . . . . . . . . . . . . . . . . . . . . . 11 1. Das Urteil des schweizerischen Bundesgerichts . . . . . . . . . . . . . . . 11
Rz. 2. Eckpunkte des Urteils . . . . . . . . . . a) Anonymisierung und Anonymisierbarkeit . . . . . . . . . . . . . . . b) Kamerahöhe maximal 2 m . . . . c) Ausgewogene Interessenabwägung unter Einbeziehung der (potentiellen) Nutzer . . . . . . . .
12 14 17 18
IV. Rechtsvergleichende Erkenntnisse . . . . . . . . . . . . . . . . . 19
I. Ausgangslage Soweit ersichtlich, hat Forgó das Thema erstmals im Rahmen eines For- 1 schungs- und Entwicklungsauftrags ausführlich behandelt. Die Zusammenfassung seines Gutachtens datiert vom 20.12.20081. Als Geodaten sind alle Informationen mit räumlichem Bezug zu verste- 2 hen. Weichert definiert Geodaten als zweidimensionale Lokalisierung auf der Erdoberfläche durch unterschiedlichste Methoden2. Durch die Erhebung von Geodaten wird eine nähere Beschreibung eines raumbezogenen Objekts möglich, insbesondere die Beschaffenheit, Lage, Bebauung und Nutzung von Grundstücken sowie deren geografischen und sonstigen Besonderheiten3. Dabei ist eine voranschreitende, internationale Vernetzung und Harmonisierung von Geodaten festzustellen. Im europäischen Rahmen sind hier Vorhaben der Europäischen Kommission und der Europäischen Weltraumbehörde (ESA) wie INSPIRE, Copernicus/ GMES (globale Umwelt und Sicherheitsüberwachung), Galileo (europäisches Navigationssatellitensystem) und GEOSS (globales Erdbeobachtungssystem) zu nennen. Die INSPIRE-Richtlinie der EU4 hat dabei die Schaffung einer Geodaten- 3 Infrastruktur in Europa zum Ziel.
1 Unveröffentlichtes Gutachten von Prof. Dr. Nikolaus Forgó v. 20.12.2008, Leibnizinstitut Hannover – Institut für Rechtsinformatik – Königsworther Platz 1, abrufbar unter http://www.iri.uni-hannover.de/geodaten-und-recht.1140.html; künftig: Forgó, „GEODAT“-Gutachten. 2 Weichert, DuD 2007, 113. 3 Dreier/Spiecker genannt Döhmann, Die systematische Aufnahme des Straßenbildes. 4 RL 2007/2/EG. Moritz
475
§ 31
Geodaten in Abgrenzung zu personenbezogenen Daten
4
In Deutschland ist die INSPIRE-Richtlinie bereits umgesetzt1. In diesem Gesetz werden Geodaten des Bundes und der bundesunmittelbaren juristischen Personen des öffentlichen Rechts zugänglich gemacht. Allerdings wird der Zugang gem. § 12 Abs. 2 GeoZG i.V.m. § 9 des Umweltinformationsgesetzes (UIG) beschränkt. Denn nach § 9 Abs. 1 Nr. 1 UIG ist der Antrag auf Informationszugang abzulehnen, soweit durch den Zugang personenbezogene Daten offenbart werden, und dadurch Interessen der Betroffenen erheblich beeinträchtigt werden, oder die Betroffenen nicht zugestimmt haben, oder das öffentliche Interesse an der Bekanntgabe nicht überwiegt.
5
Durch den Verweis auf § 9 UIG ist vom Gesetzgeber dokumentiert, dass nicht alle Geodaten personenbezogen sind.
6
Entscheidend ist also die Frage, wann bei Geodaten von einem Personenbezug auszugehen ist. Denn der Umfang mit personenbezogenen Daten unterliegt gesetzlichen Restriktionen. Die entscheidende Vorschrift ist hier § 4 Abs. 1 BDSG, wonach die Erhebung, Verarbeitung und Nutzung personenbezogener Daten grundsätzlich unzulässig ist, es sei denn, es besteht eine gesetzliche Erlaubnis oder der Betroffene hat eingewilligt.
II. Kriterien der Abgrenzung 7
Allerdings gilt das BDSG gem. § 1 Abs. 2 nur für die Erhebung, Verarbeitung und Nutzung personenbezogener Daten. Darunter fallen Geodaten grundsätzlich nicht. Denn Geodaten werden nach Art. 3 Nr. 2 der INSPIRE-Richtlinie definiert als Daten mit einem direkten oder indirekten Bezug zu einem bestimmten Standort oder geografischen Gebiet. Demnach sind Geodaten grundsätzlich sachbezogen und nicht personenbezogen. Allerdings können Geodaten einen mittelbaren personalen Bezug haben. Ob ein solcher mittelbarer Bezug ausreicht, um raumbezogene Sachdaten zu personenbezogenen Daten i.S.v. § 1 Abs. 2 BDSG zu machen, wurde in jüngerer Zeit insbesondere in Bezug auf Satellitenbilder diskutiert. Zugespitzt hat sich diese Diskussion in Bezug auf Google-Street-View. Denn Google-Street-View ergänzt die bisher verfüg- und zuordenbaren Geodaten um eine weitere Dimension, nämlich um die Straßenperspektive. Zur Darstellung des Grundrisses (Perspektive von oben) tritt eine Darstellung des Objektäußeren (Perspektive von vorne) hinzu. Diese Verbindung wird von Street-View hergestellt durch den Aufruf der Straßenansicht Street-View über die Karten- (und zuschaltbare) Satellitenfunktion Google Maps2.
1 Geodatenzugangsgesetz (GeoZG), in Kraft getreten am 14.2.2009. 2 Vgl. Dreier/Spiecker genannt Döhmann, Fn. 3, 77.
476
Moritz
§ 31
II. Kriterien der Abgrenzung
1. Literaturansichten In der Literatur gibt es diesbezüglich unterschiedliche Meinungen. So 8 vertritt der Düsseldorfer Kreis, der Zusammenschluss der deutschen Aufsichtsbehörden, in seinem Beschluss vom 13./14.11.2008 die Ansicht, dass digital erfasste Fotos, die eindeutig lokalisiert sind und damit Adresse und Bewohnern zugeordnet werden können, in der Regel personenbezogene Daten sind. Andere Autoren schlagen Einschränkungen für die Personenbezogenheit solcher zunächst sachbezogenen Daten vor, da ansonsten der Schutzbereich des Rechts auf informationelle Selbstbestimmung uferlos ausgedehnt werden würde und faktisch so gut wie jede Objektbeschreibung einen personalen Bezug erhalte1. Eine einschränkende Ansicht will solche Angaben als personenbezogen klassifizieren, die eine Sache (im Verhältnis zur Person) identifizieren und in Abhängigkeit vom jeweiligen Lebenssachzusammenhang charakterisieren. Darüber sollen dann etwa für die Identifikation der Beziehung zum Sacheigentum Angaben über Lage, Größe, Bebauung und Nutzung eines Grundstücks personenbezogene Daten sein, nicht aber Bodenuntersuchungsergebnisse, baustatische Werte oder Angaben zur Verlegung von Leitungen2. Andere wollen Angaben über eine Sache dann als personenbezogen klassifizieren, wenn ihnen Aussagekraft über die Individualität einer Person zukommt. Dies könne entweder über eine Einwirkung der Sachdaten auf die Rechte und Interessen einer Person geschehen (sog. Ergebniskontext) oder über die Festlegung der Beurteilung und Bewertung einer Person (sog. Zweckkontext) oder schließlich über Identität oder Individualität einer Person (Inhaltskontext)3. 2. Gerichtsentscheidungen Gerichtsentscheidungen zu Geodaten gab es bisher nur wenige. Als 9 wichtigste Entscheidungsinstanz ist hier das BVerfG zu nennen. Unter Bezugnahme auf das Persönlichkeitsrecht hat das BVerfG ausgeführt, dass die räumliche Privatsphäre derjenige Bereich sei, für den der Betroffene nach den Umständen die erkennbare Erwartung hegen darf, dass sie den Blicken der Öffentlichkeit entzogen bleiben4. Davon erfasst sei nicht, was auch für den vor Ort anwesenden Betrachter ohne Weiteres erkennbar ist5. Die aus der Luft aufgenommene Aufnahme eines Grundstücks sei jedenfalls schutzwürdig, wenn zugleich eine Wegbeschreibung und die Identität der Bewohner offengelegt werde6.
1 Forgo, „GEODAT“-Gutachten, Fn. 1, 17. 2 Dammann in Simitis, BDSG, § 3 Rz. 58, 59. 3 Vgl. die Zusammenstellung bei Karg, Datenschutzrechtliche Rahmenbedingungen, Geodaten, 2.2.1; Weichert, DUD 2009, 347 (351). 4 BVerfGE 101, 361 (384). 5 BVerfG v. 2.5.2006 – 1 BvR 507/01 Rz. 13. 6 BVerfG v. 2.5.2006 – 1 BvR 507/01 Rz. 14; zur Erstellung von sog. Bewegungsprofilen s. neuerdings BGH v. 4.6.2013 – 1 StR 32/13. Moritz
477
§ 31 10
Geodaten in Abgrenzung zu personenbezogenen Daten
Für Google-Street-View, das darauf ausgerichtet ist, ohne Weiteres eine Wegbeschreibung durch Hinzunahme der Angaben von Google Maps zu ermöglichen, ist dies wohl gegeben. Denn die Adressdaten von Personen herauszufinden, die unter dieser Adresse gelistet sind, ist unter Hinzunahme des Internets in der Regel ohne größeren Aufwand möglich1.
III. Google-Street-View in der Schweiz 1. Das Urteil des schweizerischen Bundesgerichts 11
Die bisherigen Ausführungen haben gezeigt, dass weder in der Literatur noch in der deutschen Rechtsprechung sich bisher eindeutige Kriterien dafür herausgebildet haben, wie Geodaten ohne Personenbezug von Geodaten mit Personenbezug abzugrenzen sind. Ein rechtsvergleichender Blick in die Schweiz zeigt jedoch, dass dort durch eine oberstgerichtliche Entscheidung insoweit Klarheit geschaffen worden ist. Mit Urteil vom 31.5.2012 hat das schweizerische Bundesgericht in Lausanne2 Google (Google Inc. und Google Switzerland GmbH) bescheinigt, dass GoogleStreet-View in der Weise, wie der Dienst für seine Nutzer in der Schweiz abrufbar ist, personenbezogene Daten im Sinne des schweizerischen Datenschutzgesetzes erhebt, verarbeitet und nutzt. 2. Eckpunkte des Urteils
12
Das schweizerische Bundesgericht hatte keinerlei Zweifel, dass auf Google-Street-View das schweizerische Datenschutzgesetz Anwendung findet. Dieses verwendet zwar den Begriff „Personendaten“ im Gegensatz zum BDSG, welches in § 1 Abs. 1 und 2 von „personenbezogenen Daten“ redet. Denn Personendaten i.S.d. schweizerischen Datenschutzgesetzes sind alle Angaben, die sich auf eine bestimmte oder bestimmbare Person beziehen und sich einer Person zuordnen lassen. Insofern unterscheidet sich also in der Sache das schweizerische Datenschutzgesetz nicht von der Definition der personenbezogenen Daten in § 3 Abs. 1 BDSG. Das schweizerische Datenschutzgesetz entspricht im Wesentlichen auch sonst dem deutschen BDSG, so dass die Erkenntnisse des schweizerischen Bundesgerichts entsprechend auch für die Auslegung des BDSG in Frage kommen können. Nicht zu Unrecht hat sich daher das schweizerische Bundesgericht auf Autoren bezogen, die sich zur systematischen Aufnahme des Straßenbildes unter dem Gesichtspunkt des BDSG geäußert haben3. Überdies hat die EU-Kommission auf der Grundlage von Art. 31 Abs. 2 der EG-Datenschutzrichtlinie anerkannt, dass das Daten1 Vgl. Dreier/Spiecker genannt Döhmann, Fn. 3, 79; a.A. Forgó/Krügel/Müllenbach, CR 2010, 616 (618), die in einem solchen Fall die Zurechenbarkeit für Google leugnen. 2 BG Schweiz v. 31.5.2012 – 1 C 230/2011, abrufbar als PDF bei Google unter „schweizerisches Bundesgericht 1 C 230/2011“. 3 Z.B. Dreier/Spiecker genannt Döhmann, Rz. 6.3.
478
Moritz
§ 31
III. Google-Street-View in der Schweiz
schutzniveau der Schweiz angemessen i.S.d. Datenschutzrichtlinie ist1. Auch in der Schweiz ist der Dienst Street-View so konzipiert, dass der Nutzer einen Ortsnamen, einen Straßennamen und eine Hausnummer eingeben kann. Dadurch wird der Nutzer in die Straße und an das Haus der angegebenen Hausnummer geführt. Wer also wissen will, wie eine natürliche Person wohnt, deren Adresse aus einem öffentlich zugänglichen Telefonbuch oder einem öffentlich zugänglichen Adressbuch ermittelt worden ist, kann dies mittels Street-View leicht herausfinden. Dadurch gewonnene Informationen über die Modalitäten des Wohnens einer gesuchten Person sind personenbezogene Daten. Das schweizerische Bundesgericht hat insoweit seine Ansicht wie folgt zusammengefasst (Rz. 6.2): „So entstehe bei Abbildungen von Fahrzeugen ein Bezug zum Fahrer, aufgrund des Fahrzeugkennzeichens auch zum Halter; bei Häusern und Grundstücken ergebe sich ein Personenbezug zum Eigentümer oder zu dort verkehrenden Personen (Bewohner, Kunden etc.)“.
13
a) Anonymisierung und Anonymisierbarkeit Von entscheidender Bedeutung für das Urteil des schweizerischen Bun- 14 desgerichts ist die Anonymisierung oder Anonymisierbarkeit personenbezogener Daten. Denn anonymisierte Daten sind auch in der Schweiz keine personenbezogenen Daten. Bedauerlich ist insoweit allerdings, dass das schweizerische Bundes- 15 gericht letztlich nicht danach unterscheidet, ob die Anonymisierung bereits bei der Erhebung der personenbezogenen Daten erfolgt, d.h. vor deren erstmaligem Speichern, oder erst danach. Sobald es Tools (z.B. Computerprogramme) gibt, die in der Lage sind, den von § 3 Abs. 6 BDSG geforderten Grad der Anonymisierung zu erreichen, müssen diese nach Ansicht des Verfassers von Google Inc. eingesetzt werden, damit die in § 28 Abs. 1, 3 BDSG sowie in § 29 Abs. 1, 2 BDSG geforderte Abwägungsentscheidung zugunsten von Google Inc. ausfallen kann2. Insoweit zeigt sich das schweizerische Bundesgericht etwas großzügiger, 16 indem es bestimmt hat (Rz. 14., 14.1, 14.2), dass in der Schweiz eine kleine Fehlerquote (ca. 1 %) bei der automatischen Anonymisierung durch Google Inc. hingenommen werden kann, wenn Google Inc. und die Google Switzerland GmbH folgende Kriterien erfüllen: 1. Google (Google Inc. und Google Switzerland GmbH) ist verpflichtet, mit allen zur Verfügung stehenden technischen Mitteln eine vollständige Anonymisierung anzustreben und die automatische Anonymisierung laufend dem Stand der Technik anzupassen.
1 ABl. v. 2000 L 215/1. 2 Vgl. Moritz, K&R 2010, 7. Moritz
479
§ 31
Geodaten in Abgrenzung zu personenbezogenen Daten
2. Im Bereich von sensiblen Einrichtungen, insbesondere von Frauenhäusern, Altersheimen, Gefängnissen, Schulen, Gerichten und Spitälern ist bei der Publikation von Abbildungen in Street-View die vollständige, vor der Aufschaltung im Internet vorzunehmende, Anonymisierung von Personen zu gewährleisten, damit nebst den Gesichtern auch weitere individualisierende Merkmale wie Hautfarbe, Kleidung, Hilfsmittel oder behinderte Personen etc. nicht mehr feststellbar sind. b) Kamerahöhe maximal 2 m 17
Zuzustimmen ist dem schweizerischen Bundesgericht auch insoweit, dass Aufnahmen aus einer erhöhten Kameraposition (ca. 2,80 m), die Einblicke in den Privatbereich der betroffenen Personen erlauben (umfriedete Höfe, Gärten, Balkone usw.) nicht zu rechtfertigen sind (Rz. 10.7, 14.3). Für die Aufschaltung neuerer Aufnahmen hat das Gericht deren Zulässigkeit zu Recht auf eine Kamerahöhe von max. 2 m beschränkt. Diese Höhe entspräche etwa der Augenhöhe eine Passanten auf dem Trottoir, wenn dem Umstand Rechnung getragen wird, dass die Straßenebene, auf welcher die Fahrzeuge von Google Inc. verkehren, in der Regel etwas tiefer liegt. Konsequent ist insoweit auch die Verfügung des schweizerischen Bundesgerichts, dass bereits publizierte Bilder von Privatbereichen, die von einem höheren Kamerastandort aus aufgenommen wurden, aus Street-View zu entfernen sind, und zwar unverzüglich auf Verlangen der Beseitigung durch einen Betroffenen. c) Ausgewogene Interessenabwägung unter Einbeziehung der (potentiellen) Nutzer
18
Die deutsche datenschutzrechtliche Diskussion sollte sich nicht scheuen, weitere Argumente des schweizerischen Bundesgerichts aufzugreifen und für die Auslegung des BDSG nutzbar zu machen. Insbesondere erscheint insoweit die Ansicht des schweizerischen Bundesgerichts bedenkenswert zu sein, dass im Rahmen der Interessenabwägung zwischen den berechtigten Interessen von Google und den berechtigten Interessen von Betroffenen auch die Interessen Dritter einzubeziehen sind (Rz. 10.6.1), die aus Street-View einen Nutzen durch erleichterte Informationsbeschaffung und -verwendung ziehen1. Das schweizerische Bundesgericht führt insoweit aus, dass es offensichtlich sei, dass Street-View seit seiner Einführung für einen erheblichen Teil der Bevölkerung die Suche nach Informationen über den öffentlichen Raum erleichtert und insofern ein willkommenes legitimes Mittel etwa bei der Reiseplanung, der Reise nach einer Liegenschaft oder der Erkundung unbekannter Örtlichkeiten darstelle. In diesem Sinne ergänze der Dienst die Orientierung mittels Stadtplänen und Landkarten, die auch im Internet konsultiert werden können. Ferner führt das Gericht an, dass bei einer gesamthaften Abwägung der 1 So neuerdings auch BGH v. 4.6.2013 – 1 StR 32/13, unter Hinweis auf Art. 7 lit. f) der Datenschutzrichtlinie.
480
Moritz
§ 31
IV. Rechtsvergleichende Erkenntnisse
verschiedenen Interessen auch zu beachten sei, dass angesichts der in der heutigen Gesellschaft faktisch bestehenden Einbindung von Personendaten in soziale Realität nicht ein totaler Schutz vor einer unbefugten Bildveröffentlichung gewährleistet werden könne. Häufig hätten die Bilder und betroffenen Daten nur eine geringe Persönlichkeitsrelevanz und sie gäben einen statischen Zustand wieder, der in der Regel einige Zeit zurückliege, ohne dass der genaue Zeitpunkt der Aufnahme für den Betrachter erkennbar wäre. Damit sei davon auszugehen, dass ein namhafter Teil der mit Street-View hervorgerufenen Persönlichkeitsverletzungen nicht sehr schwer wiege und mit einer unbürokratisch gehandhabten Widerspruchsmöglichkeit hinreichend korrigiert werden könne. Trotzdem hat das schweizerische Bundesgericht aus der Sicht von Google insgesamt restriktiv entschieden.
IV. Rechtsvergleichende Erkenntnisse Es kann nicht ausgeschlossen werden, dass das Urteil des schweizeri- 19 schen Bundesgerichts bereits seine Auswirkungen in Deutschland entfaltet hat. Die Tatsache, dass Microsoft seinen Dienst Bing-Streetside am 20.5.2012 in Deutschland vom Netz genommen hat, könnte ein Indiz dafür sein. Im Übrigen ist anzunehmen, dass das Urteil die für die Anwendung des BDSG in Deutschland zuständigen Bundesbehörden eher zu Aktivitäten ermutigen wird, als dies bisher der Fall war. Auch die örtlich zuständigen Staatsanwaltschaften können sich ermutigt fühlen. Tatbestandliche Erkenntnisse des schweizerischen Bundesgerichts könn- 20 ten überdies die datenschutzrechtliche Diskussion in Deutschland bereichern. Dies trifft insbesondere zu für die Feststellungen des Gerichts, dass Google Inc. mit Hilfe der Google Schweiz GmbH Bilder von Straßenzügen in der Schweiz aufnehmen lasse und anschließend auf Festplatten zur weiteren Bearbeitung nach Belgien versende. Vom Unternehmenssitz in den USA aus würden die bearbeiteten Aufnahmen alsdann ins Internet gestellt. Diese tatbestandlichen Feststellungen sind bisher in der deutschen datenschutzrechtlichen Diskussion nicht reflektiert worden.
Moritz
481
§ 32 Nutzungsprofile von Internetnutzern Rz.
Rz.
I. Ausgangslage . . . . . . . . . . . . . . . . .
1
2. Originäre Pseudonyme . . . . . . . . . 17
II. Das Nutzungsprofil als Rechtsbegriff: § 4 Abs. 4 TDDSG . . . . . .
2
III. Die heutige Fassung des Gesetzes: § 6 Abs. 3 TDDSG/§ 15 Abs. 3 TMG . . . . . . . . . . . . . . . . . . 6 1. Opt-Out-Prinzip . . . . . . . . . . . . . . 7 2. Beschränkung auf Nutzungsdaten . . . . . . . . . . . . . . . . . . . . . . . . 8 3. Pseudonyme als Objekte und Subjekte des Personenbezugs . . . . 10 IV. Pseudonymisierung und Pseudonyme. . . . . . . . . . . . . . . . . . 13 1. Personenbezug aufgrund Pseudonymisierung – „absolute“ oder „subjektive“ Sicht? . . . . . . . . . . . . 16
V. „IT-Grundrecht“ – ein Blick in die Zukunft . . . . . . . . . . . . . . . . . . 1. Profiling im Zeichen von Big Data . . . . . . . . . . . . . . . . . . . . . . . . 2. Profiling als Anwendungsfall für das IT-Grundrecht . . . . . . . . . . a) Anfallende Datenspuren . . . . . b) Blick durch das virtuelle Schlüsselloch . . . . . . . . . . . . . . 3. „Diffuse Bedrohlichkeit“ und Transparenz . . . . . . . . . . . . . . . . . .
18 20 23 24 25 26
VI. Fazit . . . . . . . . . . . . . . . . . . . . . . . . 28
I. Ausgangslage 1
Das Datenschutzrecht ist nicht internettauglich1. Schon das Informations- und Kommunikationsdienste-Gesetz (IuKDG) vom 22.7.19972 hielt es für angezeigt, für das Internet spezifische datenschutzrechtliche Regelungen zu schaffen, nämlich durch das Gesetz über den Datenschutz bei Telediensten (TDDSG). Lange bevor Begriffe wie „Profiling“, „Targeting“ und „Big Data“ in aller Munde waren, führte das TDDSG in § 4 Abs. 4 eine Regelung für „Nutzungsprofile“ ein, die sich heute in modifizierter Form in § 15 Abs. 3 TMG findet. Die Norm bemühte sich um eine angemessene Balance zwischen den wirtschaftlichen und kommunikativen Interessen der Internetanbieter und dem Schutz der Privatsphäre der Nutzer. Obwohl es sich um eine Vorschrift handelt, deren Grundgedanken auch heute noch überzeugen, ist ihre praktische Bedeutung begrenzt geblieben, da das Verbotsprinzip und konkurrierende Normen des BDSG die Balance des § 15 Abs. 3 TMG aus den Fugen heben.
II. Das Nutzungsprofil als Rechtsbegriff: § 4 Abs. 4 TDDSG 2
§ 4 Abs. 4 TDDSG lautete: „Nutzungsprofile sind nur bei Verwendung von Pseudonymen zulässig. Unter einem Pseudonym erfasste Nutzungsprofile dürfen nicht mit Daten über den Träger des Pseudonyms zusammengeführt werden.“ 1 Vgl. Schneider/Härting, ZD 2011, 63 ff.; Schneider/Härting, ZRP 2011, 233 ff. 2 BGBl. I, 1870.
482
Hrting
§ 32
III. Die heutige Fassung des Gesetzes
Daten, die über die Nutzung eines Online-Dienstes Auskunft geben, 3 durften somit zu einem Profil zusammengeführt werden, wenn dies nicht unter „Klarnamen“, sondern unter einem Pseudonym des Nutzers erfolgte. Hinzu kam ein striktes Trennungsgebot, das es dem Diensteanbieter untersagte, den „Schleier“ der Pseudonymität zu lüften1. Das strikte Gebot der Pseudonymität sollte das Instrument sein, um einen adäquaten Schutz des Rechts auf informationelle Selbstbestimmung zu gewährleisten2. § 4 Abs. 4 TDDSG ließ das Verhältnis zur Einwilligung offen und es war 4 u.a. streitig, ob eine Pseudonymisierung auch dann erforderlich war, wenn der Nutzer einer Profilanlegung zugestimmt hatte3. Der Begriff der Pseudonymität war dem Datenschutzrecht noch fremd; das BDSG verwendete den Begriff noch nicht und es herrschte eine gewisse Verwirrung darüber, wie man den neuen Begriff in der Dichotomie zwischen Personenbezug und Anonymität einordnen sollte: „Die Einführung pseudonymer Daten stellt gegenüber dem BDSG, das außer den personenbezogenen nur anonyme Daten kennt, eine Privilegierung dar, ändert aber im Grundsatz nichts daran, dass auch pseudonyme Daten personenbezogene Daten bleiben4.“ Erst bei der Umsetzung der europäischen Datenschutzrichtlinie wurden 5 im Jahre 2001 Regelungen zur Pseudonymisierung in das BDSG eingefügt (insbesondere § 3 Abs. 6a und § 3a Satz 2 BDSG)5. Allerdings blieb es bei Postulaten. Bis heute fehlt es an gesetzlichen Rahmenregelungen, die dem Konzept pseudonymen Handelns Konturen verleihen6.
III. Die heutige Fassung des Gesetzes: § 6 Abs. 3 TDDSG/ § 15 Abs. 3 TMG Der bei der Umsetzung der E-Commerce-Richtlinie neu gefasste § 6 6 Abs. 3 TDDSG7 (heute: § 15 Abs. 3 TMG) sollte (u.a.) klarstellen, dass pseudonyme Nutzungsprofile angelegt werden dürfen, ohne dass es (zusätzlich) einer Einwilligung der Nutzer bedarf8: „Der Diensteanbieter darf für Zwecke der Werbung, der Marktforschung oder zur bedarfsge1 Vgl. Zscherpe in Taeger/Gabel, BDSG, § 15 TMG Rz. 64 f. 2 Vgl. Engel-Flechsig/Maennel/Tettenborn, NJW 1997, 2981 (2987); Gesetzesbegründung, BT-Drucks. 13/7385, 24. 3 Vgl. Entwurf des EGG v. 17.5.2001, BT-Drucks. 14/6098, 29 f. 4 Imhof, CR 2000, 110 (115), Fn. 49. 5 Gesetz zur Änderung des Bundesdatenschutzgesetzes und anderer Gesetze v. 18.5.2001, BGBl. I, 904. 6 Vgl. nur Härting, NJW 2013, 2065 ff. und Roßnagel/Scholz, MMR 2000, 721 (731). 7 Gesetz über rechtliche Rahmenbedingungen des elektronischen Geschäftsverkehrs (EGG) v. 14.12.2001, BGBl. I, 3721. 8 Vgl. Entwurf des EGG v. 17.5.2001, BT-Drucks. 14/6098, 29 f. Hrting
483
§ 32
Nutzungsprofile von Internetnutzern
rechten Gestaltung der Teledienste Nutzungsprofile bei Verwendung von Pseudonymen erstellen, sofern der Nutzer dem nicht widerspricht. Der Diensteanbieter hat den Nutzer auf sein Widerspruchsrecht … hinzuweisen. Diese Nutzungsprofile dürfen nicht mit Daten über den Träger des Pseudonyms zusammengeführt werden.“ 1. Opt-Out-Prinzip 7
Trotz der Neufassung der Norm blieben Unsicherheiten im Hinblick auf das Erfordernis einer Einwilligung bestehen. So wurde vertreten, dass das Widerrufsrecht nichts daran ändere, dass es (zusätzlich) einer Einwilligung der Nutzer bedarf1. Vereinzelt wurde § 6 Abs. 3 TDDSG zwar – zutreffend – entnommen, dass für Nutzungsprofile ein „Opt-Out-Prinzip“ (statt des Erfordernisses einer Einwilligung) gilt, gegen das jedoch verfassungsrechtliche Zweifel im Hinblick auf das Volkszählungsurteil des BVerfG2 geltend gemacht wurden3. Fröhle meinte zwar, dass es für die Profilanlegung keiner Einwilligung bedarf, dass die Möglichkeiten des § 6 Abs. 3 TDDSG jedoch „bis zur Bedeutungslosigkeit eingeschränkt“ seien, da zur Profilbildung in aller Regel die Verarbeitung von Daten notwendig seien, die nicht als Nutzungsdaten anzusehen sind (§ 6 Abs. 1 TDDSG, jetzt § 15 Abs. 1 TMG) und daher ohne Einwilligung des Betroffenen nicht zur Profilbildung genutzt werden dürfen4. 2. Beschränkung auf Nutzungsdaten
8
Roßnagel meinte, dass es bei pseudonymen Daten an einem Personenbezug fehle und die Profilbildung schon aus diesem Grund keiner Einwilligung des Betroffenen bedürfe. § 6 Abs. 3 TDDSG sei als „Vorsorgeregelung“ zu verstehen und wolle besonderen Aufdeckungsrisiken und Persönlichkeitsgefährdungen vorbeugen5. Allerdings gelte § 6 Abs. 3 TDDSG nur für Nutzungsdaten gem. § 6 Abs. 1 TDDSG (jetzt: § 15 Abs. 1 TMG). Jegliche Kombination mit anderen Daten oder auch eine „anbieterübergreifende“ Erstellung von Profilen bedürfe der Einwilligung des Betroffenen6.
1 Rasmussen, CR 2002, 36 (43). 2 BVerfG v. 15.12.1983 – 1 BvR 209/83 u.a., BVerfGE 65, 1 ff. – Volkszählung. 3 Schmitz in Spindler/Schmitz/Geis, TDG, München 2004, § 6 TDDSG Rz. 30; Schmitz in Hoeren/Sieber/Holznagel, Handbuch Multimedia-Recht, Stand Dezember 2012, Teil 16.2 Rz. 222. 4 Fröhle, Web Advertising, Nutzerprofile und Teledienstedatenschutz, S. 212; a.A. Jandt/Laue, K&R 2006, 316 (320 ff.). 5 Roßnagel in Roßnagel/Banzhaf/Grimm, Datenschutz im Electronic Commerce, S. 222. 6 Roßnagel in Roßnagel/Banzhaf/Grimm, Datenschutz im Electronic Commerce, S. 223; ebenso Schaar, Datenschutz im Internet, Rz. 706 ff.
484
Hrting
§ 32
III. Die heutige Fassung des Gesetzes
Hullen/Roggenkamp vertreten (zu § 15 Abs. 3 TMG) die Ansicht, dass es 9 sich um einen Erlaubnistatbestand handelt, der eng auszulegen sei und sich nur auf Nutzungsdaten gem. § 15 Abs. 1 TMG beziehe1. Soweit allerdings das Profil lediglich mit einer IP-Adresse verknüpft sei, handele es sich um ein „anonymes Profil“, auf das das TMG (ebenso wie das BDSG) nicht anwendbar sei2. 3. Pseudonyme als Objekte und Subjekte des Personenbezugs In letzter Konsequenz gibt § 15 Abs. 3 Satz 1 TMG dem Datenverarbeiter 10 keine Gewähr für einer Befreiung vom Verarbeitungsverbot gem. § 4 Abs. 1 BDSG3. Dies gilt umso mehr, als Pseudonyme zugleich personenbezogene Daten 11 sein können, wenn bekannt ist oder mit zugänglichem Zusatzwissen festgestellt werden kann, auf welche Person sie sich beziehen4. Schaar vertrat bereits 2002 die Auffassung, dass das Pseudonym im Normalfall den Personenbezug nicht aufhebt5. Dies ist die logische Folge der von den Datenschützern überwiegend vertretenen Auffassung vom „absoluten“ Begriff des Personenbezugs6. Eine theoretische Möglichkeit, den Schleier des Pseudonyms zu lüften, gibt es immer. Begreift man die personenbezogenen Daten als Objekt und die zugehöri- 12 ge natürliche Person als Subjekt des Datenschutzrechts, ist unklar, ob das Pseudonym im Datenschutzrecht lediglich Objekt oder auch Subjekt sein kann. Aus § 15 Abs. 3 TMG wird teilweise geschlossen, dass der Gesetzgeber auch pseudonyme Daten als personenbezogene Daten betrachtet7. Es bedarf für die Anwendung des Datenschutzrechts nach dieser Auffassung nicht der Zuordnung von Daten zu einer (namentlich) benennbaren Person8. Vielmehr reicht die Zuordnung zu einem Pseudonym aus. Folge: Jede Sammlung von Daten, die dem Pseudonym [email protected] zuzuordnen ist, unterfällt dem Datenschutzrecht9. Ob und inwieweit sich das Pseudonym einer (namentlich) identifizierbaren Person zuordnen lässt, ist unerheblich10.
1 2 3 4 5 6 7
Hullen/Roggenkamp in Plath, BDSG, § 15 TMG Rz. 21 f. Hullen/Roggenkamp in Plath, BDSG, § 15 TMG Rz. 23. Vgl. Peifer, K&R 2011, 543 (545). Schaar, Datenschutz im Internet, S. 59, Rz. 162. Dammann in Simitis, BDSG, § 3 Rz. 67. Pahlen-Brandt, K&R 2008, 288 (290). Schaar, Datenschutz im Internet, Rz. 162; Hillenbrand-Beck/Greß, DuD 2001, 389 (391). 8 Schaar, Datenschutz im Internet, Rz. 162. 9 Vgl. Hillenbrand-Beck/Greß, DuD 2001, 389 (391). 10 Vgl. Scholz in Simitis, BDSG, § 3 Rz. 215. Hrting
485
§ 32
Nutzungsprofile von Internetnutzern
IV. Pseudonymisierung und Pseudonyme 13
Der Begriff des Pseudonyms hat sich erst durch das Internet im Datenschutzrecht eingebürgert1 und dient dazu, die Identität der Person zu verschleiern, deren Daten gespeichert sind2.
14
§ 3 Abs. 6a BDSG versteht die Pseudonymisierung als das „Ersetzen“ des Namens oder anderer Identifizierungsmerkmale durch ein Kennzeichen zu dem Zweck, die Bestimmung des Betroffenen auszuschließen oder wesentlich zu erschweren. Dieser Definition liegt die Perspektive eines Datenverarbeiters zugrunde, der über einen Bestand an personenbezogenen Daten verfügt und diese Daten in pseudonymisierte Daten verwandelt: An die Stelle des Namens bzw. der (anderen) Identifizierungsmerkmale tritt jeweils ein „Kennzeichen“, das keinen Rückschluss auf die Person des Betroffenen zulässt. Ein typischer Fall der Pseudonymisierung ist die Veröffentlichung von Prüfungsergebnissen, bei der die Namen der Prüflinge durch Kennnummern ersetzt werden.
15
Beim Pseudonymisieren gibt es im Normalfall eine Zuordnungsregel bzw. Referenzliste oder Referenzdatei, die es dem Kenner dieser Regel bzw. Liste oder Datei ermöglicht, die Pseudonymisierung rückgängig zu machen3. In einem solchen Fall haben die Daten jedenfalls für den Datenverarbeiter Personenbezug, so dass trotz der Pseudonymisierung das Verbot mit Erlaubnisvorbehalt (§ 4 Abs. 1 BDSG) gilt. 1. Personenbezug aufgrund Pseudonymisierung – „absolute“ oder „subjektive“ Sicht?
16
Hat der Datenverarbeiter keine Kenntnis von der Zuordnungsfunktion und auch keine Möglichkeit der Kenntnisnahme, besteht aus seiner Sicht kein Unterschied zu anonymen Daten4, und es hängt von dem („absoluten“ oder „relativen“) Verständnis des Begriffs des Personenbezugs ab, ob die Daten § 4 Abs. 1 BDSG unterfallen oder nicht5. Bei einem absoluten Verständnis des Begriffs reicht die bloße Existenz der Zuordnungsregel für einen Personenbezug aus6. Bei einem relativen Verständnis kommt es dagegen darauf an, ob der Datenverarbeiter den Personenbezug ohne unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft wieder herstellen kann7. 1 Vgl. Scholz in Simitis, BDSG, § 3 Rz. 212 f. 2 Schmitz in Spindler/Schmitz/Geis, § 4 TDDSG Rz. 44. 3 Vgl. Gola/Schomerus, § 3 Rz. 46; Buchner in Taeger/Gabel, BDSG, § 3 Rz. 47; Zscherpe in Taeger/Gabel, BDSG, § 3a Rz. 46. 4 Vgl. Arning/Forgó/Krügel, DuD 2006, 701 f. 5 Vgl. Plath/Schreiber in Plath, BDSG, § 3 Rz. 62; Buchner in Taeger/Gabel, BDSG, § 3 Rz. 47. 6 Vgl. Buchner in Taeger/Gabel, BDSG, § 3 Rz. 50. 7 Plath/Schreiber in Plath, BDSG, § 3 Rz. 63; Scholz in Simitis, BDSG, § 3 Rz. 220a; Buchner in Taeger/Gabel, BDSG, § 3 Rz. 49.
486
Hrting
§ 32
V. „IT-Grundrecht“ – ein Blick in die Zukunft
2. Originäre Pseudonyme Nicht von § 3 Abs. 6a BDSG erfasst sind Datenbestände, die von vorn- 17 herein weder Namen noch andere Identifizierungsmerkmale, sondern lediglich „Kennzeichen“ (Phantasienamen) enthalten1. Derartige Datenbestände sind originär „pseudonym“, ohne dass es eines Vorgangs der „Pseudonymisierung“ bedarf. Diese Art der „Pseudonymität“ ist bei Online-Diensten weitverbreitet. Wer beispielsweise in einem Chat-Portal einen der üblichen Chatnamen verwendet („Darling91“), nutzt das Portal pseudonym. Der Portalbetreiber erfährt den „Klarnamen“ ebenso wenig wie andere „Identifizierungsmerkmale“.
V. „IT-Grundrecht“ – ein Blick in die Zukunft In dem Urteil zur Online-Durchsuchung hat das BVerfG ein neues 18 Grundrecht geschaffen: das „IT-Grundrecht“ (Gewährleistung der Integrität und Vertraulichkeit informationstechnischer Systeme)2. Dass es eines solchen „neuen“ Grundrechts bedarf, hat das BVerfG u.a. damit begründet, dass das Recht auf informationelle Selbstbestimmung Schutzlücken aufweist3. Das Gefahrenpotential, gegen das das „IT-Grundrecht“ schützt, liegt nach dem BVerfG darin, dass ein Dritter sich durch Zugriff auf ein informationstechnisches System einen potentiell äußerst großen und aussagekräftigen Datenbestand verschaffen kann, ohne noch auf weitere Datenerhebungs- und Datenverarbeitungsmaßnahmen angewiesen zu sein4. Der heimliche Blick auf die Computerfestplatte lässt sich mit dem althergebrachten Blick durch das Schlüsselloch vergleichen. Unbemerkt gelangt ein „Eindringling“ in die Privatsphäre. Obwohl Einigkeit darüber besteht, dass das in der Online-Durchsuchung 19 geschaffene „IT-Grundrecht“ Drittwirkung hat und den Gesetzgeber zu schützenden Maßnahmen im Bereich der Privatwirtschaft aufruft, ist die Diskussion um gesetzgeberische Konsequenzen5 bislang in ersten Anfängen stecken geblieben. Die Grundrechtsgefahren durch Spuren vernetzter Kommunikation erfordern indes eine umfassende Anpassung des Persönlichkeits- und Datenschutzrechts an die Gegebenheiten der Informationsgesellschaft6.
1 Vgl. Plath/Schreiber in Plath, BDSG, § 3 Rz. 63; Scholz in Simitis, BDSG, § 3 Rz. 220a; Buchner in Taeger/Gabel, BDSG, § 3 Rz. 49. 2 BVerfG v. 27.2.2008, NJW 2008, 822 ff. – Online-Durchsuchung. 3 BVerfG v. 27.2.2008, NJW 2008, 822 (824) – Online-Durchsuchung. 4 BVerfG v. 27.2.2008, NJW 2008, 822 (826) – Online-Durchsuchung. 5 Vgl. Bartsch, CR 2008, 613 ff.; Kutscha, DuD 2011, 461 (462 f.); Luch, MMR 2011, 75 ff.; Roßnagel/Schnabel, NJW 2008, 3534 ff. 6 Vgl. Hoffmann-Riem, JZ 2008, 1009 (1010). Hrting
487
§ 32
Nutzungsprofile von Internetnutzern
1. Profiling im Zeichen von Big Data 20
Amazon, Google und Facebook gehören zu den Vorreitern des „Profiling“. Hierunter versteht man die systematische Auswertung des Nutzerverhaltens. Es wird erfasst, für welche Seiten, Bücher, Werbebanner und Suchbegriffe ein Besucher der Website sich interessiert hat. Algorithmen errechnen sodann, welche Suchergebnisse, Waren oder Werbeanzeigen den Besucher voraussichtlich interessieren werden. Der Internetnutzer erhält auf diese Weise „maßgeschneiderte“, zielgerechte („targeted“) Werbung und erfährt (nur noch) das, was ihn mutmaßlich interessiert1.
21
Die Entwicklung immer intelligenterer Algorithmen steht noch am Anfang2. Immer größere Datenmengen („Big Data“) erfassen das Nutzerverhalten und die Daten werden immer raffinierter ausgewertet und analysiert. Der Besucher einer Nachrichtenseite erhält dann nur noch Nachrichten, die (voraussichtlich) zu seinem Leseverhalten passen. Und der Nutzer einer Musikplattform wird laufend mit Musikvorschlägen konfrontiert, die den individuellen Musikgeschmack treffen sollen.
22
Die Daten, die beim algorithmengesteuerten „Profiling“ gesammelt werden, sprengen den Rahmen des § 15 Abs. 1 TMG, da dort als Nutzungsdaten nur Daten gelten, deren Erhebung und Verwendung „erforderlich“ ist, um die Inanspruchnahme des Telemediums zu ermöglichen. Von einer solchen „Erforderlichkeit“ kann bei dem „Datenhunger“ der Cookies, die das Profiling ausführen, nicht die Rede sein. Schon aus diesem Grund wird man jedem Unternehmen, das „Profiling“ in Deutschland vornimmt, dazu raten, auf weitreichende Einwilligungserklärungen der Nutzer zu setzen und sich nicht auf eine großzügige Auslegung des § 15 Abs. 3 TMG zu verlassen. 2. Profiling als Anwendungsfall für das IT-Grundrecht
23
In der Heimlichkeit der Beobachtung liegt eine Parallele zwischen der Onlinedurchsuchung einerseits und der unbegrenzten und unkontrollierbaren Anlegung von Nutzungsprofilen im Internet: Die umfangreiche Speicherung von Daten bei Google stellt nach dem Empfinden vieler Nutzer einen Eingriff in die Privatsphäre dar. Dieser Eingriff wird nicht dadurch nennenswert abgemildert, dass die Betreiber von Google keine Kenntnis von der Identität der Person erlangen können, die hinter dem Nutzungsprofil stehen. Die Vorstellung, dass ein Internetanbieter über eine genaue Protokollierung besuchter Seiten die Möglichkeit hat, Interessen, Eigenheiten und Vorlieben des Nutzers sehr präzise zu analysieren, ist vielen Internetnutzern unangenehm. Die heimliche und unkontrollierte Protokollierung und Auswertung der Nutzergewohnheiten stellt ein „Ausspähen“ des Bürgers dar, das sich von der gezielten On1 Zu datenschutzrechtlichen Aspekten verhaltensbezogener Onlinewerbung vgl. Rammos, K&R 2011, 692 ff. 2 S. dazu Stiemerling, § 5 Rz. 28 ff. und § 6.
488
Hrting
§ 32
V. „IT-Grundrecht“ – ein Blick in die Zukunft
line-Durchsuchung einer Computerfestplatte allenfalls graduell unterscheidet. a) Anfallende Datenspuren Bei der Diskussion um die Personenbezogenheit von Daten beim Pro- 24 filing1 geht es im Wesentlichen darum, ob die Gefahr besteht, dass die anfallenden Datenspuren einem Nutzer zugeordnet werden, der Google namentlich bekannt ist. Für Dienste wie Facebook und Google sind Namen jedoch unwichtige Störgeräusche („Noise“)2. Und beim Webtracking oder beim Profiling liegt der Eingriff in die Privatsphäre nicht darin, dass der Internetnutzer ernsthaft befürchten muss, von einem Google-Mitarbeiter namentlich identifiziert zu werden, wobei unter einer Identifizierung die Verbindung von Informationen zu einem Individuum zu verstehen ist3. b) Blick durch das virtuelle Schlüsselloch Nicht die Sorge vor der Deanonymisierung ist es, die ein ungutes Gefühl 25 bereitet, sondern der heimliche Blick durch das virtuelle Schlüsselloch. Wie beim Blick durch das Schlüsselloch liegt das Unbehagen nicht darin, dass der Eindringling weiß, wer ich bin. Der Internetnutzer nimmt es vielmehr als freiheitsbeschränkend wahr, dass er sich – anonym – beobachtet fühlt, ohne genau abschätzen zu können, mit welcher Genauigkeit die Beobachtung erfolgt. Bei der Diskussion um Cookies und IPAdressen geht es letztlich darum, dass ein „potentiell äußerst großer und aussagekräftiger Datenbestand“ entsteht, der den tiefen Einblick in die Persönlichkeit ermöglicht, aus dem das BVerfG das „IT-Grundrecht“ abgeleitet hat4. Google Analytics ruft das „IT-Grundrecht“ auf den Plan und nicht die informationelle Selbstbestimmung. 3. „Diffuse Bedrohlichkeit“ und Transparenz Wenn das Verhalten des Internetnutzers systematisch beobachtet, erfasst 26 und analysiert wird, kann dies beim Nutzer ein „diffus bedrohliches Gefühl des Beobachtetseins“5 hervorrufen. Hierin liegt eine erhebliche Herausforderung für den Schutz von Persönlichkeitsrechten. Die „diffuse Bedrohlichkeit“ verlangt nach Transparenz. In seiner Entscheidung zur 1 S. Rz. 20 ff. 2 Vgl. Hardy, Rethinking Privacy in an Era of Big Data, New York Times v. 4.6.2012, http://bits.blogs.nytimes.com/2012/06/04/rethinking-privacy-in-an-eraof-big-data/?ref=technology. 3 Vgl. Solove, Understanding Privacy, Cambridge/London 2009, S. 122. 4 BVerfG v. 27.2.2008 – 1 BvR 370/07, 1 BvR 595/07, NJW 2008, 822 ff. – OnlineDurchsuchung. 5 BVerfG v. 2.3.2010 – BvR 256/08, 1 BvR 263/08, 1 BvR 586/08 – Vorratsdatenspeicherung, Rz. 212. Hrting
489
§ 32
Nutzungsprofile von Internetnutzern
Vorratsdatenspeicherung hat das BVerfG daran erinnert, dass Regelungen zur Information der von Datenerhebungen oder -nutzungen Betroffenen zu den elementaren Instrumenten des grundrechtlichen Datenschutzes gehören1. 27
Transparenz ist eine notwendige Grundbedingung selbstbestimmten Handelns. Der Nutzer, der in verständlicher und ausführlicher Form Informationen darüber abrufen kann, wie ein Anbieter mit Daten umgeht, kann eine informierte Entscheidung darüber treffen, ob er einen Internetdienst nutzen möchte. Dies wird den Gegebenheiten der Netzwelt wesentlich gerechter als eine starre Fixierung auf Einwilligungserfordernisse2.
VI. Fazit 28
Rückblickend muss man anerkennen, dass § 4 Abs. 4 TDDSG a.F. ein mutiger Versuch war, einen Zielkonflikt zu lösen, dessen praktische Bedeutung vielen von uns erst zu einem wesentlich späteren Zeitpunkt bewusst wurde. 1997 gab es Amazon gerade einmal drei Jahre, Google wurde erst 1998 gegründet, und Mark Zuckerberg hatte kurz vor der Verabschiedung des Gesetzes seinen 13. Geburtstag gefeiert.
29
Dass die Regelung zu den Nutzungsprofilen in der Praxis dennoch bis heute ein Schattendasein fristet, liegt weniger an der Norm als daran, dass es dem heutigen § 15 Abs. 3 TMG an geeigneten Schnittstellen im BDSG fehlt. Pseudonyme Daten sind nach wie vor ein Fremdkörper in einem Datenschutzrecht, das einem „Schwarz-Weiß-Prinzip“ folgt und sich gegen risikoorientierte Ansätze sperrt. Und das „IT-Grundrecht“, das auf die spezifischen Risiken des „Profiling“ geradezu zugeschnitten ist, ist bislang weder vom Gesetzgeber noch von den Gerichten in die Rechtspraxis umgesetzt worden.
30
Der Regelungsansatz des § 15 Abs. 3 TMG könnte sich nichtsdestotrotz als beständig erweisen, da die Norm einerseits die Risiken nicht leugnet, die die Profilbildung mit sich bringt, andererseits aber anerkennt, dass Persönlichkeitsrisiken bei pseudonymen Daten anders zu bewerten sind als bei der Verwendung von „Klarnamen“. Solange es indes an datenschutzrechtlichen Schnittstellen und an einer Umsetzung des IT-Grundrechts fehlt, wird man dem Diensteanbieter für das Profiling als „sicheren Weg“ raten müssen, die Norm links liegen zu lassen und sich um weitreichende Einwilligungserklärungen der Nutzer zu bemühen.
1 BVerfG v. 2.3.2010 – BvR 256/08, 1 BvR 263/08, 1 BvR 586/08 – Vorratsdatenspeicherung, Rz. 242. 2 Härting, AnwBl 2011, 246 (248).
490
Hrting
§ 33 Grenzen der Weitergabe der Namen von Autoren bei Blogs, Gästebuchbeiträgen und Äußerungen in Bewertungsportalen Rz. I. Grundsätzliche Aussagepflicht im Strafverfahren . . . . . . . . . . . . . II. Das journalistische Zeugnisverweigerungsrecht . . . . . . . . . . . . 1. Zeugnisverweigerung für Medienmitarbeiter . . . . . . . . . . . . 2. Beschlagnahmeverbote . . . . . . . . . 3. Rechtsvergleichendes . . . . . . . . . .
1 3 3 6 7
III. Einordnung von Blogs, Foren und Bewertungsportalen. . . . . . . . 8 1. Aktuelle Gerichtsentscheidungen . . . . . . . . . . . . . . . . . . 8 a) Der Fall beim LG Duisburg (Bewertungsportal) . . . . . . . . . . 8 b) Der Fall beim LG Augsburg (Online-Forum einer Zeitung) . 13
Rz. c) Der Fall beim LG Oldenburg . . 2. Eigene Stellungnahme . . . . . . . . . a) Wer bezeichnet sich eigentlich als Journalist? . . . . . . . . . . . . . . b) Schutzgut des journalistischen Zeugnisverweigerungsrechts . . c) Wo nicht gelesen und nicht geschrieben wird, ist kein Raum für § 53 Abs. 1 Nr. 5 StPO . . . . d) Keine Parallele zu Leserbriefen . . . . . . . . . . . . . . . . . . . . e) Das Vertrauen des Bloggers . . . f) Keine Zweiteilung redaktioneller und Anzeigenteil . . . . . .
16 17 18 19 22 24 25 26
IV. Fazit . . . . . . . . . . . . . . . . . . . . . . . . 28
I. Grundsätzliche Aussagepflicht im Strafverfahren Die (scheinbare) Anonymität im Internet verführt in zunehmendem 1 Maße dazu, auch strafrechtlich relevante Äußerungen intensiv zu verbreiten. Dabei kann sich die Ursache aus persönlicher Animosität gegenüber dem Verleumdeten ebenso ergeben wie aus wirtschaftlichem Interesse an der Verunglimpfung eines Mitbewerbers. Ob die betreffenden Inhalte sich dann als wahr herausstellen, ob sie vorsätzlich falsch dargestellt wurden oder ob es sich nur um eine Weiterverbreitung von verunglimpfenden Äußerungen Dritter handelt, deren Richtigkeit in zuweilen bemerkenswerter Gutgläubigkeit viel zu selten angezweifelt wird, ist für die hier diskutierte Rechtsfrage unerheblich. Zeugen in einem strafrechtlichen Verfahren sind nach den §§ 48 Abs. 1, 2 161a Abs. 1 Satz 1 StPO verpflichtet, vor Gericht und bei der Staatsanwaltschaft auszusagen, sofern sie nicht kraft gesetzlicher Ausnahme die Aussage verweigern können. Wird die Aussage ohne gesetzlichen Grund verweigert, werden dem Zeugen die dadurch entstandenen Kosten sowie ein Ordnungsgeld auferlegt (§ 70 Abs. 1 StPO). Zusätzlich kann nach § 70 Abs. 2 StPO zur Erzwingung der Aussage Beugehaft angeordnet werden. Eine Verweigerung der Zeugenaussage ohne gesetzlichen Grund liegt in der Regel dann vor, wenn dem Zeugen kein Zeugnisverweigerungsrecht nach den §§ 52 bis 55 StPO zusteht1. 1 Ignor/Bertheau in Löwe-Rosenberg, StPO, § 70 Rz. 7. Ernst
491
§ 33
Weitergabe der Namen von Autoren bei Blogs
II. Das journalistische Zeugnisverweigerungsrecht 1. Zeugnisverweigerung für Medienmitarbeiter 3
Auch wenn man daher grundsätzlich vor Ermittlungsbehörden und vor Gericht – zudem wahrheitsgemäß – aussagen muss, gilt dies für Journalisten im Hinblick auf ihre Informanten nicht ohne weiteres. Gemäß § 53 Abs. 1 Satz 1 Nr. 5 StPO sind Mitarbeiter von Presse, Rundfunk, Film sowie von Informations- und Kommunikationsdiensten (Medienmitarbeiter) unter bestimmten Voraussetzungen berechtigt, das Zeugnis in einem strafrechtlichen Verfahren in einem bestimmten Umfang zu verweigern. Dieses Zeugnisverweigerungsrecht ist eine einfach gesetzliche Kodifizierung der in Art. 5 Abs. 1 GG statuierten Pressefreiheit. Grund und Grundlage ist der Schutz des Vertrauensverhältnisses zwischen der Presse und ihren Informanten1. Schutzgut ist die Institution Presse und ihre Tätigkeit als solche; die Norm dient der Pressefreiheit als Institution2. Kein Schutzgut sind hingegen die Interessen der Verfasser, Einsender und Informanten selbst, die insofern nicht vom Schutzbereich der Pressefreiheit umfasst sind3. Allein das Vertrauensverhältnis zwischen Presse und Informanten, das für die Pressefreiheit unerlässlich ist, vermag angesichts des Konflikts mit dem berechtigten Strafverfolgungsinteresse derartige Restriktionen zu begründen4. Allgemeine Grenzen des Zeugnisverweigerungsrechts finden sich in § 53 Abs. 2 StPO bei den dort aufgezählten schwereren Straftaten (vgl. auch § 138 StGB).
4
Die Vorschriften über den Informantenschutz und das Redaktionsgeheimnis dienen nicht dem Schutz des Informanten, auch nicht dem des Redakteurs, sondern der Funktionsfähigkeit einer freien Presse5. Sie sollen ihr die Erfüllung ihrer öffentlichen Aufgabe erleichtern. Eine öffentliche Aufgabe der Presse kann es aber nur in den Grenzen der Verfassungsordnung und des Staatswohls geben. Abseits und außerhalb dieses Bereiches würde die Anerkennung des Informantenschutzes zu einer reinen Privilegierung der Presse führen. Es kann nicht aus der Verfassung hergeleitet werden, dass Informanten und Redakteure sich darauf sollten verlassen können, durch das Redaktionsgeheimnis praktisch vor der Strafverfolgung auch wegen schwerer Verfehlungen gegen das gemeine Wohl gesichert zu sein6.
1 Meyer-Goßner, StPO, 2012, § 53 Rz. 26 m.w.N.; Ignor/Bertheau in Löwe-Rosenberg, StPO, § 53 Rz. 48 m.w.N.; Senge in Karlsruher Kommentar, StPO, 2008, § 53 Rz. 27; Gercke in Heidelberger Kommentar, StPO, § 53 Rz. 22. 2 BVerfGE 20, 162 (187) = NJW 1966, 1603; Achenbach in Löffler, Presserecht, 2006, § 23 LPG Rz. 25 m.w.N.; Ignor/Bertheau in Löwe-Rosenberg, StPO, § 53 Rz. 48 m.w.N.; Graf, StPO, § 53 Rz. 23. 3 BVerfGE 20, 162 (187) Rz. 142 – Spiegel-Urteil; Meyer-Goßner, StPO, § 53 Rz. 26 m.w.N.; Ignor/Bertheau in Löwe-Rosenberg, StPO, § 53 Rz. 48 m.w.N. 4 Vgl. BVerfGE 20, 162 (187) Rz. 40, 64 – Spiegel-Urteil. 5 BVerfGE 20, 162 (187) Rz. 142 – Spiegel-Urteil. 6 BVerfGE 20, 162 (187) Rz. 142 – Spiegel-Urteil.
492
Ernst
§ 33
II. Das journalistische Zeugnisverweigerungsrecht
Ein Zeugnisverweigerungsrecht nach § 53 Abs. 1 Nr. 5 StPO setzt im Be- 5 sonderen zudem voraus, dass der Zeuge bei der Vorbereitung, Herstellung oder Verbreitung von Druckwerken, Rundfunksendungen, Filmberichten oder der Unterrichtung oder Meinungsbildung dienender Informationsund Kommunikationsdienste berufsmäßig mitwirkt oder mitgewirkt hat. Sodann darf er das Zeugnis über die Person des Verfassers oder Einsenders von Beiträgen und Unterlagen oder des sonstigen Informanten sowie über die ihm im Hinblick auf seine Tätigkeit gemachten Mitteilungen, deren Inhalt sowie den Inhalt selbst erarbeiteter Materialien und den Gegenstand berufsbezogener Wahrnehmungen verweigern. Beschränkt ist das Verweigerungsrecht allerdings auf Beiträge, Unterlagen, Mitteilungen und Materialien für den redaktionellen Teil oder redaktionell aufbereitete Informations- und Kommunikationsdienste. 2. Beschlagnahmeverbote Die benannten Rechte zur Verweigerung des Zeugnisses wären wenig 6 hilfreich, wenn die Ermittlungsbehörden entsprechende Unterlagen beschlagnahmen und die Informationen selbst extrahieren könnten. Aus diesem Grunde ordnet § 97 Abs. 5 Satz 1 StPO eine Beschlagnahmefreiheit für Unterlagen und Daten an, „soweit das Zeugnisverweigerungsrecht der in § 53 Abs. 1 Satz 1 Nr. 5 StPO genannten Personen reicht“. Insoweit ist die Beschlagnahme von Schriftstücken, Ton-, Bild- und Datenträgern, Abbildungen und anderen Darstellungen, die sich im Gewahrsam dieser Personen oder der Redaktion, des Verlages, der Druckerei oder der Rundfunkanstalt befinden, unzulässig. 3. Rechtsvergleichendes Das Bestehen eines solchen Zeugnisverweigerungsrechts für Journalisten 7 in Deutschland ist alles andere als eine Selbstverständlichkeit. Seine Existenz wird in mehreren Ländern verneint. Dies wird/wurde damit begründet, dass die aus einer Vertrauensstellung abgeleitete Verschwiegenheitspflicht (etwa bei Ärzten und Anwälten) eben bei Journalisten nicht bestehe, denn dort werde eine Veröffentlichung ja gerade angestrebt1. In der Schweiz findet sich eine Regelung in Art. 28a StGB2, nach der Personen, die sich beruflich mit der Veröffentlichung von Informationen im redaktionellen Teil eines periodisch erscheinenden Mediums befassen, oder ihre Hilfspersonen das Zeugnis über die Identität des Autors oder über Inhalt und Quellen ihrer Informationen verweigern dürfen, ohne Strafen oder prozessuale Zwangsmaßnahmen befürchten zu müssen, wobei Abs. 2 dieser Norm das Recht bei bestimmten Straftaten sowie bei Gefahr für Leib und Leben einschränkt. In Österreich existiert mit § 31 MedienG eine Norm, nach der Medieninhaber, Herausgeber und Medien1 Dazu s. bereits Meyer, Zur Beschlagnahme selbstrecherchierten Materials von Journalisten, in Jescheck/Vogler (Hrsg.), FS Tröndle, 1989, S. 837, 842 ff. 2 Strafgesetzbuch der Schweiz. Ernst
493
§ 33
Weitergabe der Namen von Autoren bei Blogs
mitarbeiter das Recht haben, Fragen nach der Person des Verfassers von Beiträgen oder nach Einsendern von Unterlagen zu beantworten (Abs. 1), was auch hier durch Beschlagnahme nicht umgangen werden darf (Abs. 2). Hier wird wie in Deutschland auch eine Senkung der Bereitschaft von potentiellen Informanten befürchtet, die die Funktion der Medien als „public watchdog“ beeinträchtigenden würde, weshalb der Staat eine entsprechende Beschränkung der Strafrechtspflege in Kauf nehmen müsse1. Allerdings gilt auch hier nur als Medieninhaber, wer die inhaltliche Gestaltung besorgt und die Website bzw. den Newsletter bereitstellt. Maßgeblich ist dabei insbesondere die inhaltliche und redaktionelle Letztverantwortung2. Auch hier gilt, dass die Berufung auf das Zeugnisverweigerungsrecht nicht verpflichtend ist. Der Journalist darf also aussagen, wenn er dies möchte3.
III. Einordnung von Blogs, Foren und Bewertungsportalen 1. Aktuelle Gerichtsentscheidungen a) Der Fall beim LG Duisburg (Bewertungsportal) 8
Das LG Duisburg hatte sich mit der Frage zu befassen, ob ein sog. „Online-Redakteur“ die Aussage über den Verfasser eines Beitrages auf einem Bewertungsportal verweigern darf. Im vorliegenden Fall handelt es sich um einen Mitarbeiter eines Bewertungsportals, auf dem die Nutzer (anonymisiert) ihre persönlichen Erfahrungen mit Krankenhäusern niederlegen können. Die Veröffentlichung eines Eintrags erfolgt unmittelbar nach Absenden des Beitrages; eine inhaltliche Überprüfung und gegebenenfalls Entfernung durch die Mitarbeiter des Portals findet allenfalls im Nachgang statt. Nach Angaben des Portals verpflichten sich die Nutzer, durch Abgabe einer Einverständniserklärung mit den Nutzungsbedingungen des Portals ihre Personendaten anzugeben sowie diffamierende Äußerungen zu unterlassen. Im Rahmen eines Ermittlungsverfahrens – es ging immerhin um üble Nachrede (der Blogger behauptete, eine Klinikmitarbeiterin unterhalte sexuelle Beziehungen zu Patienten4) – weigerte sich besagter Mitarbeiter, Angaben zu den Daten des Portalnutzers zu machen, der im Rahmen seiner Klinikbewertung einen – mittlerweile entfernten – Beitrag veröffentlichte. Der Redakteur berief sich dabei auf ein ihm nach seiner Auffassung zustehendes Zeugnisverweigerungsrecht. Grund für dieses sei zum einen die Verpflichtung und Zusicherung des Portals gegenüber seinen Nutzern dahingehend, dass ihre Daten nicht weitergegeben würden, sowie dass seitens des Portals die Verantwortung für die Bewertung übernommen würde. Weiter sei das Bewer1 2 3 4
OLG Wien, MR 2013, 61 f. OLG Wien, MR 2013, 61 (62 f.). OLG Wien, MR 2013, 61 (62). Stöcker, www.spiegel.de/netzwelt/netzpolitik/klinikbewertungen-de-beugehaftfuer-redakteur-a-883210.html.
494
Ernst
§ 33
III. Einordnung von Blogs, Foren und Bewertungsportalen
tungsforum in seiner Funktion vergleichbar mit den allgemein dem redaktionellen Teil zugeordneten Leserbriefen im klassischen Printbereich. Um ihn zur Zeugenaussage zu zwingen, verhängte das AG Duisburg so- 9 dann erst ein Ordnungsgeld von 50 Euro und dann fünf Tage Beugehaft. Das Ordnungsgeld betreffend erging der benannte Beschluss des LG Duisburg; gegen die Beugehaft wurde Beschwerde beim AG eingelegt. Nachdem die Verhängung bestätigt wurde und der Antritt der Beugehaft bevorstand, gab das Portal die Anmeldedaten des betreffenden Nutzers heraus1. Eine weitere Beschwerde liegt nun beim BVerfG2. Das LG gab der Beschwerde nicht statt. In seiner Begründung führte es 10 aus, dass sich der Beschwerdeführer mangels Erfüllung der Voraussetzungen des § 53 Abs. 1 Nr. 5 StPO nicht auf ein Zeugnisverweigerungsrecht berufen konnte. Er habe damit das Zeugnis ohne gesetzlichen Grund i.S.d. § 70 Abs. 1 Satz 1 StPO verweigert, so dass das Ordnungsgeld nach § 70 Abs. 1 Satz 2 StPO zu Recht festgesetzt wurde. Das Gericht erkannte das Bewertungsportal zwar als einen der Unterrichtung oder Meinungsbildung dienenden Informationsdienst sowie die berufsmäßige Mitwirkung des Redakteurs daran an und stellte fest, dass es sich um die Person eines Beitragsverfassers i.S.d. § 53 Abs. 1 Satz 2 StPO handelte. Entgegen der Auffassung des Online-Redakteurs sei der Beitrag selbst jedoch nicht dem redaktionellen Teil des Informationsdienstes zuzuordnen gewesen. Die Forenbeiträge des Internetbewertungsportals würden sich von Leserbriefen ausschlaggebend darin unterscheiden, dass bei Leserbriefen wegen einer, der Veröffentlichung vorausgehenden redaktionellen Prüfung selbiger, eine Informationsverarbeitung durch den jeweiligen Pressedienst stattfände. Wohingegen sich die Tätigkeit im vorliegenden Fall in der bloßen Einstellung eines fremden Textes – ohne weitere Bearbeitung – erschöpfe. Erst infolge dieser redaktionellen Prüfung würden die in den Leserbriefen dargestellten Meinungen und Tatsachen einen Beitrag zur Kontrolle der öffentlichen Gewalt und der öffentlichen Meinungsbildung, mithin zur Funktion der Presse, leisten. Weiter würden weder die Zusicherung des Portals gegenüber den Portal- 11 nutzern, die Daten nicht weiterzugeben, noch eine zivil- und/oder strafrechtliche Verantwortungsübernahme ein Zeugnisverweigerungsrecht des Online-Redakteurs begründen. So stünde eine solche Zusicherung nicht in seinem rechtlichen Können, da eine presseartige Verarbeitung – wie ausgeführt – nicht erfolgt und eine (strafrechtliche) Verantwortungsübernahme bei Äußerungsdelikten mangels Kenntnis des Inhaltes im Zeitpunkt der Veröffentlichung ebenso wenig möglich ist. 1 Deutsche-wirtschafts-nachrichten.de/2013/05/06/drohung-mit-beugehaft-wirktonline-portal-gibt-nutzer-daten-preis. 2 Verfahrensgang: AG Duisburg v. 2.7.2012 – 11 Gs 795/12; AG Duisburg v. 23.10.2012 – 11 Gs 795/12; LG Duisburg v. 6.11.2012 – 32 Qs-245 UJs 89/11-49/12. Die Verfassungsbeschwerde ist anhängig unter dem Az. 1 BvR 2709/12. Ernst
495
§ 33 12
Weitergabe der Namen von Autoren bei Blogs
Im konkreten Fall „knickte der Portalbetreiber ein“, als das LG den Vollzug der Beugehaft von bis zu fünf Tagen anordnete1. b) Der Fall beim LG Augsburg (Online-Forum einer Zeitung)
13
In einem Interneteintrag im Onlineforum eines Verlags ging es um das nächtliche Verkaufsverbot von Alkohol an Tankstellen. Um die Identität eines Autors zu ermitteln, der sich – vermeintlich – beleidigend geäußert hatte, beschlagnahmte die Polizei im Januar 2013 bei dem Verlag die persönlichen Daten dieses Nutzers. Dabei lag bereits eine Durchsuchungsanordnung des AG Augsburg vor, wobei es zur Durchsuchung nicht mehr gekommen war, weil die Zeitung die Daten der Polizei übergab, um diese zu verhindern. Auch hier war dies u.a. von Journalistenverbänden scharf kritisiert und von einem überzogenen Vorgehen gesprochen worden.
14
Das LG Augsburg2 urteilte nun, dass das AG gar keine Anordnung zur Durchsuchung der Räume und Beschlagnahme der Daten hätte erlassen dürfen. Basis hierfür war allerdings nicht, dass etwa Daten in Erfahrung hätten gebracht werden sollen, die insbesondere dem benannten Zeugnisverweigerungsrecht des § 53 StPO unterlägen. Der Grund lag darin, dass die zugrunde liegenden Äußerungen im Onlineforum der Zeitung zwar in herabwürdigender Form geschrieben, nicht aber als strafbar einzuordnen seien. Bei Äußerungen zu politischen Themen in der Öffentlichkeit sei der straffreie Bereich im Hinblick auf die Meinungsfreiheit weiter zu fassen als bei Äußerungen in der Privatsphäre.
15
Eine Beschlagnahmefreiheit der im Beschluss genannten Daten gem. § 97 Abs. 5 Satz 1 StPO bestehe nicht, da der Beschwerdeführerin kein Zeugnisverweigerungsrecht gem. §§ 160a Abs. 2, 53 Abs. 1 Satz 1 Nr. 5 StPO zustehe. Zwar unterfällt die Beschwerdeführerin als Herausgeberin einer Zeitung grundsätzlich dem Schutzbereich des § 53 Abs. 1 Satz 1 Nr. 5 StPO, doch ist dieser Schutzbereich gem. § 53 Abs. 1 Satz 3 StPO nur dann eröffnet, soweit es sich um Beiträge, Unterlagen, Mitteilungen und Materialien für den redaktionellen Teil oder redaktionell aufbereitete Informations- und Kommunikationsdienste handelt. Dazu gehören auch in einer Zeitung gedruckte Leserbriefe, nicht aber die Beiträge von Nutzern in einem Onlineforum, denn hier finde eine redaktionelle Überarbeitung, die die Zuordnung von Leserbriefen zum redaktionellen Bereich einer Zeitung begründet, gerade nicht statt. Vielmehr erfolge die Einstellung eines solchen Beitrags durch den Nutzer selbst, ohne dass eine Überarbeitung durch die Redaktion oder eine Prüfung der Einträge vor Veröffentlichung erfolgt. Eine vom Gesetz gem. § 53 Abs. 1 Satz 3 StPO geforderte „Aufbereitung“ der Onlinebeiträge findet daher gerade nicht statt. Dies zeige sich hier auch darin, dass solche Beiträge nicht inhalt1 Deutsche-wirtschafts-nachrichten.de/2013/05/06/drohung-mit-beugehaft-wirktonline-portal-gibt-nutzer-daten-preis. 2 LG Augsburg v. 19.3.2013 – 1 Qs 151/13, CR 2013, 333.
496
Ernst
§ 33
III. Einordnung von Blogs, Foren und Bewertungsportalen
lich geprüft würden und gem. den Nutzungsbedingungen der alleinigen Verantwortlichkeit des Autors unterlägen. c) Der Fall beim LG Oldenburg In der zuweilen etwas aufgeregt geführten Diskussion um beide Fälle 16 wurde praktisch durchgängig übersehen, dass es zum identischen Problem bereits einen ersten gerichtlich geklärten und veröffentlichten Fall gab, der bereits aus dem Jahr 2010 stammt. Die Große Strafkammer des LG Oldenburg1 hatte bereits seinerzeit für einen Beitrag in einem Online-Diskussionsforum entschieden, dass dieser eben nicht als redaktionell aufbereitet i.S.d. § 53 StPO zu bewerten sei und demnach dem Betreiber dieses Forums im Rahmen von Ermittlungen wegen einer pseudonym in diesem Forum begangenen Beleidigung kein Zeugnisverweigerungsrecht bzgl. der Echtpersonalien oder der IP-Adresse des Täters zustehe. Dies sei anders als bei Leserbriefen. Ebenso wenig könne der Nutzer auf die Wahrung seiner Anonymität vertrauen, da ihn (auch ausweislich der Nutzungsbedingungen des Forums) die Verantwortlichkeit für den Inhalt seiner Beiträge allein treffe. 2. Eigene Stellungnahme Der Beschluss des LG Duisburg wurde (vorwiegend allerdings nur im In- 17 ternet) kontrovers diskutiert2. Während einige Autoren die Entscheidung des LG Duisburg ausdrücklich begrüßen3, beklagen andere eine ihrer Ansicht nach bestehende Rechtsunsicherheit in Bezug auf journalistische Tätigkeit im Onlinebereich oder sehen gar die „Meinungsfreiheit in Gefahr“4. Ohne die strafrechtliche Relevanz der Äußerung auch nur zu untersuchen, wird zudem allgemein gemahnt, dass „kritische Beiträge“ nicht „mit der Keule des Strafrechts geahndet“ werden sollten5. Im Ergebnis sind die Beschlüsse aller drei Gerichte richtig. Und vor allem: Weder wird durch die benannten Entscheidungen die Arbeit der Presse noch gar die Pressefreiheit als Institution in irgendeiner Weise beeinträchtigt oder gar gefährdet. Dass dabei der grundsätzlich geschützte Bereich des § 53 Abs. 1 Satz 1 Nr. 5 StPO – das Vorhandensein eines der Unterrichtung oder Meinungsbildung dienenden Informations- und Kommunikations1 LG Oldenburg v. 22.9.2010 – 3 Qs 263/10, NStZ 2011, 655; zustimmend MeyerGoßner, StPO, § 53 Rz. 40. 2 Vgl. Jahn, Gefährliche Kommentare in: faz.net v. 19.2.2013, http://www.faz.net/ aktuell/wirtschaft/recht-steuern/medien-sollen-daten-ihrer-internetnutzer-preis geben-gefaehrliche-kommentare-12085841.html. 3 Lorenz/Huff, Legal Tribune online v. 19.2.2013, www.lto.de/persistent/a_id/ 8174. 4 Boie, SZ v. 14.2.2013, http://www.sueddeutsche.de/digital/beugehaft-gegen-por talbetreiber-meinungsfreiheit-in-gefahr-1.1599594. 5 Pressemitteilung des DJV v. 19.2.2013, www.djv.de/startseite/profil/der-djv/pres sebereich-info-download/pressemitteilungen/detail/article/kritik-nicht-mit-straf recht-ahnden.html. Ernst
497
§ 33
Weitergabe der Namen von Autoren bei Blogs
dienstes – durchaus weit sein mag, wird hierbei nicht verkannt. Der Unterrichtung oder Meinungsbildungsbildung mag ein Bewertungsportal etwa dann dienen, wenn dem Inhalt weder ein reiner Unterhaltungswert zukommt noch er allein für die Individualkommunikation bestimmt ist1. a) Wer bezeichnet sich eigentlich als Journalist? 18
Journalist zu sein hat viele Vorteile: Man bekommt einen Presseausweis, vielfältige Presserabatte (deren Begründung unklar sind und zuweilen den Eindruck erwecken, hier solle eine neue Zielgruppe erobert werden)2, nicht selten freien Eintritt zu Messen o.Ä. und eben auch ein Zeugnisverweigerungsrecht nach § 53 StPO. Hinzu kommt, dass es in manchen Kreisen „schick“ sein mag, sich als „Journalist“ zu bezeichnen, obwohl man tatsächlich eher als Unternehmensberater o.Ä. tätig ist. Auch manch ein Marketing-Texter nennt sich gerne „Journalist“, auch wenn sich seine selbständig ausgeübten Aufgaben in der Regel im Verfassen von Pressemitteilungen für seine gewerblich tätigen Auftraggeber erschöpft. Mag von den genannten Vorteilen nun das Zeugnisverweigerungsrecht in der Praxis wohl das am wenigsten attraktive Element der aufgezählten Incentives sein, ist es vorliegend immerhin der Aufhänger für eine Diskussion3. In der Tat ist die Berufsbezeichnung „Journalist“ weder gesetzlich definiert noch irgendwie besonders geschützt4. Der Duden nennt folgende Definition: „jemand, der als freier Mitarbeiter, als Auslandskorrespondent oder Mitglied einer Redaktion Artikel o.ä. für Zeitungen oder andere Medien verfasst bzw. redigiert oder der als Fotograf Bildberichte liefert“5. b) Schutzgut des journalistischen Zeugnisverweigerungsrechts
19
Schutzgut ist die Institution Presse und ihre Tätigkeit als solche; die Norm dient der Pressefreiheit als Institution6. Kein Schutzgut sind hingegen die Interessen der Verfasser, Einsender und Informanten selbst, die 1 Vgl. Senge in Karlsruher Kommentar, StPO, § 53 Rz. 30; Ignor/Bertheau in LöweRosenberg, StPO, § 53 Rz. 52 m.w.N. 2 So wie bei der Werbung für eine Fernreise, die der Autor erhielt und die den werblich sehr hervorgehobenen Hinweis „Für Doktoren und Professoren mit 50 % Rabatt“ trug. 3 Eine Tätigkeit als Journalist ist nicht zwingend mit dem Besitz eines Presseausweises verbunden, der in Deutschland von sechs Medienverbänden (BDZV, VDZ, DJV, dju, VDS und Freelens) für hauptberuflich tätige Journalisten ausgestellt wird. Daneben gibt es eine Anzahl von Anbietern im Internet, die ebenfalls Presseausweise ausgeben, vor denen bei den genannten Verbänden allerdings gewarnt wird, da der Besitz eines solchen Ausweises nicht die gleichen Zugangsmöglichkeiten insbesondere gegenüber Behörden eröffne. 4 Vgl. ausf. Brockhaus Enzyklopädie, Stichwort Journalismus. 5 www.duden.de/rechtschreibung/Journalist. 6 BVerfGE 20, 162(187) = NJW 1966, 1603; Achenbach in Löffler, Presserecht, § 23 LPG Rz. 25 m.w.N.; Ignor/Bertheau in Löwe-Rosenberg, StPO, § 53 Rz. 48 m.w.N.; Graf, StPO, § 53 Rz. 23.
498
Ernst
§ 33
III. Einordnung von Blogs, Foren und Bewertungsportalen
insofern nicht vom Schutzbereich der Pressefreiheit umfasst sind1. Insbesondere dient sie nicht dem Schutz von Personen, die vorsätzlich Unwahrheiten verbreiten. Ein Journalist übernimmt die Verantwortung für das, was er schreibt. Er 20 darf seinen Informanten verschweigen – und muss dies tun, wenn er ihn und künftige Informanten nicht verprellen will –, muss aber im Streitfall dennoch für das einstehen, was er geschrieben hat. Kann er den behaupteten (ehrenrührigen) Sachverhalt also nicht anderweitig beweisen, hat er ein Problem. Das Zeugnisverweigerungsrecht dient so unmittelbar dem Schutz seiner Arbeit. Wer üble Nachrede von einem Informanten übernimmt, kann schnell „vom Zeugen zum Täter“ werden2. Wer einem Journalisten vorsätzlich falsche Informationen gibt, damit 21 dieser sie veröffentlicht, hat keinen Anspruch darauf, dass dieser seinen Namen nicht preisgibt. Er kann aber in der Regel gleichwohl darauf vertrauen, auch wenn der Pressemitarbeiter ihm in der Zukunft zu Recht misstrauen wird. Dennoch gilt: Das Zeugnisverweigerungsrecht für Journalisten dient nicht dem Schutz des Informanten, sondern dem der Presse als Institution – es ist kein persönliches Privileg3. Geheimnisverrat bleibt Geheimnisverrat, auch wenn die Information der Presse zugesteckt wird. Üble Nachrede bleibt eine Straftat, auch wenn die Lüge an einen Journalisten gerichtet wird, gleich, ob dieser sie der Öffentlichkeit preisgeben soll oder nicht. c) Wo nicht gelesen und nicht geschrieben wird, ist kein Raum für § 53 Abs. 1 Nr. 5 StPO Die Presse hat Sorgfaltspflichten (§ 10 Abs. 1, § 54 Abs. 2 RStV sowie die 22 Presse- sowie Mediengesetze der Länder, z.B. § 6 Landespressegesetz4; § 3 Abs. 3 LMedienG5). Die meisten Blogger beachten solche Standards nicht, bevor sie ihre Meinungen online kundtun. Auch ein Bewertungsportal vermeidet diese – aus gutem Grunde. Die Haftung für die Äußerungen ihrer schreibenden Leser möchte keines dieser Unternehmen gerne übernehmen, unabhängig von den Implikationen der Störerhaftung, die vorliegend nicht diskutiert werden sollen6. Aus diesem Grunde findet 1 BVerfGE 20, 162 (187) Rz. 142 – Spiegel-Urteil; Meyer-Goßner, StPO, § 53 Rz. 26 m.w.N.; Ignor/Bertheau in Löwe-Rosenberg, StPO, § 53 Rz. 48 m.w.N. 2 Lorenz/Huff, Legal Tribune online v. 19.2.2013, www.lto.de/persistent/a_id/ 8174. 3 BVerfGE 20, 162 (187) Rz. 40, 142 – Spiegel-Urteil. 4 Landespressegesetz Baden-Württemberg. 5 Landesmediengesetz Baden-Württemberg. 6 Vgl. etwa BGH v. 27.3.2007 – VI Z 101/06, MMR 2007, 518 m. Anm. Spindler; OLG Hamburg v. 22.8.2006 – 7 U 50/06, CR 2007, 47 m. Anm. Spindler, jurisPRITR 9/2006 Anm. 2; KG MMR 2012, 35 – Hotelbewertungsportal; LG Hamburg v. 27.4.2007 – 324 O 600/06, MMR 2007, 450; LG Düsseldorf v. 27.6.2007 – 12 O 343/06, VuR 2007, 317, sowie die Kommentierungen zu §§ 7 ff. TMG. Ernst
499
§ 33
Weitergabe der Namen von Autoren bei Blogs
sich in vielen Foren – aus Anwaltssicht völlig zu Recht – ein Hinweis darauf, dass Inhalte ungeprüft eingestellt, bei (berechtigten oder nicht überprüfbaren) Vorwürfen hinsichtlich ihrer Richtigkeit oder Rechtmäßigkeit aber entfernt werden. So auch in diesen Fällen. 23
Der Bewertungsportalbetreiber stellt also unrecherchierte Meinungen nicht identifizierter (oder gar nicht identifizierbarer) Dritter vor, nicht aber redaktionell selbst erarbeitete Bewertungen ein. Es geht demnach nicht um einen Quellenschutz, der Grund für den Schutz der journalistischen Leistung sein kann, sondern allein darum, einen anonym bleiben wollenden Dritten davor zu schützen, für seine Postings zivil- oder strafrechtliche Verantwortung übernehmen zu müssen. Der Portalbetreiber ist kein Journalist i.S.d. § 53 StPO. Wer nicht einmal liest und erst recht nicht schreibt, übt auch keine redaktionelle Tätigkeit aus1. Ob er Beiträge nach einer möglichen Beschwerde des Betroffenen löscht, ändert an dieser Einordnung nichts2. Er streitet die eigene Verantwortung für den Beitrag ab, indem er in den Forumsregeln darauf verweist, dass er die Postings nicht überprüft. Die Verantwortlichkeit des Autors will er aber auch vermeiden, indem er aktiv dafür sorgen möchte, dass er anonym bleiben kann3. d) Keine Parallele zu Leserbriefen
24
Wie gezeigt, ist der Schutzbereich gem. § 53 Abs. 1 Satz 3 StPO nur dann eröffnet, soweit es sich um Beiträge, Unterlagen, Mitteilungen und Materialien für den redaktionellen Teil oder redaktionell aufbereitete Informations- und Kommunikationsdienste handelt. Allerdings sind in einer Zeitung gedruckte Leserbriefe nach ständiger Rechtsprechung dem redaktionellen Bereich zuzuordnen4. Diese unterscheiden sich aber von Beiträgen von Nutzern in einem gewöhnlichen Onlineforum erheblich. Denn eine redaktionelle Überarbeitung, die die Zuordnung von Leserbriefen zum redaktionellen Bereich einer Zeitung begründet, findet in den Fällen der Einstellung eines Beitrags in ein Onlineforum gerade nicht statt. Vielmehr erfolgt die Einstellung eines solchen Beitrags durch den Nutzer selbst, ohne dass eine Überarbeitung durch die Redaktion oder eine Prüfung der Einträge vor Veröffentlichung erfolgt. Eine vom Gesetz gem. § 53 Abs. 1 Satz 3 StPO geforderte „Aufbereitung“ der Onlinebeiträge findet daher gerade nicht statt. Auch hier gilt: Wer nicht einmal liest,
1 Ausführlich Lorenz/Huff, Legal Tribune online v. 19.2.2013, www.lto.de/persis tent/a_id/8174. 2 Lorenz/Huff, Legal Tribune online v. 19.2.2013, www.lto.de/persistent/a_id/ 8174. 3 Die Frage, ob angesichts der gewöhnlicherweise simplen Möglichkeit, sich bei solchen Portalen mit falschen Daten anzumelden, überhaupt die Offenlegung einer realen Person erfolgen kann, sei vorliegend dahingestellt, da dies mit der rechtlichen Einordnung nichts zu tun hat. 4 BVerfGE 36, 193 (204).
500
Ernst
§ 33
III. Einordnung von Blogs, Foren und Bewertungsportalen
redigiert auch nicht. Er unterfällt somit nicht der Norm1. Freilich sind nach ständiger Rechtsprechung des BVerfG Durchsuchungen bei Presseangehörigen, die dem Zweck dienen, die Person des Informanten zu ermitteln, unzulässig2. Das Verfassen und/oder Redigieren von eingesandten Beiträgen ist aber essentiell, um – bei gleichzeitiger Übernahme der Verantwortlichkeit durch den Redakteur – überhaupt vom Vorhandensein eines „Informanten“ sprechen zu können. Der Nutzer, der einen Forumsbeitrag veröffentlicht, ist kein „Informant“ im Sinne dieser Rechtsprechung, denn er arbeitet keinem redaktionell tätigen Pressemitarbeiter zu. Somit wird der verfassungsrechtlich geschützte Schutzbereich des Redaktionsgeheimnisses nicht berührt3. e) Das Vertrauen des Bloggers Das LG Augsburg stellt darauf ab, es liege ohnehin kein Vertrauen des 25 Nutzers des Internetforums dahingehend vor, dass sein Eintrag vertraulich behandelt werden würde. Aus den Nutzungsbedingungen des Forums ergibt sich, dass der Nutzer eigenverantwortlich für die Beiträge ist und die Beschwerdeführerin keine Verantwortung übernimmt. Aber selbst wenn eine Website, die die eigene Verantwortlichkeit für die anonymen Blogs (völlig zu Recht) ablehnt, den Nutzern „zusichert“, ihre Namen nicht preiszugeben (wenn sie denn über die – echten – Klarnamen verfügt), ändert dies an der rechtlichen Bewertung im Rahmen des § 97 StPO nichts. Das Zeugnisverweigerungsrecht für Journalisten dient nicht dem Schutz des Informanten, sondern dem der Presse als Institution. Und es ist insbesondere auch kein persönliches Privileg4. Auch weiß der Blogger, dass sein Beitrag eigentlich nicht überprüft wird, bevor er online geht. Es kann nicht aus der Pressefreiheit hergeleitet werden, dass Informanten sich darauf sollten verlassen können, durch das Redaktionsgeheimnis praktisch vor der Strafverfolgung gesichert zu sein5. Im Übrigen wäre der Verbreiter insbesondere vorsätzlich falscher Informationen ohnehin kaum schutzwürdig. f) Keine Zweiteilung redaktioneller und Anzeigenteil Nach § 53 Abs. 1 Satz 3 StPO gilt das Zeugnisverweigerungsrecht ledig- 26 lich für Beiträge, die für den redaktionellen Teil oder für redaktionell aufbereitete Informations- und Kommunikationsdienste bestimmt sind. In der Tat gingen die Gesetzesmaterialien seinerzeit von einer Zweiteilung aus: Redaktioneller Teil und Anzeigenteil. Der Anzeigenteil selbst ist grundsätzlich vom Anwendungsbereich des Zeugnisverweigerungsrechts 1 LG Augsburg v. 19.3.2013 – 1 Qs 151/13, CR 2013, 333; Lorenz/Huff, Legal Tribune online v. 19.2.2013, www.lto.de/persistent/a_id/8174. 2 BVerfG, NJW 2007, 1117. 3 LG Augsburg v. 19.3.2013 – 1 Qs 151/13, CR 2013, 333. 4 BVerfGE 20, 162 (187) Rz. 40, 142 – Spiegel-Urteil. 5 BVerfGE 20, 162 (187) Rz. 40, 142 – Spiegel-Urteil. Ernst
501
§ 33
Weitergabe der Namen von Autoren bei Blogs
des § 53 StPO ausgenommen. Dessen Beschränkung auf den redaktionellen Teil ist nach der Gesetzbegründung dadurch rechtfertigen, dass dieses im Anzeigenteil für die Wahrung der Pressefreiheit nicht erforderlich ist1. Der Anzeigenteil charakterisiert sich durch seine wirtschaftliche Ausrichtung. Für die Veröffentlichung von Beiträgen in diesem erhält das Presseorgan regelmäßig ein Entgelt und sichert sich damit seine Finanzierung2. Eine informatorische und meinungsbildende Prägung und damit eine der an der Kontroll- und meinungsbildenden Funktion der Presse teilhabende Funktion kommt Anzeigen grundsätzlich nicht zu. 27
Hieraus ist aber nun nicht umgekehrt zu schließen, dass alles, was nicht Anzeigenteil bzw. im Rahmen eines Presseangebots extern finanziert ist, nun automatisch dem Anwendungsbereich des § 53 StPO unterfiele3. Umgekehrt ist es so, dass die Norm eben nur dann einschlägig ist, wenn es sich um ein redaktionelles Angebot handelt. Blogs und Gästebücher im Rahmen des Webangebots sind, auch wenn sie in dieser Zweiteilung (des klassischen Print- bzw. Sendeprodukts) nicht vorkommen, als Online-Zusatzangebote ebenso wenig umfasst wie es die reinen Bewertungsportale sind.
IV. Fazit 28
Das Ergebnis erscheint letztlich eindeutig: Wer anders als die „echten“ Medien eben nur providerartig eine Plattform zur Verfügung stellt, ist kein Analyst i.S.d. § 53 StPO. Die praktischen Auswirkungen dieses Ergebnisses dürften allerdings vergleichsweise gering seien. Zum einen werden die Medien bei „klassischen Informanten“ ohnehin eher ein berechtigtes Interesse an der Wahrung des Redaktionsgeheimnisses haben, während die Bereitschaft, sich für rabiate Blogger in die Bresche zu werfen, eher gering sein wird4. Zum zweiten sind die Aussichten, auf diese Weise an korrekte Autorendaten heranzukommen, in der Praxis doch aus vielerlei Gründen erkennbar gering.
1 BT-Drucks. 7/2593, 9/11; 7/3118, 4; so auch insgesamt: KG v. 17.3.1983 – ER 9/83, NJW 1984, 1133. 2 KG v. 17.3.1983 – ER 9/83, NJW 1984, 1133. 3 Vgl. LG Oldenburg v. 22.9.2010 – 3 Qs 263/10, NStZ 2011, 655. 4 Vgl. Windhager/Gahleitner, MR 2013, 107 (110) m.w.N.
502
Ernst
§ 34 Schutz des Einzelnen vor Scoring-Bewertungen Rz. I. Ausgangslage . . . . . . . . . . . . . . . . . 1. Bedeutung der Scoringwerte . . . . . 2. Problematik der Berechnung, Intransparenz . . . . . . . . . . . . . . . . . 3. Eingeschränkte Tatsachenbasis des Scoring . . . . . . . . . . . . . . . . . . . II. 1. 2. 3.
Rechtsprechung/Praxis . . . . . . . . . Anspruch auf Korrektur . . . . . . . . Datenschutzrecht . . . . . . . . . . . . . Offenlegung des Zustandekommens der Werte . . . . . . . . . . . 4. Bewertung als geschützte Meinungsäußerung . . . . . . . . . . . .
1 4 5 8 11 11 13 16 24
III. Bewertung als Schuldverhältnis gemäß § 311 Abs. 3 Satz 2 BGB . . 32 1. Besonderes Vertrauen in den Scorer . . . . . . . . . . . . . . . . . . . . . . . 33
Rz. 2. Einfluss auf Vertragsverhandlung bzw. -abschluss . . . . . . . . . . . . . . . a) Intention des Scorers . . . . . . . . b) Praktische Auswirkungen beim Kreditgeber . . . . . . . . . . . . 3. Pflichten nach § 241 Abs. 2 BGB . a) Rücksichtnahme auf Rechte, Rechtsgüter und Interessen . . . b) Umkehr der Darlegungslast, Sorgfaltspflichten . . . . . . . . . . . c) Pflicht zur Berücksichtigung von weiteren relevanten Kriterien. . . . . . . . . . . . . . . . . . . d) Pflicht zur wohlwollenden Bewertung . . . . . . . . . . . . . . . . . 4. Schadensersatz. . . . . . . . . . . . . . . . a) Zivilrechtlicher Anspruch . . . . b) Anspruch gemäß § 7 BDSG . . .
35 36 39 41 42 44 50 53 57 57 58
I. Ausgangslage Das Problem ist immens, die Dunkelziffer hoch. Manche Menschen be- 1 kommen beim Einkauf immer nur Vorkasse angeboten, bekommen schlechtere Zinssätze bei Krediten, werden in anderer Weise benachteiligt. Nicht jeder bemerkt, dass er anders behandelt wird, als andere. Wer es bemerkt, spricht oft nicht darüber. Der Schamfaktor ist groß, da die Hintergründe einer schlechten Bewertung im Dunkeln bleiben. Häufig wird deshalb vermutet, dass negative Bewertungen durchaus eine reale Grundlage haben, auch wenn diese nicht offen erkennbar ist. Es bleibt also auch hier oft etwas hängen, auch wenn die Bewertung sich als falsch herausstellt. Der aktuelle Trend zur Big Data, aber auch die bekannt gewordenen Pro- 2 gramme der Geheimdienste wie PRISM, XKeystore etc. verleihen dem Thema zusätzliche Brisanz. Aussagen wie „ich habe nichts zu verbergen“ oder „meine Daten sind belanglos/harmlos“ berücksichtigen nicht die Sicht dessen, der Scoring Werte anbietet. Dieser ist im Zweifel gezwungen, auch banale Informationen zu klaren Bonitätsbewertungen zu verdichten. Das berühmte Votum von Watzlawick „Man kann nicht nicht kommunizieren!“ gilt auch in diesem Zusammenhang. Es ist beispielsweise auch eine Aussage, nicht in Facebook, Google plus, Twitter etc. vertreten zu sein.
Lapp
503
§ 34 3
Schutz des Einzelnen vor Scoring-Bewertungen
Aufhänger des vorliegenden Beitrags sind Scoring Werte, wie sie bei der SCHUFA ermittelt und verbreitet werden1. Einige der Überlegungen können jedoch auch für andere Anbieter ähnlicher Dienste herangezogen werden. 1. Bedeutung der Scoringwerte
4
Scoring bezeichnet allgemein Verfahren, mit denen versucht wird, aus vorhandenen Daten über tatsächliche Ereignisse Wahrscheinlichkeiten für den Eintritt zukünftiger Ereignisse zu errechnen und dadurch Entscheidungen zu unterstützen2. Auf einer eigens von der SCHUFA eingerichteten Internetseite wird zur Frage, ob Scoring Entscheidungsgrundlage ist, formuliert: „Scoring ist eine wichtige Entscheidungshilfe, aber nicht allein ausschlaggebend dafür, ob und zu welchen Bedingungen ein Unternehmen einen Vertrag mit einem Kunden abschließt. Wenn sich z.B. eine Bank dennoch dazu entscheidet die Kreditvergabe ausschließlich vom Scoring-Ergebnis abhängig zu machen, wird der Kunde darauf hingewiesen.“3 Eigentlich sollte beispielsweise die Vergabe eines Kredits durch eine Bank zwar die zur Bonität des Kunden ermittelten Werte des Scoring berücksichtigen, diese aber nicht zur alleinigen Entscheidungsgrundlage machen. In der Praxis zeigt sich jedoch, dass Kreditnehmer, denen von SCHUFA ein „deutlich erhöhtes bis hohes Risiko“ attestiert wird, erhebliche Probleme bei der Kreditaufnahme haben. Mit einer derartigen Bewertung ist ein Kredit bei den meisten Banken praktisch ausgeschlossen. Insbesondere Negativeinträge haben daher im Wirtschaftsleben große Bedeutung4. 2. Problematik der Berechnung, Intransparenz
5
Wie die SCHUFA und andere Institutionen Scoring-Werte errechnen, wird in der Regel als Geschäftsgeheimnis gehütet und geheim gehalten. Neben dem Schutz vor der Konkurrenz wird in der Regel darauf verwiesen, dass eine Bekanntgabe der Berechnungsmethode dazu führen würde, dass einzelne Personen versuchen, die Berechnung zu manipulieren5. Die Manipulation soll durch Geheimhaltung der Berechnungsmethode verhindert werden.
6
Demgegenüber wäre es wichtig, die Bewertungsfaktoren und die Berechnungsmethode offenzulegen und einer öffentlichen Diskussion zu unter1 Vgl. zum Scoring Wuermeling, NJW 2002, 3508; Möller/Florax, NJW 2003, 2724; Helfrich in Hoeren/Sieber, Multimedia-Recht, Teil 16.4 Scoring und Datenschutz, Rz. 3 ff. 2 Vgl. die Darstellung der SCHUFA unter http://www.scoring-wissen.de/de/was istscoring/wasistscoring.jsp (Stand: 5.8.2013). 3 http://www.scoring-wissen.de/de/faqs/faq.jsp (Stand: 5.8.2013). 4 Vgl. LG Berlin v. 27.4.2011 – 4 O 97/11, VuR 2011, 271. 5 http://www.faz.net/aktuell/wirtschaft/recht-steuern/kreditwuerdigkeit-die-schu fa-fuerchtet-um-ihre-datenrezeptur-11009504.html.
504
Lapp
§ 34
I. Ausgangslage
werfen. Jedermann sollte wissen, wie die Wertung zustande kommt. Es sollte öffentlich und unter Fachleuten diskutiert werden können, ob die richtigen Werte richtigerweise in die Berechnung einfließen. Die Kryptographie hat positive Erfahrungen mit der Offenlegung von Ver- 7 schlüsselungsverfahren gemacht. Gerade die öffentlich bekannten Verschlüsselungsverfahren gelten als besonders sicher, weil sie in der Fachwelt offen diskutiert und kritisiert werden. 3. Eingeschränkte Tatsachenbasis des Scoring Insbesondere die SCHUFA verwendet nur eine relativ schmale Tatsa- 8 chenbasis bei ihren Berechnungen. Aus den öffentlichen Informationen der SCHUFA ist zur Tatsachenbasis zu entnehmen: „Scorewerte, die wir zu Verbrauchern berechnen, basieren auf den zu Ihrer Person bei der SCHUFA gespeicherten Daten, die Sie in Ihrer SCHUFA-Auskunft sehen. Zu den gespeicherten Informationen zählen z.B. die Anzahl und Art der Kreditaktivitäten, etwaige Zahlungsausfälle oder Informationen darüber, seit wann Sie schon Erfahrungen im Umgang mit Kreditgeschäften gesammelt haben.“1
9
Daraus wird deutlich, dass Informationen zum Vermögen und zum Ein- 10 kommen völlig fehlen. Auch das Zahlungsverhalten im Allgemeinen wird in die Bewertung nicht einbezogen. Zudem wird nicht berücksichtigt, ob ein gewünschter Kredit beispielsweise zur Umschuldung bestehender Verbindlichkeiten verwendet werden soll. Vor einiger Zeit wurde bekannt, dass eine sehr schlechte Bewertung auch darauf beruhen kann, dass Menschen sich längere Zeit im Ausland aufhalten und in dieser Zeit keine Informationen zur SCHUFA gelangen2. Die Kreditausfallwahrscheinlichkeit eines Mitarbeiters der Bundesbank wurde nach dreijährigem Auslandsaufenthalt als „deutlich erhöhtes bis hohes Risiko“ eingestuft. Eine im Auftrag des Bundesministeriums für Ernährung, Landwirtschaft und Verbraucherschutz (BMELV) durchgeführte Studie „Verbraucherinformation Scoring“ kam im Juni 2009 zu dem Ergebnis: „Bei keiner der in die Untersuchung einbezogenen Auskunfteien sind Verbraucherdaten in vollständiger oder befriedigender Weise abgespeichert. Die Fehlerquote und die Quote der Unvollständigkeit der Datensammlung ist unvertretbar hoch. Sofern überhaupt Scorewerte zur Bonitätsbeurteilung den Verbrauchern übermittelt werden, ist ihr Zustandekommen nicht nachvollziehbar und ihre Aussagekraft äußerst zweifelhaft.“3 Im Jahre 2010 hat die Zeitschrift Finanztest Auskunfteien überprüft und kam zum Ergebnis: „Finanztest zweifelt stark daran, wie hilfreich Informationen zur Kreditwürdigkeit sind, die aus falschen, un1 http://www.scoring-wissen.de/de/faqs/faq.jsp (5.8.2013): Anhand welcher Daten berechnet die SCHUFA Wahrscheinlichkeiten? 2 http://www.faz.net/aktuell/finanzen/kreditwuerdigkeit-nach-dem-auslandsjobauf-ramsch-status-11055532.html. 3 http://www.bmelv.de/cae/servlet/contentblob/638114/publicationFile/36036/Sco ring.pdf. Lapp
505
§ 34
Schutz des Einzelnen vor Scoring-Bewertungen
vollständigen und veralteten Daten entstehen.“1 Ergebnis dieser Untersuchung war, dass 1 % der Schufa-Daten falsch, 8 % veraltet seien und bei 28 % Daten fehlten2. Es ist davon auszugehen, dass Scoringwerte typischerweise nur „negativ“ geprüft werden. Es fällt auf, wenn ein gut bewerteter Kreditnehmer seinen Kredit nicht zurückzahlt. Es wird aber in der Regel nicht ermittelt, dass ein zu Unrecht abgewiesener Kunde seinen Kredit zurückgezahlt hätte.
II. Rechtsprechung/Praxis 1. Anspruch auf Korrektur 11
Immer wieder sind in der Datenbank der SCHUFA falsche Einträge festzustellen. So ist bekannt, dass Kreditinstitute nicht selten bei der SCHUFA-Anfrage den Anfragegrund „Anfrage Kredit“ statt „Anfrage Kreditkondition“ auswählen.
12
Ein fehlerhafter negativer Eintrag, beispielsweise die Angabe einer nicht fälligen Verbindlichkeit, ist eine Verletzung des allgemeinen Persönlichkeitsrechts, die nach §§ 823 Abs. 1, 1004 BGB einen Anspruch auf Korrektur begründet3. Der Anspruch richtet sich gegen den Verursacher dieser negativen Eintragung, also das Unternehmen, welches der SCHUFA unrechtmäßig falsche Daten übermittelt hat. Handelt es sich um einen Vertragspartner, kann ein vertraglicher Anspruch nach § 241 Abs. 2 BGB bzw. § 280 BGB gegeben sein4. 2. Datenschutzrecht
13
§§ 28a und 28b BDSG regeln die Zulässigkeit der Datenübermittlung und des Scoring. Die früher immer wieder festzustellende Problematik, dass Kreditinstitute die Anfrage von Kunden, die sich vor Inanspruchnahme eines Kredits einen Marktüberblick verschaffen wollten, als Kreditanfrage statt als Konditionsanfrage meldeten, was zu einer Verschlechterung der Scoring-Werte führte, hat zu einer eigenständigen Regelung in § 28a Abs. 2 Satz 4 BDSG geführt. Danach ist die Übermittlung von Daten über Verhaltensweisen des Betroffenen, die im Rahmen eines vorvertraglichen Vertrauensverhältnisses der Herstellung von Markttransparenz dienen, auch mit Einwilligung des Betroffenen unzulässig. Ziel
1 http://www.test.de/Auskunfteien-Fehlerhafte-Daten-gespeichert-4047751-0/; vgl. auch https://netzpolitik.org/2010/schufa-fehler-ueber-fehler/. 2 http://www.test.de/Auskunfteien-Fehlerhafte-Daten-gespeichert-4047751-0/. 3 LG Berlin v. 27.4.2011 – 4 O 97/11, juris Rz. 12; allerdings sieht BGH v. 13.12.2005 – VI ZR 164/04, juris Ls., nur finanzielle Interessen betroffen, nicht das Persönlichkeitsrecht. 4 KG Berlin v. 7.3.2012 – 26 U 65/11, juris Rz. 16; OLG Frankfurt v. 9.1.2012 – 16 U 126/11, juris Rz. 16, 17.
506
Lapp
§ 34
II. Rechtsprechung/Praxis
ist es, eine Verschlechterung der Werte allein durch eine vom Betroffenen durchgeführte Marktanalyse zu verhindern. § 28b BDSG regelt die Zulässigkeit des Scorings und legt die Voraus- 14 setzungen dafür fest. Voraussetzung ist, dass die Berechnung des Wahrscheinlichkeitswerts unter Zugrundelegung eines wissenschaftlich anerkannten mathematisch-statistischen Verfahrens erfolgt und Daten verwendet werden, die für die Berechnung der Wahrscheinlichkeit des bestimmten Verhaltens nachweisbar erheblich sind. Erheblichkeit bedeutet einerseits, dass keine Daten verwendet werden dürfen, aus denen keine Rückschlüsse auf das zu prognostizierende Verhalten des Betroffenen möglich sind. Ausdrücklich zulässig ist im Umkehrschluss aus § 28b Satz 1 Nr. 3 BDSG die Nutzung von Adressdaten zur Berechnung der Wahrscheinlichkeitswerte (Geo-Scoring), auch wenn die SCHUFA und andere Auskunfteien angeben, kein Geo-Scoring einzusetzen. Schwieriger zu beantworten ist die Frage, ob auch umgekehrt verlangt werden kann, sämtliche erheblichen Daten auch zu erheben und zu verarbeiten. Ein Anspruch auf Korrektur unrichtiger Eintragungen besteht nach 15 §§ 823 Abs. 1, 1004 BGB auch gegenüber der SCHUFA direkt. Daneben hat der Betroffene nach § 35 Abs. 1 Satz 1 BDSG Anspruch auf Berichtigung fehlerhafter Einträge gegen die SCHUFA bzw. den Anbieter der Scoring-Werte. 3. Offenlegung des Zustandekommens der Werte Nach § 34 Abs. 4 Satz 1 Nr. 4 BDSG ist die Auskunftei verpflichtet, den 16 Betroffenen auf Verlangen über das Zustandekommen und die Bedeutung der Wahrscheinlichkeitswerte einzelfallbezogen nachvollziehbar in allgemein verständlicher Form Auskunft zu erteilen. Das LG Berlin1 hat einem Betroffenen diesen Anspruch gewährt. Nach Darstellung der Rechtsauffassung des Berufungsgerichts hat die Auskunftei die Berufung zurückgenommen und das Urteil rechtskräftig werden lassen. Demgegenüber vertrat das LG Wiesbaden2 die Auffassung, § 34 Abs. 4 17 Satz 1 Nr. 4 BDSG gewähre in erster Linie einen datenschutzrechtlichen Anspruch darauf, Auskunft über die zur Person des Betroffenen gespeicherten Daten zu erhalten, die in die Bewertung einfließen. Weiter führt das LG Wiesbaden aus, dass es nicht um die Überprüfung oder inhaltliche Richtigkeit der Daten gehe. Das LG Wiesbaden hat die Auskunftei allerdings verpflichtet, nachvollziehbar darzustellen, ob ein Scoringwert zu einer Krediterlangung gut, mittel oder schlecht ist3. Dagegen hat das LG Wiesbaden den weitergehenden Anspruch auf Auskunft über die konkreten Auswirkungen einzelner Einträge auf die verschiedenen Scoring1 LG Berlin v. 1.11.2011 – 6 O 479/10, juris Rz. 25, 27. 2 LG Wiesbaden v. 1.12.2011 – 8 O 100/11, juris Rz. 29. 3 LG Wiesbaden v. 1.12.2011 – 8 O 100/11, juris Rz. 33. Lapp
507
§ 34
Schutz des Einzelnen vor Scoring-Bewertungen
werte, dargestellt mit den konkreten Prozentsätzen und der konkreten Gewichtung, abgelehnt1. Das LG Wiesbaden vertritt hier die Auffassung, dass die Geschäftsgeheimnisse der Auskunftei vorrangig zu schützen seien2. Diesen Einwand hatte das LG Berlin und ihm folgend das Kammergericht nicht gelten lassen. Das LG Berlin beruft sich dabei auf die Tatsache, dass in § 34 Abs. 1 Satz 4 BDSG ausdrücklich eine Abwägung mit dem Interesse an der Wahrung des Geschäftsgeheimnisses eingestellt ist, während § 34 Abs. 4 BDSG keine solche Einschränkung enthält. Das LG Berlin führt weiter aus, dass der Gesetzgeber ausweislich der Begründung zum Gesetzentwurf das Problem der Geschäftsgeheimnisse gesehen, eine entsprechende Einschränkung aber nicht vorgenommen habe. 18
Insbesondere im Hinblick auf Scoring gemäß § 28b BDSG regeln § 34 Abs. 2 Satz 1 Nr. 3, Abs. 4 Satz 1 Nr. 4 BDSG, dass dem Betroffenen auf Verlangen Auskunft zu erteilen ist über das Zustandekommen und die Bedeutung der Wahrscheinlichkeitswerte, sowie dass diese Auskunft einzelfallbezogen nachvollziehbar in allgemein verständlicher Form zu erfolgen hat3. Dabei ist zu unterscheiden zwischen dem Zustandekommen der Wahrscheinlichkeitswerte einerseits und deren Bedeutung andererseits. Die Auskunft zur Bedeutung der Scoringwerte war im ursprünglichen Gesetzentwurf nicht enthalten und wurde erst durch die Beschlussempfehlung und den Bericht des Innenausschusses in den Gesetzestext aufgenommen. Nach der Begründung des Innenausschusses soll mit dieser Auskunft über die Bedeutung „sichergestellt werden, dass der Betroffene abschätzen kann, ob der zu seiner Person errechnete Scorewert gut, mittel oder schlecht ist. Dazu gehört zunächst, dass dem Betroffenen – mitgeteilt wird, auf welches „bestimmte künftige Verhalten des Betroffenen“ im Sinne des § 28b sich der Scorewert bezieht (z.B. dass der Scorewert angibt, wie wahrscheinlich es ist, dass der Betroffene einen Kredit ordnungsgemäß zurückzahlen wird), und – die Skala der möglichen Scorewerte (z.B. 100 bis 600) mitgeteilt wird.“4
19
Nur für die Frage der Bedeutung der Scoringwerte genügt es daher, wenn der Betroffene erkennen kann, auf welches künftige Verhalten (etwa die Rückzahlung eines Kredits) sich der Scoringwert bezieht.5 Zusätzlich war bereits in der ursprünglichen Fassung eine Verpflichtung zur Auskunft über das Zustandekommen der Werte enthalten. Der Gesetzesbegründung ist zu entnehmen:
1 2 3 4 5
LG Wiesbaden v. 1.12.2011 – 8 O 100/11, juris Rz. 32. LG Wiesbaden v. 1.12.2011 – 8 O 100/11, juris Rz. 32. Vgl. Gola/Schomerus, BDSG, § 34 Rz. 12b. BT-Drucks. 16/13219, 9. Zu Unrecht beziehen Heinemann/Wäßle, MMR 2010, 600 (602), dies offenbar auch auf die Auskunft über das Zustandekommen; vgl. dazu auch Kamlah in Plath, BDSG, § 34 Rz. 43.
508
Lapp
§ 34
II. Rechtsprechung/Praxis
„Der Betroffene soll die Möglichkeit erhalten, seine Rechte sachgerecht auszuüben und mögliche Fehler aufzudecken1.
20
Nach Nummer 3 ist dem Betroffenen außerdem das Zustandekommen des Wahrscheinlichkeitswerts einzelfallbezogen und nachvollziehbar in allgemein verständlicher Form darzulegen. Dadurch wird sichergestellt, dass einerseits die Unternehmen nicht die Scoreformel, an deren Geheimhaltung die Unternehmen ein überwiegendes schutzwürdiges Interesse haben, offenbaren müssen, andererseits aber dem Betroffenen auf Wunsch die der Wahrscheinlichkeitsberechnung zugrunde liegenden Sachverhalte in einer für den Laien verständlichen Form dargelegt werden müssen. Komplexe mathematische Formeln sind danach nicht zu offenbaren, zumal sie auch nicht allgemein verständlich, d.h. aus sich heraus für den Betroffenen verständlich sind. Vielmehr muss dem Betroffenen ermöglicht werden, den der Berechnung zugrunde liegenden Lebenssachverhalt bzw. die einschlägigen Lebenssachverhalte nachzuvollziehen. Das Ergebnis muss für den Betroffenen stets insoweit nachvollziehbar sein, dass er seine Rechte sachgerecht ausüben, mögliche Fehler in der Berechnungsgrundlage aufdecken und Abweichungen von den automatisiert gewonnenen typischen Bewertungen des zugrunde liegenden Lebenssachverhalts darlegen kann.“2
Dem Betroffenen soll durch diese Auskunft die Möglichkeit gegeben wer- 21 den, gegenüber der Verantwortlichen Stelle seinen Standpunkt geltend zu machen und im Fall von § 34 Abs. 2 BDSG die Entscheidung und im Fall von § 34 Abs. 4 BDSG den Scoringwert sachgerecht zu überprüfen3. Die genaue mathematische Formel, mit der die Berechnung erfolgt, wird 22 möglicherweise dazu nicht erforderlich sein. Allerdings wird sich die Auskunft nicht auf die bereits nach § 34 Abs. 2 Satz 1 Nr. 2, Abs. 4 Satz 1 Nr. 3 BDSG anzugebenden Datenarten beschränken können4. Da das Zustandekommen Gegenstand einer eigenen Auskunftspflicht ist, sind hierzu weitere Informationen erforderlich. Es muss also auch mitgeteilt werden, mit welcher Gewichtung die einzelnen Daten in die Gesamtbewertung eingeflossen sind. Es muss für den Betroffenen nachvollziehbar sein, welche Daten zu einer Verschlechterung bzw. zu einer Verbesserung seiner Scoringwerte geführt haben und mit welcher Gewichtung diese einzelnen Daten in die Bewertung eingeflossen sind. Nur dann kann der Betroffene seine Rechte sachgerecht ausüben. Nur dann kann er auch in seiner Person liegende Besonderheiten geltend machen, wie etwa die im oben genannten Beispiel maßgebende Tatsache eines längeren Auslandsaufenthaltes ohne fortbestehende Bankverbindungen Deutschland. Das Interesse der Unternehmen an der Geheimhaltung der Formel ist lediglich in der Begründung des Gesetzentwurfs, anders als bei § 34 Abs. 1 BDSG jedoch nicht im Text der Norm erwähnt. Die Nennung dieses Interesses in der Begründung zeigt, dass dem Gesetzgeber die Problematik bewusst war. Allerdings wird dem LG Berlin Recht zu geben sein, dass die fehlende Erwähnung im Gesetzestext eine andere Behand1 2 3 4
Gesetzentwurf der Bundesregierung, BT-Drucks. 16/10529, 12. Gesetzentwurf der Bundesregierung, BT-Drucks. 16/10529, 17. Vgl. Gesetzentwurf der Bundesregierung, BT-Drucks. 16/10529, 17. A.A. Scheja/Haag in Leupold/Glossner, Münchener Anwaltshandbuch IT-Recht, Teil 4. Datenschutzrecht Rz. 159. Lapp
509
§ 34
Schutz des Einzelnen vor Scoring-Bewertungen
lung als bei der Auskunft nach § 34 Abs. 1 BDSG erforderlich macht1. Geheimhaltungsinteressen der Unternehmen können daher nur dann und nur insoweit berücksichtigt werden, als diesen ein gesetzlicher Anspruch zur Seite steht2. Zu weitgehend ist die Auffassung, wonach die Norm wegen der Verwendung zu vieler unbestimmter Rechtsbegriffe und dadurch entstehender Rechtsunsicherheit verfassungswidrig sei3. 23
Einen vergleichbaren und mit § 34 Abs. 2 BDSG teilweise übereinstimmenden Auskunftsanspruch gewährt auch § 6a BDSG im Fall von automatisierten Einzelentscheidungen. 4. Bewertung als geschützte Meinungsäußerung
24
Bei jedem Angriff gegen eine als ungerecht negativ empfundene Bewertung ist zwischen Tatsachenbehauptungen und Meinungsäußerungen zu unterscheiden.
25
Tatsachenbehauptungen sind durch die objektive Beziehung zwischen der Äußerung und der Realität gekennzeichnet, während Werturteile durch die subjektive Beziehung des einzelnen zum Inhalt seiner Aussage geprägt werden4. Für Letztere ist das Element der Stellungnahme und des Dafürhaltens charakteristisch5, das Tatsachenbehauptungen fehlt. Anders als die subjektiv geprägten Meinungsäußerungen sind Tatsachenbehauptungen folglich als objektive Aussagen dem Beweis zugänglich. Doch hängt die Einordnung einer Aussage als Tatsachenbehauptung nicht von der Erbringung des Beweises ab. Beweisbarkeit und Beweis sind zu unterscheiden6.
26
Scoringwerte scheinen insoweit vollständig unter dem Schutz der Meinungsfreiheit zu stehen. Dafür spricht, dass üblicherweise an die Empfänger der Bewertungen nur die Gesamtbewertung sowie gegebenenfalls die Einordnung übermittelt wird. So erfolgt beispielsweise die Risikoeinschätzung bei der Kreditwürdigkeit durch die SCHUFA nach folgenden Risikokategorien7: L 97,5 % 95 %–97,5 % 90 %–95 % 80 %–90 % 50 %–80 % l 50 % 1 2 3 4
sehr geringes Risiko geringes bis überschaubares Risiko zufriedenstellendes bis erhöhtes Risiko deutlich erhöhtes bis hohes Risiko sehr hohes Risiko sehr kritisches Risiko
LG Berlin v. 1.11.2011 – 6 O 479/10, juris Rz. 25, 27. Vgl. Taeger, K&R 2008, 513. So Kamlah in Plath, BDSG, § 34 Rz. 43. BVerfG, NJW 1999, 483, unter Verweis auf BVerfGE 33, 1, 14 = NJW 1972, 811; BVerfGE 90, 241, 247 = NJW 1994, 1779. 5 BVerfG, NJW 1999, 483, unter Verweis auf BVerfGE 61, 1, 8 = NJW 1983, 1415. 6 BVerfG, NJW 1999, 483. 7 http://www.schufascore.com/Schufa-Score_Tabelle.html.
510
Lapp
§ 34
II. Rechtsprechung/Praxis
Auch eine (negative) Meinungsäußerung ist von dem Schutz der Mei- 27 nungsfreiheit gedeckt, solange sie weder einen Angriff auf die Menschenwürde noch eine Formalbeleidigung oder Schmähkritik darstellt1. Bei der Beurteilung kommt es, anders als bei Tatsachenbehauptungen, grundsätzlich nicht darauf an, ob die Kritik berechtigt ist oder nicht2. Allerdings kommt dem Schutz der Meinungsfreiheit im Rahmen von privaten Rechtsverhältnissen ein geringeres Gewicht zu, als dies beispielsweise bei einer die Öffentlichkeit sehr berührenden Frage im Rahmen einer öffentlichen Diskussion der Fall wäre3. Es ist somit für einen möglichen Rechtsschutz gegen die oben genannten Bewertungen wesentlich, ob diese als Tatsachenbehauptungen oder als Meinungsäußerungen einzustufen sind. Maßgeblich für die Abgrenzung ist „weder die subjektive Absicht des sich Äußernden noch das subjektive Verständnis der von der Äußerung Betroffenen, sondern der Sinn, den sie nach dem Verständnis eines unvoreingenommenen und verständigen Publikums hat. Dabei ist stets vom Wortlaut der Äußerung auszugehen. Dieser legt ihren Sinn aber nicht abschließend fest. Er wird vielmehr auch von dem sprachlichen Kontext, in dem die umstrittene Äußerung steht, und den Begleitumständen, in deren Rahmen sie fällt, bestimmt, soweit diese für die Rezipienten erkennbar waren. Die isolierte Betrachtung eines umstrittenen Äußerungsteils wird daher den Anforderungen an eine zuverlässige Sinnermittlung regelmäßig nicht gerecht.“4 Auch wenn die Werte beispielsweise in der oben wiedergegebenen Tabel- 28 le mit zwei Nachkommastellen relativ exakt aussehen und sich als nachprüfbar gerieren, sind es doch eher keine Tatsachenbehauptungen. Vielmehr handelt es sich um Risikoeinschätzungen, die die Wahrscheinlichkeit der künftigen Erfüllung von Zahlungspflichten wiedergeben. Es handelt sich also um die Einschätzung von künftigem Verhalten. Die Wertungen sind daher aus dem Kontext und den Begleitumständen für die Empfänger erkennbar Einschätzungen und Prognosen und somit grundsätzlich von der Meinungsfreiheit gedeckt5. Mit der Wertung als reine Meinungsäußerung bleibt jedoch die Tatsa- 29 chenbasis dieser Meinungsäußerung unberücksichtigt. Dies hat zwei Komponenten. Zum einen ist nach dem Auftritt der Auskunfteien nach außen, also aus Kontext und Begleitumständen für den Empfänger zu erwarten, dass die Auskünfte auf der Beurteilung von Tatsachen beruhen. Sofern die Wertung auf einer tatsächlichen Grundlage beruht, kann sie 1 Vgl. BVerfG v. 10.10.1995 – 1 BvR 1476/91, 1 BvR 1980/91, 1 221/92, BVerfGE 93, 266–319, juris Rz. 123. 2 Vgl. BVerfG v. 10.10.1995 – 1 BvR 1476/91, 1 BvR 1980/91, 1 221/92, BVerfGE 93, 266–319, juris Rz. 123. 3 Vgl. BVerfG v. 10.10.1995 – 1 BvR 1476/91, 1 BvR 1980/91, 1 221/92, BVerfGE 93, 266–319, juris Rz. 123. 4 Vgl. BVerfG v. 10.10.1995 – 1 BvR 1476/91, 1 BvR 1980/91, 1 221/92, BVerfGE 93, 266–319, juris Rz. 125. 5 Vgl. LG Oldenburg v. 23.12.2009 – 5 O 1672/09, juris Rz. 12.
BvR 102/92, 1 BvR BvR 102/92, 1 BvR BvR 102/92, 1 BvR BvR 102/92, 1 BvR
Lapp
511
§ 34
Schutz des Einzelnen vor Scoring-Bewertungen
durch die Meinungsfreiheit gedeckt und damit geschützt sein1. Darüber hinaus enthält die Wertung aber auch die Angabe, dass die Wertung auf seriös ermittelten und wahren Tatsachen beruht. Dies ergibt sich aus der gesamten Werbung der Auskunfteien. So schreibt beispielsweise die SCHUFA: 30
„Wie kein anderer Informationsdienstleister unterstützt die SCHUFA durch die Bereitstellung von (Positiv-)Informationen zu Privatpersonen.“2
31
Mit der Wertung ist also auch die Aussage verbunden, dass es sich um wahre Tatsachen handelt, auf denen die Bewertung aufbaut. Insoweit steht dem Betroffenen der Anspruch auf Berichtigung aus § 35 Abs. 1 Satz 1 BDSG zu.
III. Bewertung als Schuldverhältnis gemäß § 311 Abs. 3 Satz 2 BGB 32
Darüber hinaus stellt sich die Frage, ob und inwieweit ein Schuldverhältnis zwischen den Betroffenen und einer Auskunftei gemäß § 311 Abs. 3 Satz 2 BGB entstehen kann. Die Regelung ist mit der Schuldrechtsreform in das BGB aufgenommen worden und soll die bisher von der Rechtsprechung in Fallgruppen entwickelten Fälle des Verschuldens bei Vertragsschluss (cic) abdecken3. Schon lange ist in der Rechtsprechung anerkannt gewesen, dass auch Dritte, die überhaupt nicht Vertragspartner werden wollen, durch ihr Verhalten beim Vertragsabschluss eine vertragsähnliche Verbindung in Form eines Schuldverhältnisses mit allen damit verbundenen Rechten und Pflichten begründen können4. 1. Besonderes Vertrauen in den Scorer
33
Nach ständiger Rechtsprechung des Bundesgerichtshofs konnte schon vor der Neuregelung von § 311 Abs. 3 Satz 2 BGB „ausnahmsweise … auch ein Vertreter aus Verschulden bei Vertragsverhandlungen persönlich haften, wenn er entweder dem Vertragsgegenstand besonders nahesteht und bei wirtschaftlicher Betrachtung gleichsam in eigener Sache handelt oder wenn er gegenüber dem Verhandlungspartner in besonderem Maße persönliches Vertrauen in Anspruch genommen und dadurch die Vertragsverhandlungen beeinflusst hat.“5 Ein eigenes Schuldverhältnis zu einem Dritten setzt damit an erster Stelle voraus, dass dieser in besonderem Maße persönliches Vertrauen in Anspruch genommen hat. Bei einem Ver1 Vgl. LG Oldenburg v. 23.12.2009 – 5 O 1672/09, juris Rz. 17. 2 http://www.schufa.de/de/private/wissenswertes/prinzipnutzenvonauskunfteien/ prinzipnutzenvonauskunfteien.jsp. 3 Vgl. zur älteren Rechtsprechung BGHZ 56, 81; vgl. auch Emmerich in MünchKommBGB, § 311 Rz. 185 ff. 4 Vgl. Lapp in jurisPK-BGB, § 311 Rz. 73. 5 BGH v. 3.4.1990 – XI ZR 206/88, juris Rz. 18.
512
Lapp
§ 34
III. Bewertung als Schuldverhltnis gemß § 311 Abs. 3 Satz 2 BGB
handlungsvertreter setzt dies voraus, dass er eine zusätzliche, von ihm persönlich ausgehende Gewähr für Seriosität und Erfüllung des geplanten Rechtsgeschäfts bietet1. Dies ist genau die Aufgabe, die Auskunfteien für sich in Anspruch nehmen. So wirbt beispielsweise die SCHUFA mit dem Slogan „wir schaffen Vertrauen“ und informiert weiter: „Fast alle solche modernen Geschäfte sind Kreditgeschäfte, die den Kunden sehr schnell und bequem angeboten werden können. Aber dafür bedarf es Vertrauen zwischen den Geschäftspartnern, denn Unternehmen müssen sicher gehen können, dass die Rechnung oder die Raten auch bezahlt werden. … Genau für dieses benötigte Vertrauen sorgen Auskunfteien, wie die SCHUFA mit ihren Informationen und Leistungen.“2
34
2. Einfluss auf Vertragsverhandlung bzw. -abschluss Weitere Voraussetzung für das Entstehen eines Schuldverhältnisses nach 35 § 311 Abs. 3 Satz 2 BGB ist, dass der Dritte aufgrund des ihm entgegengebrachten Vertrauens die Vertragsverhandlungen oder den Vertragsschluss erheblich beeinflusst. Dies wurde beispielsweise angenommen bei einem früheren Spitzenpolitiker und Inhaber eines Lehrstuhls unter anderem für Finanzrecht, der sich zu Eigenschaften einer bestimmten Kapitalanlage, insbesondere zur Qualitätssicherung für die Anleger äußerte und dabei zudem auf seine eigenständige Prüfung dieser Kapitalanlage sowie bestimmte, aufgrund seines Einflusses vorgenommene, Gestaltungen hinwies3. a) Intention des Scorers Die Intention der Auskunfteien ist genau darauf gerichtet, Vertragsver- 36 handlungen und Vertragsabschluss zu beeinflussen. Dazu formuliert beispielsweise die SCHUFA auf ihrer Internetseite: „Genau für dieses benötigte Vertrauen sorgen Auskunfteien, wie die SCHUFA mit ihren Informationen und Leistungen. Sie vereinfachen und beschleunigen wirtschaftliche Entscheidungsprozesse mit Hilfe relevanter Informationen und führen so die Partner mit einem Höchstmaß an Sicherheit zusammen. …
37
Das ist auch der Grund, warum es ohne die SCHUFA nicht so leicht möglich wäre, innerhalb weniger Minuten einen Handy-Vertrag abzuschließen, Ware auf Rechnung zu bestellen oder zeitnah einen Kredit genehmigt zu bekommen.“4
Die Auskünfte und insbesondere die Scoringwerte dienen dazu, Entschei- 38 dungsprozesse zu vereinfachen, zu standardisieren und zu beschleunigen. Die umfangreichen, der Auskunftei vorliegenden Informationen sollen aggregiert und in standardisierte Bewertungen zusammengefasst werden. 1 Vgl. Lapp in jurisPK-BGB, § 311 Rz. 79. 2 http://www.schufa.de/de/private/wissenswertes/prinzipnutzenvonauskunfteien/ prinzipnutzenvonauskunfteien.jsp, Stand: 5.8.2013. 3 Vgl. Lapp in jurisPK-BGB, § 311 Rz. 88. 4 http://www.schufa.de/de/private/wissenswertes/prinzipnutzenvonauskunfteien/ prinzipnutzenvonauskunfteien.jsp, Stand: 5.8.2013. Lapp
513
§ 34
Schutz des Einzelnen vor Scoring-Bewertungen
b) Praktische Auswirkungen beim Kreditgeber 39
Spiegelbildlich entspricht dies der Erwartung der Unternehmen, die vor Abschluss eines Vertrages Auskünfte über den potentiellen Vertragspartner einholen.
40
Der Kreditgeber will sich absichern gegen mögliche Zahlungsausfälle. Außerdem muss er Informationen über die Bonität seiner Kunden einholen, um den Kriterien nach Basel II gerecht zu werden. Der einzelne Sachbearbeiter benötigt die Auskunft, um seinen Arbeitsvertrag zu erfüllen und nicht selbst zur Verantwortung für Zahlungsausfälle gezogen zu werden. Die Neigung der Sachbearbeiter, trotz schlechter Scoringwerte einen Kredit zu gewähren oder einen anderen Vertrag abzuschließen, ist in der Praxis entsprechend äußerst gering. Bedenken, die gegen die Möglichkeit des Nachweises einer Einflussnahme von Ratingagenturen1 auf die entsprechenden Vertragsabschlüsse geltend gemacht werden2, dürften bei Kreditscoring nicht durchgreifen. 3. Pflichten nach § 241 Abs. 2 BGB
41
Liegen somit die Voraussetzungen von § 311 Abs. 3 BGB vor, ist ein Schuldverhältnis auch zu der Auskunftei als Drittem begründet3. Die Rechtsprechung vor § 311 Abs. 3 BGB hat Rücksichtnahme- und Schutzpflichten des Dritten gegenüber den Parteien angenommen und daraus in erster Linie Aufklärungs- und Warnpflichten gefolgert. Der Gesetzgeber hat eine solche Einschränkung allerdings nicht in das Gesetz aufgenommen. Vielmehr verweist der Gesetzgeber in § 311 Abs. 3 Satz 1 BGB ausdrücklich auf die Pflichten nach § 241 Abs. 2 BGB, die auch dem Dritten gegenüber den Parteien (und umgekehrt) obliegen4. a) Rücksichtnahme auf Rechte, Rechtsgüter und Interessen
42
Mit der Aufzählung von Rechten und Rechtsgütern soll deutlich gemacht werden, dass hier im Gegensatz zu § 823 BGB nicht nur absolute Rechte, sondern auch relative Rechte einschließlich des Vermögens geschützt sind5. Abhängig von der Art des Schuldverhältnisses sind darüber hinaus auch bloße Interessen Gegenstand des Schutzes6. Inhaltlich richtet sich die Verpflichtung darauf, dass alle Beeinträchtigungen der ge1 Die Verordnung (EG) Nr. 1060/2009 des europäischen Parlaments und des Rates v. 16.9.2009 über Ratingagenturen gilt gem. Art. 2 Abs. 2b) nicht für Kreditpunktebewertungen, Credit-Scoring-Systeme und vergleichbare Bewertungen, so dass auch der neue Schadensersatzanspruch aufgrund der Verordnung (EU) Nr. 462/2013 zur Änderung der Verordnung (EG) Nr. 1060/2009 nicht eingreift. 2 Vgl. dazu Wojcik, NJW 2013, 2385 (2387) m.w.N. 3 Vgl. Lapp in jurisPK-BGB, § 311 Rz. 89. 4 Vgl. Lapp in jurisPK-BGB, § 311 Rz. 89. 5 Vgl. Toussaint in jurisPK-BGB, § 241 Rz. 41. 6 Vgl. Toussaint in jurisPK-BGB, § 241 Rz. 41.
514
Lapp
§ 34
III. Bewertung als Schuldverhltnis gemß § 311 Abs. 3 Satz 2 BGB
schützten Rechte, Rechtsgüter und Interessen der anderen Beteiligten am Schuldverhältnis vermieden werden, die aus der Beteiligung am Schuldverhältnis entstehen könnten1. Der aus dem besonderen Vertrauen gewonnene Einfluss des Dritten auf Vertragsabschluss und Vertragsverhandlung soll sich nicht zum Nachteil der anderen Partei auswirken. Dabei darf allerdings nicht vergessen werden, dass diese Verpflichtung 43 des Dritten in den hier besprochenen Konstellationen gegenüber beiden potentiellen Vertragspartnern, also sowohl gegenüber dem Kreditnehmer als auch dem Kreditgeber in gleicher Weise besteht. b) Umkehr der Darlegungslast, Sorgfaltspflichten Erste Konsequenz dieser Verpflichtung zur Rücksichtnahme wird eine 44 Umkehr der Darlegungslast sein. Bislang wird von den Auskunfteien in der Regel zunächst auf die von Ihnen ermittelten, objektiv richtigen, Grunddaten verwiesen. Darüber hinaus wird beispielsweise erklärt: „Bei der SCHUFA beschäftigen sich seit Anfang der 1990er Jahre Mathematiker und Statistiker intensiv mit dem Thema Scoring. Von der Zuverlässigkeit des SCHUFA-Scoreverfahrens hat sich die zuständige Aufsichtsbehörde überzeugt. Die Verfahren werden zudem regelmäßig von Universitäten und unabhängigen Fachinstituten (z.B. dem Statistischen Beratungslabor des Institutes für Statistik an der Ludwig-Maximilian-Universität in München) überprüft und für aussagekräftig befunden.“2
45
Ohne Kenntnis der Berechnungsmethode, insbesondere der Gewichtung 46 einzelner Informationen und deren Bedeutung für den Scoringwert, ist es für den Betroffenen kaum möglich, die Scoringwerte anzugreifen. Es ist auch nicht möglich, allgemeine Informationen dazu zu erhalten. Hier kann auf die Rechtsprechung zur sekundären Beweislast zurückgegriffen werden, nach der sich eine Partei nicht auf das Bestreiten bzw. einen relativ lapidaren und schweren angreifbaren Vortrag beschränken darf3. Der BGH hat dazu entschieden: „Die Bekl. trifft in dieser Beziehung zwar 47 zutreffend eine sekundäre Darlegungslast. Steht ein darlegungspflichtiger Kl. außerhalb des für seinen Anspruch erheblichen Geschehensablaufs und kennt der Bekl. alle wesentlichen Tatsachen, so genügt nach den Grundsätzen über die sekundäre Darlegungslast sein einfaches Bestreiten nicht, sofern ihm nähere Angaben zuzumuten sind4. In diesen Fällen kann vom Prozessgegner im Rahmen des Zumutbaren das substanziierte 1 Vgl. Toussaint in jurisPK-BGB, § 241 Rz. 41. 2 http://www.scoring-wissen.de/de/wasistscoring/wasistscoring.jsp. 3 Vgl. Bacher in Vorwerk/Wolf, Beck’scher Online-Kommentar ZPO, § 284 Rz. 84. 4 BGH, NJW 2008, 982 Rz. 16 unter Verweis auf BGHZ 86, 23 (29) = NJW 1983, 687; BGHZ 100, 190 (196) = NJW 1987, 2008; BGHZ 140, 156 (158 f.) = NJW 1999, 579; BGHZ 163, 209 (214) = NJW 1999, 579; s. auch BGH, NJW 2007, 2549 (2553) Rz. 46. Lapp
515
§ 34
Schutz des Einzelnen vor Scoring-Bewertungen
Bestreiten der behaupteten Tatsache unter Darlegung der für das Gegenteil sprechenden Tatsachen und Umstände verlangt werden1. 48
Nach der ständigen Rechtsprechung des BGH obliegt dem Prozessgegner eine sog. sekundäre Behauptungslast, wenn die primär darlegungsbelastete Partei außerhalb des darzulegenden Geschehensablaufs steht und keine Kenntnisse von den maßgeblichen Tatsachen besitzt, während der Prozessgegner zumutbar nähere Angaben machen kann.2
49
Es genügt in diesem Fall für den Betroffenen, wenn er darlegen kann, dass nach den zu seiner Person gespeicherten Informationen der Scoringwert in einer nicht nachvollziehbaren Weise schlecht ist. In diesem Fall ist die Auskunftei verpflichtet, die von ihr vorgenommene negative Bewertung im Detail zu erklären und zu begründen. Anderenfalls kann das Gericht den Vortrag eines unrichtigen Scoringwerts als wahr unterstellen und entsprechend zu einer Korrektur verurteilen. Vergleichbar den Auseinandersetzungen um Zeugnisse im Arbeitsrecht müsste der Betroffene konkret darstellen, wie nach seiner Ansicht der Scoringwert richtig sein sollte. Es wäre Aufgabe der Auskunftei, unter Darstellung der Grundlagen ihrer Bewertung, den von ihr angenommenen Scoringwert zu verteidigen. c) Pflicht zur Berücksichtigung von weiteren relevanten Kriterien
50
Insbesondere im Fall von schlechten Scoringwerten wird häufig eingewendet, dass die Bewertung relevante Kriterien außer Betracht lässt. So könnte in dem oben zitierten Beispiel3 eines mehrjährigen Auslandsaufenthaltes ohne Konto in Deutschland auf die Tätigkeit für die Deutsche Bundesbank im Ausland verwiesen und verlangt werden, diesen Gesichtspunkt angemessen zu berücksichtigen. Die SCHUFA formuliert außerdem in einer Zusammenstellung häufig gestellter Fragen zu der Frage, wie man seine Scoringwerte verbessern könne, unter anderem:
51
„Die Gesamtsumme aller finanziellen Verpflichtungen sollte stets im Überblick behalten werden und in einem angemessenen Verhältnis zu den Einkünften oder dem Vermögen stehen.“4
52
Einkünfte und Vermögen werden jedoch beispielsweise von der SCHUFA überhaupt nicht erfasst und gehen daher nicht in die Bewertung ein. Betroffene könnten verlangen, dass dies geändert und die für sie positiven Werte in die Bewertung mit aufgenommen werden.
1 BGH, NJW 2008, 982 Rz. 16. 2 BGH, NJW 2005, 2395 (2397), vgl. auch BGH, NJW 2001, 396 und BGH, NJW 1999, 1404. 3 http://www.faz.net/aktuell/finanzen/kreditwuerdigkeit-nach-dem-auslandsjobauf-ramsch-status-11055532.html. 4 https://www.scoring-wissen.de/de/faqs/faq.jsp.
516
Lapp
§ 34
III. Bewertung als Schuldverhltnis gemß § 311 Abs. 3 Satz 2 BGB
d) Pflicht zur wohlwollenden Bewertung Die Bedeutung von Scoringwerten für Unternehmen oder andere um 53 Kredit Nachsuchende ist weitgehend vergleichbar der Bedeutung von Arbeitszeugnissen für Arbeitnehmer. Hierzu haben die Arbeitsgerichte in ständiger Rechtsprechung den „Wohlwollensgrundsatz“ entwickelt1. Nach diesem Grundsatz soll das Zeugnis „von verständigem Wohlwollen gegenüber dem Arbeitnehmer getragen sein und ihm das weitere Fortkommen nicht ungerechtfertigt erschweren.“2 Qualifizierte Zeugnisse dienen im Arbeitsleben in erster Linie dem Zweck, die eigenen Leistungen im Rahmen von Bewerbungen um neue Arbeitsverhältnisse darzustellen3. Sie können auch dazu dienen, sonstige Dritte über die ausgeübte Tätigkeit, die Leistungen und die Führung eines Arbeitnehmers zu unterrichten4. Um dem Arbeitnehmer das weitere Fortkommen nicht unnötig zu erschweren, muss das Zeugnis daher im Rahmen der Wahrheit verständig wohlwollend formuliert sein5. Die Bedeutung des Scoringwerts für die bewerteten Personen oder Unter- 54 nehmen ist sehr gut vergleichbar. Der Scoringwert dient dem Zweck, die Bonität im Hinblick auf geplante Vertragsabschlüsse zu beschreiben. Dabei kann es um Kredite, aber auch um andere langfristige Vertragsbeziehungen gehen. Die Möglichkeit, Kredite aufzunehmen und langfristige Vertragsbindungen einzugehen ist in ihrer Bedeutung dem beruflichen Fortkommen von Arbeitnehmern vergleichbar. Aus diesem Grunde ist es angemessen, die Grundsätze der arbeitsgerichtlichen Rechtsprechung, insbesondere den Wohlwollensgrundsatz auch auf die Scoringwerte zu übertragen. Dies bedeutet nicht die Forderung, Unwahres zu schreiben. Auch im Arbeitsrecht gilt, dass die Wahrheit geschrieben werden muss, auch wenn diese für den Betroffenen negativ ist und ihn möglicherweise in seinem Fortkommen behindert6. Im Rahmen der Wahrheitspflicht ist der Scoringwert jedoch, genau wie das Zeugnis, mit verständigem Wohlwollen zu formulieren. Bei der Berechnung der Scoringwerte ist daher anders als dies bisher zu 55 geschehen scheint, nicht von einem grundsätzlichen Misstrauen gegenüber den bewerteten Personen auszugehen. Einer Übertragung der Grundsätze steht auch nicht entgegen, dass die 56 Scoringwerte eine Prognose für die Zukunft darstellen, während die Arbeitszeugnisse einen Bericht über die Vergangenheit geben. Auch das Arbeitszeugnis dient letztlich der Entscheidung über einen künftigen Vertragsabschluss. Allerdings traut sich die Mehrheit der Personalverant1 2 3 4 5 6
Vgl. nur BAG v. 11.12.2012 – 9 AZR 227/11, juris Rz. 21. BAG v. 8.2.1972 – 1 AZR 189/71, BAGE 24, 112–115, juris Rz. 17. BAG v. 8.2.1972 – 1 AZR 189/71, BAGE 24, 112–115, juris Rz. 18. BAG v. 8.2.1972 – 1 AZR 189/71, BAGE 24, 112–115, juris Rz. 18. BAG v. 9.9.1992 – 5 AZR 509/91, juris Rz. 16. BAG v. 9.9.1992 – 5 AZR 509/91, juris Rz. 17. Lapp
517
§ 34
Schutz des Einzelnen vor Scoring-Bewertungen
wortlichen selbst zu, die Eignung eines Arbeitnehmers für einen bestimmten Arbeitsplatz anhand der bloßen Beschreibung seiner bisherigen Tätigkeit eigenständig vorzunehmen. Demgegenüber wird bei der Frage der Kreditwürdigkeit häufig auf externe Bewertung in Form von Scoringwerten gesetzt. 4. Schadensersatz a) Zivilrechtlicher Anspruch 57
Die Verletzung der Pflichten aus § 241 Abs. 2 BGB kann zu Schadensersatz gemäß § 280 Abs. 1 BGB, insbesondere im Bereich der außervertraglichen Schuldverhältnisse gemäß § 311 Abs. 3 BGB, verpflichten1. Parallel dazu könnte grundsätzlich ein Anspruch nach § 823 BGB bestehen. Allerdings wird es für die hier vorliegenden Fälle in der Regel um reine Vermögensschäden gehen, bei denen eine Schadensersatzpflicht nach § 823 BGB nicht gegeben ist2. b) Anspruch gemäß § 7 BDSG
58
Fügt eine verantwortliche Stelle dem Betroffenen durch eine nach dem Bundesdatenschutzgesetz oder nach anderen Vorschriften über den Datenschutz unzulässige oder unrichtige Erhebung, Verarbeitung oder Nutzung seiner personenbezogenen Daten einen Schaden zu, ist sie oder ihr Träger dem Betroffenen gemäß § 7 BDSG zum Schadensersatz verpflichtet3. Die beiden Tatbestände der unzulässigen und unrichtigen Datenverarbeitung überschneiden sich insoweit, als die Verarbeitung falscher Daten stets auch unzulässig ist4. Der Begriff der „unrichtigen“ Datenverarbeitung ist weit zu verstehen und umfasst alle falschen, unvollständigen oder verfälschten Daten und Datenverarbeitungsvorgänge5. Unrichtig können Daten auch deshalb sein, weil sie unvollständig sind, beispielsweise weil für die Datenverarbeitung wesentliche Daten nicht vorhanden sind und deshalb auch nicht in die Datenverarbeitung einfließen können6. In den oben unter Rz. 50 ff. genannten Fällen steht dem Betroffenen daher neben dem Anspruch auf Berücksichtigung der für den Score wesentlichen zusätzlichen Informationen auch ein Anspruch auf Schadensersatz wegen unrichtiger Datenverarbeitung zu. Es ist jedoch nicht nur die unrichtige Erhebung, sondern auch die unrichtige Verarbei1 Vgl. Unberath in Bamberger/Roth, Beck’scher Online-Kommentar BGB, § 280 Rz. 14. 2 Vgl. Unberath in Bamberger/Roth, Beck’scher Online-Kommentar BGB, § 280 Rz. 14. 3 Ausführlich zu § 7 BDSG und den europarechtlichen Vorgaben siehe Kosmides, § 36. 4 Vgl. Gola/Schomerus, BDSG, § 7 Rz. 4. 5 Becker in Plath, BDSG, § 7 Rz. 12; vgl. auch Simitis in Simitis, BDSG, § 7 Rz. 20. 6 Vgl. Gola/Schomerus, BDSG, § 7 Rz. 4.
518
Lapp
§ 34
III. Bewertung als Schuldverhltnis gemß § 311 Abs. 3 Satz 2 BGB
tung oder Nutzung der Daten geeignet, einen Schadensersatzanspruch des Betroffenen auszulösen. Sofern also die Berechnung des Scoringwerts unrichtig erfolgt, kann auch daraus ein Schadensersatzanspruch entstehen. Die unzulässige oder unrichtige Datenverarbeitung muss kausal zu ei- 59 nem Schaden beim Betroffenen geführt haben. Der Nachweis für diesen Schadenseintritt und die Kausalität obliegt dem Betroffenen1. § 7 Satz 2 BDSG führt zu einer Umkehr der Beweislast. Die Daten ver- 60 arbeitende Stelle muss beweisen, dass sie für den Schaden nicht verantwortlich ist, das bedeutet, dass bei unzulässiger oder unrichtiger Datenverarbeitung zunächst Verschulden unterstellt wird2. Der Schadensersatzanspruch bezieht sich auf die Vermögensschäden, die 61 dem Betroffenen wegen der unrichtigen oder unzulässigen Datenverarbeitung entstanden sind3. Als Vermögensschaden kommt hier ein zu hoher Zins in Betracht, wenn aufgrund des Scoringwerts nur ein höherer Zinssatz vereinbart werden konnte. Denkbar wäre auch ein Anspruch auf Ersatz des Vermögensschadens wenn die weitere Finanzierung einer Immobilie durch fehlende Möglichkeit zur Umschuldung scheitert und deshalb die Immobilie unter Verlust verkauft werden muss. Einen Anspruch auf Ersatz des immateriellen Schadens räumt § 7 BDSG, anders als teilweise mit Blick auf Art. 23 EU-DSRL gefordert, nicht ein4. Möglicherweise lässt sich ein solcher Anspruch allerdings aus allgemeinem Deliktsrecht in Verbindung mit dem allgemeinen Persönlichkeitsrecht begründen5. In Betracht kommt beispielsweise Schmerzensgeld wegen der mit unberechtigt schlechten Scoringwerten verbundenen Herabwürdigung.
1 2 3 4
Vgl. Becker in Plath, BDSG, § 7 Rz. 13; Gola/Schomerus, BDSG, § 7 Rz. 7. Vgl. Gola/Schomerus, BDSG, § 7 Rz. 4. Vgl. Becker in Plath, BDSG, § 7 Rz. 3; Gola/Schomerus, BDSG, § 7 Rz. 12. Vgl. Becker in Plath, BDSG, § 7 Rz. 14; Gola/Schomerus, BDSG, § 7 Rz. 12. Siehe auch Kosmides, § 38 in diesem Buch. 5 Vgl. Becker in Plath, BDSG, § 7 Rz. 14. Lapp
519
§ 35 Grundsätze der Auftragsdatenverarbeitung
I. Privilegierung der Auftragsdatenverarbeitung . . . . . . . . . . . . . 1. Die Fiktion des § 3 Abs. 8 Satz 3 BDSG als Ausnahme vom Verbot mit Erlaubnisvorbehalt . . . . . . . . . a) Auftragsdatenverarbeitung und § 4 Abs. 1 BDSG . . . . . . . . b) Verpflichtungen nach § 11 BDSG neuer Fassung . . . . . . . . c) Reichweite der gesetzlichen Fiktion des § 3 Abs. 8 Satz 3 BDSG . . . . . . . . . . . . . . . . . . . . . d) Keine „Eigentumszuordnung“ von personenbezogenen Daten e) Anwendung der neuen Fassung auf Altverträge . . . . . . . . . 2. Keine Auftragsdatenverarbeitung bei einer Funktionsübertragung? . a) Inhaltliche Grenzen der Auftragsdatenverarbeitung. . . . . . . b) Das Kriterium der Weisungsgebundenheit, Funktionsübertragungstheorie . . . . . . . . . c) Vertragstheorie . . . . . . . . . . . . . d) Anwendung der Theorien in der Praxis. . . . . . . . . . . . . . . .
Rz.
Rz.
1
e) Funktionsübertragung . . . . . . . 16 3. Inhaltliche Anforderungen an die Auftragsdatenverarbeitung . . . . . . 18
2 3 5 6 9 10 11 11 13 14 15
II. Datentransfer ins außereuropäische Ausland und EU-Standardverträge I, II und III . . . . . . . . . . . . 1. Angemessenes Datenschutzniveau . . . . . . . . . . . . . . . . . . . . . . . 2. Herstellung des angemessenen Datenschutzniveaus durch Standardvertragsklauseln . . . . . . . 3. Empfängerländer mit anerkanntem Datenschutzniveau . . . . . . . . 4. Safe Harbor Abkommen EUKommission – USA . . . . . . . . . . . . a) Voraussetzungen für Safe Harbor . . . . . . . . . . . . . . . . . . . . b) Prüfung der Data Privacy Policy des datenimportierenden Unternehmens . . . . . . . . . . . . . c) Zusätzliche Nachweispflichten bei selbst zertifizierten Empfängern? . . . . . . . . . . . . . . . d) Fazit . . . . . . . . . . . . . . . . . . . . . . 5. Binding Corporate Rules . . . . . . . .
22 24 26 32 34 35 36 37 41 42
I. Privilegierung der Auftragsdatenverarbeitung 1
Der Beitrag stellt die gesetzlichen Grundlagen für die Privilegierung der Auftragsdatenverarbeitung gegenüber einer Datenübermittlung an Dritte dar, beschäftigt sich also im Schwerpunkt mit dem „Ob“ einer Auftragsdatenverarbeitung, nicht aber mit dem „Wie“ im Sinne einer Vertragsgestaltung und Vertragskontrolle. 1. Die Fiktion des § 3 Abs. 8 Satz 3 BDSG als Ausnahme vom Verbot mit Erlaubnisvorbehalt
2
Die Übermittlung von personenbezogenen Daten an den Auftragsdatenverarbeiter bedarf keiner Erlaubnisnorm oder Einwilligung. a) Auftragsdatenverarbeitung und § 4 Abs. 1 BDSG
3
§ 4 Abs. 1 BDSG begründet für die Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten ein gesetzgeberisches Verbot mit Erlaubnisvorbehalt. Erlaubt ist die Erhebung, Verarbeitung und Nutzung per520
Habel
§ 35
I. Privilegierung der Auftragsdatenverarbeitung
sonenbezogener Daten nur, wenn entweder das BDSG oder ein anderes Gesetz dies ausdrücklich zulässt oder die Betroffenen eingewilligt haben. Für die Tatbestandsmerkmale Erhebung, Verarbeitung und Nutzung personenbezogener Daten liegen Legaldefinitionen in § 3 Abs. 1, 3, 4 und 5 BDSG vor, die „Einwilligung“ ist in § 4a BDSG beschrieben. Hiervon besteht im Falle des § 11 Abs. 1 BDSG aufgrund der (begrenzten) 4 Fiktion des § 3 Abs. 8 Satz 3 BDSG für die Auftragsdatenverarbeitung mitunter eine Ausnahme, indem die Regelung allein dem Auftraggeber einer Auftragsdatenverarbeitung die datenschutzrechtliche Verantwortung zuweist. Trotz § 4 Abs. 1 BDSG bedarf der Auftraggeber mitunter keiner Einwilligung der Betroffenen oder der Berufung auf eine sonstige Erlaubnisnorm für eine Übermittlung der Daten an den Auftragsdatenverarbeiter. b) Verpflichtungen nach § 11 BDSG neuer Fassung § 11 BDSG wurde in seiner heutigen Fassung erst durch die Gesetzes- 5 novelle zum BDSG vom August 2009 eingeführt1. Simitis beschreibt § 11 BDSG als eine Entscheidung des Gesetzgebers für eine marktwirtschaftliche Regelung statt für ein interventionistisches Regelungsmodell2. Die Verantwortlichkeit für die personenbezogenen Daten werden in § 11 Abs. 1 BDSG allein dem Auftraggeber zugewiesen, den nach § 11 Abs. 2 eine Überwachungspflicht nach den dort nicht abschließend geregelten Kriterien trifft. Hierzu ergänzend ist der Auftraggeber nach Nr. 6 der Anlage zu § 9 Satz 1 BDSG verpflichtet, eine „Auftragskontrolle“ zu etablieren. Der Auftraggeber kann aber im Übrigen im Rahmen der Vertragsfreiheit die vertragliche Beziehung zum Auftragnehmer ausgestalten. Gegenstück zu dieser Zuordnung der Verantwortlichkeit und Verpflichtung zur Kontrolle beim Auftraggeber ist die erforderliche Weisungsgebundenheit des Auftragnehmers nach § 11 Abs. 3 BDSG. c) Reichweite der gesetzlichen Fiktion des § 3 Abs. 8 Satz 3 BDSG In der Literatur wird der Auftragnehmer auch als „verlängerter Arm“ des 6 Auftraggebers bezeichnet3. § 11 BDSG ist wie angedeutet nicht Erlaubnisnorm i.S.v. § 4 BDSG, sondern stellt eine gesetzliche Fiktion dar4, denn § 3 Abs. 8 Satz 3 BDSG erklärt, dass Auftragsdatenverarbeiter keine „Dritten“ im Sinne des Gesetzes sind. Wichtig ist aber, dass nach dieser gesetzlichen Fiktion Auftragsdatenver- 7 arbeiter nur dann nicht „Dritte“ im Sinne des BDSG sind, wenn diese 1 2 3 4
BGBl. I, 2814. Simitis in Simitis, BDSG, Einleitung, Rz. 109. Gola/Schomerus, BDSG, § 11 Rz. 3. Petri in Simitis, BDSG, § 11 Rz. 1; Taeger/Gabel, BDSG, 2. Aufl. 2013, § 11 Rz. 2. Habel
521
§ 35
Grundstze der Auftragsdatenverarbeitung
Personen oder Stellen ihren Sitz im Inland oder in der Europäischen Union oder im Europäischen Wirtschaftsraum (EWR) haben. Konsequenz ist, dass die sehr häufige Datenübermittlung z.B. zu datenverarbeitenden Unternehmen in den USA nicht unter die Privilegierung des § 11 BDSG fällt. Auf der ersten Prüfungsebene zur Feststellung einer rechtmäßigen Datenübermittlung an Dritte i.S.v. § 3 Abs. 8 Satz 3 BDSG muss also bei derartigen Drittländern jeweils entweder eine die Datenübermittlung erlaubende gesetzliche Norm oder eine ausdrückliche Einwilligung des jeweiligen Betroffenen nach § 4a Abs. 1 BDSG vorliegen. 8
Kurz zusammengefasst: Aufgrund der Privilegierung bedarf der Auftraggeber für eine Datenübermittlung im Rahmen einer Auftragsdatenverarbeitung keiner speziellen gesetzlichen Erlaubnisnorm oder einer dezidierten Einwilligung der Betroffenen. Anders aber bei einer Datenübermittlung in Drittländer außerhalb der EU und des EWR, für die der Auftraggeber einer Erlaubnisnorm oder Einwilligung des Betroffenen bedarf1. d) Keine „Eigentumszuordnung“ von personenbezogenen Daten
9
§ 11 BDSG schafft also lediglich eine Privilegierung im Sinne einer gesetzgeberischen Fiktion, nimmt aber keine grundrechtsbezogene Zuordnung im Sinne von „Eigentum an den betreffenden personenbezogenen Daten“ vor. Es findet lediglich eine Zuordnung der Verantwortlichkeit und der Kontrollpflichten zum Auftraggeber statt. e) Anwendung der neuen Fassung auf Altverträge
10
§ 11 BDSG in seiner neuen Fassung ist auf Altverträge vor Inkrafttreten der Gesetzesnovelle zum 1.9.2009 nicht anwendbar, da im Ordnungswidrigkeitenrecht des BDSG in § 43 Abs. 1 Nr. 2b BDSG der Handlungszeitpunkt, also der Zeitpunkt, ab dem § 11 BDSG Anwendung findet, auf „Auftrag … erteilt“ und nicht auf „… erteilt hat“ gelegt ist2. Aufgrund der Kontrollpflichten des Auftraggebers in § 11 Abs. 2 BDSG sowie in der Anlage zu § 9 Satz 1 BDSG wird man aber zu einer Anpassungsverpflichtung des Auftraggebers kommen, so dass mit Zeitablauf eine Anpassung von Auftragsdatenvereinbarungen von vor dem 1.9.2009 auch an § 11 BDSG in seiner neuen Fassung erforderlich sein wird3.
1 Petri in Simitis, BDSG, § 11 Rz. 8. 2 Taeger/Gabel, BDSG, 2. Aufl. 2013, § 11 Rz. 6. 3 Gola/Schomerus, BDSG, § 11 Rz. 17; Taeger/Gabel, BDSG, 2. Aufl. 2013, § 11 Rz. 6 m.w.N.
522
Habel
§ 35
I. Privilegierung der Auftragsdatenverarbeitung
2. Keine Auftragsdatenverarbeitung bei einer Funktionsübertragung? a) Inhaltliche Grenzen der Auftragsdatenverarbeitung § 11 Abs. 2 BDSG gibt dem Auftraggeber bestimmte Kontrollpflichten auf. 11 Und auch nach der Anlage zu § 9 Satz 1 BDSG muss der Auftraggeber eine Auftragskontrolle gewährleisten. Der Auftragnehmer einer Auftragsdatenverarbeitung ist nach § 11 Abs. 3 Satz 1 BDSG strikt weisungsgebunden. Damit stellt sich aber die Frage, ob eine Auftragsdatenverarbeitung auch dann noch vorliegt, wenn der Auftraggeber ganze eigene Betriebsfunktionen auf Dritte überträgt, also z.B. die Personalbuchhaltung, die Funktion eines Call-Centers oder Prüfungs- und Kontrollaufträge. Wo liegen die Grenzen der Auftragsdatenverarbeitung? Wann soll eine Privilegierung ausscheiden, weil dem Auftraggeber faktisch keine Kontrolle mehr möglich ist? Die praktische Relevanz dieser Abgrenzung nimmt mit der Komplexität der geschäftlichen Angebote im Umfeld Outsourcing, Software as a Service, Cloud Computing etc. sowie im Hinblick auf die dahinterstehende Technologie fortwährend zu. Dazu ist in Erinnerung zu rufen, dass die Auftragsdatenverarbeitung eben 12 nicht nur die Verarbeitung und Nutzung personenbezogener Daten des Auftraggebers betrifft, sondern gerade auch die Erhebung personenbezogener Daten im Auftrag, § 11 Abs. 1 Satz 1 BDSG. Der Auftraggeber soll also nicht nur selbst erhobene oder selbst dazu erworbene personenbezogene Daten durch einen anderen verarbeiten und nutzen lassen können. Der Auftragnehmer soll, wenn beauftragt, die Daten auch für den Auftraggeber erheben können, so dass sich im Ergebnis alle personenbezogenen Daten des Auftraggebers, für die er verantwortlich ist, allein beim Auftragnehmer befinden können, der diese auch erhoben hat. Dies zeigt die gesetzgeberisch gewollte Reichweite einer Auftragsdatenverarbeitung. b) Das Kriterium der Weisungsgebundenheit, Funktionsübertragungstheorie Bei dieser Weite der denkbaren Anwendungen bleibt als eindeutiges 13 Abgrenzungskriterium für eine Auftragsdatenverarbeitung, dass der Auftragnehmer weisungsgebunden sein muss. Bei der Frage des „wie“ der Vertragsgestaltung und der Kontrolle zur Auftragsdatenverarbeitung wird auf tatsächlicher Ebene erörtert, dass der Auftraggeber häufig zu einer Kontrolle aus räumlichen oder tatsächlichen Gründen nicht in der Lage ist. Dem wird entgegnet, dass der Auftraggeber seinen Pflichten einerseits bereits bei der Auswahl und andererseits später durch Zertifizierungen oder Auditierungen beim Auftragnehmer nachkommen kann. Mit der von § 11 BDSG bewirkten Privilegierung sei es aber nicht vereinbar, wenn der Auftragnehmer über die praktisch-technische Durchführung der Datenverarbeitung hinaus materielle vertragliche Leistungen erbringt oder ihm gar ganze Funktionen (z.B. in Form des Einkaufs und des Vertriebs) zur Erledigung mittels der ihm überlassenen Daten übertragen Habel
523
§ 35
Grundstze der Auftragsdatenverarbeitung
werden. Insoweit soll es sich um eine sog. Funktionsübertragung handeln, deren Zulässigkeit nach den allgemeinen Voraussetzungen für die Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten zu beurteilen sei1. Die herrschende Meinung wendet ebenso wie die Datenschutzaufsichtsbehörden diese Funktionsübertragungstheorie an2. c) Vertragstheorie 14
In Abgrenzung dazu findet die „Vertragstheorie“ zunehmend Befürworter3. Danach soll es nicht davon abhängen, was delegiert wird, sondern wie dies geschieht. Entscheidend sei, dass sich der Auftragnehmer den Weisungen des Auftraggebers unterwirft und auch die übrigen Bedingungen des § 11 BDSG eingehalten werden4. Es sollen also im Rahmen der Auftragsdatenverarbeitung auch Funktionen des Auftraggebers auf den Auftragnehmer übertragbar sein, wenn vertraglich sichergestellt wird, dass der Auftraggeber weisungsbefugt ist und den Kontrollpflichten nach § 11 Abs. 2 BDSG nachkommt. Begründet wird dies auch mit den Schwierigkeiten bei der Abgrenzung von einer Auftragsdatenverarbeitung zur Funktionsübertragung, dies insbesondere in Anbetracht der stetigen Weiterentwicklung der arbeitsteiligen Wirtschaft5. d) Anwendung der Theorien in der Praxis
15
Aus Anwendersicht des BDSG wird man zunächst auf die Funktionsübertragungstheorie abstellen können, dies einerseits, weil sie der Auffassung der Datenschutzaufsichtsbehörden entspricht, andererseits aber auch, weil sich hierzu bereits eine größere Kasuistik in den Kommentierungen sowie z.B. in den Tätigkeitsberichten der Landesdatenschutzaufsichten herausgebildet hat6. Damit soll die Diskussion aber nicht abgeschnitten sein. Gerade im Verhältnis zwischen kleineren wirtschaftlichen Einheiten als Auftraggeber im Verhältnis zu großen Anbietern von z.B. verschiedenen Cloud-Lösungen, aber auch aufgrund der technischen Komplexität und der räumlichen Verteilung der technischen Einrichtungen, die anlässlich von Auftragsdatenverarbeitungen genutzt werden, werden diese z.B. aus Wettbewerbsgründen darauf angewiesen sein, solche Leistungen in Anspruch zu nehmen, ohne aber aus personellen und fachlichen Gründen in der Lage zu sein, den Kontrollpflichten nachkommen zu können. Die Vertragstheorie böte den Vorteil, dass die fak1 Petri in Simitis, BDSG, § 11 Rz. 22 ff.; Taeger/Gabel, BDSG, 2. Aufl. 2013, § 11 Rz. 14 m.w.N. 2 Taeger/Gabel, BDSG, 2. Aufl. 2013, § 11 Rz. 14. 3 Taeger/Gabel, BDSG, 2. Aufl. 2013, § 11 Rz. 16. 4 Taeger/Gabel, BDSG, 2. Aufl. 2013, § 11 Rz. 15 m.w.N. 5 Taeger/Gabel, BDSG, 2. Aufl. 2013, § 11 Rz. 15; ablehnend Petri in Simitis, BDSG, § 11 Rz. 24 unter Verweis auf Walz (Vorauflage), Rz. 17. 6 Tätigkeitsbericht des Bayerischen Landesamtes für Datenschutzaufsicht für die Jahre 2011/2012, Kap. 5; Petri in Simitis, BDSG, § 11 Rz. 25 ff.; Taeger/Gabel, BDSG, 2. Aufl. 2013, § 11 Rz. 17 ff.; Gola/Schomerus, BDSG, § 11 Rz. 9 ff.
524
Habel
§ 35
I. Privilegierung der Auftragsdatenverarbeitung
tische Situation hier so angesprochen werden kann, wie sie ist, also dass sich der Auftraggeber auf den Auftragnehmer verlassen können muss. Dies wäre dann vertretbar, wenn vertraglich dem Auftragnehmer eine nachprüfbare Selbstverpflichtung zur Eigenkontrolle auferlegt werden kann, indem dieser sich vertraglich zur Vorlage von Zertifizierungen, Audits oder anderen Verfahren des Nachweises eines vertragskonformen Umgangs mit personenbezogenen Daten, die dem Auftraggeber zuzurechnen sind, verpflichtet. e) Funktionsübertragung Soweit eine Prüfung zum Ergebnis kommt, dass eine Funktionsüber- 16 tragung vorliegt, greift die Privilegierung nach §§ 3 Abs. 8, 11 BDSG zwar nicht mehr. Der Auftraggeber wird aber prüfen können, ob die Übermittlung der Daten an einen Auftragsdatenverarbeiter für ihn nicht nach § 28 Abs. 1 Satz 1 Nr. 2 BDSG zulässig ist. Auch bei der dort vorzunehmenden Interessenabwägung soll im Sinne der schutzwürdigen Interessen des Betroffenen zu berücksichtigen sein, wenn die Verantwortlichkeit, Kontrolle und Weisungsgebundenheit der Datenübermittlung im Einzelfall entsprechend dem gesetzgeberischen Bild in § 11 BDSG umgesetzt ist1. Das ändert aber nichts an der Tatsache, dass nach herrschender Meinung 17 bei Übertragung einer Funktion die Privilegierung des §§ 3 Abs. 8, 11 BDSG eben nicht vorliegt. Der Auftraggeber bedarf deshalb eines Erlaubnistatbestandes oder der Einwilligung der Betroffenen. Der Auftragnehmer wird selbst zur weiteren „verantwortlichen Stelle“ i.S.v. § 3 Abs. 7 BDSG und haftet damit unmittelbar dem Betroffenen aus §§ 6, 7, 33, 34 und 35 BDSG. Für den Betroffenen wird es also schwieriger, von der in seinem Fall verantwortlichen Stelle Kenntnis zu erlangen. Dem wird man aber abhelfen können, indem man die Auskunftspflicht auf Angaben zu einer weiteren verantwortliche Stelle im Zusammenhang mit den konkreten personenbezogenen Daten des Betroffenen ausweitet. 3. Inhaltliche Anforderungen an die Auftragsdatenverarbeitung Nach § 11 Abs. 2 und 3 BDSG erfordert die Auftragsdatenverarbeitung 18 ganz spezifische Regelungen im Rahmen der Vereinbarung, und zwar in gesetzlicher Schriftform. Diese können im Sinne einer Checkliste im Rahmen des Vertrags abgearbeitet werden. Hervorzuheben sind insofern die Regelungen zur Herausgabe der per- 19 sonenbezogenen Daten. Ein solcher Anspruch auf Herausgabe personen-
1 Taeger/Gabel, BDSG, 2. Aufl. 2013, § 11 Rz. 16 unter Verweis auf Tätigkeitsbericht 2009/2010 des Bay. Landesamt für Datenschutzaufsicht (nicht öffentlicher Bericht, S. 39, auf den der Tätigkeitsbericht 2011/2012 derselben Aufsichtsbehörde auf S. 32 Bezug nimmt). Habel
525
§ 35
Grundstze der Auftragsdatenverarbeitung
bezogener Daten ist also nicht dem Betroffenen1 gegeben, sondern wird in § 11 Abs. 2 Nr. 10 BDSG dem Auftraggeber als Herrn der Daten zugewiesen. Dies geschieht nur mittelbar, indem ein Vertrag über eine Auftragsvergabe Regelungen über die Rückgabe überlassener Datenträger und die Löschung der beim Auftragnehmer gespeicherten Daten nach Beendigung des Auftrages enthalten soll. Es liegt damit kein gesetzlicher Anspruch vor. Der Anspruch auf Herausgabe und/oder Löschung muss deshalb vertraglich begründet werden2. 20
Die Wichtigkeit einer Regelung zur Herausgabe und/oder Löschung von personenbezogenen Daten an den Auftraggeber ergibt sich aus der Bedeutung, die betrieblich der Datenbestand für den Auftraggeber z.B. anlässlich einer Personaldatenverarbeitung oder Bearbeitung der Daten zum Kundenstamm haben kann. Zudem ist auch die Erhebung von personenbezogenen Daten durch den Auftragnehmer für den Auftraggeber Bestandteil einer privilegierten Auftragsdatenverarbeitung nach § 11 Abs. 1 BDSG, so dass sich der Auftraggeber absichern muss, die in seinem Auftrag erhobenen Daten auch tatsächlich vom Auftragnehmer (erstmals) übertragen zu erhalten.
21
Diese vertragliche Regelung zur Herausgabe und/oder Löschung von personenbezogenen Daten beim Auftragnehmer anlässlich der Vertragsbeendigung, aber auch noch während der Vertragslaufzeit zur Ermöglichung einer Kontrolle der Datenverwendung des Auftragnehmers durch den Auftraggeber, ist zwingender Natur3.
II. Datentransfer ins außereuropäische Ausland und EU-Standardverträge I, II und III 22
Die vorstehenden Ausführungen zur Zulässigkeit einer Auftragsdatenverarbeitung betrafen die Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten im Inland, in der EU und im EWR. Hier genügt es, festzustellen, ob für die Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten entweder die Privilegierung einer Auftragsdatenverarbeitung nach § 11 BDSG greift oder eine Datenübermittlung auf-
1 Die Betroffenen haben Ansprüche aus dem BDSG auf Auskunft (§§ 6, 34 BDSG) und auf Berichtigung, Löschung oder Sperrung (§§ 6, 35 BDSG), die nicht durch Rechtsgeschäft ausgeschlossen und beschränkt werden können. Und Art. 18.1 des Entwurfs einer EU-Datenschutz-Grundverordnung, 25.1.2012, KOM2012/11 endg. sieht ein Recht des Betroffenen auf eine Kopie der Daten vor. 2 Art. 26.2 Buchstabe g des Entwurfs einer EU-Datenschutz-Grundverordnung, 25.1.2012, KOM2012/11 endg. sieht ebenfalls die vertragliche Begründung eines Anspruches des Auftraggebers auf Aushändigung und Unterbindung durch den Auftragnehmer vor. 3 Schneider, Handbuch des EDV-Rechts, Rz. 74; Taeger/Gabel, BDSG, 2. Aufl. 2013, § 11 Rz. 51 m.w.N.
526
Habel
II. Datentransfer ins außereuropische Ausland und EU-Standardvertrge
§ 35
grund einer Erlaubnisnorm oder einer Einwilligung des Betroffenen zulässig ist. Bei einer Auftragsdatenverarbeitung ist nach § 3 Abs. 8 Satz 3 BDSG eine 23 Person oder Stelle nicht „Dritter“, wenn die Auftragsdatenverarbeitung im Inland, der EU oder im EWR stattfindet. „Dritter“ sind also Personen und Stellen, die außerhalb dieses räumlichen Bereiches ansässig und tätig sind. Im Hinblick auf die wirtschaftliche Bedeutung ist dies insbesondere bei Unternehmen in den USA der Fall. Hier müssen weitere Voraussetzungen hinzutreten. 1. Angemessenes Datenschutzniveau Für eine Übermittlung von personenbezogenen Daten für eine Auftrags- 24 datenverarbeitung ist deshalb in einer zweiten Stufe zu prüfen, ob gem. § 4b Satz 2 BDSG eine Übermittlung unterbleiben muss, soweit der Betroffene ein schutzwürdiges Interesse an dem Ausschluss der Übermittlung hat, insbesondere wenn ein angemessenes Datenschutzniveau nicht festgestellt ist. § 4c Abs. 2 Satz 1 BDSG macht hierfür eine Ausnahme, dass eine Über- 25 mittlung genehmigt werden kann, wenn die verantwortliche Stelle ausreichende Garantien hinsichtlich des Schutzes des Persönlichkeitsrecht und Ausübung der damit verbundenen Rechte vorweist. Die Garantien können sich insbesondere aus Vertragsklauseln oder verbindlichen Unternehmensregelungen ergeben1. 2. Herstellung des angemessenen Datenschutzniveaus durch Standardvertragsklauseln Die Europäische Kommission hat bisher drei Arten von Standardvertrags- 26 klauseln verabschiedet: – Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer vom 15.6.2001 (sog. Standardvertrag I)2; – Alternative Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer vom 27.12.2004 (sog. Standardvertrag II)3;
1 § 4c Abs. 2 Satz 1, 2. Teilsatz BDSG. 2 Entscheidung der Europäischen Kommission v. 15.6.2001 hinsichtlich Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer nach der Richtlinie 95/46/EG, ABl. EG Nr. L 181/19 v. 4.7.2001. 3 Entscheidung der Europäischen Kommission v. 27.12.2004 zur Änderung der Entscheidung 2001/497/EG bezüglich der Einführung alternativer Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer, ABl. EG Nr. L 385/74 v. 29.12.2004. Habel
527
§ 35
Grundstze der Auftragsdatenverarbeitung
– Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsdatenverarbeiter in Drittländer vom 5.2.20101. 27
Grundsätzlich setzt § 4c Abs. 2 Satz 1 BDSG die Erteilung einer Genehmigung durch die Datenschutz-Aufsichtsbehörde voraus. Im Fall der EGStandardvertragsklauseln hat die EG-Kommission aber ausdrücklich die dort enthaltenen Regelungen als „ausreichende Garantien“ anerkannt, wodurch sich die Aufsichtsbehörden gem. Art. 26 Abs. 4 der EU-Datenschutzrichtlinie2 an diese Feststellung halten müssen3.
28
Die jeweiligen Standardvertragsklauseln sind Verträge, die ohne Möglichkeit zum Abweichen vom Wortlaut zwischen der verantwortlichen Stelle und dem Datenimporteur geschlossen werden und wechselseitige Rechte und Pflichten enthalten, insbesondere die Rechte der Betroffenen in Gestalt einer Drittbegünstigungsklausel hinsichtlich der Haftung der Vertragsparteien, der Zusammenarbeit mit Kontrollstellen sowie der Definition eines Streitbeilegungsmechanismus4. Der Standardvertrag III für Auftragsdatenverarbeitung enthält erstmals eine Regelung zur Unterauftragsvergabe des Datenimporteurs und damit zur Information und Zustimmung der verantwortlichen Stelle sowie zur Übernahme der Kontrollpflichten gegenüber dem Sub-Auftragnehmer.
29
Bei Anwendung der Standardverträge entfällt also die Genehmigungspflicht der zuständigen Aufsichtsbehörde als Zulässigkeitsvoraussetzung für eine Datenübermittlung. Wenn die Vertragsparteien aber vom Text der Standardverträge durch Änderungen oder Ergänzungen abweichen wollen, lebt die Genehmigungspflicht des § 4c Abs. 2 Satz 1 BDSG wieder auf. Änderungen und Ergänzungen können von der verantwortlichen Stelle zuvor mit der Aufsichtsbehörde abgestimmt werden, um den Standardvertrag an die individuellen Belange der Vertragsparteien anzupassen. Solange hierdurch die Garantien in ihrem Wesensgehalt zur Wah1 Entscheidung der Europäischen Kommission (K (2010) 593) v. 5.2.2010 über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsdatenverarbeiter in Drittländer nach der Richtlinie 95/46/EG, ABl. EU Nr. L 39/5 v. 12.2.2010. Nach dieser Entscheidung wird die (Vorgänger-)Entscheidung der Kommission (2002/16/EG) v. 27.12.2001 hinsichtlich Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsdatenverarbeiter in Drittländer nach der Richtlinie 95/46/EG, ABl. EG Nr. L 6/52 v. 10.1.2002 mit Wirkung zum 15.5.2010 aufgehoben. „Nach Art. 2 der Entscheidung bleiben auf der Grundlage der Entscheidung 2002/16/EG geschlossene Verträge aber grundsätzlich solange in Kraft, wie die Übermittlungen und Datenverarbeitung aufgrund dieser Verträge weiterlaufen. Beschließen die Vertragsparteien jedoch diese bezüglich Änderungen oder vergeben sie einen Unterauftrag über Verarbeitungsvorgänge, die unter den Vertrag fallen, sind sie verpflichtet, einen neuen Vertrag auf Grundlage der neuen Standardvertragsklauseln zu schließen“, Taeger/Gabel (Hrsg.), Kommentar zum BDSG, 2010, § 4c Rz. 82. 2 Richtlinie 95/46/EG v. 24.10.1995 (EU-DSRL), ABl. L 281 v. 23.11.1995, S. 31–50. 3 Simitis in Simitis, BDSG, § 4c Rz. 37. 4 Taeger/Gabel, BDSG, 2. Aufl. 2013, § 4c Rz. 23.
528
Habel
II. Datentransfer ins außereuropische Ausland und EU-Standardvertrge
§ 35
rung der schutzwürdigen Interessen des Betroffenen nach § 4b Abs. 2 Satz 2 BDSG nicht eingeschränkt werden, können die Aufsichtsbehörden die dann erforderliche individuelle Genehmigung erteilen1. Liegt also ein wirksam abgeschlossener Standardvertrag vor oder ist die- 30 ser bei vorgenommenen Änderungen oder Ergänzungen von der Aufsichtsbehörde genehmigt worden, ist die zweite Prüfungsstufe erfüllt. Die gesetzlichen Anforderungen an eine Übermittlung personenbezogener Daten für die Auftragsdatenverarbeitung an einen Auftragnehmer in einem Drittland sind erfüllt. Eine Datenübermittlung auf Grundlage der vorstehend vorgestellten 31 Standardverträge basiert also auf einer Herstellung eines angemessenen Datenschutzniveaus im Verhältnis zwischen den Vertragsparteien, in dem in den Standardverträgen Garantien mit Schutzwirkung für Dritte zugunsten der Betroffenen und damit zur Wahrung deren Interessen vereinbart werden. Die Herstellung des Datenschutzniveaus betrifft also die Partei des Datenimporteurs, nicht dessen Land, aus dem der Datenimporteur tätig wird. 3. Empfängerländer mit anerkanntem Datenschutzniveau Die Alternativen in § 4b Abs. 2 BDSG betreffen dagegen eine Feststel- 32 lung der Angemessenheit des Datenschutzniveaus im Empfängerland, das Drittland im Verhältnis zum Inland, zur EU und zum EWR ist (vgl. Art. 25 EU-DSRL)2. Auf Grundlage von Art. 25 Abs. 6 EU-DSRL kann die EU-Kommission 33 das Vorliegen eines angemessen Datenschutzniveaus zur Wahrung der Interessen des Betroffenen feststellen. Dies ist für z.B. Australien, Israel, Teile Kanadas und der Schweiz geschehen. An diese Feststellungen sind die Aufsichtsbehörden gebunden wie zuvor für die Standardverträge dargestellt. In diesen Fällen kann das zweistufige Prüfverfahren für eine Übermittlung von personenbezogenen Daten in diese Drittländer ebenfalls bejahend abgeschlossen werden3. 4. Safe Harbor Abkommen EU-Kommission – USA Nach den im Juli 2013 aufgekommenen Enthüllungen weitestreichender 34 Ausforschung von Telefonaten und E-Mails durch u.a. die National Secu1 Taeger/Gabel, BDSG, 2. Aufl. 2013, § 4c Rz. 27. 2 Taeger/Gabel, BDSG, 2. Aufl. 2013, § 4b Rz. 19; a.A. Simitis in Simitis, BDSG, § 4b Rz. 46, der des Weiteren auch ergänzend auf die Spezifika beim Datenimporteur abstellen will. 3 Taeger/Gabel, BDSG, 2. Aufl. 2013, § 4b Rz. 22; Gola/Schomerus, BDSG, § 4b Rz. 14; a.A. Simitis in Simitis, BDSG, § 4b Rz. 66, der die „Angemessenheitsliste“ der EG-Kommission nur als Anregung verstanden sehen möchte und stattdessen auf eine Prüfung im Einzelfall und dessen Besonderheiten abstellt. Habel
529
§ 35
Grundstze der Auftragsdatenverarbeitung
rity Agency der USA ist die Aussage schon fast schüchtern, dass ein guter Teil der Übermittlung von personenbezogenen Daten von Unternehmen in Deutschland in Drittländer Unternehmen in den USA erreicht. Es fanden Verhandlungen zwischen EU-Kommission und der USA-Regierung, vertreten durch das Department Of Commerce statt, die am 26.7.2000 zu einer Entscheidung der EU-Kommission gestützt auf Art. 25 Abs. 6 EU-DSRL führte, nach der das Schutzniveau in den USA bei Anwendung der Safe Harbor Principles als angemessen angesehen wird. Zweifel an einer hierfür aufgrund der Sachlage ausreichenden Ermächtigungsnorm werden geäußert1. Diese zwischenstaatliche Vereinbarung hat jedoch bis heute Bestand. a) Voraussetzungen für Safe Harbor 35
Die Voraussetzungen für eine Registrierung findet man auf der Homepage des amerikanischen Handelsministeriums unter http://export.gov/ safeharbor/. Eine Registrierung gibt also Informationen zu dem bei Safe Harbor registrierten Unternehmen: – vollständiger Name und Gesellschaftsform mit der kompletten Anschrift sowie Telefon, Fax und Internetseite – Information zu der Kontaktstelle mit Namen und Durchwahl inkl. E-Mail-Adresse der Kontaktperson – Zuständiger „Corporate Officer“, also entweder der gesetzliche Vertreter („CEO“) oder ein Entscheidungsträger im Unternehmen („Officer“) – Datum der ersten Zertifizierung und der nächsten anstehenden Zertifizierung – Beschreibung der Art der Daten, der Zweck der Datenübermittlung und der Herkunft der Daten sowie das technische Umfeld der Datenverarbeitung – Auskunft zur Data Privacy Policy des Unternehmens mit Link zur Internet-Adresse, unter der das Dokument aufgerufen werden kann – Angabe zur Verifizierung. Besonderheit: Es ist eine Selbstzertifizierung des Anmelders vorgesehen – Unterwerfung unter eine Streitbelegungsinstanz bei den EU- Datenschutzaufsichtsbehörden – Ausdrückliche Erklärung zur Bereitschaft der Zusammenarbeit mit den EU- Datenschutzaufsichtsbehörden – Benennung der Länder, von denen Daten importiert werden – Industriesektor des Unternehmens
1 Sander/Kremer, Tagungsband DSRI Herbstakademie 2012, Datenübermittlung in die USA und die Unmöglichkeit rechtmäßigen Handelns, Kap. 4.1 ff.
530
Habel
II. Datentransfer ins außereuropische Ausland und EU-Standardvertrge
§ 35
– Angabe zum Zertifikationsstatus: lediglich „Current“ – Angabe zum Compliance Status? In der Regel nicht ausgefüllt, wird aber praktisch so akzeptiert. b) Prüfung der Data Privacy Policy des datenimportierenden Unternehmens Die Data Privacy Policy des datenimportierenden Unternehmens bedarf 36 einer konkreten Prüfung1, ob darin die Safe Harbor Principles und die FAQs = Frequently Asked Questions, die Bestandteil des Safe Harbor Abkommens sind, abgebildet werden, also ob die das datenimportierende Unternehmen selbst bindende Data Privacy Policy die in diesen FAQs genannten Voraussetzungen für sich erfüllt. Es kommt auf die Formulierung im Detail an, etwa zu „Opt-out“ statt „Opt-in“. Dies ist Voraussetzung, um festzustellen, ob die Data Privacy Policy tatsächlich für eine Safe Harbor Registrierung genügt. Da sich die Safe Harbor-registrierten Unternehmen selbst zertifizieren, ist es datenschutzrechtlich wohl nicht ausreichend, sich lediglich die Registrierung nachweisen zu lassen. Stattdessen sollte die Verantwortliche Stelle einerseits den genügenden Grad der Selbstverpflichtung in der Data Privacy Policy des Datenimporteurs anhand der Safe Harbor Principles und der FAQs überprüfen. Des Weiteren müssen die vorgesehene Art und der Zweck der Datenübermittlung übereinstimmen mit den betreffenden Angaben hierzu in der Safe Harbor-Registrierung. Auch bedarf es der Klärung, ob die Safe Harbor-Registrierung aktuell vorliegt, um sicherzustellen, dass sich das registrierende Unternehmen verpflichtet, die Registrierung in der Zukunft aufrechtzuerhalten. Schließlich sollte man sich schriftlich erklären lassen müssen, dass das registrierte Unternehmen auch künftig die Voraussetzungen der Zertifizierung erfüllen wird. c) Zusätzliche Nachweispflichten bei selbst zertifizierten Empfängern? Sander/Kremer berichten über die 2008 veröffentlichte „Galaxia Studie“, 37 die empirisch der Güte der tatsächlichen Umsetzung der Grundsätze des Safe Harbor-Programms nachging2. Als Folge dieser Diskussion verständigte sich der Düsseldorfer Kreis3 da- 38 rauf, eine Übermittlung an selbst zertifizierte Empfänger nur noch dann als rechtmäßig ansehen zu wollen, wenn sich die verantwortliche Stelle vor der Übermittlung die Safe Harbor Zertifizierung und die Einhaltung der sieben Safe Harbor Principles vom Empfänger nachweisen lässt und 1 S. hierzu Beschluss der obersten Aufsichtsbehörden für den Datenschutz im nicht öffentlichen Bereich am 28./29.4.2010. 2 Sander/Kremer, Tagungsband DSRI Herbstakademie 2012, Datenübermittlung in die USA und die Unmöglichkeit rechtmäßigen Handelns, Kap. 5.2 f. 3 Informeller Zusammenschluss der nach § 38 Abs. 6 BDSG benannten Aufsichtsbehörden für den nicht öffentlichen Bereich. Habel
531
§ 35
Grundstze der Auftragsdatenverarbeitung
dies dokumentiert1. Hiergegen wird in Diskussionsforen amerikanischerseits eingewendet, dass deutsche Datenschutzaufsichtsbehörden wohl nicht die Kompetenz hätten, die bindende Wirkung der Safe Harbor-Feststellung der Europäischen Kommission aufzuheben. Faktisch gesellt sich zu diesem Argument die Tatsache, dass eine Safe Harbor-basierte Datenübermittlung keiner Genehmigung nach § 4c Abs. 2 BDSG bedarf, Aufsichtsbehörden also keine Kenntnis erlangen. Bei Verhandlungen stellt man aber das formulierte erhebliche Bedenken bei manchen betrieblichen Datenschutzbeauftragten fest, es einfach bei einer Feststellung der Safe Harbor-Registrierung des Datenimporteurs in den USA bewenden zu lassen. Dies geht so weit, dass ergänzend verlangt wird, einen Standardvertrag über die Übermittlung personenbezogener Daten bei Auftragsdatenverarbeitung zu schließen. Die Kollisionen zwischen der EUDatenschutzrichtlinie, §§ 4b, 4c BDSG, den Safe Harbor-Regelungen und dem Inhalt des jeweiligen Standardvertrages ist vorprogrammiert. 39
Aus Auftraggebersicht ist zwar im Zweifel in Ansehung solcher Schwächen an der Safe Harbor-Registrierung als einfacherem Weg zur Schaffung einer Zulässigkeit einer Übermittlung von personenbezogenen Daten an ein registriertes Unternehmen in den USA festzuhalten. Allerdings sollte nicht unterschätzt werden, welche Mittel zur Durchsetzung einer Selbstverpflichtung der Aufsichtsbehörde FTC (Federal Trade Commission) gegenüber einem Unternehmen, das Safe Harbor-registriert ist, zur Verfügung stehen.
40
Betroffene im Inland können sich an die für sie zuständige DatenschutzAufsichtsbehörde wenden, die sich wiederum an die FTC wenden kann. Einem Zweifel steht entgegen, dass die Bußgeldhöhen in den USA ganz erheblich über den Beträgen im BDSG liegen. d) Fazit
41
Im Ergebnis kann also auch bei dem Vorliegen einer Safe Harbor-Registrierung des datenimportierenden Unternehmens eine Zulässigkeit der Datenübermittlung bejaht werden. Auch zur Absicherung des Managements bei der verantwortlichen Stelle sollte aber das Vorliegen und der Bestand der Safe Harbor-Registrierung über die Vertragslaufzeit vertraglich versichert und tatsächlich überprüft werden, ebenso wie die Umsetzung der sieben Safe Harbor-Grundsätze in die Data Privacy Policy des Unternehmens und deren Einstellung in die Registrierung beim US Department of Commerce.
1 Sander/Kremer, Tagungsband DSRI Herbstakademie 2012, Datenübermittlung in die USA und die Unmöglichkeit rechtmäßigen Handelns, Kap. 5.3; Wybitul/ Patzack, RDV 2011, 11.
532
Habel
II. Datentransfer ins außereuropische Ausland und EU-Standardvertrge
§ 35
5. Binding Corporate Rules Nach § 4c Abs. 2 Satz 1, zweiter Teilsatz BDSG können die für eine Ge- 42 nehmigung der zuständigen Aufsichtsbehörde erforderlichen Garantien hinsichtlich des Schutzes des Persönlichkeitsrechtes und der Ausübung der damit verbunden Rechte auch durch verbindliche Unternehmensregelungen abgegeben werden. Dieses kann beispielsweise in einer Data Privacy Policy geschehen, die Selbstverpflichtungen zugunsten der jeweiligen Betroffenen des datenimportierenden Unternehmens vorsieht. Hierbei ist die Art und Ausformulierung der Garantieerklärungen im Abgleich mit dem EU- und Inlandsdatenschutzrecht ein wesentliches Kriterium neben der konkreten Möglichkeit eines Betroffenen, die eigenen Rechte gegenüber dem datenimportierenden Unternehmen auszuüben1. Bei einer verbindlichen Unternehmensregelung i.S.v. § 4c Abs. 2 Satz 1 43 BDSG müssen die erforderlichen Garantien zur Wahrung des Persönlichkeitsrecht des Betroffenen und dessen Durchsetzbarkeit mit Schutzwirkung für Dritte abgegeben sein, da erst dann eine Genehmigungsfähigkeit dieser Binding Corporate Rules für die Datenschutzaufsichtsbehörden vorliegen wird. Der Aufwand für die Erstellung solcher unternehmensspezifischen Binding Corporate Rules wird deshalb erheblich sein, zumal wenn das betreffende Unternehmen eine Mehrzahl von Auslandstochtergesellschaften hat, sowie mit Unternehmen in einer Vielzahl von Ländern einen Austausch personenbezogener Daten betreibt. Solange es hier keinen Standard gibt, werden voraussichtlich nur internationale Konzerne die Möglichkeit haben, diesen Aufwand zu betreiben. Engagierter Vorreiter hierfür ist Prof. Dr. Alfred Büllesbach als früherer Konzerndatenschutzbeauftragter bei der Daimler-Chrysler AG. Es bleibt abzuwarten, was die endgültige Fassung einer EU-Datenschutz-Grundverordnung als Instrumentarium bereitstellt2.
1 S. hierzu das Working Paper 153 der Article 29 Data Protection Working Party, 1271-00-00/08/EN WP 153. 2 Vgl. Art. 43 des Vorschlags der Europäischen Kommission für eine DatenschutzGrundverordnung v. 25.1.2012, KOM2012/11 endg. Habel
533
§ 36 Haftung für Datenschutzverstöße nach BDSG – Probleme des § 7 und europarechtliche Vorgaben Rz. I. Einführung . . . . . . . . . . . . . . . . . . .
1
II. Überblick über das bestehende Haftungsregime . . . . . . . . . . . . . . . 5 1. Die Haftungsregel des Art. 23 EG-Datenschutzrichtlinie . . . . . . 5 2. Exkurs: Die Haftungsregel des Art. 77 des Entwurfs für eine Datenschutz-Grundverordnung (DS-GVO-E) . . . . . . . . . . . . . . . . . . 9 3. Die Haftungsregel des § 7 BDSG . 10 III. Problembereiche (Anspruchsvoraussetzungen) . . . . . . . . . . . . . . 1. Anspruchsberechtigter . . . . . . . . . a) Die Regelung des BDSG . . . . . . b) Vorgaben der EG-Datenschutzrichtlinie . . . . . . . . . . . . c) Richtlinienkonforme Auslegung und unmittelbare Wirkung der Richtlinie . . . . . .
14 14 14
Rz. 2. Haftungsauslösendes Moment . . . a) Die Regelung des BDSG . . . . . . b) Vorgaben der EG-Datenschutzrichtlinie. . . . . . . . . . . . . c) Richtlinienkonforme Auslegung und unmittelbare Wirkung der Richtlinie. . . . . . . 3. Ersatz des immateriellen Schadens. . . . . . . . . . . . . . . . . . . . . a) Die Regelung des BDSG . . . . . . b) Vorgaben der EG-Datenschutzrichtlinie. . . . . . . . . . . . . c) Richtlinienkonforme Auslegung . . . . . . . . . . . . . . . . .
26 26 29 33 38 38 39 49
IV. Fazit . . . . . . . . . . . . . . . . . . . . . . . . 52
15 19
I. Einführung 1
Die Information spielt in der heutigen Gesellschaft eine herausragende Rolle1, daher hat sich der Begriff der Informationsgesellschaft durchgesetzt2. Der schnelle und ungehinderte Austausch von Informationen ist für den sozialen, wirtschaftlichen und wissenschaftlichen Fortschritt unverzichtbar3. Dies gilt insbesondere für die Europäische Union. Der freie Verkehr von Waren, Personen, Dienstleistungen und Kapital, der durch die Errichtung und das Funktionieren des Binnenmarktes garantiert werden soll, setzt einen freien Verkehr von Informationen voraus. Im Mittelpunkt dieses Informationsverkehrs stehen personenbezogene Daten4.
1 Vgl. Lochmann, Vom Wesen der Information, S. 180 ff.; Kosmides, ProvidingVerträge, S. 1. 2 Vgl. etwa Steinbicker, Informationsgesellschaft, S. 12 ff., 67 ff.; s.a. Tinnefeld/ Buchner/Petri, Datenschutzrecht, S. 11 ff.; Bergmann/Möhrle/Herb, Teil 2 Ziff. 2.1.2. 3 S.a. Kloepfer, Informationsrecht, § 1A Rz. 1; Kosmides, Providing-Verträge, S. 1; Kosmides, GPR 2009, 177; vgl. etwa zu den ökonomischen Dimensionen und Perspektiven der Internet-Ökonomie, die weitgehend auf dem Informationsverkehr basiert, Lehmann in Lehmann (Hrsg.), Electronic Business in Europa, Kap. B Rz. 1, Kap. E Rz. 1 sowie Salmony in Lehmann (Hrsg.), Electronic Business in Europa, Kap. A Rz. 1 ff. 4 Kosmides, Haftung für Datenschutzverstöße, S. 2.
534
Kosmides
§ 36
I. Einfhrung
Durch den modernen Umgang mit personenbezogenen Daten wird eine 2 besondere Gefahr für das Persönlichkeitsrecht i.S.d. Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG geschaffen1. Denn der Einzelne läuft Gefahr „sich in ein mehr und mehr manipulierbares Informationsobjekt zu verwandeln“2. Dies würde – so das BVerfG in seinem berühmten „Volkszählungsurteil“3 – „nicht nur die individuellen Entfaltungschancen des Einzelnen beeinträchtigen, sondern auch das Gemeinwohl“. Der Umgang mit personenbezogenen Daten kann das Gemeinwohl gefährden, weil die „Selbstbestimmung eine elementare Funktionsbedingung eines auf Handlungsfähigkeit und Mitwirkungsfähigkeit seiner Bürger begründeten freiheitlichen demokratischen Gemeinwesens“ darstellt4. Mit diesem Gefahrenpotential ist ein Schadensrisiko des Einzelnen eng verbunden. Die Schattenseite der Datenverwendung besteht also im Endeffekt darin, dass hieraus ein hohes Schadenspotential für den Einzelnen erwächst5. In Betracht kommen sowohl materielle als auch immaterielle Schäden. Beispiele, die für die von der Datenverarbeitung ausgehenden Gefahren- und Schadensrisiken bezeichnend sind, drängen sich im Alltag auf. Gerade in der jüngeren Vergangenheit sind zunehmend verschiedene „Datenschutzskandale“ bekannt geworden. Insbesondere angesichts ihrer Ausgleichsfunktion6, ergänzt durch eine 3 Rechtsverfolgungsfunktion7, verfügt eine Schadensersatzhaftung über eine besondere Bedeutung für die Wahrung des Persönlichkeitsrechts sowie sonstiger Rechte und Rechtsgüter des Einzelnen. Daneben verwirklicht die Schadensersatzpflicht eine nicht zu unterschätzende Präventions-
1 S.a. BR-Drucks. 618/88, 108. 2 So zu Recht, Simitis, § 1 BDSG Rz. 36. 3 BVerfG v. 15.12.1983 – 1 BvR 209, 269, 362, 420, 440, 484/83, juris, Rz. 148 = BVerfGE 65, 1 = NJW 1984, 419. 4 So ausdrücklich: BVerfG v. 15.12.1983 – 1 BvR 209, 269, 362, 420, 440, 484/83, juris, Rz. 148; s.a. Simitis, Einl. Rz. 30; Tinnefeld in Roßnagel, Handbuch Datenschutzrecht, Kap. 4.1 Rz. 6; Tinnefeld/Buchner/Petri, Datenschutzrecht, S. 5 f. 5 Kosmides, Haftung für Datenschutzverstöße, S. 6. 6 Simitis, § 7 BDSG Rz. 7; Kosmides, Haftung für Datenschutzverstöße, S. 8; Kosmides, GPR 2009, 177 (178); zur Ausgleichsfunktion des Haftungsrechts vgl. gemeinhin Adams, Ökonomische Analyse, S. 8; Adams, Ökonomische Theorie, S. 144; Deutsch, Allgemeines Haftungsrecht, Rz. 17; Esser/Schmidt, Schuldrecht AT, Bd. I/2, § 30 II, S. 169 ff.; Esser/Weyers, Schuldrecht BT, Bd. II/2, § 53, S. 129 ff.; Kötz in FS E. Steindorff, S. 643 ff.; Kötz/Wagner, Deliktsrecht, Rz. 56 ff.; Lange/Schiemann, Schadensersatz, Einl. III 1 f., S. 9 ff.; Larenz, Schuldrecht AT, Bd. I, § 27 I, S. 424; Larenz, NJW 1959, 865 ff.; Larenz/Canaris, Schuldrecht BT, Bd. II/2, § 75 I 2i, S. 354; Schäfer/Ott, Lehrbuch der ökonomischen Analyse des Zivilrechts, S. 125. 7 Vgl. dazu Deutsch, Allgemeines Haftungsrecht, Rz. 19; Lange/Schiemann, Schadensersatz, Einl. III 2, S. 12; Larenz, Schuldrecht AT, Bd. I, § 27 I, S. 424 f. Kosmides
535
§ 36
Haftung fr Datenschutzverstçße nach BDSG
funktion1. Denn – so Aristoteles2 – „in der Regel tun die Menschen Unrecht, sobald sie in der Lage sind, es zu tun“. Soweit Datenschutz Grundrechtsschutz ist, und zwar nicht nur auf nationaler sondern auch auf europäischer Ebene (Art. 8 Grundrechtscharta; Art. 16 AEUV), gilt es, dem Recht auf Schadensersatz auf dem Gebiet des Datenschutzes eine mittelbare grundrechtsschützende Funktion beizumessen. 4
So gesehen stellt es eine theoretisch signifikante und zugleich praxisrelevante Herausforderung dar, das Haftungssystem des BDSG kritisch zu würdigen. Das Haftungssystem des BDSG ist in rechtsdogmatischer Hinsicht am Maßstab der EG-Datenschutzrichtlinie, insbesondere ihres Art. 23, zu beurteilen. Die Frage der Richtlinienkonformität des Haftungskonzepts des BDSG bezieht sich nur auf § 7 BDSG. Denn diese Norm ist die nationale Maßnahme zur Umsetzung der Haftungsregel des Art. 23 EG-Datenschutzrichtlinie. § 8 BDSG braucht hingegen als haftungsrechtliche Spezialnorm ohne Ausschlusswirkung nicht berücksichtigt zu werden.
II. Überblick über das bestehende Haftungsregime 1. Die Haftungsregel des Art. 23 EG-Datenschutzrichtlinie 5
Die EG-Datenschutzrichtlinie3 erfasst eine eigene Haftungsregel in Art. 23, welche laut Erwägungsgrund Nr. 55 Satz 2 dazu dient, sicherzustellen, dass „mögliche Schäden, die den Personen aufgrund einer unzulässigen Verarbeitung entstehen“ von dem für die Verarbeitung Verantwortlichen ersetzt werden. Aufgrund von Art. 23 wird den Mitgliedstaaten die Pflicht auferlegt, eine eigene Haftungsregelung in den von der Richtlinie, insbesondere dieser Schadensersatzregelung selbst, vorgezeichneten Grenzen zu bestimmen. Art. 23 Abs. 1 sieht vor, dass „jede Person, der wegen einer rechtswidrigen Verarbeitung oder jeder anderen
1 Zur Prävention als Zweck der datenschutzrelevanten Haftungsregeln Simitis, § 7 BDSG Rz. 8; Kosmides, Haftung für Datenschutzverstöße, S. 9; Kosmides, GPR 2009, 177 (178); zur Präventionsfunktion des Haftungsrechts vgl. gemeinhin Adams, Ökonomische Analyse, S. 8 ff.; Adams, Ökonomische Theorie, S. 144 ff.; Deutsch, Allgemeines Haftungsrecht, Rz. 4, 18; Esser/Schmidt, Schuldrecht AT, Bd. I/2, § 30 II, S. 171 ff.; Esser/Weyers, Schuldrecht BT, Bd. II/2, § 53, S. 137 ff.; Kötz in FS E. Steindorff, S. 643 (644 ff.); Kötz/Wagner, Deliktsrecht, Rz. 59 ff.; Lange/Schiemann, Schadensersatz, Einl. III 2, S. 11 f.; Larenz, Schuldrecht AT, Bd. I, § 27 I, S. 423 f.; Larenz, NJW 1959, 865 ff.; Larenz/Canaris, Schuldrecht BT, Bd. II/2, § 75 I 2i, S. 354; Schäfer/Ott, Lehrbuch der ökonomischen Analyse des Zivilrechts, S. 125 ff. 2 Rhetorik 1382b 9–10 (II. Buch). Auf altgriechisch: „^Yr ca‘q p‘i to‘ poku‘ dikoflsim o mhqypoi tam d@mymtai“. 3 RL 95/46/EG des Europäischen Parlaments und des Rates v. 24.10.1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr, ABl. 1995 L 281, S. 31 ff.
536
Kosmides
§ 36
II. berblick ber das bestehende Haftungsregime
mit den einzelstaatlichen Vorschriften zur Umsetzung dieser Richtlinie nicht zu vereinbarenden Handlung ein Schaden entsteht, das Recht hat, von dem für die Verarbeitung Verantwortlichen Schadenersatz zu verlangen“1. Abs. 2 regelt die zulässige Haftungsminderung oder -befreiung. Danach kann der für die Verarbeitung Verantwortliche „teilweise oder vollständig von seiner Haftung befreit werden, wenn er nachweist, dass der Umstand, durch den der Schaden eingetreten ist, ihm nicht zur Last gelegt werden kann“. Durch Art. 23 EG-Datenschutzrichtlinie wird eine außervertragliche Un- 6 rechtshaftung mit fakultativer Entlastungsmöglichkeit begründet2. Die Schadensersatzpflicht wird nach Abs. 1 dieser Vorschrift statuiert, wenn folgende Voraussetzungen vorliegen: 1) Haftungsauslösendes Moment („rechtswidrige Datenverarbeitung“ oder „jede andere Handlung, die mit den nationalen Rechtsvorschriften zur Umsetzung der Richtlinie nicht zu vereinbaren ist“)3; 2) Schaden, der sowohl den materiellen als auch den immateriellen Schaden mit einbezieht4, und 3) ursächlicher Kausalzusammenhang zwischen dem jeweiligen haftungsauslösenden Moment und dem Schadenseintritt5. Zugleich muss kein haftungsbefreiender Umstand i.S.d. Art. 23 Abs. 2 EG-Datenschutzrichtlinie vorliegen oder jedenfalls das Bestehen eines solchen Umstands vom für die Verarbeitung Verantwortlichen nicht nachgewiesen werden können. Art. 23 Abs. 2 stellt einen relativ offenen Tatbestand hinsichtlich der 7 Haftungsminderung bzw. -befreiung dar. Beim „Umstand, der dem für die Verarbeitung Verantwortlichen nicht zur Last gelegt werden kann“ geht es um einen unbestimmten Rechtsbegriff, der auf innerstaatlicher Ebene zu konkretisieren ist. Die Richtlinie stellt es demnach dem mitgliedstaatlichen Gesetzgeber in den von der Richtlinie vorgegebenen Grenzen frei, zu bestimmen, welche Umstände dem für die Verarbeitung Verantwortlichen nicht zur Last gelegt werden können6. Als Haftungsschuldner gilt der für die Verarbeitung Verantwortliche7. 8 Als Haftungsgläubiger kommt jede natürliche Person in Betracht8.
1 Vgl. auch Generalanwalt Colomer, Schlussanträge v. 22.12.2008 – Rs. C-553/07, Rijkeboer, Slg. 2009, I-3889, Tz. 57 Fn. 45. 2 Ausführlich zur Rechtsnatur der Haftung Kosmides, Haftung für Datenschutzverstöße, S. 57 ff., 89 f. 3 Ausführlich dazu Kosmides, Haftung für Datenschutzverstöße, S. 93 ff. m.w.N. 4 Zum Schadensbegriff Kosmides, Haftung für Datenschutzverstöße, S. 101 ff. m.w.N. 5 Dazu Kosmides, Haftung für Datenschutzverstöße, S. 113 ff. 6 Zu den haftungsmindernden bzw. -befreienden Umständen i.S.d. Art. 23 Abs. 2 EG-Datenschutzrichtlinie Kosmides, Haftung für Datenschutzverstöße, S. 117 ff. 7 S. Kosmides, Haftung für Datenschutzverstöße, S. 116 f. 8 S. Kosmides, Haftung für Datenschutzverstöße, S. 115. Kosmides
537
§ 36
Haftung fr Datenschutzverstçße nach BDSG
2. Exkurs: Die Haftungsregel des Art. 77 des Entwurfs für eine Datenschutz-Grundverordnung (DS-GVO-E) 9
Am 25.1.2012 hat die EU-Kommission den Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (DS-GVO-E)1 vorgelegt. Der Entwurf regelt in Art. 77 die Haftung. Die Haftungsregel des Art. 77 DS-GVO-E ist auf Art. 23 EG-Datenschutzrichtlinie gestützt. Gegenüber letzterer Schadensersatznorm werden durch Art. 77 zwei Neuerungen eingeführt. Die Haftung wird zum Ersten auf Schäden erweitert, die ein Auftragsdatenverarbeiter verursacht hat. Neben den für die Verarbeitung Verantwortlichen können demnach auch Auftragsdatenverarbeiter, die durch eine rechtswidrige Verarbeitung oder eine andere mit dieser Verordnung nicht zu vereinbarenden Handlung einen Schaden verursacht haben, in Anspruch genommen werden. Zum Zweiten wird eine gesamtschuldnerische Haftung für den Fall angeordnet, dass „mehr als ein für die Verarbeitung Verantwortlicher oder mehr als ein Auftragsdatenverarbeiter an der Verarbeitung beteiligt“ ist (Abs. 2). Mit Ausnahme dieser Änderungen, die eine wesentliche, aber nur punktuelle Stärkung der Rechtsstellung des Einzelnen bewirken sollen, bleibt im Übrigen der Haftungstatbestand unverändert. 3. Die Haftungsregel des § 7 BDSG
10
§ 7 BDSG ist eine allgemeine Schadensersatzregel, die sowohl für automatisierte als auch nicht automatisierte Datenverwendungen durch öffentliche und nicht-öffentliche Stellen gilt. Sie ist in Umsetzung von Art. 23 EG-Datenschutzrichtlinie2 im Zuge der Gesetzesnovellierung vom 22.5.2001 verabschiedet worden3. Die Vorschrift statuiert eine eigenständige deliktsrechtliche Anspruchsgrundlage zugunsten des Betroffenen4. Sie stellt die zentrale Schadensersatzregel im System der zivilrechtlichen Haftungsgründe, die sich im Falle einer Datenschutzverletzung heranziehen lassen könnten5, dar.
11
Nach § 7 Satz 1 BDSG trifft die verantwortliche Stelle oder ihren Träger eine Schadensersatzpflicht, sofern sie dem Betroffenen durch eine nach dem BDSG oder nach anderen datenschutzspezifischen Vorschriften „unzulässige oder unrichtige Erhebung, Verarbeitung oder Nutzung seiner personenbezogenen Daten einen Schaden“ zufügt. Die Schadensersatz1 KOM (2012) 11 endg. 2 Vgl. hierzu Dammann/Simitis, EG-Datenschutzrichtlinie, Art. 23 Rz. 1 ff.; Ehmann/Helfrich, EG-Datenschutzrichtlinie, Art. 23 Rz. 1 ff.; Brühann in Grabitz/ Hilf/Nettesheim, Das Recht der Europäischen Union, A 30, Art. 23 Rz. 1 ff.; Kosmides, Haftung für Datenschutzverstöße, S. 45 ff. 3 Schneider, Handbuch des EDV-Rechts, Kap. B Rz. 362. 4 Bergmann/Möhrle/Herb, § 7 BDSG Rz. 3; DKWW/Däubler, § 7 BDSG Rz. 1. 5 Als weitere deliktsrechtliche Anspruchsgrundlagen kommen vor allem die §§ 8 BDSG, 823 Abs. 1 und 2, 824, 826 BGB sowie der § 44 Abs. 1 TKG in Betracht.
538
Kosmides
§ 36
III. Problembereiche (Anspruchsvoraussetzungen)
regel stellt auf einen objektiven Umstand, einen rechtswidrigen Datenumgang, ab. Allerdings geht es nicht um eine objektive Haftung. Die Haftung löst nur ein schuldhaft erfolgter Datenschutzverstoß aus. Dies lässt sich im Umkehrschluss aus § 7 Satz 2 BDSG herleiten, wonach eine Haftungsbefreiung der verantwortlichen Stelle möglich ist, sofern keine Fahrlässigkeit (freilich auch kein Vorsatz) dieser vorhanden ist. Bezüglich des Verschuldenselements kommt dem Geschädigten eine Be- 12 weislastumkehr zugute1. Diese umgekehrte Beweislastverteilung wird zwar nicht ausdrücklich in § 7 Satz 2 angeordnet. Eventuelle Zweifel werden jedoch aufgrund der Struktur von § 7 BDSG sowie vor dem Hintergrund von Art. 23 Abs. 2 EG-Datenschutzrichtlinie, der eine Beweislastumkehr zu Lasten des „für die Verarbeitung Verantwortlichen“ für jeden haftungsmindernden oder -befreienden Umstand vorsieht2, ausgeräumt. Die verantwortliche Stelle hat demzufolge – will sie sich entlasten – den Nachweis zu erbringen, dass sie die im konkret-faktischen Falle erforderliche Sorgfalt angewandt hat. Als haftungsauslösendes Moment gilt demnach ein verschuldetes Un- 13 recht seitens der verantwortlichen Stelle. Insofern wird durch § 7 BDSG eine Haftung aus vermutetem Verschulden bzw. eine Verschuldenshaftung mit Beweislastumkehr für das Verschuldenselement festgelegt3.
III. Problembereiche (Anspruchsvoraussetzungen) 1. Anspruchsberechtigter a) Die Regelung des BDSG Nach § 7 Satz 1 BDSG ist ausschließlich der Betroffene i.S.v. § 3 Abs. 1 14 BDSG selbst aktivlegitimiert4. Vom Anwendungsbereich dieser Haf1 Bergmann/Möhrle/Herb, BDSG, § 7 Rz. 14; DKWW/Däubler, BDSG, § 7 Rz. 14; Gola/Schomerus, BDSG, § 7 Rz. 9; Schaffland/Wiltfang, BDSG, § 7 Rz. 2; Simitis, BDSG, § 7 Rz. 22; Gabel in Taeger/Gabel (Hrsg.), BDSG, § 7 Rz. 19; Tinnefeld/Buchner/Petri, Datenschutzrecht, S. 288. 2 Dammann/Simitis, EG-Datenschutzrichtlinie, Art. 23 Rz. 9; Kosmides, Haftung für Datenschutzverstöße, S. 89, 122. 3 BT-Drucks. 14/4329, 38. Einhellige Meinung in der Lehre: Bergmann/Möhrle/ Herb, BDSG, § 7 Rz. 3; DKWW/Däubler, BDSG, § 7 Rz. 1; Gola/Schomerus, BDSG, § 7 Rz. 8 f.; Schaffland/Wiltfang, BDSG, § 7 Rz. 2; Simitis, BDSG, § 7 Rz. 21; Gabel in Taeger/Gabel (Hrsg.), BDSG, § 7 Rz. 12; Beckhusen, Der Datenumgang, S. 314; Buchner, Informationelle Selbstbestimmung, S. 301 f.; Kautz, Schadensersatz im europäischen Datenschutzrecht, S. 245 f.; Kosmides, Haftung für Datenschutzverstöße, S. 294; Wedde in Roßnagel, Handbuch Datenschutzrecht, Kap. 4.4 Rz. 90; Schneider, Handbuch des EDV-Rechts, Kap. B Rz. 362; Tinnefeld/Buchner/Petri, Datenschutzrecht, S. 288. 4 S. auch Bergmann/Möhrle/Herb, BDSG, § 7 Rz. 4; DKWW/Däubler, BDSG, § 7 Rz. 6; Becker in Plath (Hrsg.), BDSG, § 7 Rz. 6; Schaffland/Wiltfang, BDSG, § 7 Rz. 1; Simitis, BDSG, § 7 Rz. 9. Kosmides
539
§ 36
Haftung fr Datenschutzverstçße nach BDSG
tungsnormen wird damit jede (bestimmte oder bestimmbare) natürliche Person gefasst, die infolge einer unzulässigen oder unrichtigen Erhebung, Verarbeitung oder Nutzung ihrer personenbezogenen Daten geschädigt worden ist. Weitere Charakteristika der natürlichen Person, wie Alter, Nationalität, Wohnort und Aufenthalt sind irrelevant1. Andere Personen sind nicht berechtigt, sich auf § 7 BDSG zu berufen. So gesehen sind weder juristische Personen aktivlegitimiert noch natürliche Personen, die einen Schaden durch eine rechtswidrige Verwendung personenbezogener Daten Dritter erlitten haben2. b) Vorgaben der EG-Datenschutzrichtlinie 15
Anders als im innerstaatlichen Recht gilt nach Art. 23 Abs. 1 EG-Datenschutzrichtlinie als Gläubiger der Haftung im europäischen Recht jede Person, der wegen eines in dieser Vorschrift vorgesehenen haftungsbegründenden Moments ein Schaden entsteht. Die Richtlinie spricht von „jeder Person“, ohne eine Präzisierung vorzunehmen. Dies darf allerdings nicht zu dem Fehlschluss verleiten, dass vom Begriff des Haftungsgläubigers sowohl natürliche als auch juristische Personen erfasst werden. Der persönliche Schutzbereich der EG-Datenschutzrichtlinie erstreckt sich lediglich auf natürliche Personen (s. Art. 1 Abs. 1 EG-Datenschutzrichtlinie)3. Damit sind vom persönlichen Anwendungsbereich der Haftung nur natürliche Personen erfasst. Zugleich ist aber jede natürliche Person (und nicht nur die betroffene Person), die einen Schaden aufgrund einer rechtswidrigen Verarbeitung oder jeder anderen mit den einzelstaatlichen Vorschriften zur Umsetzung dieser Richtlinie nicht zu vereinbarenden Handlung erleidet, anspruchsberechtigt.
16
Dies folgt nicht nur aus dem unmissverständlichen Wortlaut des Art. 23 Abs. 1 EG-Datenschutzrichtlinie („jede Person“), sondern auch aus Sinn und Zweck der Richtlinie. Diese bezweckt laut ihrem Art. 1 Abs. 1 sowie ihrem Titel ganz allgemein den Schutz der Grundrechte und Grundfreiheiten „natürlicher Personen bei der Verarbeitung personenbezogener Daten“. Der Schutzzweck der Richtlinie beschränkt sich weder auf „betroffene Personen“ noch auf „natürliche Personen bei der Verarbeitung ihrer personenbezogenen Daten“. Letzteres ist im Rahmen des BDSG der Fall, das in seinem § 1 Abs. 1 gerade vorsieht, dass es Zweck dieses Gesetzes ist, „den Einzelnen davor zu schützen, dass er durch den Umgang mit seinen personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird“.
17
Allerdings kann ein widerrechtlicher Umgang mit personenbezogenen Daten nicht nur den Betroffenen selbst, sondern unter Umständen auch eine weitere natürliche Person in ihren Rechten, insbesondere in ihrem 1 Bergmann/Möhrle/Herb, BDSG, § 7 Rz. 4. 2 Schaffland/Wiltfang, BDSG, § 7 Rz. 1. 3 Kosmides, Haftung für Datenschutzverstöße, S. 54 f.
540
Kosmides
§ 36
III. Problembereiche (Anspruchsvoraussetzungen)
Persönlichkeitsrecht beeinträchtigen. Weitere Geschädigte können sich nicht auf § 7 BDSG berufen. Typischerweise entstehen derartige Schäden engen Verwandten sowie dem Ehegatten bzw. der Ehegattin des Betroffenen. Um nur ein Beispiel zu nennen: Aufgrund eines widerrechtlichen Datenumgangs wird der Öffentlichkeit bekannt, dass der berühmte Schauspieler X, der mit Y verheiratet ist und mit ihr zwei Kinder hat, eine homosexuelle Beziehung hat. Hier ist infolge des persönlichkeitsverletzenden Datenumgangs ein Schaden sowohl dem X als auch seiner Ehefrau Y sowie seinen Kindern entstanden. Ein solcher Schaden, der keinen Drittschaden darstellt, weil durch den 18 Datenumgang jeweils ein eigenes geschütztes Rechtsgut der Geschädigten verletzt wurde1, wäre unproblematisch aufgrund von § 7 BDSG ersatzfähig, sofern jede natürliche Person vom BDSG geschützt wäre. Diese Einschränkung des persönlichen Anwendungsbereichs ist richtlinienwidrig. Außerdem ist diese Einschränkung rechtspolitisch problematisch, weil dadurch eine Schutzlücke entsteht. c) Richtlinienkonforme Auslegung und unmittelbare Wirkung der Richtlinie Kann dieser mit der Richtlinie nicht zu vereinbarende Ausschluss Drit- 19 ter vom persönlichen Anwendungsbereich des § 7 BDSG als richtlinienwidriges Defizit eingestuft werden, das im Wege einer richtlinienkonformen Auslegung2, konkret einer Rechtsfortbildung, ergänzt und damit beseitigt werden darf? Grundvoraussetzung dafür ist das Vorliegen einer Gesetzeslücke, also einer planwidrigen Unvollständigkeit3. Eine Gesetzeslücke ist zu verneinen, wenn der nationale Gesetzgeber die Richtlinie in bestimmter Hinsicht bewusst nicht umgesetzt hat4. Im zur Debatte stehenden Falle ist anzunehmen, dass der deutsche Ge- 20 setzgeber den Kreis der Aktivlegitimierten wissentlich auf die Betroffe1 Lange/Schiemann, Schadensersatz, § 8 I 1, S. 455 f. 2 Vgl. dazu statt aller EuGH v. 24.6.2008 – Rs. C-188/07, Commune de Mesquer, Slg. 2008, I-4501, Tz. 84; EuGH v. 27.6.2000, verb. Rs. C-240/98 bis C-244/98, Océano Grupo Editorial, Slg. 2000, I-4941, Tz. 30; EuGH v. 18.12.1997 – Rs. C-129/96, Inter-Environnement Wallonie, Slg. 1997, I-7411, Tz. 40; EuGH v. 14.7.1994 – Rs. C-91/92, Faccini Dori, Slg. 1994, I-3325, Tz. 26; EuGH v. 13.11.1990 – Rs. C-106/89, Marleasing, Slg. 1990, I-4135, Tz. 8; EuGH v. 26.2.1986 – Rs. 152/84, Marshall, Slg. 1986, 723, Tz. 48; EuGH v. 10.4.1984 – Rs. 14/83, von Colson und Kamann, Slg. 1984, 1891, Tz. 26; EuGH v. 1.2.1977 – Rs. 51/76, Verbond van Nederlandse Ondernemingen, Slg. 1977, 55, Tz. 22. Aus der Lehre vgl. nur Klamert, Die richtlinienkonforme Auslegung nationalen Rechts; Roth in Riesenhuber (Hrsg.), Europäische Methodenlehre, § 14 Rz. 1 ff.; Canaris in FS F. Bydlinski, S. 47 ff. 3 Franzen, Privatrechtsangleichung, S. 416 ff.; Canaris in FS F. Bydlinski, S. 47 (82); vgl. auch Larenz, Methodenlehre, S. 370 ff.; Bydlinski, Juristische Methodenlehre und Rechtsbegriff, S. 472 ff. 4 Canaris in FS F. Bydlinski, S. 47 (85). Kosmides
541
§ 36
Haftung fr Datenschutzverstçße nach BDSG
nen eingeschränkt und insoweit mit Absicht weiteren natürlichen Personen die Anspruchsberechtigung verweigert hat. Dies folgt schon eindeutig daraus, dass sich der allgemeine Schutzbereich des BDSG laut seinem § 1 Abs. 1 auf die Betroffenen erstreckt. Dort heißt es, dass das BDSG darauf abzielt, den Einzelnen vor einer Beeinträchtigung seines Persönlichkeitsrechts durch den Umgang mit seinen personenbezogenen Daten zu schützen. Nur eine Person, die Betroffener i.S.d. § 3 Abs. 1 BDSG ist, wird daher durch die Rechtsnormen des BDSG geschützt. 21
Eine richtlinienkonforme Auslegung des § 7 BDSG ist daher nicht gestattet1. Soweit sich die soeben dargelegte Richtlinienwidrigkeit aufgrund einer richtlinienkonformen Auslegung nicht beseitigen lässt, muss der Gesetzgeber eine entsprechende Gesetzeskorrektur vornehmen. In der Gesetzesformulierung sollte das Wort „dem Betroffenen“ durch das Wort „dem Einzelnen“ ersetzt werden. Darüber hinaus sollte das Wort „seiner“ gestrichen werden. Es muss also statt „seiner personenbezogenen Daten“ „personenbezogener Daten“ heißen. Der neue § 7 Satz 1 BDSG dürfte wie folgt formuliert werden:
22
„Fügt eine verantwortliche Stelle dem Einzelnen durch eine nach diesem Gesetz oder nach anderen Vorschriften über den Datenschutz unzulässige oder unrichtige Erhebung, Verarbeitung oder Nutzung personenbezogener Daten einen Schaden zu, ist sie oder ihr Träger dem Einzelnen zum Schadensersatz verpflichtet.“
23
Dementsprechend erscheint es aus systematischen Gründen geboten, die Gesetzesnorm des § 1 Abs. 1 BDSG wie folgt anzupassen:
24
„Zweck dieses Gesetzes ist es, den Einzelnen davor zu schützen, dass er durch den Umgang mit personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird.“
25
Solange die soeben vorgeschlagene Gesetzesänderung nicht vorgenommen wird, ist es von praktischer Relevanz der Frage nachzugehen, ob Art. 23 EG-Datenschutzrichtlinie eine unmittelbare Wirkung hat, so dass er dem Einzelnen, der nicht durch das Haftungssystem des BDSG geschützt ist, das Recht verleiht, sich vor deutschen Gerichten unmittelbar gegenüber dem Staat auf ihn zu berufen, um den ihm zugefügten Schaden ersetzt zu bekommen. Nach ständiger Rechtsprechung des EuGH ist dies möglich, sofern die fragliche EU-Bestimmung, die nicht fristgemäß oder unzulänglich in nationales Recht implementiert wurde,
1 Nach anderer Ansicht (DKWW/Däubler, BDSG, § 7 Rz. 5; Gabel in Taeger/Gabel (Hrsg.), BDSG, § 7 Rz. 14) sei eine richtlinienkonforme Auslegung von § 7 BDSG insoweit nicht notwendig, als andere Anspruchsgrundlagen (z.B. §§ 280, 823 BGB) dem Dritten einen ausreichenden Ersatzanspruch gewähren. Dieser Ansicht kann u.a. deshalb nicht gefolgt werden, da die außerhalb des BDSG befindlichen Rechtsgrundlagen dem Geschädigten grundsätzlich keinen im Sinne der EG-Datenschutzrichtlinie ausreichenden Ersatzanspruch einräumen; dazu unten Rz. 51 sub III. 3c).
542
Kosmides
§ 36
III. Problembereiche (Anspruchsvoraussetzungen)
hinreichend bestimmt und inhaltlich unbedingt ist1. Art. 23 EG-Datenschutzrichtlinie genügt diesen Kriterien. Denn dieser sieht in unbedingter und genauer Formulierung vor, dass jeder Person, die infolge einer rechtswidrigen Verarbeitung oder jeder anderen mit den einzelstaatlichen Vorschriften zur Umsetzung dieser Richtlinie nicht zu vereinbarenden Handlung einen Schaden erleidet, ein Schadensersatzanspruch zusteht. Die inhaltliche Unbedingtheit und hinreichende Bestimmtheit von Art. 23 Abs. 1 wird nicht dadurch in Frage gestellt, dass Abs. 2 desselben Artikels den Mitgliedstaaten einen gewissen Ermessensspielraum bei der Ausgestaltung der Entlastungsmöglichkeit einräumt. Nach der Rechtsprechung des europäischen Gerichtshofs werden die obigen Kriterien auch erfüllt, wenn die zur Debatte stehende Richtlinienbestimmung den Mitgliedstaaten ausdrücklich ein Wahlrecht bei der Ausgestaltung zugesteht, zugleich aber einen zwingenden Mindeststandard oder Ermessensgrenzen für die Ausübung des Wahlrechts vorgibt2. Diese Voraussetzung wird hier erfüllt3. Demzufolge steht der infolge eines datenschutzwidrigen Verhaltens geschädigten natürlichen Person, die kein Betroffener ist, aufgrund der direkten Wirkung von Art. 23 EG-Datenschutzrichtlinie ein Schadensersatzanspruch gegenüber dem Staat zu (sog. vertikale Wirkung). Im Gegensatz dazu ist eine horizontale direkte Wirkung dieser Haftungsnorm, d.h. im Verhältnis zwischen zwei Privatrechtssubjekten, ausgeschlossen4. 2. Haftungsauslösendes Moment a) Die Regelung des BDSG § 7 BDSG setzt tatbestandlich eine schuldhafte „unzulässige oder unrich- 26 tige Erhebung, Verarbeitung oder Nutzung“ personenbezogener Daten voraus. Eine Erhebung, Verarbeitung oder Nutzung ist als unzulässig einzustufen, wenn sie gegen eine Rechtsvorschrift des BDSG oder eine andere Vorschrift über den Datenschutz verstößt5. Mit „unrichtiger“ Erhebung, Verarbeitung oder Nutzung von Daten wird 27 eine Erhebung, Verarbeitung oder Nutzung unrichtiger, i.e. unzutreffender, Daten gemeint. Die Unrichtigkeit bezieht sich nicht auf die Verwendungsart selbst, sondern auf den Gegenstand der Verwendung, die Daten. Unrichtig sind falsche, unvollständige oder durch den Verarbeitungspro1 Vgl. EuGH v. 17.7.2008 – Rs. C-152/07 bis C-154/07, Slg. 2008, I-5959, Arcor, Rz. 40; EuGH v. 5.10.2004, verb. Rs. C-397/01 bis C-403/01, Pfeiffer, Slg. 2004, I-8835, Rz. 103; s.a. Herrmann, Richtlinienumsetzung durch die Rechtsprechung, S. 46 ff. 2 EuGH v. 24.10.1996 – Rs. C-72/95, Slg. 1996, I-5403, Kraaijeveld, Tz. 56 ff. 3 Vgl. Kosmides, Haftung für Datenschutzverstöße, S. 67 ff., 87 ff. 4 Ständige Rechtsprechung des EuGH: s. z.B. Urt. v. 14.7.1994 – Rs. C-91/92, Faccini Dori, Slg. 1994, I-3325, Rz. 20; EuGH v. 26.2.1986 – Rs. 152/84, Marshall, Slg. 1986, 723, Tz. 48. 5 Vgl. auch Bergmann/Möhrle/Herb, BDSG, § 7 Rz. 8; DKWW/Däubler, BDSG, § 7 Rz. 12; Simitis, BDSG, § 7 Rz. 19. Kosmides
543
§ 36
Haftung fr Datenschutzverstçße nach BDSG
zess verfälschte Daten1. Die Daten sind im Lichte des Art. 6 Abs. 1 lit. d EG-Datenschutzrichtlinie auch dann inkorrekt, wenn sie nicht aktuell und auf den neuesten Stand gebracht sind. Die Verwendung unrichtiger Daten ist stets unzulässig2. Dies geht ausdrücklich aus der Bestimmung des Art. 6 Abs. 1 lit. d EG-Datenschutzrichtlinie hervor, ergibt sich jedoch ohne Weiteres gleichfalls aus dem BDSG (vgl. insbesondere §§ 20 Abs. 1 Satz 1, 35 Abs. 1 Satz 1). So gesehen begeht der Gesetzgeber in den §§ 7 Satz 1 und 8 Abs. 1 BDSG insoweit eine Tautologie, als er zugleich von einer „unzulässigen“ und einer „unrichtigen“ Datenverwendung spricht. 28
Ein haftungsbegründender unzulässiger Datenumgang ist auch dann gegeben, wenn die Datenerhebung, -verarbeitung oder -nutzung zwar unter Einhaltung aller gesetzlichen verarbeitungsbezogenen Anforderungen erfolgt, jedoch ein anderes Verhalten des Datenverwenders, das mit dem fraglichen Datenumgang in Zusammenhang steht, rechtswidrig ist. Werden etwa die einschlägigen gesetzlich vorgeschriebenen Verarbeitungsvorgaben (z.B. bei Datenübermittlung an eine Auskunftei u.a. die Regel des § 28a BDSG) durch die verantwortliche Stelle eingehalten, ist der Datenumgang trotzdem unzulässig, sofern diese Stelle eine Pflicht im Hinblick auf die Bestellung oder die Tätigkeit des Beauftragten für den Datenschutz aus den §§ 4f und 4g BDSG verletzt hat. Für dieses weite Verständnis des haftungsbegründenden unzulässigen Datenumgangs spricht erstens die Notwendigkeit der Gewährleistung eines effizienten Datenschutzes. Die Einschränkung des Anwendungsbereichs der Haftung auf die Verletzung von Bestimmungen, die Verarbeitungsvorgaben beinhalten, würde den sonstigen Bestimmungen des Gesetzes und damit dem Schutz des Einzelnen weitgehend die Wirkung nehmen. Zweitens gelangt man über eine richtlinienkonforme Auslegung des § 7 BDSG zu demselben Ergebnis. Denn solche haftungsbegründende Umstände werden vom zweiten Haftungsgrund des Art. 23 Abs. 1 EG-Datenschutzrichtlinie (sprich: „jede andere mit den einzelstaatlichen Vorschriften zur Umsetzung dieser Richtlinie nicht zu vereinbarende Handlung“) erfasst. Dieser zweite Haftungsgrund wurde in nationales Recht nicht überführt, weshalb die Auslegung des in § 7 BDSG niedergelegten haftungsauslösenden Moments so weit wie möglich am Wortlaut und Zweck des Art. 23 Abs. 1 EG-Datenschutzrichtlinie ausgerichtet werden darf und muss3.
1 Simitis, BDSG, § 7 Rz. 20. 2 Vgl. Simitis, BDSG, § 7 Rz. 18; Gola/Schomerus, BDSG, § 7 Rz. 4; Gabel in Taeger/Gabel, BDSG, § 7 Rz. 8. 3 Ständige Rechtsprechung des EuGH: s. z.B. Urt. v. 27.6.2000, verb. Rs. C-240/98 bis C-244/98, Océano Grupo Editorial, Slg. 2000, I-4941, Tz. 30.
544
Kosmides
§ 36
III. Problembereiche (Anspruchsvoraussetzungen)
b) Vorgaben der EG-Datenschutzrichtlinie Wie soeben gesehen, kann die vom Gesetz vorausgesetzte Unzulässigkeit 29 der Datenverwendung in der Verletzung entweder einer Vorschrift des BDSG oder einer „anderen Vorschrift über den Datenschutz“ bestehen. Wird die Interpretation des Begriffs „andere Vorschrift über den Datenschutz“ ausschließlich am Wortlaut ausgerichtet, ist dieser Begriff eng zu verstehen. Die Literatur geht, soweit ersichtlich, einhellig von einem solchen engen Verständnis dieses Begriffs aus. Danach fallen darunter nur „Datenschutzvorschriften“1 oder „datenschutzrechtliche Normen“2, d.h. Bestimmungen, die einen unmittelbaren Datenschutzbezug aufweisen wie etwa die §§ 11 ff. TMG und 91 ff. TKG3. In Art. 23 Abs. 1 EG-Datenschutzrichtlinie wird diesbezüglich von einer 30 „rechtswidrigen Verarbeitung“ personenbezogener Daten gesprochen. Das ist der erste Haftungsgrund der europäischen Haftungsregelung. Im Vergleich zum Verstoß gegen eine Datenschutzvorschrift ist die Rechtswidrigkeit ein weiter Begriff. Als rechtswidrig kann alles qualifiziert werden, was im Widerspruch zur Rechtsordnung steht4. Folglich wird durch den ersten Haftungsgrund des Art. 23 Abs. 1 EG-Datenschutzrichtlinie jede Datenverarbeitung abgedeckt, die mit der Rechtsordnung unvereinbar ist5. Insofern ist eine rechtswidrige Verarbeitung im Sinne der Richtlinie ein umfassenderer Begriff als die von der Lehre eng verstandene nach dem BDSG oder anderen Vorschriften über den Datenschutz unzulässige Datenverwendung. Zum Beispiel erstreckt sich das letztere haftungsauslösende Moment – anders als das erstere – nicht auf einen Datenumgang, bei dem die verarbeitungsspezifischen Anforderungen des BDSG zwar eingehalten werden, dieser aber nach den Umständen des Einzelfalles als sittenwidrig zu werten ist. Hierin ist das erste Problem zu sehen: Die Reichweite der Gesetzeswidrigkeit als Anspruchsvoraussetzung im Rahmen von § 7 Satz 1 BDSG ist nämlich beschränkt. Nun kommt das zweite Problem: Neben einer „rechtswidrigen Verar- 31 beitung“ sieht Art. 23 Abs. 1 EG-Datenschutzrichtlinie als weiteren haftungsauslösenden Umstand „jede andere mit den einzelstaatlichen Vorschriften zur Umsetzung dieser Richtlinie nicht zu vereinbarende Handlung“ vor. Von diesem haftungsauslösenden Umstand werden gesetzeswidrige Handlungen erfasst, die mit einer konkret-faktischen Datenverarbeitung weder direkt noch indirekt in Zusammenhang stehen. 1 Simitis, BDSG, § 7 Rz. 16. 2 DKWW/Däubler, BDSG, § 7 Rz. 12. 3 Vgl. etwa DKWW/Däubler, BDSG, § 7 Rz. 10, 12; Gola/Schomerus, BDSG, § 7 Rz. 5; Simitis, BDSG, § 7 Rz. 16, 19; Gabel in Taeger/Gabel, BDSG, § 7 Rz. 7. 4 Vgl. Deutsch, Allgemeines Haftungsrecht, Rz. 226 ff. 5 Kosmides, Haftung für Datenschutzverstöße, S. 95 mit näherer Begründung; anders Ehmann/Helfrich, EG-Datenschutzrichtlinie, Art. 23 Rz. 7; Kautz, Schadensersatz im europäischen Datenschutzrecht, S. 141; wohl auch Dammann/Simitis, EG-Datenschutzrichtlinie, Art. 23 Rz. 2 ff.; Brühann in Grabitz/Hilf/Nettesheim, Das Recht der Europäischen Union, A 30, Art. 23 Rz. 5. Kosmides
545
§ 36
Haftung fr Datenschutzverstçße nach BDSG
Solche Handlungen lassen sich nicht unter den ersten Haftungsgrund des Art. 23 Abs. 1 EG-Datenschutzrichtlinie subsumieren. Letzterer Haftungsgrund ist komplementär zum ersteren und erweitert die Reichweite der Haftung1. Um ein Beispiel zu nennen: Art. 21 Abs. 3 EG-Datenschutzrichtlinie sieht vor, dass „für Verarbeitungen, die von der Meldung ausgenommen sind, der für die Verarbeitung Verantwortliche oder eine andere von den Mitgliedstaaten benannte Stelle zumindest die in Art. 19 Abs. 1 lit. a) bis e) vorgesehenen Angaben auf Antrag jedermann in geeigneter Weise verfügbar macht“. Stellt eine Person, deren Daten von einem für die Verarbeitung Verantwortlichen (noch) nicht verarbeitet wurden, den in Art. 21 Abs. 3 EG-Datenschutzrichtlinie vorgesehenen Antrag und kommt der Verpflichtete seiner Pflicht, die genannten Angaben in geeigneter Weise verfügbar zu machen nicht nach, kann diese Pflichtverletzung nur vom zweiten Haftungsgrund erfasst werden2. Werden hingegen die Daten einer bestimmten Person durch den für die Verarbeitung Verantwortlichen verarbeitet und verletzt dieser die gleiche Pflicht, kann (auch) eine „rechtswidrige Verarbeitung“ im Sinne des ersten Haftungsgrundes angenommen werden. 32
Anders als im Rahmen von Art. 23 EG-Datenschutzrichtlinie werden solche nicht-verarbeitungsbezogenen gesetzeswidrigen Handlungen vom Haftungssystem des BDSG nicht erfasst. Der zweite Haftungsgrund des Art. 23 Abs. 1 EG-Datenschutzrichtlinie wurde ins innerstaatliche Recht nicht überführt. Insofern ist in § 7 BDSG eine richtlinienwidrige Unvollständigkeit festzuhalten. c) Richtlinienkonforme Auslegung und unmittelbare Wirkung der Richtlinie
33
Das erste Problem ist als ein reines Interpretationsproblem der in § 7 Satz 1 BGSG vorgesehenen haftungsauslösenden Gesetzeswidrigkeit zu konzipieren. Für die Problemlösung bietet sich eine richtlinienkonforme Auslegung dieser Haftungsregelung an. In diesem Zusammenhang ist der Begriff „Vorschrift über den Datenschutz“ unter dem Eindruck des Art. 23 Abs. 1 EG-Datenschutzrichtlinie, der ganz allgemein von einer „rechtswidrigen Verarbeitung“ (und nicht etwa einer „datenschutzwidrigen Verarbeitung“) spricht, so weit wie möglich zu verstehen. Die verletzte Vorschrift braucht demnach nicht eine „Datenschutzvorschrift“ i.e.S. zu sein. Sie muss also nicht unbedingt eine bestimmte datenschutzrechtliche Frage regulieren. Es reicht vielmehr aus, dass die fragliche (geschriebene oder ungeschriebene) Regel abstrakt dazu geeignet ist, datenschutzspezifische Belange des Einzelnen zu wahren. Freilich muss der konkret-faktische Sachverhalt, um in den Schutzbereich des § 7 BDSG fallen zu können, zugleich eine Datenschutzrelevanz aufweisen. Bei dieser Sichtweise erstreckt sich der Anwendungsbereich des § 7 Satz 1 1 Kosmides, Haftung für Datenschutzverstöße, S. 97. 2 Vgl. auch Dammann/Simitis, EG-Datenschutzrichtlinie, Art. 23 Rz. 3.
546
Kosmides
§ 36
III. Problembereiche (Anspruchsvoraussetzungen)
BDSG insbesondere auch auf eine gegen Treu und Glauben oder die guten Sitten verstoßende Datenverwendung. Darüber hinaus kann ein Verstoß gegen eine Verkehrspflicht zur Verhinderung von datenschutzspezifischen Persönlichkeitsverletzungen haftungsbegründend sein. Dafür spricht neben der richtlinienkonformen Auslegung von § 7 Satz 1 BDSG der Grundsatz, dass Verkehrspflichten überall dort von Bedeutung sind, „wo es um Gefahrvermeidung oder -abwendung geht, also grundsätzlich bei allen Deliktstatbeständen“1. Lehnt man die vorgeschlagene Ausdehnung des Anwendungsbereichs 34 des § 7 Satz 1 BDSG im Wege einer richtlinienkonformen Auslegung ieS deshalb ab, weil das Interpretationsergebnis sich nicht in den Grenzen des möglichen Wortsinns halte, so bleibt jedoch die Möglichkeit einer richtlinienkonformen Rechtsfortbildung. Eine solche Rechtsfortbildung wäre in diesem Falle sowohl geboten als auch erlaubt, weil eine richtlinienwidrige Gesetzeslücke vorhanden wäre und das Interpretationsergebnis die zulässigen Grenzen der Rechtsfindung nicht überschreiten, vor allem nicht gegen das Verbot des Contra-legem-Judizierens verstoßen würde. Auch wenn es in der Tat unproblematisch ist, das zur Debatte stehende 35 Problem im Wege einer richtlinienkonformen Interpretation zu beseitigen, würde sich eine klarstellende Änderung der gesetzlichen Formulierung des haftungsauslösenden Moments in § 7 Satz 1 BDSG positiv auswirken. Dadurch kann einerseits Rechtssicherheit geschaffen und andererseits die Rechtsstellung des Geschädigten eindeutig gestärkt werden. In dieser Hinsicht könnte ganz allgemein von einer „rechtswidrigen Erhebung, Verarbeitung oder Nutzung“ die Rede sein. Was das zweite Problem angeht, so könnte dies aufgrund einer richtlini- 36 enkonformen Rechtsfortbildung beseitigt werden. Eine richtlinienkonforme Rechtsfindung ist allerdings hier verboten. Diese scheitert zwar nicht unbedingt an der Unergänzbarkeit der richtlinienwidrigen Unvollständigkeit. In Wirklichkeit ist es unklar, ob der deutsche Gesetzgeber Art. 23 Abs. 2 EG-Datenschutzrichtlinie im Hinblick auf seinen zweiten Haftungsgrund bewusst oder unbewusst nicht umgesetzt hat, also ob das zur Debatte stehende richtlinienwidrige Defizit als Gesetzeslücke qualifiziert werden kann, die aufgrund einer richtlinienkonformen Rechtsfortbildung ergänzt werden darf. Auch bei Annahme einer Gesetzeslücke würde die Rechtsfortbildung gegen Sinn und Zweck des BDSG verstoßen, weshalb es sich immerhin um ein unzulässiges Contra-legem-Judizieren handeln würde2. Nach § 1 Abs. 1 BDSG bezweckt das Gesetz, den Einzelnen vor Beeinträchtigungen seines Persönlichkeitsrechts zu schützen, die durch einen Datenumgang hervorgerufen werden. Vom Schutzzweck des BDSG werden demnach keine Handlungen erfasst, die in keinerlei 1 So ausdrücklich Larenz/Canaris, Schuldrecht BT, Bd. II/2, § 76 III 2c, S. 405 f. 2 Vgl. Canaris in FS F. Bydlinski, S. 47 (92 f.). Kosmides
547
§ 36
Haftung fr Datenschutzverstçße nach BDSG
Zusammenhang zu einer Datenverwendung stehen. Dasselbe ergibt sich aus dem klaren Wortlaut des § 7 Satz 1 BDSG. Eine im Sinne des zweiten Haftungsgrundes des Art. 23 Abs. 1 EG-Datenschutzrichtlinie andere gesetzeswidrige Handlung kann folglich keine Haftung nach § 7 BDSG auslösen. 37
Die praktische Tragweite der Unergänzbarkeit dieser richtlinienwidrigen Unvollständigkeit ist eher gering. Eine Gesetzeswidrigkeit, die mit einer Datenverarbeitung in keinerlei Zusammenhang steht, ist auf dem Terrain des Datenschutzes besonders rar. Dies gilt erst recht in Anbetracht der extensiven Interpretation des Terminus der „anderen Vorschriften über den Datenschutz“ in § 7 Satz 1 BDSG. Kommt ein solcher Fall vor, ist der Geschädigte jedenfalls gegenüber dem Staat aufgrund der direkten vertikalen Wirkung von Art. 23 EG-Datenschutzrichtlinie mit einem Schadensersatzanspruch ausgestattet. 3. Ersatz des immateriellen Schadens a) Die Regelung des BDSG
38
§ 7 Satz 1 BDSG verpflichtet zunächst zum Ersatz sämtlicher dem Betroffenen versursachter materieller Schäden1. Gemäß § 253 Abs. 1 BGB kann wegen eines immateriellen Schadens Entschädigung in Geld nur in den durch das Gesetz bestimmten Fällen gefordert werden. Der Ersatz immaterieller Schäden wird demnach an die Existenz einer besonderen gesetzlichen Regelung angeknüpft2. § 253 Abs. 2 BGB gewährt für immaterielle Schäden eine billige Entschädigung in Geld im Falle einer Verletzung des Körpers, der Gesundheit, der Freiheit oder der sexuellen Selbstbestimmung. Die Verletzung des Persönlichkeitsrechts ist in diese Vorschrift nicht einbezogen. Auch wird ein Anspruch auf Ersatz des immateriellen Schadens in § 7 BDSG nicht ausdrücklich vorgesehen. Vor diesem Hintergrund wird ganz überwiegend die Meinung vertreten, dass der immaterielle Schaden nach § 7 BDSG nicht ersetzt werden kann3. b) Vorgaben der EG-Datenschutzrichtlinie
39
Der für die Verarbeitung Verantwortliche ist nach Art. 23 Abs. 1 EG-Datenschutzrichtlinie verpflichtet, den Schaden zu ersetzen, der einer Person durch eine rechtswidrige Verarbeitung personenbezogener Daten oder jeder anderen mit den einzelstaatlichen Vorschriften zur Umsetzung dieser Richtlinie nicht zu vereinbarenden Handlung entstanden ist. Die 1 Simitis, BDSG, § 7 Rz. 30. 2 Vgl. Fikentscher/Heinemann, Schuldrecht, Rz. 678. 3 Vgl. DKWW/Däubler, BDSG, § 7 Rz. 19 f.; Gola/Schomerus, BDSG, § 7 Rz. 12; Schaffland/Wiltfang, BDSG, § 7 Rz. 9; Simitis, BDSG, § 7 Rz. 32; Gabel in Taeger/Gabel (Hrsg.), BDSG, § 7 Rz. 10; im Ergebnis auch Tinnefeld/Buchner/Petri, Datenschutzrecht, S. 289 f.; a.A. Bergmann/Möhrle/Herb, BDSG, § 7 Rz. 12; Niedermeier/Schröcker, RDV 2002, 217 (224).
548
Kosmides
§ 36
III. Problembereiche (Anspruchsvoraussetzungen)
Haftungsregel spricht pauschal von einem „Schaden“, ohne die Schadensarten zu bestimmen, die darunter fallen. Auch an etwaiger anderer Stelle in der Richtlinie fehlt es an einer Präzisierung des Schadensbegriffs. Beim Schadensbegriff geht es demnach um einen unbestimmten Rechtsbegriff, der konkretisiert werden muss1. In Anbetracht des mit der EG-Datenschutzrichtlinie verfolgten Regelungszwecks, der eine möglichst einheitliche Anwendung der in ihr enthaltenen Rechtsvorschriften gebietet, ist eine einheitliche Bestimmung des Schadensbegriffs auf Unionsebene notwendig. Diese soll durch autonome Interpretation des Schadensbegriffs aufgrund der unionsrechtlichen Vorgaben erreicht werden2. Die Interpretation der fraglichen Haftungsnorm ergibt, dass der Scha- 40 densbegriff sämtliche Schäden umfasst, also alle (nachteiligen) Folgen, die auf eine rechtswidrige Verarbeitung oder jede andere mit den einzelstaatlichen Vorschriften zur Umsetzung dieser Richtlinie nicht zu vereinbarende Handlung zurückzuführen sind. Der „Schaden“ i.S.d. Art. 23 Abs. 1 EG-Datenschutzrichtlinie bezieht demnach sowohl den materiellen als auch den immateriellen Schaden mit ein3. Dabei sind aus der Teleologie genommene Argumente entscheidend, nämlich ein historischteleologisches und ein objektiv-teleologisches Argument. Zunächst ist das historisch-teleologische Argument zu analysieren: In 41 der Begründung zur Haftungsregel des Art. 21 des ersten Richtlinienvorschlags wurde davon gesprochen, dass der Schaden sowohl materielle als auch immaterielle Schäden umfassen soll4. Diese Erläuterung des Schadensbegriffs durch die EG-Kommission ist von besonderer Bedeutung, zumal im weiteren Prozess keine Hinweise zum Schadensbegriff vorzufinden sind5. Im Gegensatz dazu sind weitere Haftungsaspekte heftig diskutiert worden. Das Europäische Parlament hat in seiner Stellungnahme zu diesem Richtlinienvorschlag6 tiefgreifende Modifizierungen im Haftungsregime vorgeschlagen. Zum Schadensbegriff hat es dennoch keine Einwände vorgebracht, sondern sich dazu gar nicht geäußert. Aus diesem Verhalten ist auf eine stillschweigende Zustimmung des Europäischen Parlaments zu schließen7. 1 Kautz, Schadensersatz im europäischen Datenschutzrecht, S. 163 f.; Kosmides, Haftung für Datenschutzverstöße, S. 101. 2 Kosmides, Haftung für Datenschutzverstöße, S. 103 f. 3 Eingehend dazu Kosmides, Haftung für Datenschutzverstöße, S. 104 ff., 111; so auch Dammann/Simitis, EG-Datenschutzrichtlinie, Art. 23 Rz. 5; Kautz, Schadensersatz im europäischen Datenschutzrecht, S. 181; Kopp, RDV 1993, 1 (8); Lütkemeier, DuD 1995, 597 (600); Brühann/Zerdick, CR 1996, 429 (435); Niedermeier/Schröcker, RDV 2002, 217 (224); vgl. auch Wuermeling, NJW-CoR 1995, 111 (113); a.A. Ehmann/Helfrich, EG-Datenschutzrichtlinie, Art. 23 Rz. 27; Schneider, CR 1993, 35. 4 ABl. 1990 C 277, S. 3 ff. 5 S. auch Kautz, Schadensersatz im europäischen Datenschutzrecht, S. 172. 6 Stellungnahme des Europäischen Parlaments v. 11.3.1992 (ABl. 1992 C 94, S. 198 ff.). 7 Kautz, Schadensersatz im europäischen Datenschutzrecht, S. 172. Kosmides
549
§ 36
Haftung fr Datenschutzverstçße nach BDSG
42
Maßgeblich ist darüber hinaus der zweite, geänderte Richtlinienvorschlag1. In seiner Begründung zu Art. 23 heißt es: „Gemäß Abs. 1 dieses Artikels, wie auch gem. Art. 21 Abs. 1 des ursprünglichen Vorschlags, ist der Verantwortliche der Verarbeitung verpflichtet, Schadensersatz für jeden Schaden einer Person zu leisten, den er aufgrund einer mit dieser Richtlinie unvereinbaren Verarbeitung oder Maßnahme verursacht hat.“2 Von Abs. 1 werden also nach der Begründung zu Art. 23 EG-Datenschutzrichtlinie sämtliche Schäden umfasst3. Eine entgegenstehende Erklärung im Rahmen der Diskussionen zur zweiten Fassung der Richtlinie lässt sich nicht finden. Dass die EG-Kommission in der Begründung zum zweiten Richtlinienvorschlag – anders als in der Begründung zum ersten Richtlinienvorschlag – nicht ausdrücklich vom Ersatz materieller ebenso wie immaterieller Schäden spricht, darf keineswegs als Abkehr von der ursprünglichen Entscheidung verstanden werden, dass solche Schäden vom Schadensbegriff i.S.d. Art. 23 Abs. 1 EG-Datenschutzrichtlinie erfasst werden. Der in der Begründung zum zweiten Richtlinienvorschlag verwendete Ausdruck („jeder Schaden“) geht auf eine Erweiterung des Haftungsumfangs gegenüber demjenigen Ausdruck ein, der in der Begründung zum ersten Richtlinienvorschlag vorkommt („materielle und immaterielle Schäden“). Dadurch wird klargestellt, dass vom Schadensbegriff nicht nur materielle und immaterielle Schäden, sondern insbesondere auch positive Schäden und entgangener Gewinn, unmittelbare und mittelbare, aktuelle und zukünftige Schäden erfasst sind. Die Entstehungsgeschichte des Art. 23 spricht also für einen umfassenden Schadensbegriff.
43
Neben der Historie sind, wie erwähnt, für die hiesige Problematik der Sinn und Zweck der EG-Datenschutzrichtlinie sowie der mit ihrem Art. 23 speziell verfolgte Normzweck ausschlaggebend. Diese Richtlinie zielt ausweislich ihres Titels sowie ihres Art. 1 darauf ab, einerseits natürliche Personen vor Beeinträchtigungen in ihren Grundrechten und -freiheiten, insbesondere ihrem Recht auf Privatsphäre, wegen einer Verarbeitung personenbezogener Daten zu schützen, und andererseits den freien Datenverkehr zwischen den Mitgliedstaaten sicherzustellen. Dabei wird darauf geachtet, dass ein hohes4 und gleichwertiges5 Datenschutzniveau gewährleistet werden soll6.
44
Für die Erreichung eines hohen Datenschutzniveaus ist ein umfassender Schadensbegriff unerlässlich. Immaterielle Schäden müssen überhaupt ersatzfähig sein, denn bei den Verarbeitungsschäden geht es typischer1 ABl. 1992 C 311, S. 30 ff. 2 Vgl. Brühann in Grabitz/Hilf/Nettesheim, Das Recht der Europäischen Union, A 30, Art. 23 Begründung. 3 S. auch Niedermeier/Schröcker, RDV 2002, 217 (223); a.A. Kautz, Schadensersatz im europäischen Datenschutzrecht, S. 172 f. 4 Vgl. Erwägungsgrund 10 zur EG-Datenschutzrichtlinie. 5 Vgl. Erwägungsgründe 7 und 8 zur EG-Datenschutzrichtlinie. 6 EuGH v. 6.11.2003 – Rs. C-101/01, Bodil Lindqvist, Slg. 2003, I-12971, Tz. 95 ff.
550
Kosmides
§ 36
III. Problembereiche (Anspruchsvoraussetzungen)
weise um immaterielle Schäden. Die Beeinträchtigung der von der Richtlinie geschützten Grundrechte und -freiheiten hat vorwiegend ideellen Charakter. Simitis betont in diesem Zusammenhang zutreffend: Wo „immaterielle Schäden eine so zentrale Rolle spielen“, wie bei den Folgen rechtswidriger Datenverarbeitungen, „ist jeder Versuch verfehlt, die Ersatzpflicht zu begrenzen“. Diese Begrenzung nimmt „der Ausgleichspflicht und damit auch dem Schutz der Betroffenen weitgehend die Wirkung“1. Dies gilt in erster Linie im Hinblick auf die Ausgleichsfunktion2 der Haftung. Es gilt jedoch zu beachten, dass, soweit der Haftungsregel des Art. 23 im Bereich des Datenschutzes eine tragende Rechtsverfolgungs- und Präventionsfunktion zukommt3, eine Einschränkung des Schadensbegriffs und der damit verbundenen Schadensersatzpflicht auch die Verwirklichung dieser Aufgabenstellungen der Haftungsregel erheblich mindern würde. Der Schutzzweck der EG-Datenschutzrichtlinie wäre in einem solchen Fall weitgehend vereitelt. Ein eingeschränkter Schadensbegriff widerspräche daher dem Prinzip der praktischen Wirksamkeit (effet utile) der Einführung dieser Haftung, das der EuGH in seiner Rechtsprechung heranzieht und zu wahren versucht4. Durch die Annahme eines umfassenden Schadensbegriffs wird übrigens 45 die zweite Zielsetzung der EG-Datenschutzrichtlinie, der freie Datenverkehr, praktisch kaum gestört5. Dies gilt zum einen deshalb, weil mit diesem „freien Datenverkehr“ nur der zulässige Datenverkehr gemeint ist. Soweit – wie hier – keine Gefährdungshaftung, sondern eine Unrechtshaftung vorliegt, setzt die Begründung der Haftung eine Rechtswidrigkeit voraus. Ist der Datenverkehr rechtmäßig, kann eine Schadensersatzpflicht ohnehin nicht begründet werden. Im entgegengesetzten Fall geht es um einen rechtswidrigen Datenverkehr, der von der Richtlinie nicht geschützt ist. Zum anderen kann für den Fall einer datenschutzrechtsverletzenden Schädigung eine Privathaftpflichtversicherung abgeschlossen werden. Dadurch wird erreicht, dass der Schädiger nicht den tatsächlichen Schadensbetrag, sondern nur die Versicherungskosten tragen soll. Diese Versicherungskosten, die insgesamt eine zumutbare Kostenerhöhung darstellen, können auf die Kunden des Datenverwenders abgewälzt werden. So gesehen bleibt das Risikoniveau für den Datenverwender (und potentiellen Schädiger) niedrig. Eine unangemessene Behinderung des freien Datenverkehrs tritt kaum ein. 1 2 3 4
Simitis, § 8 BDSG Rz. 17. S.o. Rz. 3 sub I. S.o. Rz. 3 sub I. S. u.a. EuGH v. 8.3.2007 – Rs. C-44/06, Gerlach/Hauptzollamt Frankfurt, Slg. 2007, I-2071, Tz. 28; EuGH v. 18.3.2004 – Rs. C-314/01, Siemens/Hauptverband der österreichischen Sozialversicherungsträger, Slg. 2004, I-2549, Tz. 30; EuGH v. 21.1.1993 – Rs. C-308/90, Advanced Nuclear Fuels GmbH/Kommission, Slg. 1993, I-309, Tz. 21; EuGH v. 8.4.1976 – Rs. 48-75, Jean Noël Royer, Slg. 1976, 497, Leitsatz 6 und Tz. 69 ff.; vgl. auch Niedermeier/Schröcker, RDV 2002, 217 (224); Kautz, Schadensersatz im europäischen Datenschutzrecht, S. 179. 5 Wohl anders Kautz, Schadensersatz im europäischen Datenschutzrecht, S. 178. Kosmides
551
§ 36
Haftung fr Datenschutzverstçße nach BDSG
46
Infolgedessen ist anzunehmen, dass im Rahmen der EG-Datenschutzrichtlinie auch immaterielle Schäden ersatzfähig sind. Die Mitgliedstaaten sind demnach verpflichtet, im Rahmen ihrer eigenen Haftungsregelung, die zur Umsetzung des Art. 23 EG-Datenschutzrichtlinie erlassen wurde, dem Schadensbegriff einen entsprechenden Inhalt und Umfang beizumessen. So müssten gem. § 7 BDSG auch immaterielle Schäden ersatzfähig sein – und zwar genau wie in Art. 23 EG-Datenschutzrichtlinie unabhängig von weiteren Umständen, wie etwa dem Grad der Verletzung des Persönlichkeitsrechts (s. aber § 8 Abs. 2 BDSG, der auf eine schwere Verletzung des Persönlichkeitsrechts abstellt).
47
Allerdings ist es, wie erwähnt, herrschende Auffassung, dass der immaterielle Schaden von § 7 BDSG nicht erfasst wird. Diese Annahme setzt jedoch voraus, dass eine richtlinienkonforme Auslegung von § 7 BDSG unmöglich ist. Dafür ist wiederum erforderlich, dass sich das Ergebnis der Auslegung nicht in den Grenzen des möglichen Wortsinns der gesetzlichen Norm hält, also eine Auslegung i.e.S. nicht in Betracht kommen kann1, und zugleich eine Rechtsfortbildung verboten ist.
48
Was die Rechtsfortbildung angeht, so ist die Vorfrage zu beantworten, ob der deutsche Gesetzgeber bei Umsetzung von Art. 23 EG-Datenschutzrichtlinie im Hinblick auf den Ersatz immaterieller Schäden von der europäischen Bestimmung bewusst oder unbewusst abgewichen ist und die entsprechende Rechtsfolgenanordnung wissentlich oder unwissentlich verweigert hat. Eine bewusste Umsetzungsverweigerung des Art. 23 EGDatenschutzrichtlinie ist wohl zu verneinen. Dem „historischen“ Gesetzgeber war zum Zeitpunkt der Verabschiedung des § 7 BDSG unklar, ob die europäische Haftungsregel auch den Ersatz immaterieller Schäden erfasst hatte oder nicht. Diese Frage war damals (und ist immer noch) strittig. Vor diesem Hintergrund ist anzunehmen, dass der Gesetzgeber in Erfüllung seiner im europäischen Primärrecht begründeten Verpflichtung (jetzt: Art. 288 Abs. 3 AEUV; ehem. Art. 249 Abs. 3 EGV), Art. 23 EG-Datenschutzrichtlinie zulänglich in nationales Recht implementieren wollte und die Wörter „Schaden“ sowie „Schadensersatz“ in § 7 Satz 1 BDSG gleichbedeutend mit denen in Art. 23 Abs. 1 EG-Datenschutzrichtlinie verwendet hat. Der EuGH hat insoweit hervorgehoben, dass er bei der Anwendung von innerstaatlichen Bestimmungen, die speziell zur Umsetzung einer Richtlinie erlassen wurden und dem Einzelnen Rechte verleihen sollen, davon auszugehen hat, dass „der Staat, wenn er von dem ihm durch diese Bestimmung eingeräumten Gestaltungsspielraum Gebrauch gemacht hat, die Absicht hatte, den sich aus der betreffenden Richtlinie ergebenden Verpflichtungen in vollem Umfang nachzukommen“2. 1 S. Bydlinski, Juristische Methodenlehre und Rechtsbegriff, S. 467 ff. 2 EuGH v. 5.10.2004, verb. Rs. C-397/01 bis C-403/01, Pfeiffer, Slg. 2004, I-8835, Tz. 112; EuGH v. 16.12.1993 – Rs. C-334/92, Wagner Miret, Slg. 1993, I-6911, Tz. 20.
552
Kosmides
§ 36
III. Problembereiche (Anspruchsvoraussetzungen)
c) Richtlinienkonforme Auslegung Eine richtlinienkonforme Rechtsfortbildung ist kaum nötig. Das Pro- 49 blem lässt sich schon aufgrund einer richtlinienkonformen Auslegung ieS beseitigen. Eine solche Auslegung ist einerseits erlaubt, weil das Interpretationsergebnis sich noch in den Grenzen des möglichen Wortsinns des § 7 BDSG hält, der pauschal von „Schaden“ und „Schadensersatz“ spricht. Andererseits ist sie auch geboten, weil eine speziell zur Umsetzung der Vorgaben einer Richtlinie erlassene Regelung – wie hier § 7 BDSG – nach ständiger Rechtsprechung des Gerichtshofs so weit wie möglich anhand des Wortlauts und des Zweckes dieser Richtlinie auszulegen ist, um zu einem Ergebnis zu gelangen, das mit dem von der Richtlinie verfolgten Ziel vereinbar ist1. So gesehen führt eine richtlinienkonforme Auslegung von § 7 Satz 1 50 BDSG dazu, dass dieser es zulässt, neben materiellen auch immaterielle Schadensersatzansprüche geltend zu machen. Somit sollte die Sperrwirkung des § 253 Abs. 1 BGB nicht für persönlichkeitsrechtsverletzende Nichtvermögensschäden gelten, die durch eine unzulässige oder unrichtige Erhebung, Verarbeitung oder Nutzung personenbezogener Daten i.S.v. § 7 Satz 1 BDSG entstanden sind. Nichtsdestotrotz wäre eine eindeutige gesetzliche Erweiterung des § 7 Satz 1 BDSG dahingehend, dass auch Nichtvermögensschäden von ihm erfasst werden, zu befürworten. Diese würde etwaige verbleibende Zweifel an der Ersatzfähigkeit immaterieller Schäden ausräumen, wodurch Rechtssicherheit im Interesse des Einzelnen geschaffen werden soll2. An der Notwendigkeit einer solchen Auslegung ändert die Tatsache, dass 51 der Ersatz von Nichtvermögensschäden auf anderer Rechtsgrundlage, etwa über den Schutz des Persönlichkeitsrechts gem. § 823 Abs. 1 BGB i.V.m. Art. 1 Abs. 1 und Art. 2 Abs. 1 GG, gewährleistet ist, nicht. Dies gilt zum einen deshalb, weil die EG-Datenschutzrichtlinie den Mitgliedstaaten die formelle Verpflichtung auferlegt, eine ihrem Art. 23 entsprechende eigenständige Haftungsregelung festzulegen3. Diese der Umsetzung von Art. 23 EG-Datenschutzrichtlinie dienende Haftungsregelung hat den durch die Richtlinie gesetzten Vorgaben Rechnung zu tragen, wo1 EuGH v. 5.10.2004, verb. Rs. C-397/01 bis C-403/01, Pfeiffer, Slg. 2004, I-8835, Tz. 113; EuGH v. 23.10.2003 – Rs. C-408/01, Adidas, Slg. 2003, I-12537, Tz. 21; EuGH v. 27.6.2000, verb. Rs. C-240/98 bis C-244/98, Océano Grupo Editorial, Slg. 2000, I-4941, Tz. 30; EuGH v. 23.2.1999 – Rs. C-63/97, BMW, Slg. 1999, I-905, Tz. 22; EuGH v. 14.7.1994 – Rs. C-91/92, Faccini Dori, Slg. 1994, I-3325, Tz. 26; EuGH v. 13.11.1990 – Rs. C-106/89, Marleasing, Slg. 1990, I-4135, Tz. 8; EuGH v. 10.4.1984 – Rs. 14/83, von Colson und Kamann, Slg. 1984, 1891, Tz. 26. 2 Vgl. auch Bohnen, Die BDSG Novellen, S. 175. 3 Kosmides, Haftung für Datenschutzverstöße, S. 90; Kosmides, GPR 2009, 177 (178); vgl. auch Dammann/Simitis, EG-Datenschutzrichtlinie, Art. 23 Rz. 1; Ehmann/Helfrich, EG-Datenschutzrichtlinie, Art. 23 Rz. 1; Simitis, BDSG, § 7 Rz. 4; Kautz, Schadensersatz im europäischen Datenschutzrecht, S. 140. Kosmides
553
§ 36
Haftung fr Datenschutzverstçße nach BDSG
zu auch der Ersatz immaterieller Schäden zählt. Gäbe es diese formelle mitgliedstaatliche Verpflichtung nicht, so könnten es die Mitgliedstaaten bei einer bereits vorhandenen generalklauselartigen Schadensersatzregelung aus dem allgemeinen Haftungsrecht belassen. Zum anderen räumt § 823 Abs. 1 BGB i.V.m. Art. 1 Abs. 1 und Art. 2 Abs. 1 GG dem Geschädigten keinen im Sinne der Richtlinie ausreichenden Ersatzanspruch ein1. Denn die Rechtsprechung knüpft den Anspruch auf Ersatz des immateriellen Schadens an die Intensität der Persönlichkeitsrechtsverletzung und verlangt einen schwerwiegenden Eingriff darin2. Dies deutet auf eine Einschränkung des Ersatzanspruchs gegenüber Art. 23 EG-Datenschutzrichtlinie hin. Letztere Vorschrift lässt eine Haftungsbefreiung ausschließlich aufgrund eines unter ihrem Abs. 2 fallenden Umstands zu. Einen solchen Umstand stellt die Geringfügigkeit der Beeinträchtigung des Persönlichkeitsrechts nicht dar. Darüber hinaus gilt für den Ersatz immaterieller Schäden aufgrund von § 823 Abs. 1 BGB i.V.m. Art. 1 Abs. 1 und Art. 2 Abs. 1 GG – anders als bei § 7 BDSG – keine Beweislastumkehr für das Verschuldenselement oder ist jedenfalls die Anerkennung einer solchen Beweislastumkehr durch die Rechtsprechung nicht selbstverständlich3. Demzufolge ist die Rechtsposition des Geschädigten deutlich stärker im Falle einer Berufung auf § 7 BDSG als auf § 823 Abs. 1 BGB i.V.m. Art. 1 Abs. 1 und Art. 2 Abs. 1 GG.
IV. Fazit 52
Betrachtet man § 7 BDSG mit der Lupe der EG-Datenschutzrichtlinie, so lassen sich drei wesentliche Problemkreise feststellen, die jeweils den Kreis der Anspruchsberechtigten, das haftungsauslösende Moment und den Ersatz immaterieller Schäden betreffen. Auch wenn einige Probleme aufgrund einer richtlinienkonformen Interpretation ausgeräumt werden können, erscheint es im Interesse der Rechtssicherheit geboten, diese in ihrer Gesamtheit durch legislatorische Maßnahmen, sprich eine Gesetzesänderung, baldmöglichst zu beseitigen. Ist das nicht der Fall, so kann man zu demselben Ergebnis über die geplante Datenschutz-Grundverordnung gelangen. Der in Art. Art. 77 DS-GVO-E vorgesehene Haftungstatbestand entspricht in den diskutierten Punkten demjenigen des Art. 23 EG-Datenschutzrichtlinie und wird kraft Art. 288 Abs. 2 AEUV unmittelbar in jedem Mitgliedstaat gelten.
1 So aber Gabel in Taeger/Gabel, BDSG, § 7 Rz. 10; im Ergebnis auch DKWW/ Däubler, BDSG, § 7 Rz. 5. 2 Ständige Rechtsprechung: s. z.B. BGH v. 30.1.1996 – VI ZR 386/94, juris Rz. 41 = BGHZ 132, 13; BGH v. 15.11.1994 – VI ZR 56/94, juris Rz. 74 = BGHZ 128, 1. 3 Vgl. Bamberger/Roth/Spindler, § 823 BGB Rz. 26 f.
554
Kosmides
Teil 5 Vertragstypen, Vertragsgestaltung bei Daten und Datenbanken im Software-Projekt § 37 Der Datenbankerstellungsvertrag Rz. I. Einleitung . . . . . . . . . . . . . . . . . . .
1
II. Bestandteile eines Datenbanksystems . . . . . . . . . . . . . . . . . 1. Speichermedium . . . . . . . . . . . . . . 2. Datenbankmanagementsystem . . 3. Content . . . . . . . . . . . . . . . . . . . . . 4. Benutzeroberfläche . . . . . . . . . . . .
3 4 5 7 8
III. Inhalt eines Datenbankerstellungsvertrags . . . . . . . . . . . . 1. Vertragsgegenstand . . . . . . . . . . . . a) Speichermedium . . . . . . . . . . . . b) Datenbankmanagementsystem . . . . . . . . . . . . . . . . . . . . aa) Individuelles Datenbankmanagementsystem . . . . . . bb) DatenbankmanagementStandardsoftware . . . . . . . . cc) Open Source Software . . . . dd) Schnittstellen zu Anwendungen. . . . . . . . . . . . . . . . . c) Content . . . . . . . . . . . . . . . . . . . aa) Lizenzvertrag zum Erwerb von Inhalten . . . . . . . . . . . . bb) Sonstige Inhalte . . . . . . . . . cc) Vertragsdauer . . . . . . . . . . . d) Benutzeroberfläche . . . . . . . . . . e) Vertragstypologische Einordnung des Gesamtvertrags . . . . . 2. Projektphasen . . . . . . . . . . . . . . . . 3. Vergütung. . . . . . . . . . . . . . . . . . . . a) Speichermedium . . . . . . . . . . . . b) Datenbankmanagementsystem . . . . . . . . . . . . . . . . . . . . c) Content . . . . . . . . . . . . . . . . . . . d) Benutzeroberfläche . . . . . . . . . . 4. Rechtseinräumung . . . . . . . . . . . .
Rz.
9 9 10 11 12 16 17 18 19 20 22 24 25 27 28 29 30 31 32 33 34
5.
6. 7. 8.
a) Rechte am Datenbankwerk i.S.d. § 4 UrhG . . . . . . . . . . . . . . aa) Entstehung des Schutzrechts . . . . . . . . . . . . . . . . . . bb) Schutzrechtsinhaber . . . . . cc) Vertragsgestaltung . . . . . . . b) Sui-generis-Schutz, §§ 87a ff. UrhG . . . . . . . . . . . . . . . . . . . . . aa) Entstehung des Schutzrechts . . . . . . . . . . . . . . . . . . bb) Schutzrechtsinhaber . . . . . cc) Vertragsgestaltung . . . . . . . dd) Verhältnis des Schutzes gemäß § 4 UrhG zu §§ 87a ff. UrhG . . . . . . . . . . c) Speichermedium . . . . . . . . . . . . d) Datenbankmanagementsystem . . . . . . . . . . . . . . . . . . . . aa) Individuelles Datenbankmanagementsystem . . . . . . bb) DatenbankmanagementStandardsoftware . . . . . . . . cc) Open Source Software . . . . e) Content . . . . . . . . . . . . . . . . . . . f) Benutzeroberfläche . . . . . . . . . . Gewährleistung . . . . . . . . . . . . . . . a) Speichermedium . . . . . . . . . . . . b) Datenbankmanagementsystem . . . . . . . . . . . . . . . . . . . . c) Content . . . . . . . . . . . . . . . . . . . d) Benutzeroberfläche . . . . . . . . . . Haftung . . . . . . . . . . . . . . . . . . . . . Geheimhaltung . . . . . . . . . . . . . . . Sonstige Bestimmungen . . . . . . . .
35 35 36 37 38 38 40 41 42 43 44 45 46 47 48 52 53 54 55 56 58 60 61 62
IV. Fazit . . . . . . . . . . . . . . . . . . . . . . . . 63
I. Einleitung Ein Datenbanksystem ist ein komplexes Gebilde, das sich aus einer gan- 1 zen Reihe unterschiedlicher Bestandteile zusammensetzt. Diese Struktur gilt es bei der Formulierung eines Datenbankerstellungsvertrags zu beFunk
555
§ 37
Der Datenbankerstellungsvertrag
rücksichtigen. Die erforderliche Software, das sog. Datenbankmanagementsystem, und die Inhalte, der sog. Content, bilden zusammen das Datenbanksystem. Außerdem muss die Speicherung auf einem passenden Medium sichergestellt werden. Die Begrifflichkeiten werden nicht immer ganz einheitlich verwendet. Im vorliegenden Beitrag gilt als „Datenbank“ die Sammlung des Contents in systematischer oder methodischer Anordnung. Der Auftragnehmer kann im Rahmen eines Datenbankerstellungsvertrags die Bestandteile von Dritten beziehen oder sie auch (teilweise) selbst herstellen. Es ist nicht zwingend, die Beschaffung oder Herstellung des Contents zum Leistungsgegenstand zu machen. Der Auftraggeber kann die Inhalte auch selbst beschaffen und beistellen. Schließlich kann die Erstellung einer Benutzeroberfläche zusätzlich als optionale Leistung in den Vertrag aufgenommen werden. 2
Diese Umstände sind bei der Vertragsgestaltung zu berücksichtigen. Die verschiedenen trennbaren Vertragsbestandteile haben einen unterschiedlichen vertraglichen Charakter, so dass es sich bei einem Datenbankerstellungsvertrag um einen gemischttypischen Vertrag handelt. Der nachfolgende Beitrag soll einen Überblick über die verschiedenen Bestandteile eines Datenbanksystems und sodann Hinweise für die Gestaltung ausgewählter wesentlicher Bestimmungen eines Datenbankerstellungsvertrags verschaffen.
II. Bestandteile eines Datenbanksystems 3
Der Leistungsgegenstand eines Datenbankerstellungsvertrags ist eine Datenbank im technischen Sinne, genauer ein Datenbanksystem. Ein Datenbanksystem setzt sich aus verschiedenen Bestandteilen zusammen, die im Folgenden dargestellt werden. Der Inhalt der Bestandteile bestimmt wesentlich die Ausgestaltung eines Datenbankerstellungsvertrags. 1. Speichermedium
4
Die Daten befinden sich auf einem Speichermedium in organisierter Form1. 2. Datenbankmanagementsystem
5
Das zweite wesentliche Element des Datenbanksystems ist das Datenbankmanagementsystem („DBMS“)2. Das DBMS ist von den eingesetzten Anwendungsprogrammen unabhängig3. Es ermöglicht Zugriff, Eingabe, Änderung, Ausgabe und Löschung der Daten und kann zudem auch 1 Gerhardt in Wiebe/Leupold, Recht der elektronischen Datenbanken, I A Rz. 9 f. 2 Gerhardt in Wiebe/Leupold, Recht der elektronischen Datenbanken, I A Rz. 13. 3 Gerhardt in Wiebe/Leupold, Recht der elektronischen Datenbanken, I A Rz. 9.
556
Funk
§ 37
II. Bestandteile eines Datenbanksystems
als Werkzeug für die Entwicklung und den Aufbau der Datenbank verwendet werden1. Das DBMS ist die Nahtstelle zwischen der Datenbank und dem Anwendungsprogramm2. Die Anforderungen an ein DBMS sind vielfältig. So muss es zunächst ei- 6 ne Speicherung ohne Redundanzen sicherstellen, die insbesondere dem sparsamen Umgang mit Speicherplatz dient. Die Zugriffe auf die Datenbank müssen schnell und effizient möglich sein. Außerdem kann es je nach Einsatzgebiet erforderlich sein, dass auch mehrere Benutzer oder Anwendungen gleichzeitig auf die Datenbank zugreifen können und teilweise unterschiedliche Zugriffsmöglichkeiten haben. Viele DBMS sollen zudem mehrere Datenbanken gleichzeitig verwalten können3. Die hierzu erforderliche Koordination muss gewährleistet werden. Außerdem muss das DBMS für Konsistenz sorgen. Dies bedeutet, dass die logische Übereinstimmung der Dateninhalte in allen betroffenen Dateien sichergestellt werden muss4. Schließlich muss das DBMS auch für Datensicherheit sorgen. Insbesondere ungewollter Datenverlust und unberechtigte Zugriffe Dritter müssen verhindert werden. Diese Anforderungen können durch die Trennung von Software und Daten einfacher realisiert werden5. Die Daten müssen unabhängig von den benutzten Programmen und Hardwaresystemen organisiert werden6. 3. Content Der Content oder Datenbankinhalt kann aus unterschiedlichen Elemen- 7 ten bestehen. Dabei gibt es eine Vielzahl von Möglichkeiten für Content eines Datenbanksystems, wie etwa Texte, Bilder oder Töne sowie Adressdaten, wissenschaftliche Werke oder Programme7. Der Content wird durch das DBMS geordnet und auf dem Speichermedium abgespeichert. 4. Benutzeroberfläche Wird eine Datenbank webbasiert verfügbar gemacht, so wird neben dem 8 DBMS eine Benutzeroberfläche benötigt, die den Zugriff auf die Daten ermöglicht. Es handelt sich dabei um eine grafische Darstellung der Bildschirmoberfläche. Diese kann entweder durch den Hersteller des DBMS 1 Haberstumpf, GRUR 2003, 14 (17). 2 Gerhardt in Wiebe/Leupold, Recht der elektronischen Datenbanken, I A Rz. 10 und 13. 3 Gerhardt in Wiebe/Leupold, Recht der elektronischen Datenbanken, I A Rz. 13 f. 4 Gerhardt in Wiebe/Leupold, Recht der elektronischen Datenbanken, I A Rz. 8; Haberstumpf, GRUR 2003, 14 (22). 5 Gerhardt in Wiebe/Leupold, Recht der elektronischen Datenbanken, I A Rz. 12 und 14; Haberstumpf, GRUR 2003, 14 (22). 6 Haberstumpf, GRUR 2003, (15 f.). 7 Harte-Bavendamm/v. Gerlach in Kilian/Heussen, Computerrechts-Handbuch, Teil 5 Rz. 2. Funk
557
§ 37
Der Datenbankerstellungsvertrag
oder einen Webdesigner gestaltet werden1. Eine Benutzeroberfläche fällt nicht unter den Datenbankbegriff als solchen2. Die Einbeziehung der Erstellung einer Benutzeroberfläche ist für einen Datenbankerstellungsvertrag nicht zwingend, sondern eine zusätzliche Option, je nach den Anforderungen des jeweiligen Auftraggebers.
III. Inhalt eines Datenbankerstellungsvertrags 1. Vertragsgegenstand 9
Der Gegenstand eines Datenbankerstellungsvertrags besteht in der Erstellung oder Beschaffung sowie anschließenden Integration der verschiedenen Bestandteile des Datenbanksystems. a) Speichermedium
10
Speichermedien sind standardisierte, industriell gefertigte Produkte, die der Auftragnehmer in aller Regel von einem der Hersteller beziehen wird. In der Leistungsbeschreibung ist festzulegen, welche technischen Anforderungen das Speichermedium erfüllen muss, insbesondere was die erforderliche Kapazität und die Kompatibilität mit dem DBMS anbelangt. b) Datenbankmanagementsystem
11
Das DBMS kann als Software im Rahmen des Datenbankerstellungsvertrags vom Auftragnehmer entweder individuell auf der Grundlage der spezifischen Anforderungen des Auftraggebers erstellt oder in Form einer Standardsoftware von einem Softwarehersteller bezogen werden. aa) Individuelles Datenbankmanagementsystem
12
Ein individuelles DBMS kann spezifisch auf die besonderen Bedürfnisse des Auftraggebers angepasst werden. Die Erstellung von Individualsoftware liegt insbesondere dann vor, wenn besondere Funktionalitäten nur für einen bestimmten Auftraggeber und nicht für mehrere Nutzer verwirklicht werden sollen3. Eine individuelle Erstellungsleistung liegt auch vor, wenn Standardsoftware nach den Anforderungen des Auftraggebers angepasst wird4. Es handelt sich in beiden Fällen um Individualsoftwareentwicklung, für deren vertragliche Ausgestaltung in weiten Teilen dasselbe gilt wie für Softwareerstellungsverträge im Allgemei1 Jaeger in Wiebe/Leupold, Recht der elektronischen Datenbanken, III B Rz. 86 f. 2 Haberstumpf, GRUR 2003, 14 (18). 3 von dem Bussche/Schelinski in Leupold/Glossner, Münchener Anwaltshandbuch IT-Recht, Teil 1 Rz. 49 f. 4 Hoeren in Graf von Westphalen, Vertragsrecht und AGB-Klauselwerke, VII Rz. 128.
558
Funk
§ 37
III. Inhalt eines Datenbankerstellungsvertrags
nen1. Besonderheiten bestehen allerdings hinsichtlich der Kompatibilität mit dem jeweiligen Speichermedium sowie der spezifischen Funktionalität eines für die Nutzung einer Datenbank bestimmten DBMS. Eine Softwareerstellung wird wegen der Erfolgsbezogenheit typischerwei- 13 se als werkvertragliche Leistung eingestuft. Ordnet man hingegen die Software als Sache ein, kann ein Werklieferungsvertrag gemäß § 651 BGB vorliegen und damit weitgehend Kaufrecht einschlägig sein2. Das Werkvertragsrecht enthält gegenüber dem Kaufrecht die sachgerechteren Regelungen für die Situation einer Herstellung von Individualsoftware, die auch zahlreiche Mitwirkungshandlungen des Auftraggebers erforderlich macht. Insbesondere das Institut der Abnahme, das Recht auf Selbstvornahme und die werkvertraglichen Vergütungsregelungen liefern interessengerechte Lösungen3. Die Geltung des Werkvertragsrechts sollte daher individualvertraglich explizit vereinbart werden, um eine eindeutige Regelung vorzusehen. In jedem Fall sollte eine Abnahme vorgesehen werden4. Die Anforderungen an das DBMS sollten im Vertrag detailliert nieder- 14 gelegt werden. Dies umfasst neben der präzisen Beschreibung der Funktionalitäten der Software etwa die besonderen Sicherheitskriterien, die Ausgestaltung der Schnittstellen und die Bestimmung der Datenbanksprache, die Performance des Systems, die Anzahl der Anwender etc. Es kann sich je nach Umfang der Anforderungen empfehlen, diese in einem Pflichtenheft zu erfassen5. Es ist zudem festzulegen, ob der Auftragnehmer dem Auftraggeber nur 15 den Objektcode oder auch den Quellcode zur Verfügung zu stellen hat. Für die Pflege der Software sowie zur Fehlerbeseitigung ist der Quellcode erforderlich6. Aus Sicht des Auftraggebers ist die Lieferung auch des Quellcode anzuraten, weil er sich nur so nach Erfüllung des Datenbankerstellungsvertrags vom Auftragnehmer unabhängig machen und einen Dritten mit der Pflege des DBMS beauftragen kann. Hierzu bedarf es zudem der Bearbeitungsrechte an der Software7. Auch für eine etwaige Weiterentwicklung der Software durch den Auftraggeber ist der Quellcode erforderlich8. 1 Vgl. hierzu etwa Schneider, Handbuch des EDV-Rechts, H Rz. 1 ff. 2 Redeker, IT-Recht, Rz. 296 ff. 3 Vgl. Moritz in Kilian/Heussen, Computerrecht, 1. Abschnitt Teil 3 Rz. 91; Redeker, IT-Recht, Rz. 297. 4 Grapentin, Beck’sche Online-Formulare Vertrag, 9.1.1. Software-Projektvertrag, Rz. 9; zu Individualsoftware im Allgemeinen Redeker, IT-Recht, Rz. 296 ff. 5 Jaeger in Wiebe/Leupold, Recht der elektronischen Datenbanken, III B Rz. 25 f.; Redeker, IT-Recht, Rz. 302. 6 Marly, Praxishandbuch Softwarerecht, Teil 3 Rz. 636. 7 S. unten Nr. III. 4. d) aa). 8 Vgl. von dem Bussche/Schelinski in Leupold/Glossner, Münchener Anwaltshandbuch IT-Recht, Teil 1 Rz. 251 ff. Funk
559
§ 37
Der Datenbankerstellungsvertrag
bb) Datenbankmanagement-Standardsoftware 16
Auch die Einordnung der Überlassung von Standardsoftware ist hinsichtlich des Vertragstypus umstritten1. Für die Überlassung von Standardsoftware auf Dauer gegen Einmalentgelt sind die kaufrechtlichen Vorschriften angemessen. Werkvertraglicher Regelungen bedarf es nicht, weil bei einer bereits vorhandenen Software kein Einfluss mehr auf die Erstellung des DBMS genommen wird2. Bei der Einordnung von Softwareüberlassungsverträgen ist auf die jeweilige Vertragsgestaltung mit ihren Besonderheiten abzustellen3. Soll Kaufrecht Anwendung finden, sollten die vertraglichen Regelungen daher vorsehen, dass eine Überlassung auf unbestimmte Zeit gegen die Bezahlung eines einmaligen Entgelts erfolgt. Es sind zudem die weiteren Anforderungen an Softwareüberlassungsverträge zu berücksichtigen4. Insbesondere kann eine Installation sowie die Überlassung eines Handbuchs vereinbart werden. Zudem ist es möglich, die Lieferung regelmäßiger Upgrades oder Updates vorzusehen5. cc) Open Source Software
17
Einen Sonderfall stellen DBMS dar, die teilweise oder vollständig aus Open Source Software bestehen. Diese ist für jedermann zugänglich. Vergütung darf für das Nutzungsrecht nicht verlangt werden, für ergänzende Leistungen wie Installation, Unterstützung, Schulung etc. hingegen schon. Im Datenbankerstellungsvertrag sind die Besonderheiten der jeweiligen Open Source Software-Bedingungen zu berücksichtigen, insbesondere das Lizenzvergütungsverbot sowie Verpflichtungen zur Zugänglichmachung des Quellcode der Software gegenüber Dritten. Im Falle von Open Source Software, die Lizenzbedingungen mit sog. „viralem Effekt“ unterstellt ist, wie beispielsweise der GNU General Public License (GPL), ist bei der Ausgestaltung des Datenbankerstellungsvertrags ferner darauf zu achten, welche Teile des DBMS aus proprietärer Software und welche Teile aus Open Source Software bestehen sollen, und in welchem Verhältnis die verschiedenen Teile zueinander stehen6. dd) Schnittstellen zu Anwendungen
18
Die Schnittstellen des jeweiligen DBMS zu den Anwendungen, die auf die Datenbank zugreifen, müssen so erstellt werden, dass Kompatibilität
1 Vgl. Schneider, Handbuch des EDV-Rechts, J Rz. 3; Moritz in Kilian/Heussen, Computerrecht, Teil 3 Rz. 95 ff. 2 Jaeger in Wiebe/Leupold, Recht der elektronischen Datenbanken, III B Rz. 67. 3 BGH v. 15.11.2006 – VIII ZR 314/86, CR 1988, 124. 4 Vgl. etwa Schneider, Handbuch des EDV-Rechts, J Rz. 1 ff. 5 Jaeger in Wiebe/Leupold, Recht der elektronischen Datenbanken, III B Rz. 71. 6 Vgl. Jaeger in Wiebe/Leupold, Recht der elektronischen Datenbanken, III B Rz. 20 und 79; vgl. auch Jaeger/Metzger, Open Source Software, 4. Kap. Rz. 172 ff.
560
Funk
§ 37
III. Inhalt eines Datenbankerstellungsvertrags
sowie Performance gewährleistet sind. Wesentliches Element ist insoweit die Abfragesprache. c) Content Sofern auch der Content zum Vertragsbestandteil gemacht wird, ist da- 19 nach zu unterscheiden, ob die Inhalte urheberrechtlichen Schutz genießen oder nicht. aa) Lizenzvertrag zum Erwerb von Inhalten In der Regel handelt es sich bei dem Erwerb von Inhalten, die dem urhe- 20 berrechtlichen Schutz unterliegen, um Fälle eines Rechtskaufs gemäß §§ 453, 433 BGB. Gegen Zahlung der vereinbarten Vergütung erhält der Auftraggeber die Einräumung der erforderlichen urheberrechtlichen Nutzungsrechte. Etwas anderes gilt, wenn die Inhalte erst noch erstellt werden sollen. In diesen Fällen ist das Werkvertragsrecht einschlägig. Es sollten für die Inhalte ein Vertragszweck festgelegt und die erforderlichen Nutzungsarten bestimmt werden, so dass keine Unklarheiten über den Umfang der eingeräumten Rechte entstehen und insoweit möglichst geringe Auslegungsspielräume verbleiben1. Die Definition der Inhalte kann in einem Anhang zum Vertrag erfolgen. 21 Es empfiehlt sich außerdem klarzustellen, in welcher Form die Inhalte übermittelt oder bereitgestellt werden. Sollte eine Datenbank es nach ihrem Zweck erfordern, so kann auch vereinbart werden, dass die Inhalte in regelmäßigen Abständen aktualisiert werden2. bb) Sonstige Inhalte Sollte die Schöpfungshöhe für ein urheberrechtlich geschütztes Werk 22 nicht erreicht werden, wie beispielsweise bei der Sammlung einfach strukturierter Daten, so liegt ein kauf- oder werkvertraglicher Vertragsbestandteil vor3. Dies richtet sich ebenfalls danach, ob die Inhalte bereits vorhanden sind oder noch erstellt werden sollen. Die Einräumung von urheberrechtlichen Nutzungsrechten ist in diesen Fällen nicht erforderlich. Außerdem gibt es verwandte Schutzrechte, die zwar nicht auf einer per- 23 sönlichen Schöpfung beruhen, aber dennoch als kulturelle Leistungen immaterieller Natur als schutzwürdig angesehen werden. Dies sind etwa die Rechte der ausübenden Künstler, der Tonträger- und Filmhersteller 1 Jaschinski in Wiebe/Leupold, Recht der elektronischen Datenbanken, III A Rz. 38 und 43. 2 Vgl. Gennen in Redeker, Handbuch der IT-Verträge, 3.9 Rz. 220 ff. 3 Gennen in Redeker, Handbuch der IT-Verträge, 3.9 Rz. 23 f.; Jaschinski in Wiebe/ Leupold, Recht der elektronischen Datenbanken, III A Rz. 128. Funk
561
§ 37
Der Datenbankerstellungsvertrag
und der Sendeunternehmen, da sie für die Werkvermittlung von Bedeutung sind1. Die verwandten Schutzrechte sind in den §§ 70 ff. UrhG geregelt. Soweit verwandte Schutzrechte an den Inhalten bestehen, müssen diese bei der Gestaltung des Datenbankerstellungsvertrags berücksichtigt werden. cc) Vertragsdauer 24
In der Regel werden Datenbanken zeitlich unbefristet genutzt. Demgemäß sollte im Vertrag regelmäßig auch das Recht zur dauerhaften Nutzung des Contents vorgesehen werden. Wenn besondere Umstände vorliegen, besteht auch die Möglichkeit, eine begrenzte Nutzungsdauer oder ein Kündigungsrecht vorzusehen2. d) Benutzeroberfläche
25
Die Erstellung einer Benutzeroberfläche, auch Webdesign genannt, erfordert eine individuelle Gestaltung oder Anpassung nach den Bedürfnissen und Vorgaben des Auftraggebers3. Dies macht die Vereinbarung werkvertraglicher Regelungen erforderlich. Es gelten daher hinsichtlich des Vertragstypus die Ausführungen zur Individualsoftware entsprechend4.
26
Die Anforderungen an den zu erreichenden Erfolg sind in der Leistungsbeschreibung festzulegen. Es kann auch ein Pflichtenheft erstellt werden5. Für Benutzeroberflächen von Datenbanksystemen ist insbesondere zu regeln, wie die Anbindung erfolgen soll, welche Dateiformate der Webseiten-Elemente verwendet und welche Sonderfunktionen umgesetzt werden müssen. Außerdem sollte die Möglichkeit der Konfigurierbarkeit durch den Auftraggeber sichergestellt und möglicherweise die Auffindbarkeit der Datenbank über das Internet – soweit vom Auftraggeber gewünscht – mittels Metatags ebenfalls geregelt werden6. e) Vertragstypologische Einordnung des Gesamtvertrags
27
Die Heterogenität des Vertragsgegenstands führt dazu, dass es sich bei einem Datenbankerstellungsvertrag insgesamt um einen gemischten Vertrag handelt, dessen vertragstypologische Einordnung im Rahmen einer Schwerpunktbetrachtung anhand des von den Parteien vereinbarten Vertragszwecks, wie er sich in der Leistungsbeschreibung niederschlägt, vor-
1 Dreier in Dreier/Schulze, UrhG, Vorb zu §§ 70 ff. Rz. 1. 2 Gennen in Redeker, Handbuch der IT-Verträge, 3.9 Rz. 336; Jaschinski in Wiebe/ Leupold, Recht der elektronischen Datenbanken, III A Rz. 98. 3 Müller/Bohne, Providerverträge, B. I. 2. § 1 2. 4 Vgl. Schmidt in Spindler, Vertragsrecht der Internet-Provider, VIII Rz. 4 ff. 5 Müller/Bohne, Providerverträge, B. I. 2. § 1 5. 6 Jaeger in Wiebe/Leupold, Recht der elektronischen Datenbanken, III B Rz. 94.
562
Funk
§ 37
III. Inhalt eines Datenbankerstellungsvertrags
genommen werden muss1. Bei typischer Gestaltung eines Datenbankerstellungsvertrags dürfte der Schwerpunkt der Leistungen Erfolgsbezug haben, was eine Qualifizierung als Werkvertrag nahelegt. 2. Projektphasen Insbesondere wegen der werkvertraglichen Komponenten kann es sich 28 anbieten, die Durchführung des Datenbankerstellungsvertrags in einzelne Projektphasen zu unterteilen. Inwieweit dies sinnvoll ist, hängt davon ab, welche Komponenten des Datenbanksystems bei Vertragsschluss schon vorhanden sind und welche noch der individuellen Neuentwicklung oder Anpassung bedürfen. Auch hier sind die Anforderungen zu berücksichtigen, die bei der Erstellung von Individualsoftware im Allgemeinen gelten. Die zu erstellenden Ergebnisse sind festzulegen und in der Regel in einem Pflichtenheft zu dokumentieren. Im Rahmen dieser Konzeptionsphase sind die Anforderungen von Auftraggeber und Auftragnehmer zu erarbeiten und zu strukturieren2. Die Mitwirkung des Auftraggebers wird vertraglich häufig als Vertragspflicht im Rechtssinne ausgestaltet3. Ohne eine solche Vereinbarung gilt die gesetzliche Regelung des § 642 BGB, nach der die Mitwirkung lediglich eine Obliegenheit darstellt4. Die eigentliche Umsetzung in Quelltext erfolgt sodann in der Implementierungs- oder Kodierungsphase5. Darauf folgt schließlich eine Testphase mit nachfolgender Abnahme durch den Auftraggeber. 3. Vergütung Der Ausgestaltung des Vergütungsmodells sind kaum Grenzen gesetzt. 29 Zumindest im Rahmen der Kalkulation der Vergütung durch den Auftragnehmer werden die verschiedenen Bestandteile des Datenbanksystems gesondert betrachtet werden. Ob im Rahmen des vertraglich vereinbarten Vergütungsmodells ebenfalls zwischen diesen Bestandteilen differenziert wird oder ob ein pauschalierendes Modell gewählt wird, ist eine Frage des Einzelfalls. a) Speichermedium Da der Auftragnehmer das Speichermedium typischerweise von einem 30 Hersteller bezieht, dürfte der Beschaffungspreis des Speichermediums
1 Zum Internet-System-Vertrag vgl. BGH v. 4.3.2010 – III ZR 79/09, MMR 2010, 398. 2 Wiebe in Leupold/Glossner, Münchener Anwaltshandbuch IT-Recht, Teil 3 Rz. 9 f. 3 Vgl. Grapentin, Beck’sche Online-Formulare Vertrag, 9.1.1. Software-Projektvertrag, Rz. 14. 4 Schneider, Handbuch des EDV-Rechts, H Rz. 147a. 5 Grützmacher in Wandtke/Bullinger, UrhG, § 69a Rz. 6. Funk
563
§ 37
Der Datenbankerstellungsvertrag
zuzüglich eines Aufschlags in die Vergütung des Datenbankerstellungsvertrags einfließen. b) Datenbankmanagementsystem 31
Wird das DBMS individuell erstellt, so gilt wie bei jeder Softwareerstellung, dass entweder eine pauschale oder eine aufwandsbezogene Vergütung vereinbart wird1. Bei einem Standard-DBMS ohne individuelle Anpassung hingegen wird, ebenso wie für das Speichermedium, typischerweise eine pauschale Vergütung vereinbart. Zu berücksichtigen ist der Umstand, dass Urheber bei Vereinbarung einer nicht angemessenen Vergütung für urheberrechtlich geschützte Inhalte gemäß § 32 Abs. 1 Satz 3 UrhG von ihrem Vertragspartner eine Änderung des Vertrags verlangen können, durch die eine angemessene Vergütung gewährleistet wird. c) Content
32
Für den Content gelten zunächst die Ausführungen zu der Vergütung des DBMS entsprechend. Wird der Content zur dauerhaften Nutzung überlassen, bietet sich die Vereinbarung einer einmaligen Vergütung für den Content an. Möglich ist jedoch auch eine wiederkehrende Vergütung, die sich am Volumen der Abfrage, den Zugriffs- oder Benutzerzahlen oder aber an dem Umsatz orientiert, der mit den Inhalten erwirtschaftet wird2. d) Benutzeroberfläche
33
Auch für die Benutzeroberfläche gelten die Ausführungen zu der Vergütung des DBMS entsprechend und es ist damit sowohl eine pauschale als auch eine aufwandsbezogene Vergütung möglich. 4. Rechtseinräumung
34
Da sich das Datenbanksystem, wie dargestellt, aus einer Reihe unterschiedlicher Bestandteile zusammensetzt, muss der Datenbankerstellungsvertrag eine in gleicher Weise differenzierte Bestimmung zur Übertragung bzw. Einräumung der erforderlichen Rechte an den Auftragnehmer vorsehen.
1 Vgl. Schneider, Handbuch des EDV-Rechts, H Rz. 174 ff. 2 Schuppert in Spindler, Vertragsrecht der Internet-Provider, VII Rz. 44 ff.
564
Funk
§ 37
III. Inhalt eines Datenbankerstellungsvertrags
a) Rechte am Datenbankwerk i.S.d. § 4 UrhG aa) Entstehung des Schutzrechts In § 4 UrhG ist der urheberrechtliche Schutz für sog. Datenbankwerke 35 normiert. Datenbankwerke sind Sammlungen von Werken, Daten oder anderen unabhängigen Elementen, die systematisch oder methodisch angeordnet und einzeln mit Hilfe elektronischer Mittel oder auf andere Weise zugänglich sind. Ein Datenbankwerk setzt eine persönliche geistige Schöpfung voraus, nicht jedoch dass die Inhalte selbst urheberrechtlich geschützte Elemente sind1. bb) Schutzrechtsinhaber Der urheberrechtliche Schutz gemäß § 4 UrhG steht dem Schöpfer des 36 Datenbankwerks zu2, der auch als Herausgeber bezeichnet wird3. Für in Arbeits- oder Dienstverhältnissen geschaffene Datenbankwerke ist § 43 UrhG anzuwenden4. Demnach sind zunächst die Arbeitnehmer als Schöpfer anzusehen. Der Auftragnehmer muss daher durch die vertragliche Gestaltung der Arbeitsverträge sicherstellen, dass er ausschließliche Nutzungsrechte an den Datenbankwerken erhält. cc) Vertragsgestaltung Im Rahmen des Datenbankerstellungsvertrags sind gegenüber dem Auf- 37 traggeber Nutzungsrechte in ausschließlicher oder einfacher Form an dem Gegenstand des Urheberrechtsschutzes des Datenbankwerks einzuräumen. Dieser umfasst die Struktur der Datenbank, nicht aber den Content oder das DBMS5. Auch eine Benutzeroberfläche fällt nicht unter den Schutz des Datenbankwerks und ist daher nicht Gegenstand der Rechtseinräumung betreffend das Datenbankwerk6. Eine Rechtseinräumung für diese Komponenten muss gesondert erfolgen. b) Sui-generis-Schutz, §§ 87a ff. UrhG aa) Entstehung des Schutzrechts Gemäß §§ 87a ff. UrhG ist eine Datenbank geschützt, die eine Samm- 38 lung von Werken, Daten oder anderen unabhängigen Elementen darstellt, die systematisch oder methodisch angeordnet und einzeln mit Hilfe elektronischer Mittel oder auf andere Weise zugänglich sind und deren 1 Loewenheim in Schricker/Loewenheim, UrhG, § 4 Rz. 36 ff. 2 Loewenheim in Schricker/Loewenheim, UrhG, § 4 Rz. 45. 3 Marquardt in Wandtke/Bullinger, UrhG, § 4 Rz. 18; Kotthoff in Dreyer/Kotthoff/ Meckel, UrhG, § 4 Rz. 21. 4 Koch in Loewenheim, Handbuch des Urheberrechts, § 77 Rz. 12. 5 Vgl. Loewenheim in Schricker/Loewenheim, UrhG, § 4 Rz. 43 f.; Kotthoff in Dreyer/Kotthoff/Meckel, UrhG, § 4 Rz. 13. 6 Haberstumpf, GRUR 2003, 14 (18). Funk
565
§ 37
Der Datenbankerstellungsvertrag
Beschaffung, Überprüfung oder Darstellung eine nach Art oder Umfang wesentliche Investition erfordert. Es handelt sich hierbei um den sog. sui generis-Schutz für die erforderliche Investition1. 39
Keine Bedeutung hat es, ob eine bestimmte Schöpfungshöhe erreicht wird. Eine Investition liegt in allen Mitteln, die der Ermittlung von vorhandenen Elementen und deren Zusammenstellung in der Datenbank dienen. Dazu zählt nicht die Erzeugung der Inhalte selbst. Die Entwicklung eines Datenbankkonzepts, die physische Bereitstellung der Datenbank und die Investition in eine Software jedoch werden berücksichtigt2. Das DBMS kann somit zwar bei der Investition berücksichtigt werden, ist aber selbst nicht gemäß §§ 87a ff. UrhG geschützt3. Berücksichtigungsfähig sind nicht nur Investitionen finanzieller Natur, sondern auch Investitionen in Form von Zeit, Arbeit und Energie4. bb) Schutzrechtsinhaber
40
Die Rechte stehen dem Datenbankhersteller, mithin derjenigen natürlichen oder juristischen Person zu, die die Initiative zur Herstellung der Datenbank ergriffen hat und das mit der Investition verbundene Risiko trägt. Wer dies ist, muss im Einzelfall festgestellt werden. Erforderlich ist eine unmittelbare Beteiligung an Gewinn und Verlust. Der Auftragnehmer im Rahmen eines Datenbankerstellungsvertrags scheidet als Datenbankhersteller in aller Regel aus, weil er für seine Leistungen vergütet wird, nicht aber das mit der Erstellung der Datenbank verbundene Amortisationsrisiko trägt5. Datenbankhersteller ist daher regelmäßig der Auftraggeber. cc) Vertragsgestaltung
41
Das Recht des Datenbankherstellers ist – anders als das Urheberrecht an Datenbankwerken – gemäß §§ 398, 413 BGB frei übertragbar6. Es besteht auch die Möglichkeit, daran lediglich Nutzungsrechte einzuräumen7. Da im Rahmen eines Datenbankerstellungsvertrags regelmäßig der Auftrag1 Dreier in Dreier/Schulze, UrhG, § 87a Rz. 1. 2 Kotthoff in Dreyer/Kotthoff/Meckel, UrhG, § 87a Rz. 25 ff.; Thum in Wandtke/ Bullinger, UrhG, § 87a Rz. 35 ff. 3 Kotthoff in Dreyer/Kotthoff/Meckel, UrhG, § 87a Rz. 9. 4 Dreier in Dreier/Schulze, UrhG, § 87a Rz. 12. 5 Vgl. Thum in Wandtke/Bullinger, UrhG, § 87a Rz. 133; Kotthoff in Dreyer/Kotthoff/Meckel, UrhG, § 87a Rz. 42 m.w.N.; Vogel in Schricker/Loewenheim, UrhG, § 87a Rz. 69 f. 6 Art. 7 Abs. 3 Datenbankschutz-Richtlinie (RL 96/9/EG); Schack, Urheber- und Urhebervertragsrecht, 3. Teil Rz. 744; Koch in Loewenheim, Handbuch des Urheberrechts, § 77 Rz. 39b; Vogel in Schricker/Loewenheim, UrhG, Vor §§ 87a ff. Rz. 32. 7 Dreier in Dreier/Schulze, UrhG, § 87a Rz. 22; Thum in Wandtke/Bullinger, UrhG, § 87a Rz. 137.
566
Funk
§ 37
III. Inhalt eines Datenbankerstellungsvertrags
geber der Datenbankhersteller i.S.v. § 87a Abs. 2 UrhG ist, bedarf es bei typischer Interessenlage keiner Rechtsübertragung oder Nutzungsrechtseinräumung. Es empfiehlt sich jedoch, im Vertrag klarzustellen, dass der Auftraggeber Datenbankhersteller und damit Inhaber sämtlicher Rechte an der Datenbank i.S.d. §§ 87a ff. UrhG ist. dd) Verhältnis des Schutzes gemäß § 4 UrhG zu §§ 87a ff. UrhG Der Schutz gemäß § 4 UrhG und §§ 87a ff. UrhG entsteht selbständig 42 und unabhängig voneinander, die Rechte entstehen originär bei unterschiedlichen Personen, nach unterschiedlichen Voraussetzungen, sie haben einen unterschiedlichen Schutzumfang und eine unterschiedliche Schutzdauer1. Vertraglich sollte deshalb nach den beiden Schutzrechten, so sie kumulativ vorliegen, differenziert werden. c) Speichermedium An dem Speichermedium ist das Eigentum zu übertragen, das ein umfas- 43 sendes Nutzungsrecht vermittelt. Darüber hinausreichende Nutzungsrechte müssen nicht eingeräumt werden. d) Datenbankmanagementsystem Beim DBMS ist hinsichtlich der Einräumung von Nutzungsrechten er- 44 neut zu unterscheiden. aa) Individuelles Datenbankmanagementsystem Bei der Erstellung von Individualsoftware ist die vertragliche Nutzungs- 45 rechtseinräumung an der erstellten Software erforderlich, da die Vorschriften des BGB zum Werkvertrag hierfür keine Vorgaben enthalten2. Der Auftragnehmer erwirbt zunächst auf der Grundlage der Anstellungsverträge mit seinen Mitarbeitern oder auf der Grundlage von § 69b Abs. 1 UrhG die ausschließlichen Nutzungsrechte am DBMS. Die Vertragsparteien müssen sich darüber einigen, ob Rechte beim Auftragnehmer verbleiben sollen. Häufig wird dem Auftraggeber das ausschließliche Nutzungsrecht einschließlich des Bearbeitungsrechts eingeräumt werden, da dieser eine weitere Verwertung der individuell auf seine Bedürfnisse zugeschnittenen Software durch den Auftragnehmer nicht akzeptiert. Möglich ist es aber auch, dass dem Auftraggeber nur ein einfaches Nutzungsrecht eingeräumt wird oder er nach einer ausschließlichen Nutzungsrechtseinräumung eine Rücklizenz einfacher Nutzungsrechte an den Auftragnehmer gewährt. Dies kann in Fällen sinnvoll sein, in denen der Auftraggeber eine Alleinverwertung des DBMS und einen Ausschluss 1 Thum in Wandtke/Bullinger, UrhG, Vor §§ 87a ff. Rz. 29 ff.; Vogel in Schricker/ Loewenheim, UrhG, Vor §§ 87a ff. Rz. 42. 2 Jaeger in Wiebe/Leupold, Recht der elektronischen Datenbanken, III B Rz. 36 f. Funk
567
§ 37
Der Datenbankerstellungsvertrag
des Zugangs von Konkurrenten zum DBMS nicht für notwendig erachtet. Der Vorteil kann für ihn darin bestehen, dass sich die Vergütung ermäßigt, da der Auftragnehmer das DBMS einer eigenen Nutzung zuführen kann. Werden Standardprogramme angepasst oder wird Open Source Software verwendet, so ist sicherzustellen, dass nur Nutzungsrechte eingeräumt werden, die dem Auftragnehmer auch zustehen. Je nach Interessenlage können auch zeitliche, räumliche oder inhaltliche Beschränkungen bei der Einräumung der Nutzungsrechte vorgenommen werden1. bb) Datenbankmanagement-Standardsoftware 46
Bereits aus § 69d Abs. 1 i.V.m. § 69c Nr. 1 und 2 UrhG ergibt sich, dass bei Computerprogrammen solche Handlungen, die eigentlich dem Urheber zustehen und damit seiner Zustimmung bedürfen, ohne eine gesonderte Nutzungsrechtseinräumung zulässig sind, wenn die Handlung für die bestimmungsgemäße Benutzung des Computerprogramms durch jeden zur Verwendung eines Vervielfältigungsstücks Berechtigten notwendig ist. Zur bestimmungsgemäßen Benutzung von Standardsoftware zählen das Installieren auf der Festplatte des Rechners sowie das Laden in den Arbeitsspeicher beim Aufrufen durch den jeweiligen Benutzer. Was zur bestimmungsgemäßen Benutzung im Einzelfall gehört, ergibt sich aus dem jeweiligen objektiven Vertragszweck2. Dieser sollte ohnehin, wie bereits ausgeführt3, klar im Vertrag festgelegt werden. Zudem sollte trotz der Bestimmungen in § 69d Abs. 1 i.V.m. § 69c Nr. 1 und 2 UrhG zur Klarstellung eine Nutzungsrechtsbestimmung in den Datenbankerstellungsvertrag aufgenommen werden, die die an dem DBMS eingeräumten Rechte im Einzelnen beschreibt. Unverzichtbar ist dies in Fällen, in denen weitergehende Rechte eingeräumt werden sollen als diejenigen, die Gegenstand von § 69d Abs. 1 i.V.m. § 69c Nr. 1 und 2 UrhG sind. cc) Open Source Software
47
Wird ein Open Source-DBMS verwendet, so bestimmen sich Art und Umfang der Nutzungsrechte nach der jeweiligen Open Source-Lizenz, unter der das DBMS verbreitet wird4. Sieht die Open Source-Lizenz einen sog. „viralen Effekt“ vor, wie beispielsweise die populärste Open SourceLizenz, die GNU General Public License, so ist bei der Vertragsgestaltung sowie der Erstellung des DBMS darauf zu achten, dass die Voraussetzungen des „viralen Effekts“ nicht erfüllt werden, soweit die Parteien an 1 Jaeger in Wiebe/Leupold, Recht der elektronischen Datenbanken, III B Rz. 38 ff. 2 Grützmacher in Wandtke/Bullinger, UrhG, § 69d Rz. 7; Kotthoff in Dreyer/Kotthoff/Meckel, UrhG, § 69d Rz. 5. 3 S. oben schon hinsichtlich des Contents Rz. 19 ff. 4 Vgl. Jaeger in Wiebe/Leupold, Recht der elektronischen Datenbanken, III B Rz. 80 sowie zu den Einzelheiten Jaeger/Metzger, Open Source Software, Rz. 23 ff.
568
Funk
§ 37
III. Inhalt eines Datenbankerstellungsvertrags
dem ursprünglich nicht der Open Source-Lizenz unterfallenden Teil des DBMS proprietäre Rechte bewahren wollen. Im Falle der GNU General Public License kommt es darauf an, ob ein „abgeleitetes Werk“ vorliegt. Die betreffenden Bestimmungen der GNU General Public License, die festlegen, wann ein „abgeleitetes Werk“ vorliegt, sind in einer Weise formuliert, die eine Abgrenzung schwierig machen1. Ob die betreffenden Bestimmungen der GNU General Public License nach deutschem AGBRecht überhaupt wirksam sind, ist eine offene Frage2. e) Content Wie im Falle des DBMS ist es wegen der in § 31 Abs. 5 UrhG normierten 48 Zweckübertragungsregel auch für den Content erforderlich, im Datenbankerstellungsvertrag sämtliche Nutzungsrechte, die dem Auftraggeber eingeräumt werden sollen, klar, eindeutig und detailliert zu regeln. In Zweifelsfällen gelten nur diejenigen Nutzungsarten als vereinbart, die im Vertrag klar aufgeführt werden3. Es hängt vom Einzelfall ab, welche Nutzungsrechte an dem Content 49 dem Auftraggeber zu gewähren sind. Typischerweise benötigt dieser das Recht zur Vervielfältigung nach § 16 UrhG sowie das Recht der öffentlichen Zugänglichmachung nach § 19a UrhG4. Auch die Einräumung eines Bearbeitungsrechts nach § 23 UrhG erscheint für den Content notwendig, damit beim Betrieb der Datenbank etwa Inhalte geändert werden können, wenn sie veraltet oder möglicherweise zum Teil rechtswidrig sind5. Zudem muss festgelegt werden, ob die Nutzungsrechte ausschließlich 50 oder einfach sein sollen und zeitlichen, inhaltlichen oder örtlichen Schranken unterworfen werden sollen6. Ferner sollte wegen § 35 UrhG geregelt werden, ob der Auftraggeber berechtigt sein soll, die Nutzungsrechte ganz oder teilweise zu übertragen oder Unterlizenzen einzuräumen. Für den Content ist bei der Entscheidung über die Ausgestaltung der 51 Nutzungsrechte schließlich zu berücksichtigen, ob der Auftraggeber Exklusivität der Inhalte begehrt und weitere Nutzungsrechte erteilen will. 1 Vgl. Jaeger in Wiebe/Leupold, Recht der elektronischen Datenbanken, III B Rz. 81. 2 Die Wirksamkeit bezweifelnd Funk/Zeifang, CR 2007, 617 (619, 621 f.); a.A. Jaeger/Metzger, Open Source Software, Rz. 184 ff. 3 Wiebe in Spindler/Schuster, Recht der elektronischen Medien, § 31 UrhG Rz. 15. 4 Jaschinski in Wiebe/Leupold, Recht der elektronischen Datenbanken, III A Rz. 46; Dreyer in Dreyer/Kotthoff/Meckel, UrhG, § 15 Rz. 31. 5 Vgl. Jaschinski in Wiebe/Leupold, Recht der elektronischen Datenbanken, III A Rz. 47; Bullinger in Wandtke/Bullinger, UrhG, § 23 Rz. 4. 6 Schuppert in Spindler, Vertragsrecht der Internet-Provider, VII Rz. 101 ff. Funk
569
§ 37
Der Datenbankerstellungsvertrag
Sollte dies zutreffen, sind ausschließliche Nutzungsrechte zu vereinbaren. f) Benutzeroberfläche 52
Wenn eine urheberrechtlich relevante Gestaltungshöhe der Benutzeroberfläche erreicht wird, muss hierfür im Datenbankerstellungsvertrag ebenfalls eine Nutzungsrechtseinräumung erfolgen. Die persönliche Schöpfung kann sich sowohl aus der Erstellung einzelner Elemente als auch aus der Anordnung bereits zuvor vorhandener Elemente ergeben1. Es gelten die Ausführungen zum individuell erstellten DBMS entsprechend. 5. Gewährleistung
53
Bei der Regelung der Gewährleistung ist der Umstand zu berücksichtigen, dass sich der Datenbankerstellungsvertrag aus verschiedenen Bestandteilen zusammensetzt, die unterschiedlichen Vertragstypen unterfallen2. a) Speichermedium
54
Für das Speichermedium gilt das kaufrechtliche Gewährleistungsregime, das Nacherfüllung und in zweiter Stufe Minderung oder Rücktritt sowie Schadensersatz oder Ersatz vergeblicher Aufwendungen vorsieht. Unter Berücksichtigung der Umstände des Einzelfalls ist bei der Vertragsgestaltung zu entscheiden, inwieweit Abweichungen von den Bestimmungen des BGB veranlasst sind. In jedem Fall ist zu regeln, dass bei Eintritt der Voraussetzungen des Rücktritts wegen Mängeln des Speichermediums der Rücktritt vom gesamten Vertrag erklärt werden kann, weil die wesentlichen Bestandteile des Vertrags so eng miteinander verbunden sind, dass ein Teilrücktritt nicht sinnvoll ist. Gleiches gilt deshalb für den Rücktritt wegen Mängeln anderer Bestandteile des Datenbanksystems. b) Datenbankmanagementsystem
55
Für das DBMS kommt je nach Ausgestaltung des Vertragsgegenstands eine kaufrechtliche oder werkvertragliche Gewährleistung in Betracht. Bereits wegen der vertragstypologischen Unsicherheit bei Softwareverträgen sollte das Gewährleistungsregime für das DBMS vertraglich im Einzelnen festgelegt werden; dies ist ferner empfehlenswert, um den Besonderheiten des Einzelfalls Rechnung zu tragen. Typischerweise können Probleme auftreten, die sich aus Funktionsmängeln, Performancemängeln oder Kompatibilitätsmängeln ergeben3. Um Gewährleistungsansprüche für diese Fälle sicherzustellen, ist es wichtig, dass die Leistungs1 Müller/Bohne, Providerverträge, B. I. 2. § 1 4. 2 S. oben Rz. 9 ff. 3 Jaeger in Wiebe/Leupold, Recht der elektronischen Datenbanken, III B Rz. 60.
570
Funk
§ 37
III. Inhalt eines Datenbankerstellungsvertrags
beschreibung für das DBMS und damit die Anforderungen an dieses klar und umfassend formuliert werden. So kann eine Abweichung der Istvon der Sollbeschaffenheit im Problemfall auf der Grundlage des Vertrags leicht festgestellt werden. c) Content Auch für den Content gelten die kaufrechtlichen oder unter Umständen 56 werkvertraglichen Gewährleistungsregelungen, sofern der Content erst noch erstellt werden muss. Bei der Gewährleistung für Content stehen nicht Sach- sondern Rechtsmängel im Vordergrund. Inhalte von Datenbanken werden häufig aus den verschiedensten Quellen zusammengestellt, was das Risiko erhöht, dass der Auftragnehmer nicht über alle Rechte verfügt, die notwendig sind, um dem Auftraggeber alle vereinbarten Nutzungsrechte im Rahmen des Datenbankerstellungsvertrags einzuräumen. Es drohen daher die Verletzung von Rechten Dritter und in der Folge Unterlassungs- und Schadensersatzansprüche, die sich unmittelbar gegen den Auftraggeber richten1. Ergänzend zu der Rechtsmängelgewährleistung kommt die Vereinbarung einer Garantie des Auftragnehmers in Betracht. Die Garantie sollte insbesondere beinhalten, dass die Inhalte rechtmäßig sind und durch sie keine Rechte Dritter, wie etwa Urheber-, Marken-, Patent-, Persönlichkeits- oder Eigentumsrechte, verletzt werden. Auf diese Weise stehen dem Auftraggeber Ansprüche gegen den Auftragnehmer auch ohne dessen Verschulden zu2. Falls es nicht feststeht, ob der Content Werkcharakter gemäß § 2 UrhG 57 hat, sollte dies im Vertrag vermerkt sowie festgelegt werden, dass ein etwaiges Fehlen des Werkcharakters keine Schadensersatzfolgen hat. Voraussetzung ist hierfür ist, dass es dem Auftraggeber im Ergebnis nicht darauf ankommt, ob es sich bei dem Content um ein urheberrechtlich geschütztes Werk handelt oder er lediglich auf schuldrechtlicher Basis das Recht zur Nutzung des Content erhält3. d) Benutzeroberfläche Für die Benutzeroberfläche kommen typischerweise die werkvertragli- 58 chen Gewährleistungsregelungen in Betracht. Um für das Webdesign einen größeren Spielraum zu schaffen, mag es 59 sinnvoll sein, die Gewährleistung für die künstlerische Gestaltung einzuschränken, damit für den Auftragnehmer größere gestalterische und ästhetische Freiräume entstehen. Ergänzt werden sollte jedoch, dass der 1 Gennen in Redeker, Handbuch der IT-Verträge, 3.9 Rz. 307 ff. 2 Gennen in Redeker, Handbuch der IT-Verträge, 3.9 Rz. 301 ff., 312; Jaschinski in Wiebe/Leupold, Recht der elektronischen Datenbanken, III A Rz. 93 ff. 3 Vgl. Jaschinski in Wiebe/Leupold, Recht der elektronischen Datenbanken, III A Rz. 86 ff. Funk
571
§ 37
Der Datenbankerstellungsvertrag
Auftragnehmer die wirtschaftlichen Interessen des Auftraggebers stets angemessen berücksichtigen muss1. Keine Gewähr hat der Auftragnehmer für die von dem Auftraggeber gelieferten Inhalte zu übernehmen2. 6. Haftung 60
Die Haftungsbestimmung ist unter Berücksichtigung der jeweils bestehenden Interessen- und Risikoverteilung festzulegen. Es ist zu erwägen, eine Freistellungsbestimmung zugunsten des Auftraggebers im Bereich des Content für den Fall der Verletzung von Rechten Dritter zu ergänzen3. Umgekehrt sollte der Auftraggeber den Auftragnehmer von Ansprüchen Dritter freistellen, die von Inhalten verursacht werden, die der Auftraggeber zur Verfügung gestellt hat. Da bei einer Arbeit des Auftragnehmers mit Altdaten ein Datenverlust nicht ausgeschlossen ist, empfiehlt sich eine Haftungsregelung für diesen Fall. So kann beispielsweise vorgesehen werden, dass der Auftraggeber die Altdaten zuvor sichern muss4. 7. Geheimhaltung
61
In einer Geheimhaltungsvereinbarung sollte je nach individueller Interessenlage zwischen den Parteien sowohl beiderseitiges Stillschweigen vereinbart werden über den Inhalt des Vertrags, als auch über Informationen, die im Rahmen der Durchführung des Vertrags ausgetauscht werden. Auf Seiten des Auftraggebers können solche Informationen Unternehmensinterna wie etwa Geschäftszahlen, Kundenverbindungen, Vertriebswege oder Preisstrukturen sein5. Insbesondere beim Einpflegen von Altdaten kann es zu einer Kenntnisnahme von solchen vertraulichen Informationen durch den Auftragnehmer kommen. Auf Seiten des Auftragnehmers kann ein schutzwürdiges Interesse bestehen, Informationen über die Programmierung des DBMS oder der Benutzeroberfläche geheim zu halten6. 8. Sonstige Bestimmungen
62
Der Datenbankerstellungsvertrag sollte schließlich alle weiteren typischen Bestimmungen enthalten, die auch für Softwareerstellungs- und Softwareprojektverträge von Bedeutung sind7, namentlich Regelungen zu
1 2 3 4 5 6 7
Müller/Bohne, Providerverträge, B. I. 2. § 5 2. Müller/Bohne, Providerverträge, B. I. 2. § 5 3. Vgl. Gennen in Redeker, Handbuch der IT-Verträge, 3.9 Rz. 301 und 314. Jaeger in Wiebe/Leupold, Recht der elektronischen Datenbanken, III B Rz. 58. Marly, Praxishandbuch Softwarerecht, Teil 7 Rz. 1989. Jaeger in Wiebe/Leupold, Recht der elektronischen Datenbanken, III B Rz. 65. Vgl. zum Softwareerstellungsvertrag Schneider, Handbuch des EDV-Rechts, H Rz. 57 ff.
572
Funk
§ 37
IV. Fazit
Change Requests und Meilensteinplänen, abgestimmt auf die sorgfältig zu gliedernde Leistungsbeschreibung.
IV. Fazit Der Datenbankerstellungsvertrag ist ein gemischttypischer Vertrag, der 63 eine Vielzahl verschiedener Bestandteile regelt. Diese werden – je nach Lage des Einzelfalls – zum Teil individuell hergestellt und zum Teil von Dritten beschafft. Die Heterogenität sowohl der Vertragsbestandteile als auch der einschlägigen Vertragstypen muss bei der Gestaltung einer Reihe wesentlicher Vertragsbestimmungen berücksichtigt werden, indem zwischen den verschiedenen Bestandteilen des Vertragsgegenstands jeweils differenziert wird. Besonders anspruchsvoll ist die Gestaltung der Nutzungsrechtsbestimmung, da die Datenbank selbst sowie ihre verschiedenen Bestandteile unterschiedlichen Schutzrechtsregimen unterfallen – die Datenbank dem Schutz als Datenbankwerk, wenn die Voraussetzungen des § 4 UrhG erfüllt sind, sowie dem sui generis-Schutz der §§ 87a ff. UrhG, wenn deren Voraussetzungen erfüllt sind, der Content und die Benutzeroberfläche dem Urheberrecht, soweit die erforderliche Schöpfungshöhe erreicht wird, das DBMS als Computerprogramm den §§ 69a ff. UrhG sowie das Speichermedium dem Eigentumsrecht.
Funk
573
§ 38 Vereinbarungen über die Migration von Daten Rz. I. Einführung . . . . . . . . . . . . . . . . . . . 1 1. Ausgangslage und Begrifflichkeiten . . . . . . . . . . . . . . . . . . . . . . . 1 2. Überblick . . . . . . . . . . . . . . . . . . . . 8 3. Leistungspflicht des Auftragnehmers . . . . . . . . . . . . . . . . . . . . . 11 II. Ausgewählte rechtliche Aspekte . 1. Vertragstypologie. . . . . . . . . . . . . . 2. Leistungsbeschreibung, Vorgehensweisen . . . . . . . . . . . . . . a) Inhalt und Umfang . . . . . . . . . .
13 13 19 19
Rz.
3. 4. 5. 6.
b) Art und Weise der Datenmigration . . . . . . . . . . . . . . . . . . c) Formulierungsbeispiel . . . . . . . Mitwirkung . . . . . . . . . . . . . . . . . . Test und Abnahme . . . . . . . . . . . . Mängelrechte und Haftung . . . . . . a) Sach- und Rechtsmängel . . . . . b) Schadensersatz . . . . . . . . . . . . . Vergütung . . . . . . . . . . . . . . . . . . . .
21 24 25 30 37 37 40 42
III. Fazit . . . . . . . . . . . . . . . . . . . . . . . . 44
I. Einführung 1. Ausgangslage und Begrifflichkeiten 1
Der Begriff „Migration von Daten“ wird häufig verwendet, von Auftraggebern wie Auftragnehmern. Dennoch ist nicht klar, ob die Vertragspartner unter Migration das Gleiche verstehen und damit die gleiche Zielsetzung verfolgen.
2
Zum Begriff der Datenmigration finden sich folgende Definitionsversuche: – Unter Datenmigration ist der Export/Import von Daten/Dateien von einem System zu einem anderen bzw. von einer Software zu einer anderen zu verstehen. Datenmigration kann auch das Ersetzen einer Plattform bedeuten, mit welcher Daten/Dateien verwaltet und vom Altsystem übernommen werden. Unter Plattform kann ein physischer Datenspeicher oder eine Datenbanksoftware gemeint sein1. Export kann in diesem Zusammenhang grds. auch einen Export in Excel und von dort einen Import in ein anderes System bedeuten. – Datenmigration ist der Transfer von Daten aus bestehenden Datensystemen in eine neue Datenbank oder die Verpflichtung des IT-Dienstleisters für die Zukunft, bei der Datenmigration auf ein Drittsystem mitzuwirken2.
3
Zu ergänzen ist bei obigen Definitionsversuchen, dass es für die meisten Anwender im Rahmen der Datenmigration v.a. darum geht, die gesamte Datenmenge (in aller Regel die Daten in der vorhandenen Datenbank des Altsystems) oder zumindest wesentliche Teile daraus in die neue Softwarelösung zu übernehmen und damit die migrierten Daten nur noch im 1 S. www.wikipedia.org. 2 S. Brisch, CR 2004, 155.
574
Bischof
§ 38
I. Einfhrung
neuen System, nicht aber mehr im Altsystem weiterführen und verwalten zu müssen. Weiter wird von Anwendungsmigration gesprochen, worunter der Ersatz 4 einer Anwendung durch eine andere zu verstehen ist. Hierbei kommen sowohl Elemente der Software-Migration als auch der Datenmigration zusammen, wobei oft auch neue Hardware benötigt wird. Bei einer Hardware-Migration werden bestehende Systeme auf neue 5 Hardware migriert. Anhand dieser Begriffsdefinitionen zeigt sich, dass Migration in unter- 6 schiedlichen Zusammenhängen in Erscheinung tritt und mit verschiedenen Bedeutungen belegt ist, wobei sich anhand des konkreten Projekts relativ schnell festlegen lassen wird, unter welchen Begriff die konkrete Migration fällt. Die Datenmigration spielt innerhalb klassischer IT-Projekte eine maßgebliche Rolle, da in der heutigen Zeit fast jeder Auftraggeber bereits eine Softwarelösung im Einsatz hat, in der Daten gespeichert sind, die wiederum bei Ablösung des Altsystems in der neuen Softwarelösung benötigt werden, wenn auch ggf. nicht in vollem Umfang. Von erheblicher Bedeutung sind Migrationen im Rahmen von Outsourcing-Projekten bei den Phasen der Transition und Re-Transition1. Der Begriff der „Daten“ ist nicht selbsterklärend, da zwischen unter- 7 schiedlichen Daten zu unterscheiden ist – jeweils abhängig von der Art der durchzuführenden Migration, wie vorstehend dargestellt. Für die Altdatenübernahme im Rahmen eines IT-Projekts ist hinsichtlich des „Datenbegriffs“ auf den Beitrag von Sarre zu verweisen2. 2. Überblick Die folgenden Ausführungen behandeln ausschließlich rechtliche Aspek- 8 te der Übernahme von Daten innerhalb eines Software-Projekts, in dem der Lieferant (ggf. mit Subunternehmern) eine neue Softwarelösung einführen soll, die das Altsystem ablöst. Die fachlich/technischen Anforderungen einer solchen Altdatenübernahme finden sich bei Sarre3. Die Daten des Altsystems müssen – in einem zu vereinbarenden Umfang 9 und in zu vereinbarender Aktualität dieser Daten – auch in der neuen Softwarelösung und deren Struktur einsatzbereit zur Verfügung stehen4. Hintergrund ist, dass es in der Praxis ein eher seltener Ausnahmefall ist, dass die Datenmigration/Altdatenübernahme nicht durch das Unterneh1 2 3 4
S. hierzu Streitz, § 4. S. Sarre, § 3 Rz. 18 f. S. Sarre, § 3 Rz. 6 ff. sowie 20 ff. Betriebs-/Outsourcing-Aspekte werden vorliegend nicht behandelt. Zu den fachlichen/technischen Anforderungen einer solchen Altdatenübernahme s. Sarre, § 3 Rz. 6 ff. und 20 ff. Bischof
575
§ 38
Vereinbarungen ber die Migration von Daten
men erfolgt, das das IT-Projekt im Übrigen verantwortet und insbesondere die Software liefert und anpasst. Üblicherweise ist gerade Letzteres der Fall1. 10
Oftmals wird das Thema Datenmigration/Altdatenübernahme von beiden Vertragspartnern sowohl hinsichtlich Umfang, Zeitdauer und Planung als auch Komplexität unterschätzt, was sich spätestens im Rahmen der Abnahme rächt2. 3. Leistungspflicht des Auftragnehmers
11
Ohne gesonderte vertragliche Vereinbarung gehört die Datenmigration/ Altdatenübernahme nicht zum Leistungsportfolio des Auftragnehmers. Vielmehr muss Notwendigkeit und Verantwortlichkeit im Rahmen des IT-Projekts grundsätzlich geklärt werden. Gleiches gilt für die Art und Weise der Durchführung der Datenmigration/Altdatenübernahme, insbesondere im Hinblick auf ein phasenweises Vorgehen oder den vielfach anzutreffenden „Big-Bang-Ansatz“, wonach die Daten zu einem Stichtag migriert werden und sofort im neuen System einsatzbereit zur Verfügung stehen müssen3.
12
Werden keine Vereinbarungen getroffen, ist die Datenmigration Sache des Auftraggebers4.
II. Ausgewählte rechtliche Aspekte 1. Vertragstypologie 13
In aller Regel erfolgt die Datenmigration/Altdatenübernahme – wie einleitend bemerkt – im Rahmen eines IT-Projekts als einem „Strauß“ von Leistungen: Lieferung der Standardsoftware, Anpassung derselben auf die Bedürfnisse des Kunden (durch Eingriffe auf Quellcodeebene oder durch reines Customizing), Installation und Implementierung, Einweisung und Schulung, Anbindung anderer Systeme über Schnittstellen samt sonstiger Leistungen, die für die erfolgreiche Einführung der neuen Softwarelösung und zur Ablösung des Altsystems erforderlich sind. Diese Leistungen, die jeweils für sich betrachtet unterschiedlichen Vertragstypen
1 So auch Redeker in Schneider/Graf von Westphalen, Softwareerstellungsverträge, Kap. D Rz. 124. 2 S. hierzu auch die praktische Erfahrung: Sarre, § 3 Rz. 1 ff. 3 S. zu den unterschiedlichen Einführungsstrategien: Sarre, § 3 Rz. 11 ff. sowie in Bezug auf Transition und Re-Transition: Streitz, § 4 Rz. 29 ff. 4 So von dem Bussche/Schelinski in Leupold/Glossner, Münchner Anwaltshandbuch IT-Recht, Rz. 169; s.a. Witzel in Schneider/von Westphalen, Softwareerstellungsverträge, Kap. D Rz. 127.
576
Bischof
§ 38
II. Ausgewhlte rechtliche Aspekte
zuzuordnen sind, führen regelmäßig dazu, dass ein typengemischter Vertrag vorliegt1. Bei vorgenanntem Strauß an Leistungen liegt es nahe, den gesamten 14 Vertrag als Werkvertrag einzustufen, da der Schwerpunkt auf erfolgsorientierten Leistungen (wie Anpassung der Software, Installation, Implementierung, Anbindung anderer Systeme und Datenmigration) liegt2. Insofern bildet die Datenmigration/Altdatenübernahme einen Teil der vom Auftragnehmer erfolgreich durchzuführenden Leistungen, ohne die eine Abnahme seitens des Auftraggebers nicht erteilt wird. Allerdings kann man einerseits eine jeweils leistungsbezogene vertrags- 15 typologische Einordnung vornehmen und den Vertrag sodann jeweils bezogen auf die einzelnen Leistungspakete gestalten. Andererseits hat auch der Zeitpunkt der Migration für diese Leistung einen maßgeblichen Einfluss auf die Vertragstypologie: Soll die Datenmigration erst nach erfolgter Produktivsetzung eines Systems erfolgen, fällt die Migration aus den im Rahmen des Projekts bis zur Produktivsetzung erfolgenden Leistungen heraus. Die Abnahme des Projekts erfolgt damit ggf. bereits vor Beginn der Migrationsleistungen. Allerdings kann die Wichtigkeit der erfolgreich durchgeführten Datenmigration für den Auftraggeber auch dazu führen, dass die Abnahme des Projekts erst im Rahmen einer Gesamtabnahme erfolgt, die auch die Migrationsleistungen beinhaltet, während vorherige Leistungspakte als Teilabnahmen (ggf. auch nur im Rahmen von Freigaben) realisiert werden3. Betrachtet man die Migrationsleistungen aufgrund der vorstehenden 16 Aspekte getrennt von anderen Leistungen, ist somit maßgeblich für die Vertragstypologie, ob die Migrationsleistungen einen erfolgsorientierten Charakter ausweisen oder nicht. Dies wiederum hängt maßgeblich von der Gestaltung der Leistungsbeschreibung und der dortigen Verantwortlichkeiten ab. Übernimmt der Auftragnehmer die Verantwortung für die erfolgreiche 17 Datenmigration und wirkt der Auftraggeber hierbei nur in bestimmtem Rahmen mit, ist die Datenmigration nach Werkvertragsrecht zu beurteilen4. Überlässt der Auftragnehmer dem Auftraggeber hingegen nur z.B. ein Konvertierungsprogramm zur Datenübernahme, welches nicht für 1 S. zum typengemischten Vertrag u.a. Peter Krebs in Dauner-Lieb/Langen, BGB, § 311 Rz. 31; von dem Bussche/Schelinski in Leupold/Glossner, Münchener Anwaltshandbuch IT-Recht, Teil B.1, Rz. 33 ff. m.w.N.; Conrad/Schneider in AuerReinsdorff/Conrad, Beck’sches Mandatshandbuch IT-Recht, § 3 Rz. 11 m.w.N. 2 Die Thematik der Anwendung von Kaufrecht über § 651 BGB wird ausgeklammert. S. hierzu Conrad/Schneider in Auer-Reinsdorff/Conrad, Beck’sches Mandatshandbuch IT-Recht, § 3 Rz. 24 ff. m.w.N. 3 S. zu Test und Abnahme nachfolgend unter Rz. 30 ff. 4 S. zur Nichtanwendbarkeit von § 651 BGB im Zusammenhang mit der Altdatenübernahme: Redeker in Schneider/von Westphalen, Softwareerstellungsverträge, Kap. D Rz. 119 ff. Bischof
577
§ 38
Vereinbarungen ber die Migration von Daten
das konkrete Projekt entwickelt wurde, kommt für diese Überlassung des Konvertierungsprogramms (ohne weitere Leistungen) Kaufvertragsrecht zur Anwendung1. 18
Anliegen vieler Auftragnehmer ist es, im Rahmen von IT-Projekten die Datenmigration/Altdatenübernahme auszugliedern aus den sonstigen Leistungen und als eigenes Projekt zu betrachten und hierbei den Auftragnehmer nur im Rahmen eines Dienstvertrags zu unterstützen2 bzw. bei werkvertraglicher Erfolgsverantwortung zumindest eine Vergütung nach Aufwand zu erzielen. Dieses Bestreben ist durchaus nachvollziehbar, da die Datenmigration oftmals sehr aufwendig und umfangreich ist und sich manche Tücken erst im Rahmen der Zusammenarbeit herausstellen. Ob Auftraggeber dies wiederum akzeptieren, wird in der Praxis maßgeblich von der Bedeutung einer erfolgreichen Datenmigration für die künftige Nutzung auf Basis einer neuen Softwarelösung durch den Auftraggeber bestimmt. Je geschäftskritischer die Daten sind, umso weniger neigen Auftraggeber dazu, dem dienstvertraglichen Charakter zu folgen3. 2. Leistungsbeschreibung, Vorgehensweisen a) Inhalt und Umfang
19
Inhalt und Umfang einer Datenmigration/Altdatenübernahme sollten in einer Leistungsbeschreibung als Anlage des Vertrags möglichst detailliert beschrieben werden4. Zur Sicherheit beider Vertragspartner sollte eine solche Leistungsbeschreibung bereits bei Vertragsschluss vorliegen, damit keine Zweifel am Leistungsumfang sowie der hierfür vereinbarten Vergütung bestehen bzw. entstehen können. Sollte dies bei Vertragsschluss – aus welchen Gründen auch immer (z.B. Zeitdruck, fehlende oder unzureichende Unterlagen/Informationen/Dokumentationen zu Altsystemen, Unklarheiten hinsichtlich der Verantwortungsteilung etc.) nicht möglich sein, so müssen sich die Vertragspartner zumindest darüber verständigen, wie die verlässliche Grundlage für die Altdatenübernahme geschaffen wird und welche Auswirkungen auf die Vergütung dies ggf. haben kann5. Steht der Leistungsumfang der Migration nicht fest bzw. kann er nicht unzweifelhaft festgestellt werden, sind auch hier Streitigkeiten zwischen den Vertragspartnern vorprogrammiert, wie bei allen anderen unzurei1 Vgl. hierzu von dem Bussche/Schelinski in Leupold/Glossner, Münchner Anwaltshandbuch IT-Recht, Rz. 169; s.a. Redeker in Schneider/von Westphalen, Softwareerstellungsverträge, Kap. D. Rz. 123. S.a. Schneider, Handbuch des EDVRechts, Kap. D, Ziff. 5.4, Rz. 129 ff. mit Verweis auf OLG München v. 15.2.1989, CR 1990, 646 sowie OLG München v. 5.7.1991, CR 1991, 607. 2 S. Redeker in Schneider/von Westphalen, Softwareerstellungsverträge, Kap. D Rz. 122. 3 S. zur Vergütung nachfolgend unter Rz. 42 f. 4 Vgl. bei Transition und Re-Transition Streitz, § 4 Rz. 49 ff. 5 So auch Sarre, § 3 Rz. 33 ff. und Rz. 57 f.
578
Bischof
§ 38
II. Ausgewhlte rechtliche Aspekte
chend bestimmten Leistungsinhalten. Der Auftraggeber fällt ggf. zur Feststellung dessen, ob eine Abnahme erteilt werden kann, auf die Mängelhierarchie des § 633 Abs. 2 BGB zurück und hängt somit ggf. von mittlerem Ausführungsstandard, Eignung für die gewöhnliche Verwendung und üblicher Beschaffenheit ab. Eine solche Situation sollte auf jeden Fall vermieden werden und daher beiderseits entsprechend Zeit auf die Vereinbarung des Migrationsumfangs verwendet werden1. Zu den typischerweise festzulegenden Anforderungen gehören insbeson- 20 dere die Arten der Daten (z.B. Stammdaten und/oder Bewegungsdaten) und der Zeitraum, bis zu welchem zurück die Daten zu migrieren sind (also aktuelle Bestände, historische Bestände, Daten in produktiver Nutzung, archivierte Daten uä.). Wichtig ist v.a., dass die Daten ins neue System übernommen werden, die für aktuelle Geschäftsvorfälle benötigt werden. Ggf. müssen aber auch alte bzw. historische Daten übernommen werden, da diese ebenfalls weiter genutzt werden müssen oder aus Aufbewahrungsverpflichtungen heraus ebenfalls zur Verfügung stehen müssen. Hierbei ist vielfach der Zeitraum, bis zu dem zurück die Daten migriert werden müssen, von wesentlicher Bedeutung für den Aufwand, v.a. wenn es sich um Daten handelt, die im Neusystem nicht ohne Weiteres in der neuen Datenstruktur abgebildet werden können. b) Art und Weise der Datenmigration Ebenso muss die Art und Weise der Datenmigration geklärt werden. 21 Insofern wird vielfach darauf abgestellt, dass der Auftragnehmer ein Migrationskonzept erstellt und dieses entsprechende Qualitätssicherungsmaßnahmen vorsieht2. So könnten Regelungen zu folgenden Punkten getroffen werden3: – Der Auftragnehmer entwickelt für den Auftraggeber ein optimiertes Vorgehen für die Migration der in den Systemen des Auftraggebers vorhandenen Altdaten. Der Auftragnehmer konzipiert die für die Migration erforderlichen Leistungen und führt diese durch. – Im Rahmen des vom Auftragnehmer zu erstellenden Migrationskonzepts übernimmt der Auftragnehmer die Daten, Dokumente und laufenden Prozesse aus den vorhandenen Systemen. – Der Auftragnehmer überprüft im Rahmen der Migration die ordnungsgemäße und vollständige Übernahme der Altdaten. In der Praxis sind sowohl phasenweises Vorgehen als auch Big-Bang-An- 22 sätze bei der Datenmigration vorzufinden. Ein phasenweises Vorgehen
1 S.a. Sarre, § 3 Rz. 33 ff. 2 Zu Qualitätssicherung s.a. Sarre, § 2 Rz. 45 ff. 3 S. Witzel in Schneider/von Westphalen, Softwareerstellungsverträge, Kap. D Rz. 127. Bischof
579
§ 38
Vereinbarungen ber die Migration von Daten
der Datenmigration wird – neben anderen Aspekten1 – oftmals deswegen gewählt, um möglichst diejenigen Daten, die keinen Veränderungen mehr unterworfen sind, bereits frühzeitig zu übernehmen, sowie diejenigen Daten, die laufenden Veränderungen unterliegen bzw. die laufend neu hinzukommen, erst möglichst spät im Projekt und erst kurz vor Abnahme zu übernehmen. All dies muss im Rahmen eines Migrationskonzepts und der Projektplanung entsprechend berücksichtigt werden. Es sollten insbesondere Risiko- und Rückfallszenarien vorgesehen werden, falls sich Schwierigkeiten bei der tatsächlichen Durchführung der Migration ergeben. So kann es sowohl bei Big-Bang-Ansätzen als auch bei phasenweisen Migrationen sinnvoll sein, einen Parallelbetrieb des Alt- und Neusystems vorzusehen, damit bei Fehlern der Datenmigration reibungslos auf dem Altsystem mit den dortigen Altdaten gearbeitet werden kann, wobei dann wiederum ein Vorgehen für die Übernahme der im Parallelbetrieb entstehenden Daten vorgesehen werden muss2. Die Migration muss im Rahmen der Projektplanung in dem vereinbarten Projektplan/Aktivitäten- und Fristenplan entsprechend eingebunden und abgebildet werden3. 23
Auch sollte im Hinblick darauf, dass meist Daten aus einem technischen Format des einen Systems in ein anderes technisches Format des neuen Systems übertragen werden, Vereinbarungen dazu getroffen werden, dass die Daten inhaltlich nicht verändert werden dürfen. Falls eine inhaltliche Überprüfung auf Dubletten und Fehler erfolgen soll, so muss auch dies gesondert vereinbart und eindeutig geregelt werden. Die Fülle an zu migrierenden Daten erfordert in aller Regel eine automatisierte Übernahme, d.h. es müssen entsprechende Softwaretools – auch Migrations-/Konvertierungssoftware – genannt, zur Verfügung stehen, mittels derer die Daten aus dem Altsystem extrahiert, ggf. transformiert und dann in das Neusystem eingespielt werden4. Diese zu entwickeln bzw. zur Verfügung zu stellen, ist in aller Regel Aufgabe des Auftragnehmers und ist daher entsprechend in den vertraglichen Regelungen so vorzusehen. Die inhaltliche Prüfung der Daten wird wohl dem Auftraggeber obliegen5. Sollten automatisierte Übernahmen ganz oder teilweise nicht möglich sein, ist zur Not die Übernahme per Hand stets möglich, was ob der heutigen Datenmengen jedoch kaum mehr umsetzbar und sinnvoll erscheint.
1 S.a. Sarre, § 3 Rz. 14 f. 2 S.a. Sarre, § 3 Rz. 14 f. und Rz. 16 f. Zu Transition/Re-Transition s. Streitz, § 4 Rz. 29 ff. 3 So auch Sarre, § 3 Rz. 22 ff. 4 S.a. Sarre, § 3 Rz. 26 ff. und Rz. 33 ff. 5 S. Redeker, ITRB 2012, 165 ff.
580
Bischof
§ 38
II. Ausgewhlte rechtliche Aspekte
c) Formulierungsbeispiel Folgendes Formulierungsbeispiel ist eher auftraggeberfreundlich:
24
Migration Der Auftragnehmer entwickelt fr den Auftraggeber ein optimiertes Vorgehen fr die Migration der beim Auftraggeber vorhandenen Anwendungen (Subsysteme) auf die vom Auftragnehmer gelieferte Vertragssoftware1. Der Auftragnehmer bildet dieses optimierte Vorgehen im Rahmen der vereinbarten Projektplanung (v.a. Aktivitten- und Fristenplan) entsprechend ab (siehe hierzu Ziffer xxx). Der Auftragnehmer konzipiert und realisiert fr diese Migration die notwendigen Entwicklungsleistungen unter Bercksichtigung der in Anlage xxx beschriebenen Anforderungen. Der Auftragnehmer fhrt entsprechende Qualittssicherungsmaßnahmen whrend der Konzeption und Durchfhrung der Migration durch und weist diese dem Auftraggeber entsprechend nach. Der Auftragnehmer bernimmt im Rahmen eines von ihm zu erstellenden Migrationskonzepts die Daten, Dokumente und laufenden Prozesse aus den vorhandenen Subsystemen, soweit diese durch die Vertragssoftware abgelçst werden. Hierzu erstellt der Auftragnehmer die erforderliche Migrations-/Konvertierungssoftware, um eine automatisierte bernahme zu ermçglichen. Sollte eine vollstndig automatisierte bernahme nachweislich nicht mçglich sein, weist der Auftragnehmer hierauf frhzeitig hin und empfiehlt ein geeignetes Vorgehen, ber das sich die Vertragspartner einvernehmlich verstndigen werden. Der Auftragnehmer berprft im Rahmen der Migration die ordnungsgemße bernahme der Altdaten in die Vertragssoftware. Der Auftragnehmer stellt dem Auftraggeber im Rahmen der sonstigen Dokumentation auch die detaillierte Dokumentation des Datenmodells der Vertragssoftware zur Verfgung.
3. Mitwirkung Jede Datenmigration (unter werkvertraglicher Gestaltung) erfordert die 25 Mitwirkung des Auftraggebers. Art und Umfang dieser Mitwirkung sollten im Vertrag bzw. der Leistungsbeschreibung und/oder dem Projektplan im Detail beschrieben werden, um typische inhaltliche Streitigkeiten der Vertragspartner in diesem Zusammenhang zu vermeiden2. Der Auftraggeber wird sich kaum auf den Standpunkt stellen können, 26 nicht mitwirken zu müssen, wenn der Auftragnehmer die Datenmigration vollständig übernimmt oder zumindest maßgeblich mit begleitet. 1 Hier könnte auch weitergehend gefordert werden, dass ein „phasenweises Migrationskonzept“ vorzusehen ist. 2 S. zur Mitwirkung des Auftraggebers bei der Altdatenübernahme aus fachlich/ technischer Sicht: Sarre, § 3 Rz. 59 ff.; vgl. bei Transition und Re-Transition Streitz, § 4 Rz. 64 ff. Bischof
581
§ 38
Vereinbarungen ber die Migration von Daten
Dies wird der Auftragnehmer – in Unkenntnis des bisherigen Systems, der Qualität und Struktur der vorhandenen Daten und sonstiger Rahmenbedingungen – kaum können. Insofern sollte sich ein Auftraggeber auch nichts vormachen: Ohne seine Mitwirkung würden die Kosten der Datenübernahme ggf. sogar ein Vielfaches des eigentlichen Projektpreises übersteigen können. Insbesondere für die Qualität der Daten1 ist der Auftraggeber verantwortlich mit der Folge, dass dieser das Risiko schlechter Datenqualität trägt2. 27
Ein zentrales Anliegen des Auftragnehmers ist es oftmals, die für die Datenmigration vom Auftraggeber zu erbringenden Mitwirkungsleistungen als Hauptleistungspflichten zu vereinbaren, so dass die Mitwirkungsleistungen im Synallagma zu den vom Auftragnehmer zu erbringenden Leistungen stehen. Die daraus entstehenden gesetzlichen Folgen wie § 320 BGB sind für den Auftraggeber vielfach nur schwer akzeptabel, vor allem da eine solche Vereinbarung vom gesetzlichen Leitbild des Werkvertrags abweicht, wonach die Mitwirkung als reine Obliegenheit (vgl. § 642 BGB) vorgesehen ist3. Dies wiederum wird aus Sicht des Auftragnehmers der Wichtigkeit dieser Mitwirkung, letztlich der Abhängigkeit des Auftragnehmers von den erbrachten Mitwirkungsleistungen, allerdings nur schwerlich gerecht. Ein denkbarer Kompromiss kann die Vereinbarung der Mitwirkungsleistungen als Nebenpflichten sein, die dem Auftragnehmer die Möglichkeit des Schadensersatzes nach § 280 BGB ermöglicht, wenn der Auftraggeber sein Verschulden nicht widerlegen kann.
28
In der Praxis gilt es hier, im Rahmen von Vertragsverhandlungen einen sachgerechten Kompromiss zu erzielen. Die pauschale Vereinbarung von Mitwirkungsleistungen als Hauptleistungspflicht in AGB des Auftragnehmers dürfte gem. § 307 Abs. 2 Nr. 1 BGB als Abweichung vom gesetzlichen Leitbild des Werkvertrags nicht wirksam sein4.
29
Formulierungsbeispiel (auftragnehmerfreundliche, individualvertragliche Variante): Mitwirkung des Auftraggebers 1. Allgemeine Mitwirkungspflichten Der Auftraggeber untersttzt den Auftragnehmer bei der Leistungserbringung in angemessenem und notwendigen Umfang gemß Aktivitten- und Fristenplan, insbesondere durch weitere Mitarbeiter neben dem Ansprechpartner, die die Beantwortung fachlicher Fragen bernehmen und Informa-
1 S. zu Struktur, Qualität und Inhalten von Altdaten Sarre, § 2 Rz. 29. 2 S.a. Conrad/Schneider in Auer-Reinsdorff/Conrad, Beck’sches Mandatshandbuch IT-Recht, § 8 Rz. 94 ff., 97. 3 S. Palandt/Sprau, § 642 BGB Rz. 2 m.w.N. 4 S. Redeker in Auer-Reinsdorff/Conrad, Beck’sches Mandatshandbuch IT-Recht, § 11 Rz. 176.
582
Bischof
§ 38
II. Ausgewhlte rechtliche Aspekte
tionen zu derzeit beim Auftraggeber eingesetzten Informationstechnik geben kçnnen. Der Auftraggeber wird dem Auftragnehmer insbesondere die notwendigen Informationen zur Vertragsdurchfhrung zur Verfgung stellen. Der Auftragnehmer hat die Mitwirkungsleistungen rechtzeitig anzufordern. lauftragnehmerfreundliche Ergnzung: , sofern sich diese nicht bereits aus dem Aktivitten- und Fristenplan ergeben.L 2. Details der Mitwirkungsleistungen Der Auftraggeber ist linsbesondere – AN-freundliche VarianteL zu folgenden Mitwirkungsleistungen verpflichtet: – … – … Im Rahmen der Datenmigration sind folgende Mitwirkungsleistungen des Auftraggebers zu erbringen: – Sicherstellung des erforderlichen Qualittsniveaus der Daten, insbesondere berprfung der Qualitt der zu bernehmenden Daten und ggf. Bereinigung, wenn erforderlich. – Bereitstellung der zu bernehmenden Daten im mit dem Auftragnehmer in Anlage X vereinbarten Format. – Zur-Verfgung-Stellung des Datenmodells des Altsystems, aus dem die Daten zu bernehmen sind – …1 3. Mitwirkungsleistungen als Hauptleistungspflichten Die Vertragspartner sind sich einig, dass das Projekt ohne die Mitwirkung des Auftraggebers nicht erfolgreich durchgefhrt werden kann. Mitwirkungsleistungen des Auftraggebers sind daher Hauptleistungspflichten.
4. Test und Abnahme Ein weiteres wesentliches Augenmerk bei der Vertragsgestaltung muss 30 auf Test und Abnahme, Abnahmekriterien, Zeitpunkt der Abnahme und Vorgehen bei der Datenmigration gelegt werden2. Vielfach wird die Datenmigration zu einem früheren Zeitpunkt bzw. in 31 verschiedenen Phasen durchgeführt, um im Rahmen der Abnahme dieses Thema bereits weitgehend erfolgreich überstanden zu haben. Dies bietet sich insbesondere für solche Daten an, die bereits historisch abgelegt und archiviert sind und keinen Änderungen mehr unterliegen. Gleiches kann sich auch für Daten anbieten, die sich ggf. im Projekt ab einem bestimm1 S. zu weiteren Mitwirkungsleistungen bei Sarre, § 2 Rz. 59 ff. 2 S. bei Transition und Re-Transition Streitz, § 4 Rz. 57 ff. und Rz. 63. Bischof
583
§ 38
Vereinbarungen ber die Migration von Daten
ten Zeitpunkt nicht mehr ändern (können oder dürfen). Dabei ist jedoch zu beachten, dass wiederum andere zu übernehmende Daten einer fortlaufenden Änderung unterliegen und daher – wenn sie bereits frühzeitig ebenfalls übernommen wurden – dann zum Zeitpunkt der Abnahme und Produktivsetzung ggf. bereits veraltet sind. Diese Änderungen an den Daten infolge der Weiterarbeit im Altsystem müssen in einer Migration der „geänderten Schnittmenge“ noch erfolgen1. 32
Wird ein solches phasenweises Vorgehen für die Migration gewählt, so kann es sich anbieten, jede Phase gesondert zu testen und ggf. auch einer Teilabnahme zu unterziehen (auch wenn der Auftraggeber grds. zu Teilabnahmen nicht verpflichtet ist; Teilabnahmen erfolgen nur bei entsprechender Vereinbarung)2. Zur Absicherung des Auftraggebers, dass auch die Migration der vorgenannten „geänderten Schnittmenge“ ordnungsgemäß erfolgt ist, wird die Vereinbarung einer Gesamtabnahme empfehlenswert sein, in der der Erfolg der gesamten Migration, insbesondere der Schnittmenge, abschließend und vor Go-Live überprüft wird3.
33
Dringend anzuraten ist den Vertragspartnern, die Migrationsleistungen im Rahmen der Abnahmekriterien entsprechend zu regeln und bei den vereinbarten Mängelkategorien entsprechende Beispiele aufzunehmen, welche Probleme der Datenmigration unter welche Mängelkategorien fallen. Ebenfalls sollte berücksichtigt werden, dass sich oftmals Schwierigkeiten daraus ergeben, dass die zu migrierenden Daten nicht die erforderliche Qualität aufgewiesen haben, die Dokumentation des Altsystems, insbesondere das Datenmodell des Altsystems, nicht umfassend war und daher die Zuordnung der Daten im Neusystem erheblich erschwert wurde. Nachdem es sich hierbei typischerweise um Mitwirkungsleistungen des Auftraggebers handelt, sollten Probleme bei der Datenmigration, die auf solche unzureichende Mitwirkung zurückzuführen sind und sich im Rahmen der Abnahme herausstellen, entsprechend im Test- und Abnahmeverfahren zugunsten des Auftragnehmers berücksichtigt werden. So müssten sich Fristen für den Auftragnehmer verlängern, insbesondere eine Wiederholung (ggf. auch mehrfach) des Abnahmeverfahrens sollte in solchen Fällen nicht als unzumutbar angesehen werden. Die Qualität der Altdaten ist für die erfolgreiche Datenübernahme letztlich entscheidend; nachdem der Auftraggeber hierfür verantwortlich ist, trägt grds. auch er das Risiko schlechter Datenqualität4.
34
Es bietet sich in beiderseitigem Interesse an, dem eigentlichen Abnahmeverfahren umfassende Tests voranzustellen, um die geschilderten Schief1 Vgl. zu den diesbezüglichen technischen Aspekten bereits Sarre, § 3 Rz. 33 ff. 2 Vgl. Sprau in Palandt, BGB, § 640 Rz. 9 m.w.N. 3 Vgl. hierzu auch das schrittweise Vorgehen bei Test, Abnahme und Go-Live bei Sarre, § 3 Rz. 22 ff. 4 Vgl. Conrad/Schneider in Auer-Reinsdorff/Conrad, Beck’sches Mandatshandbuch IT-Recht, § 8 Rz. 97 mit Verweis auf OLG Köln v. 21.1.1994, CR 1994, 538.
584
Bischof
§ 38
II. Ausgewhlte rechtliche Aspekte
lagen frühzeitig zu entdecken und entsprechend gemeinsam gegensteuern zu können. Sinnvollerweise finden diese Tests nicht im künftigen Produktivsystem statt, sondern auf einem Testsystem anhand vorhandener Testfälle. Wer diese Testfälle erarbeitet bzw. stellt oder ob diese ggf. gemeinsam erarbeitet und vereinbart werden, ist wiederum vertraglich zu regeln. Dem Auftraggeber ist anzuraten, möglichst selbst – allenfalls mit Unterstützung des Auftragnehmers – solche Testfälle zu erstellen, wenn diese zugleich ausschließlich maßgeblich für die Abnahmeprüfung sein sollen, d.h. wenn die Abnahme allein auf Basis der „Abarbeitung“ dieser Testfälle erteilt werden soll1. Um die vorgenannte Problematik der stufenweisen Migration mit 35 „Schnittmengenmigration“ zu vermeiden, wird in der Praxis vielfach der Weg gewählt, die Daten stichtagsgenau vor der Produktivsetzung zu übernehmen („Big-Bang-Ansatz“2) und dabei den „Live-Gang“ durch entsprechenden Parallelbetrieb abzusichern3. Auch bei diesem Ansatz stellen sich die Themen von Testverfahren, Mängelkategorien, Mitverursachung von Mängeln durch unzureichende Mitwirkung des Auftraggebers und deren Abfederung im Rahmen der Abnahme. Formulierungsbeispiel: 1
36
Tests und Testverfahren fr die Projektleistungen gem. Ziffer x …
2
Tests und Testverfahren fr die Migrations-Pakete gem. Ziffer x
2.1
Konzept zum Testvorgehen Der Auftragnehmer hat fr das Testvorgehen bei der Datenmigration ein erstes Grobkonzept erstellt und in einem vorvertraglichen Workshop dem Auftraggeber vorgestellt (siehe Anlage x). Der Auftragnehmer vervollstndigt und detailliert dieses Grobkonzept zum Testvorgehen mit Untersttzung des Auftraggebers und stellt dem Auftraggeber eine finale Fassung des Grobkonzepts in Form eines Feinkonzepts zur Verfgung. Die Vertragspartner werden die Tests anhand dieses Feinkonzeptes durchfhren, sofern seitens des Auftraggebers keine erheblichen Einwnde gegen das finalisierte Testkonzept erhoben werden.
2.2
Testdaten, Testszenarien und Testflle Der Auftraggeber stellt fr die Tests von Auftragnehmer und Auftraggeber Testdaten, Testszenarien und Testflle zur Verfgung (nachfolgend gemeinsam genannt „Testflle“).
1 S. zu einem Grobschema für Test-Regelungen u.a. Conrad/Schneider in AuerReinsdorff/Conrad, Beck’sches Mandatshandbuch IT-Recht, § 8 Rz. 99. 2 S.a. Sarre, § 3 Rz. 11 ff. 3 S.a. Conrad/Schneider in Auer-Reinsdorff/Conrad, Beck’sches Mandatshandbuch IT-Recht, § 8 Rz. 96. S.a. Sarre, § 3 Rz. 11 f. und Rz. 16 f. Bischof
585
§ 38 2.3
Vereinbarungen ber die Migration von Daten
Testverfahren fr Pilotprojekt und Arbeitspakte Die Vertragspartner haben sich auf die Durchfhrung der nachfolgend dargestellten Tests verstndigt, die fr jedes einzelne „Migrations-Paket“ (siehe Ziffer x) zu durchlaufen sind. 1. Durchfhren von Unit-Tests durch den Auftragnehmer zur Sicherstellung der Aufruf- und Lauffhigkeit der Programme und zur Sicherstellung korrekter Datenzugriffe. 2. Durchfhren von Funktions-Tests zur Sicherstellung der korrekten Verwendung der migrierten Daten 3. Ggf. Durchfhrung von Regressions-Tests 4. Zustzlich wird der Auftraggeber weitere manuelle Funktionstests durchfhren. Mit diesen Tests wird das Verhalten der Programme zu den Anwendern bezglich der migrierten Daten berprft. Der Auftragnehmer wird die Ergebnisse der jeweiligen Testlufe analysieren und dokumentieren sowie diese Dokumentation dem Auftraggeber zeitnah nach Ende der Tests laut Projektplan, sptestens zu Beginn der Teil-Abnahmeprfung der jeweiligen Migrations-Pakete zur Verfgung stellen.
3
Teil-Abnahme der Migrations-Pakete
3.1
Grundsatz, Wirkung der Teil-Abnahme Die Vertragspartner sind sich einig, dass jedes der Migrations-Pakete (siehe Ziffer x) einer Teil-Abnahme unterzogen wird. ldenkbare Ergnzung zugunsten des Auftraggebers: Mit einer solchen Teil-Abnahme sind jedoch nicht die Folgen der § 377 HGB, §§ 640 Abs. 2, 442 BGB verbunden, so dass ein „Verlust“ von Mngelansprchen bei der Teilabnahme hinsichtlich bekannter oder erkennbarer, aber nicht vorbehaltener Mngel nicht eintritt.L Zudem unterliegen smtliche Migrations-Pakete der Gesamtabnahme (siehe Ziffer 4).
3.2
Teil-Abnahmen der Migrations-Pakete
3.2.1
Testphase Nach Abschluss der vom Auftragnehmer durchgefhrten Unit-Tests gemß Ziffer x beginnt eine x-wçchige/monatige Testphase fr jedes Migrations-Paket (siehe Ziffer x). In dieser Testphase wird jedes Migrations-Paket einem intensiven Test (Funktions- und Regressionstests, zustzlich manueller Funktionstest gemß Ziffer 2.3) unterzogen, die beliebig oft wiederholt werden kçnnen.
3.2.2
Fehlermeldung und Fehlerkategorien Es gelten hinsichtlich der Fehlermeldung und Fehlerkategorisierung die Regelungen in Ziffer 4.4 und 4.5, soweit in dieser Ziffer 3.2 keine anderen Regelungen vereinbart sind.
586
Bischof
§ 38
II. Ausgewhlte rechtliche Aspekte
3.2.3
Sonderregelungen Die Performanceanforderungen sind nicht Gegenstand der Teilabnahme der Migrations-Pakete; diese sind erst Gegenstand der Gesamtabnahmeprfung. Die Beseitigung der gemeldeten Fehler der Kategorie 1 (siehe Ziffer 4.5) muss bis zum Abschluss der vorgenannten Testphase erfolgt sein. Eine sptere Fehlerbeseitigung ist nicht mçglich. Sollte der Auftragnehmer dies nicht einhalten, so gilt die Teilabnahmeprfung des jeweiligen Migrations-Pakets als gescheitert. Dem Auftraggeber stehen dann die in Ziffer x vereinbarten Rechte zu. Hlt der Auftragnehmer die vorstehenden Vorgaben ein, erklrt der Auftraggeber schriftlich die Teil-Abnahme des jeweiligen Migrationspakets.
4
Inbetriebnahme, Produktivsetzung, Parallel-Betrieb und Gesamtabnahme
4.1
Grundsatz Der Auftraggeber wird die vom Auftragnehmer erbrachten Leistungen inklusive der Leistungen zur Migration der Daten samt dazugehçriger Dokumentationen einer Gesamtabnahme unterziehen, die insbesondere auch die Performance (siehe Anlage x) zum Gegenstand hat. Der Gesamtabnahmetest wird in den in Ziffer 3.3 dargestellten 3 Stufen durchgefhrt. Der Auftraggeber erklrt die Gesamtabnahme erst nach erfolgreicher Produktivsetzung der Vertragssoftware mit smtlichen migrierten und aktuellen Daten sowie reibungslosem Produktivbetrieb (siehe Ziffer 4.8). Der Gesamtabnahmetest des Auftraggebers umfasst smtliche Testdaten, Testszenarien und Testflle. Der Gesamtabnahmetest beginnt, wie im Projektplan vereinbart, nach Erhalt der Mitteilung des Auftragnehmers zur Bereitstellung zur Gesamtabnahme („BzA“).
4.2
Parallel-Betrieb Die Produktivsetzung und den Produktivbetrieb der migrierten Lçsung vor Gesamtabnahme wird der Auftraggeber durch eine maximal 1wçchige Phase untersttzen, in der ein Parallel-Betrieb der Altsysteme durchgefhrt wird.
4.3
Gesamtabnahmetest
4.3.1
Stufe 1: Gesamtabnahmetest auf der Produktivumgebung Der Auftraggeber unterzieht die zur Gesamtabnahme bereitgestellten Leistungen (insbesondere inklusive der bereits teil-abgenommenen Migrations-Pakete einem Gesamtabnahmetest auf der Testum-
Bischof
587
§ 38
Vereinbarungen ber die Migration von Daten
gebung loder auch ProduktivumgebungL nach folgenden Maßgaben: 1. Durchfhren von Funktions-Tests (ggf. weitere Detaillierungen) 2. Durchfhrung von Regressions-Tests (ggf. weitere Detaillierungen) 3. Zustzlich wird der Auftraggeber weitere manuelle Funktionstests durchfhren. 4. Der Auftraggeber fhrt zudem einen Last-Test durch. Ziel des LastTests ist die berprfung unter Simulation der Nutzungsbedingungen im Produktivbetrieb. 5. Der Auftraggeber fhrt zudem einen Performancetest (siehe Anlage x) durch. Die Gesamtabnahmetests dieser Stufe 1 sind erfolgreich durchlaufen, wenn keine Fehler der Kategorie 1 und nur die in Ziffer 4.5 genannte Anzahl an Fehlern der Kategorien 2 und 3 bestehen. 4.3.2
Stufe 2: Migration der aktuellen Daten und diesbezglicher Gesamtabnahmetest Bei erfolgreichem Abschluss des Gesamtabnahmetests in Stufe 1 migriert der Auftragnehmer die „aktuelle Schnittmenge an noch zu migrierenden Daten“ des Auftraggebers (siehe Ziffer x) in die Testumgebung lalternativ: ProduktivumgebungL. Es erfolgen die in Ziffer 4.3.1 vereinbarten Tests. Sollten sich hierbei Fehler zeigen, wird der Auftragnehmer diese unverzglich beseitigen und die Beseitigung dem Auftraggeber fr einen erneuten Test durch ihn anzeigen. Die Gesamtabnahmetests dieser Stufe 2 sind erfolgreich durchlaufen, wenn keine Fehler der Kategorie 1 und nur die in Ziffer 16.5 genannte Anzahl an Fehlern der Kategorien 2 und 3 bestehen.
4.3.3
Stufe 3: Gesamtabnahmetest durch Produktivsetzung und Produktivbetrieb Bei erfolgreichem Abschluss auch des Gesamtabnahmetests in Stufe 2 setzt der Auftraggeber mit Untersttzung des Auftragnehmers die Vertragssoftware samt migrierter, aktueller Daten in der Produktivumgebung produktiv und beginnt den Produktivbetrieb lggf. noch berspielen von Test- auf ProduktivumgebungL. Die Gesamtabnahmetests dieser Stufe 3 sind erfolgreich durchlaufen, wenn im Produktivbetrieb keine Fehler der Kategorie 1 und nur die in Ziffer 4.5 genannte Anzahl an Fehlern der Kategorien 2 und 3 bestehen.
588
Bischof
§ 38
II. Ausgewhlte rechtliche Aspekte
4.4
Fehlermeldung und Fehlerbeseitigung Die Vertragspartner sind sich einig, dass fr die Fehlermeldung das Fehlermeldungstool xyz eingesetzt wird. Der Auftraggeber wird dem Auftragnehmer auftretende Fehler unverzglich/zeitnah melden und diese – soweit mçglich und zumutbar – genauer beschreiben. Der Auftragnehmer wird unverzglich/zeitnah fr die Beseitigung der entsprechenden Fehler sorgen und dem Auftraggeber die erfolgreiche Beseitigung mitteilen.
4.5
Fehlerkategorien Es gelten folgende Fehlerkategorien: Fehler der Kategorie 1 (abnahmeprfungsverhindernd, abnahmeverhindernd): – Datenmigration erfolgte fehlerhaft – falsche Zielplattform (fehlerhafte Tabellenzuordnung – fehlerhafte Umsetzung des Formats eines Attributs – Eine technische Funktion konnte nicht korrekt durchgefhrt werden – Eine Schnittstelle konnte nicht korrekt bedient werden – … Fehler der Kategorie 2 (abnahmeverhindernd, wenn mehr als 2 Fehler pro Testszenario vorliegen, Wiederholungsfehler werden nur einfach gezhlt): – Datenmigration erfolgte fehlerhaft – einzelne Zeichen wurden falsch umgesetzt (z.B. Umlaut) – Eine technische Funktion konnte nicht korrekt durchgefhrt werden – … Fehler der Kategorie 3 (abnahmeverhindernd, wenn mehr als 5 Fehler pro Testszenario vorliegen, Wiederholungsfehler werden nur einfach gezhlt): Alle weiteren Fehler. Sollten die Fehler den fachlichen Prozess unterbrechen und nicht durch einen einfachen Workaround umgangen werden kçnnen, sind diese der Kategorie 2 zuzuordnen. Im Falle von Meinungsverschiedenheiten ber die zutreffende Fehlerkategorie, ist die die Fehlerkategorisierung des Auftraggebers maßgeblich/gelten die Regelungen zum Eskalationsmanagement (siehe Ziffer x).
Bischof
589
§ 38 4.6
Vereinbarungen ber die Migration von Daten
Zeitplan der Gesamtabnahme Der Zeitplan fr die Gesamtabnahme ergibt sich aus dem Projektplan. Das Auftreten eines Fehlers der Kategorie 1 ist abnahmeprfungsverhindernd. Nach Beseitigung dieses Fehlers beginnt der gesamte Gesamtabnahmetest grundstzlich von neuem, es sei denn die Vertragspartner treffen eine anderweitige Vereinbarung.
4.7
Wiederholung/Scheitern der Gesamtabnahmeprfung Gelingt es dem Auftragnehmer nicht dafr zu sorgen, dass bis zum Abschluss des Gesamtabnahmezeitraums keine Fehler der Fehlerkategorie 1, nicht mehr als 2 Fehler der Fehlerkategorie 2 pro Testszenario und nicht mehr als 5 Fehler der Fehlerkategorie 3 pro Testszenario auftreten oder scheitert die Gesamtabnahmeprfung, wird der Gesamtabnahmetest einmalig wiederholt. Scheitert die Gesamtabnahmeprfung auch nach der Wiederholung (die Abnahme gemß Ziffer 4.8 kann nicht erklrt werden), ist der Auftraggeber zum Rcktritt vom Vertrag und bei Vorliegen der gesetzlichen Voraussetzungen zur Geltendmachung von Schadensersatz berechtigt.
4.8
Abnahmeerklrung Der Auftraggeber erklrt schriftlich die Gesamtabnahme, wenn der Gesamtabnahmetest nach Durchlaufen aller Stufen gemß Ziffer 4.3 fr jedes Testszenario zu folgendem Ergebnis kommt: 1. Es liegen maximal folgende Fehler vor: – 0 Fehler der Kategorie 1 – 2 Fehler der Kategorie 2 (Wiederholungsfehler werden nur einfach gezhlt) – 5 Fehler der Kategorie 3 (Wiederholungsfehler werden nur einfach gezhlt) 2. Die Performanceanforderungen (siehe Ziffer x in Verbindung mit Anlage x) gemß „Testszenario Performance“ werden uneingeschrnkt eingehalten.
5. Mängelrechte und Haftung a) Sach- und Rechtsmängel 37
Es bietet sich an, sämtliche Leistungen zur Migration, die im Rahmen eines werkvertraglich gestalteten Projekts erbracht werden, der allgemeinen Sach- und Rechtsmängelhaftung dieses Projekts zu unterwerfen. Insofern ergeben sich keine Besonderheiten, da eine unzureichende Migrationsleistung letztlich eine nicht mängelfreie Leistung darstellt, die bei Nichtbeseitigung zu den üblichen Sekundäransprüchen führt. Gerade im 590
Bischof
§ 38
II. Ausgewhlte rechtliche Aspekte
Hinblick darauf, dass dem Auftraggeber die Altdaten wohl regelmäßig richtig und funktionsfähig im neuen System zur Verfügung stehen müssen, um mit diesem die Geschäftsprozesse abbilden zu können, erscheint ein solches Vorgehen auch durchaus als sachgerecht1. Es kommt vor – und kann in Fällen, in denen der Auftragnehmer keine 38 Kenntnisnahme-Möglichkeit von den zu übernehmenden Daten haben darf (z.B. aus Daten-/Geheimnisschutzgründen bzw. wegen § 203 StGB oder aufgrund regulatorischer Vorgaben), sogar erforderlich sein –, dass der Auftraggeber die Altdatenübernahme selbst durchführt mit der Folge, dass der Auftragnehmer hierfür keine „Gewährleistung“ übernehmen wird. Ohne ergänzende Leistungen des Auftragnehmers wird sich allerdings eine solche Datenübernahme nicht realisieren lassen2. Der Auftraggeber wird zumindest darauf angewiesen sein, dass ihm vom Auftragnehmer das Datenmodell des Neusystems im Detail vom Auftragnehmer dokumentiert zur Verfügung gestellt wird, um eine entsprechende Zuordnung der Altdaten vornehmen und überprüfen zu können. Weiter dürfte der Auftraggeber vom Auftragnehmer verlangen, dass der Auftragnehmer ihm ein Übernahmetool für die automatisierte Altdatenübernahme zur Verfügung stellt. Insofern kennt der Auftragnehmer das Neu-System in der Regel besser als der Auftraggeber. Der Auftraggeber wiederum kennt seine Altdaten am besten und wird für Qualität, Format, Aktualität der Altdaten sowie ebenfalls maßgeblich bei der Zuordnung der Altdaten zum Neu-System in der Pflicht sein. Insofern ist zu regeln, wie der Auftragnehmer für seine Leistungen im Zusammenhang mit der vom Auftraggeber tatsächlich durchgeführten Datenmigration einzustehen hat. Dem dient nachfolgender Formulierungsvorschlag. Formulierungsvorschlag bei bernahme der Datenmigration durch den Auftraggeber (individualvertraglich)
39
Sonderregelung fr die Migration Die Vertragspartner haben vereinbart, dass der Auftraggeber die Datenmigration selbst bernimmt, wobei der Auftragnehmer den Auftraggeber maßgeblich entsprechend der in Ziffer xxx3 vereinbarten Leistungen unter1 Für die Sach- und Rechtsmängelhaftung kann auf die üblichen Regelungen in ITProjekten abgestellt werden; s. u.a. Redeker in Redeker, Handbuch der IT-Verträge, Kap. 1.6 (§§ 7, 8 des Vertragsmusters). 2 Für diese ergänzenden Leistungen des Auftragnehmers kann wiederum diskutiert werden, ob diese dann nicht aus dem werkvertraglichen Charakter des Projekts ausgenommen und rein dem Dienstvertragsrecht unterworfen werden (s. hierzu bereits oben unter Rz. 13 ff.). Dies dürfte jedoch – gerade im Hinblick auf die wesentlichen vom Auftragnehmer zu erbringenden Leistungen wie Erstellung des Übernahmetools und die Bedeutung der Altdatenübernahme – vielfach den Interessen des Auftraggebers nicht gerecht werden. Insofern unterstellt der Formulierungsvorschlag die Haftung des Auftragnehmers für seine Leistungen dem Regime des Projektvertrags. 3 In dieser Ziffer werden sämtliche Leistungen, die der Auftragnehmer im Zusammenhang mit der Datenmigration zu erbringen hat, dargestellt, so u.a. ZurverBischof
591
§ 38
Vereinbarungen ber die Migration von Daten
sttzen wird. Fr diese Untersttzungsleistungen des Auftragnehmers im Rahmen der vom Auftraggeber bernommenen Migrationsleistungen gelten folgende Bestimmungen: Der Auftragnehmer sichert zu lschrfer: garantiertL, dass er dem Auftraggeber smtliche notwendigen Informationen zum Neusystem, wie insbesondere das Datenmodell des Neusystems, zur Verfgung gestellt hat und den Auftraggeber hinsichtlich des Neusystems ausreichend und rechtzeitig geschult hat, damit der Auftraggeber die Datenmigration eigenstndig bernehmen kann. Der Auftragnehmer stellt dem Auftraggeber die erforderlichen, geeigneten, von ihm getesteten und funktionsbereiten bernahmetools zur Verfgung (zur diesbezglichen Rechtseinrumung an den Auftraggeber siehe Ziffer xxx) und sichert lschrfer: garantiertL deren Eignung und Funktionsbereitschaft zu. Im Falle von Mngeln der bernahmetools, oder im Falle nicht ordnungsgemßer Erbringung der in Ziffer xxx vereinbarten Untersttzungsleistungen des Aufragnehmers und damit verbundener nicht oder nicht ordnungsgemß durchfhrbarer Datenbernahme, gelten die Bestimmungen der Sach- und Rechtsmngelhaftung in Ziffern xxx entsprechend.
b) Schadensersatz 40
Erfolgt die Migration im Rahmen der Leistungspflichten des IT-Projekts, gelten die sonstigen Regelungen des Projektvertrags auch für die Migration, also auch die Regelung zum Schadensersatz bzw. zur Haftungsbegrenzung. Hier werden – wie bei anderen Projektleistungen auch – die Interessen der Vertragspartner diametral gegenläufig sein: Der Auftraggeber möchte sich bestmöglich im Falle der Schieflage bzw. gar des Scheiterns absichern und daher ggf. auf die gesetzliche Haftung abstellen, die keine Haftungsbegrenzung kennt. Der Auftragnehmer hingegen möchte generell sein Risiko mit entsprechenden Haftungsdeckeln minimieren. Nachfolgende Regelung mag einen Kompromissvorschlag darstellen. Letztlich wird die Haftung individuell zu vereinbaren sein, wobei denkbar wäre, in der Haftungsregelung zu differenzieren zwischen einer Sonderregelung für Schadensersatz in Bezug auf Migrationsleistungen und einer allgemeinen Schadensersatzregelung. Die Sonderregelung könnte berücksichtigen, dass die Migration in besonders starkem Maße von der Mitwirkung abhängt. Daher scheint es nicht unangemessen, eine niedrigere Haftungsgrenze für (leichte) Fahrlässigkeit des Auftragnehmers bei (Aufraggebersicht: nachgewiesenem) Mitverschulden des Auftraggebers durch nicht, nicht rechtzeitig und/oder nicht ordnungsgemäß erbrachte Mitwirkungsleistungen vorzusehen. Das gilt (aus Auftragnehmersicht) insfügungstellung der notwendigen Informationen zum Neusystem (insbesondere Datenmodell), Schulung im Neusystem, Vor-Ort-Unterstützung des Auftraggebers bei dessen Datenmigration, Zurverfügungstellung (ggf. Erstellung) eines geeigneten Übernahmetools samt dessen Überlassung mit Rechtseinräumung u.ä. Der Formulierungsvorschlag fokussiert auf die Verantwortlichkeiten.
592
Bischof
§ 38
II. Ausgewhlte rechtliche Aspekte
besondere für die Fälle, in denen der Auftragnehmer es nicht geschafft hat individuell zu verhandeln, die Mitwirkung bei der Migration als Nebenleistung oder gar Hauptleistung zu regeln1. Formulierungsbeispiel: A.
41
Allgemeine Grundstze der Haftung auf Schadensersatz Fr alle gesetzlichen und vertraglichen Schadens-, Freistellungs- und Aufwendungsersatzansprche des Auftraggebers gelten – mit Ausnahme der Haftung fr die Datenmigration – folgende Regelungen: 1. Unbegrenzte Haftung Der Auftragnehmer haftet unbegrenzt bei Vorsatz und grober Fahrlssigkeit, bei der Verletzung des Lebens, des Kçrpers oder der Gesundheit, bei Arglist, bei bernahme einer Garantie sowie nach dem Produkthaftungsgesetz. 2. Haftungsbegrenzung2 Bei leicht fahrlssigen Pflichtverletzungen wird die Haftung fr den Auftragnehmer pro Kalenderjahr gedeckelt auf xxx, insgesamt gedeckelt auf (Auftragswert/x % des Auftragswerts/bestimmte Summe). 3. ggf. Versicherung
B.
Sonderregelung fr die Haftung auf Schadensersatz in Bezug auf Leistungen fr die Datenmigration Fr die Haftung des Auftragnehmers auf Schadensersatz hinsichtlich der Leistungen fr die Datenmigration (vgl. Ziffer xxx) gelten abweichend von vorstehender Ziffer A ausschließlich folgende Regelungen: 1. Unbegrenzte Haftung Der Auftragnehmer haftet unbegrenzt bei Vorsatz, bei der Verletzung des Lebens, des Kçrpers oder der Gesundheit, bei Arglist, bei bernahme einer Garantie sowie nach dem Produkthaftungsgesetz. 2. Haftungsbegrenzung bei Fahrlssigkeit3 Der Auftragnehmer haftet fr ausschließlich auf die Leistungen des Auftragnehmers zurckzufhrende fahrlssige Pflichtverletzungen (d.h. bei denen keinerlei Mitverschulden des Auftraggebers in Bezug auf die vereinbarten Mitwirkungsleistungen festzustellen ist) bis maximal zu einem Betrag in Hçhe von (Auftragswert/x % des Auftragswerts/bestimmte Summe).
1 S. oben Rz. 25 ff., v.a. Rz. 27. 2 Diese Regelung ist in Lieferanten-AGB nicht wirksam und bedürfte der individuellen Vereinbarung. 3 Diese Regelung ist in Lieferanten-AGB nicht wirksam und bedürfte der individuellen Vereinbarung. Bischof
593
§ 38
Vereinbarungen ber die Migration von Daten
Dieser Betrag ermßigt sich bei nachgewiesenem Mitverschulden des Auftraggebers durch nicht, nicht rechtzeitig und/oder nicht ordnungsgemß erbrachte Mitwirkungsleistungen entsprechend auf …
6. Vergütung 42
Auftraggeber haben meist ein großes Interesse daran, dass die Datenmigration ebenfalls vom vielfach geforderten Festpreis für das IT-Projekt abgedeckt ist. Dies erfordert aus Sicht der Auftragnehmer, dass für eine verlässliche, belastbare Kalkulation der Leistungen zur Datenmigration der Umfang und die Verantwortlichkeiten der Datenmigration möglichst im Detail beschrieben sind (insbesondere was die Qualität der Altdaten betrifft) oder eine solche Beschreibung (Spezifikation der Datenmigration) zumindest bei Vertragsschluss vorliegt. Eine valide Festpreiszusage kann im Grunde erst abgegeben werden, wenn diese verlässliche Grundlage vorhanden ist.
43
In der Praxis ist jedoch festzustellen, dass es vielfach an einer solchen verlässlichen Grundlage fehlt und daher entweder für die Datenmigration erhebliche Risikozuschläge zur Abgabe eines Festpreises vorgesehen werden oder aber Auftragnehmer vorschlagen, die Datenmigration aus dem Festpreis auszunehmen und nach Aufwand abzurechnen. Nicht unüblich sind Vergütungsobergrenzen für die Migration, wobei Regelungen vorgesehen werden, wie mit einer etwaigen Überschreitung umzugehen ist (z.B. je nach Verursachung des die Obergrenze überschreitenden Aufwands, Pauschalierung durch hälftige Tragung etwaigen Mehraufwands u.ä.).
III. Fazit 44
Aus juristischer Perspektive ist die Migration von Daten im Rahmen eines IT-Projekts lösbar, wenn die Vertragspartner mit realistischem Augenmaß die wechselseitigen Rechte und Pflichten einschließlich der Verantwortlichkeiten ausreichend detailliert festlegen.
45
Auftraggeber unterschätzen häufig Art und Umfang der eigenen Mitwirkung und das Erfordernis, den auftraggebereigenen Personaleinsatz (einschließlich entsprechend langfristigem und Projektverzögerungen berücksichtigendem Ressourcen-, Qualitäts- und Motivationsmanagement) mitzuplanen. Bei der notwendigen Abgrenzung der Verantwortlichkeiten (Leitung/Steuerung – Mitwirkung – Kooperation) ist zu beachten, was seitens des Auftraggebers realistischer Weise geleistet werden kann. Das ist regelmäßig weniger, als der Auftraggeber denkt, es sei denn, der Auftraggeber hat eine sehr große eigene IT-Abteilung mit ausreichend freien Kapazitäten. Eine ausreichende Einsatz-, Auftrags- und Kapazitätenplanung, die dem Projektfortschritt angepasst wird, liegt für den Auftragnehmer näher und wird beim Auftraggeber häufig vernachlässigt. Das 594
Bischof
§ 38
III. Fazit
rächt sich spätestens bei der mitwirkungsintensiven Migration, was ein nicht seltener Grund für die Schieflage eine IT-Projekts ist. Dem Auftragnehmer ist anzuraten, die für ihn notwendigen Mitwir- 46 kungsleistungen zu regeln und vor allem entsprechend einzufordern. Nicht ratsam für den Auftragnehmer ist, bei ausbleibender Mitwirkung dem Auftraggeber beizuspringen und ohne geordnetes (CR-)Verfahren zusätzliche (eigentlich als Auftraggeber-Mitwirkung vereinbarte) Leistungen zu erbringen. Scheitert letztlich das Projekt, obwohl der Auftragnehmer – leider ohne ausreichende vertragliche Dokumentation – sogar mehr gemacht hat, als er eigentlich sollte (und gerade das ist ein Frühwarnzeichen für ein Scheitern), dann werden im Regelfall die Konsequenzen aus dem Scheitern zu Lasten des Auftragnehmers gehen. Eine Zusage des Auftragnehmers, die Datenmigration im Hinblick auf 47 den gesamten vorhandenen Altbestand an Daten im Altsystem vollständig – evtl. sogar zu einem pauschalen Festpreis – zu übernehmen, sollte möglichst nur nach sorgfältiger und detaillierter Analyse der Altsysteme des Auftraggebers durch den Auftragnehmer selbst erfolgen bzw. wenn die maßgeblichen Informationen (wie dokumentiertes Altsystem und Datenmodell) vorhanden sind und auch entsprechende Ansprechpartner beim Auftraggeber zur Verfügung stehen.
Bischof
595
§ 39 Verträge über Datenschnittstellen und die Nutzung von Datenformaten Rz. I. 1. 2. 3.
Technischer Hintergrund . . . . . . . Datenbanken . . . . . . . . . . . . . . . . . Programm-/Datenschnittstellen . Datenaustausch von Daten oder Datensätzen . . . . . . . . . . . . . . . . . .
II. Programm-/Datenschnittstellen in der Praxis . . . . . . . . . . . . . . . . . . 1. Konzepte zum Datenaustausch . . a) Reiner Dateiaustausch . . . . . . . b) Gemeinsamer Datenbankzugriff. . . . . . . . . . . . . . . . . . . . . c) Schnittstellen auf Basis von überlassenen Bibliotheken oder Programmteilen . . . . . . . . 2. Anwendungssituationen . . . . . . . a) Schnittstellen zum Einbinden von Datenbanken . . . . . . . . . . . b) Schnittstellen zwischen Standardprogrammen . . . . . . . . c) Individuelle Schnittstellen . . . 3. Technische Realisierung. . . . . . . . a) Web Services Description Language (WSDL) . . . . . . . . . . . b) Proprietäre Datenaustauschdokumente . . . . . . . . . . . . . . . . c) Proprietäre Funktionsaufrufe . d) Service Bus-Konzepte . . . . . . . .
3 4 6 7 8 9 10 11 12 13 14 15 17 18 20 21 22 23
III. Lizenzrecht . . . . . . . . . . . . . . . . . . 24 1. Lizenzpflichtige Schutzgegenstände . . . . . . . . . . . . . . . . . . . . . . . 25
1
Rz. a) Urheberrechtsschutz von Daten- und Datenbankformaten . b) Urheberrechtsschutz an Computerprogrammen . . . . . . . c) Erfindungen . . . . . . . . . . . . . . . . d) Geheimnisschutz (§ 17 UWG) . 2. Einzuholende Nutzungsrechte . . . a) Nutzung des Daten(bank)Formats . . . . . . . . . . . . . . . . . . . b) Nutzung von Programmteilen und Programmen . . . . . . . . . . . c) Datenübertragung als mittelbare Nutzung des Programms . d) Patentlizenzen . . . . . . . . . . . . . 3. Lizenzierungspflicht . . . . . . . . . . . IV. Sonstige vertragliche Aspekte . . . 1. Änderungen der Datenschnittstellen . . . . . . . . . . . . . . . . . . . . . . . 2. Vergütungspflichten aufgrund von Schnittstellennutzung . . . . . . a) Vergütungstatbestände . . . . . . . b) Insbesondere kartellrechtliche Grenzen . . . . . . . . . . . . . . . . . . . 3. Haftung für Schutzrechtsverletzungen . . . . . . . . . . . . . . . . . a) Lizenzvereinbarung zur Anbindung von Standardsoftware b) Schnittstellenanbindung im Softwareerstellungsprojekt . . . 4. Sachmängelhaftung . . . . . . . . . . . . 5. Geheimhaltungsverpflichtung . . .
26 28 34 37 38 39 47 48 50 51 55 56 58 59 60 61 62 65 66 67
Einst war der Dreh- und Angelpunkt der EDV das datenverarbeitende Programm. Heute geht der Trend in der IT zum Service und damit zur Information, sprich den Daten. Das gilt im Ansatz für das klassische Outsourcing, bei dem der Kunde allenfalls noch einen Teil der Programme beisteuert oder besser beistellt, und noch mehr für ASP- und Cloud-Angebote, insbesondere für Software as a Service (SaaS). Das heißt natürlich nicht, dass keine Software bzw. genauer keine Computerprogramme mehr erforderlich wären. Aber bei der Vernetzung von Programmen bzw. „Diensten“, wie es in einer serviceorientierten Architektur und deren Konzentration auf Geschäftsprozesse angestrebt wird, treten monolithische Anwendungen in den Hintergrund und der Datenaustausch stärker in den Vordergrund1, stärker mitunter als der Gesetzgeber dieses einst 1 Seffer, § 10 Rz. 10.
596
Grtzmacher
§ 39
I. Technischer Hintergrund
bei Erlass der Computerprogramm- und Datenbank-Richtlinie und der darauf fußenden nationalen Gesetzgebung vor Augen hatte. So sind in der heutigen Softwarelandschaft Schnittstellen erforderlich, die nicht nur auf der syntaktischen, sondern auch auf der semantischen Ebene kompatibel sind1. Die Anbieter gängiger bzw. eben monolithischer Programme werden sich 2 – unbeschadet eines technischen Re-Designs auch ihrer Software – um ihre zentrale Bedeutung und damit Marktposition sorgen und daher versucht sein, (überkommene) Gesetze für sich zu nutzen. Die Frage der Lizenzierung und Lizenzierungspflicht von Schnittstellen (API) stellt sich mithin stärker als je zuvor.
I. Technischer Hintergrund Sämtliche unternehmensrelevanten Daten werden heute in Datenban- 3 ken gehalten. Ihre Nutzung erfordert dabei in jedem Fall die Nutzung von Computerprogrammen – und sei es nur die Nutzung eines Datenbankmanagementsystems (DBMS). 1. Datenbanken Datenbanken bestehen aus der Datenbasis, dem Datenbankmanagement- 4 system und ggf. aufgesetzten programmierten Datenbankabfragen (logische Sicht)2. Grundlage der Datenspeicherung und -verwaltung mit Hilfe solcher Systeme ist das Datenbankmodell, welches gewissermaßen die innere Struktur der Datenbank und damit auch die Datensätze bestimmt. IT-Systeme nutzen Datenbanken in jeglicher erdenklichen Form. Daten- 5 banken können in der Softwarelösung integriert sein. Dabei kann es sich um Eigenlösungen, d.h. individuelle Datenbankmanagementsysteme, oder auch integrierte Standard-Datenbanksoftware handeln. Bei kleineren „Datenbanken“ kann die Datenbasis auch in einer Datei ohne DBMS (im engeren Sinne) realisiert werden. Alternativ greifen Computerprogramme auf externe Datenbanken zu oder auch nur auf einzelne Daten (-sätze). 2. Programm-/Datenschnittstellen Computerprogramme bestehen primär aus sog. Steuerbefehlen. Bei der 6 Ausführung dieser Programmdaten können dann Daten jeglicher Art verarbeitet werden. Heute besitzen nahezu alle Programme Datenimport1 Reinheimer/Lang/Purucker/Brügmann, HMD 253 (2007), 7 (16); vgl. auch Wiebe, JIPITEC 2011, 89 (92). 2 Dazu Hoppen, § 2 Rz. 1 ff. und 9 ff. Grtzmacher
597
§ 39
Vertrge ber Datenschnittstellen
und -exportfunktionen, die es erlauben, Daten mit anderen Programmen auszutauschen. Wie solche Programm- bzw. Datenschnittstellen technisch umgesetzt werden, ist eine Frage des Einzelfalls, für die Frage des Schutzes und der Lizenzierung von Schnittstellen aber durchaus von Relevanz1. Je nach Komplexität der Schnittstellen ist hier im Extremfall jedenfalls nicht auszuschließen, dass ein weiteres Programm die Schnittstelle realisieren muss, etwa als Konnektor2 oder Konverter fungiert. 3. Datenaustausch von Daten oder Datensätzen 7
Beim Datenaustausch werden Daten in einer zweckspezifisch standardisierten Form – auch Datenaustauschformat genannt – von einem System ins andere transferiert, was wiederum voraussetzt, dass die Formate und ggf. Strukturen der auszutauschenden Daten festgelegt sind3. Dafür sind mitunter – im Extremfall im Sinne der soeben angesprochen Zusatzsoftware – Verfahren bzw. diese umsetzende Programme erforderlich. Diese wandeln die Daten in das Datenformat um, welches die Verarbeitung der Daten im Zielprogramm ermöglicht4. Dabei kann diese Umwandlung, also die Formatanpassung in der exportierenden Software, in der importierenden Software oder durch ein dazwischen geschaltetes Programm erfolgen, individuell programmiert oder standardmäßig bereitgestellt werden5. Derartige Im- und Exportfunktionen für den manuellen Dateiexport sind etwa von Textverarbeitungsprogrammen bekannt, bei denen es regelmäßig um die Anpassung des sog. Dateiformats geht; ähnlich können Datenformate konvertiert werden, die im Extremfall aus mehreren Dateien oder aus einem Bruchteil einer Datei bestehen können6. Denkbar ist auch der Austausch lediglich einfacher Daten, sprich einzelner Werte bzw. Parameter.
II. Programm-/Datenschnittstellen in der Praxis 8
Für die urheber- und lizenzrechtliche Beurteilung kommt es weiter darauf an, wie die Schnittstellen technisch realisiert werden und in welcher Situation sie betrieben werden. 1. Konzepte zum Datenaustausch
9
Wie schon angedeutet wurde, gibt es unterschiedliche Möglichkeiten, Programm- bzw. Datenschnittstellen zu realisieren. Die Art der Realisierung hängt dabei oft davon ab, ob die Schnittstellen komplex sind und in1 2 3 4 5 6
S. dazu in der Folge unter Rz. 25 ff. S. auch unter Rz. 15 f. und Rz. 23. http://de.wikipedia.org/wiki/Datenaustausch. http://de.wikipedia.org/wiki/Datenaustausch. http://de.wikipedia.org/wiki/Datenaustausch. http://de.wikipedia.org/wiki/Datenformat.
598
Grtzmacher
§ 39
II. Programm-/Datenschnittstellen in der Praxis
wieweit die ausgetauschten Daten auch die Programmsteuerung beeinflussen. a) Reiner Dateiaustausch Eine der einfachsten Formen, Daten zwischen zwei Programmen aus- 10 zutauschen, ist die Übergabe von einfachen Parametern oder der Austausch in Form eines Dateiaustausches. Diese können im einfachsten Fall Text-Daten in Form von TXT-Dateien1 oder heute oft Daten in XMLDateien2 sein. b) Gemeinsamer Datenbankzugriff Denkbar ist es aber auch, einen gemeinsamen Datenbankzugriff zum Da- 11 tenaustausch zu benutzen. Will man dann nicht über das DBMS zugreifen, sondern mehr oder minder direkt auf die Datenbasis, erfordert dies eine standardisierte Datenbankschnittstelle und diese wiederum Treiber, die auf einer der verbreiteten Datenbanksprachen fußen3. c) Schnittstellen auf Basis von überlassenen Bibliotheken oder Programmteilen Sind solche Treiber nicht vorhanden und die auszutauschenden Daten 12 komplexer oder sollen spezielle Funktionen durch die Daten angetriggert werden, ist es mitunter erforderlich, in die anzubindende Individual- oder auch Standardsoftware vom Anbieter überlassene Bibliotheken oder Programmteile einzubinden. Nur diese gewährleisten dann nämlich das reibungslose Zusammenspiel der per Schnittstelle verbundenen Programme. 2. Anwendungssituationen Die Situationen, in denen eine Datenschnittstelle geschaffen werden 13 muss, sind unterschiedliche. a) Schnittstellen zum Einbinden von Datenbanken Daten sind regelmäßig nur zu importieren (sog. asynchrone Übertra- 14 gung), wenn sich Anwendungen der Daten einer fremden Datenbank bedienen. Sie können sich dazu der oben erwähnten4 Technik des Direkt1 Reine Textdateien (Dateibezeichnung insbesondere unter den Betriebssystemen MS-DOS und Microsoft Windows). 2 Extensible Markup Language. 3 So verwendet etwa der sog. ODBC-Standard („Open Database Connectivity“) eine standardisierte Datenbankschnittstelle und dazu SQL als Datenbanksprache (http://de.wikipedia.org/wiki/Open_Database_Connectivity). 4 Vgl. dazu oben unter Rz. 6. Grtzmacher
599
§ 39
Vertrge ber Datenschnittstellen
zugriffs über standardisierte Datenbankschnittstellen bedienen. Mitunter reicht aber auch das Einlesen einfacher Datensätze – dann auf der Basis normierter Datenformate. b) Schnittstellen zwischen Standardprogrammen 15
Demgegenüber erfolgt der Austausch von Daten zwischen Standardprogrammen in der Regel bidirektional. Zum Austausch zwischengeschaltet sein kann dabei auch noch eine Software, die die Daten in Standarddatenformat überführen. Ein bekanntes Beispiel dafür bieten etwa Rechnungsdaten, die mittels EDI ausgetauscht werden sollen1. Hier werden z.B. die Rechnungsdaten aus dem ERP-System des Verkäufers mittels sog. Konverter in einen EDI-Daten-Standard (regelmäßig EDIFACT) überführt und von diesem durch einen weiteren Konverter in das Datenformat des Zielsystems, also des ERP-Systems des Käufers2.
16
Aber auch die Nutzung eines einfachen, bidirektionalen Dateiaustausches ist nicht unüblich. Wie erwähnt werden dazu heute in der Regel XML-Dateien genutzt. Bei besonders simplen Schnittstellen werden lediglich Aufrufparameter übergeben und Ergebnisparameter zurückgesendet. c) Individuelle Schnittstellen
17
Auf dem gleichen Weg wie beim Austausch zwischen Standardprogrammen können Schnittstellen im Rahmen individueller Programmierung erstellt werden. Dabei kann es in entsprechenden Softwareprojekten darum gehen, den Austausch über ein Standardformat zu realisieren oder aber auch durch individuelle Anpassung des Formats und eine entsprechende Anpassungsprogrammierung – zumeist auf Seiten der Individualsoftware. 3. Technische Realisierung
18
Realisiert werden Schnittstellen heute regelmäßig durch die Übertragung von XML-Dateien per File Transfer Protocol (FTP)3 oder vergleichbare Techniken. Die Dateien werden dann entweder sofort verarbeitet oder in eine Warteschlange eingereiht, um dann später verarbeitet zu werden. Bekannt sein müssen für die Nutzung einer Schnittstelle zumindest das Datenformat und das Übertragungsprotokoll, ggf. neben der Syntax auch noch die Semantik der über eine Schnittstelle übertragenen Daten4.
1 Dazu Hausen, § 53 und Intveen, § 54. 2 S. dazu http://de.wikipedia.org/wiki/EDIFACT; http://de.wikipedia.org/wiki/Kon verter_(EDI). 3 Im Internet WebFTP. 4 Reinheimer/Lang/Purucker/Brügmann, HMD 253 (2007), 7 (16).
600
Grtzmacher
§ 39
II. Programm-/Datenschnittstellen in der Praxis
Exemplarisch sei auf einige Schnittstellentechniken eingegangen, die 19 auch im SAP-Umfeld genutzt werden, um Schnittstellen zu realisieren: a) Web Services Description Language (WSDL) Extra für den Austausch von Daten bei Webservices (Netzwerkdiensten) 20 wurde plattform-, programmiersprachen- und protokollunabhängig die Web Services Description Language (WSDL) geschaffen1. Diese Beschreibungssprache auf Basis von XML erlaubt den Austausch von Daten, wobei WSDL als Metasprache die Beschreibung von „Funktionen, Daten, Datentypen und Austauschprotokollen eines Webservice“ ermöglicht. Es können so mit Hilfe von festgelegten Parametern und Rückgabewerten Operationen aufgerufen werden (Webservices). b) Proprietäre Datenaustauschdokumente Zum Austausch von Daten können natürlich auch proprietäre Doku- 21 mentenstandards genutzt werden. In der SAP-Welt etwa gibt es sog. IDocs (Intermediate Documents), ein von SAP definiertes, XML vergleichbares Dokumentenbeschreibungsformat, mit dem Geschäftsdaten übertragen werden können2. c) Proprietäre Funktionsaufrufe Anwendungsspezifisch können Funktionsaufrufe geschaffen werden. 22 Realisiert werden diese mittels vom Hersteller der Software, an die eine andere angebunden werden soll, bereitgestellter Programmelemente. Im SAP-Umfeld (insb. der SAP-ABAP-Systeme) etwa gibt es die sog. RemoteFunction-Calls (RFC) bzw. Remote-Procedure-Calls (RPC); RFC bestehen aus SAP-eigenen Protokollen und Schnittstellen zur Abwicklung solcher Funktionsaufrufe bis hin zu deren Implementierung, wobei SAP für die Fremdsysteme RFC-Bibliotheken für die jeweilige Ablaufumgebung bzw. Programmiersprache zur Verfügung stellt3. Die entsprechenden Aufrufe zur asynchronen oder synchronen Kommunikation werden sodann über die standardisierte Schnittstelle CPI-C (Common Programming Interface-Communication) oder TCP/IP übermittelt4. d) Service Bus-Konzepte Gerade im Bereich der Unternehmenssoftware werden heute zusehends 23 Programme bzw. genauer Dienste eingesetzt, die einen sog. Enterprise Service Bus (ESB) als Kommunikationsbackbone nutzen; über diesen 1 http://de.wikipedia.org/wiki/Web_Services_Description_Language. 2 http://en.wikipedia.org/wiki/IDoc. 3 http://de.wikipedia.org/wiki/Remote_Function_Call; s. dazu auch Grützmacher, Informationsdienst IT-Grundschutz 2006, Heft 5, S. 3 f. 4 http://de.wikipedia.org/wiki/Remote_Function_Call. Grtzmacher
601
§ 39
Vertrge ber Datenschnittstellen
Kommunikationsbus werden Nachrichten – sprich Daten – ausgetauscht. Die Dienste (einzelne Programme) tauschen die Daten mithin nicht 1:1 aus, sondern mittels sog. Adapter oder Konnektoren – sozusagen „über Bande“ –, eben über den ESB, der die Kommunikation sicherstellt; der ESB sorgt dabei für die sog. Orchestrierung, also insbesondere die Steuerung des Nachrichtenflusses1. Letztlich führt der Einsatz eines Service Buses bzw. eines ESB zu einem abstrakteren und geordneteren Umgang mit dem Thema Datenaustausch. SAP etwa bietet als ESB SAP Process Integration (SAP PI) – eine Weiterentwicklung von Exchange Infrastructure (SAP XI) – mit dem NetWeaver an und ermöglicht so den Datenaustausch zwischen SAP und fremden Systemen2.
III. Lizenzrecht 24
Wendet man sich nun der Frage der Lizenzierung von Schnittstellen zu, ist vor diesem Hintergrund zunächst zu analysieren, inwieweit Schnittstellen durch Schutzrechte geschützt sein können. 1. Lizenzpflichtige Schutzgegenstände
25
Führt man sich vor Augen, dass die Übertragung bzw. der Austausch von Daten oder Datensätzen zwischen zwei Softwareprodukten ggf. mittels ergänzender Programme realisiert wird bzw. erfolgt3, so definiert dieses bereits die ggf. lizenzpflichtigen Schutzgegenstände. Dieses sind zum einen die Daten- bzw. Datenbankformate4 und das ggf. hierfür genutzte Computerprogramm (etwa in Form eines sog. Konnektors, Adapters oder Konverters) oder auch nur die Programmteile, welche zur Realisierung der Schnittstelle in die einzubindenden Programme integriert werden müssen5. Dabei geht es jeweils um den Urheberrechtschutz dieser Schutzgegenstände, sowie zum anderen auch evtl. mit Blick auf diese Formate, Programme oder Verfahren bestehende Patente. a) Urheberrechtsschutz von Daten- und Datenbankformaten
26
Datenbanken sind ggf. gem. § 4 Abs. 2 UrhG hinsichtlich ihrer Auswahl und Anordnung urheberschutzfähig6. Im Rahmen ihres Schöpfungsvor1 S. dazu Bauler/Feltz/Biri/Pinheiro, HMD 253 (2007), 57 (58 ff.); Schmietendorf, HMD 253 (2007), 74 (75 f.) sowie http://de.wikipedia.org/wiki/Enterprise_Service _Bus. 2 Andere bekannte Produkte dieser Art sind etwa der WebSphere Enterprise Service Bus (IBM), Progress Sonic ESB (Progress Software/Sonic), JBoss ESB (JBoss) und webMethods ESB-Plattform (Software AG). 3 S. dazu Rz. 6 f., 15 und 23. 4 Dazu oben unter Rz. 7 sowie Hoppen, § 2 Rz. 29 f. 5 Dazu oben unter Rz. 6 f., 15 und 23. 6 S. dazu etwa Dreier/Schulze/Dreier, UrhG, § 4 Rz. 19; Auer-Reinsdorff/Grützmacher, § 15 Rz. 39 ff.
602
Grtzmacher
§ 39
III. Lizenzrecht
gangs ist namentlich das sog. logische Datenmodell potentiell schutzfähig1. Einem Schutz entgegenstehen können insofern zweierlei Aspekte, nämlich zum einen die Tatsache, dass Daten- bzw. Datenbankformate in einem hohen Maße sachbedingt sein können, und zum anderen – mit ganz ähnlicher Ratio – die Tatsache, dass auf Basis sachbedingter Vorgaben die konkrete Gestaltung logischer Datenmodelle im Rahmen des Relationen-Entitäten-Modells2 gewissermaßen einem „Ausmultiplizieren“ nahekommt, so dass ein Schutz im Extremfall schon wegen Art. 9 Abs. 1 GATT-TRIPS (kein Schutz von Ideen) abzulehnen wäre. Nichtsdestotrotz bleibt für Datenbanken regelmäßig und erst recht bei der Frage, wie Daten zwischen Programmen ausgetauscht werden, ein ausreichender Gestaltungsspielraum für individuelles Schaffen und damit für einen Schutz gem. § 4 Abs. 2 UrhG dem Grunde nach3. Ist aber das logische Datenmodell als solches schutzfähig, so ist der 27 Schritt zum Schutz einzelner Datensätze, sprich zum Schutz von Datenformaten als Teil der Datenbankformate, kein großer mehr. Zwar reduziert sich hier die Komplexität etwas, aber auch der einzelne Datensatz wird mitunter bestimmt durch eine individuelle Zusammenstellung, und zwar sowohl, was die Datensatzinhalte anbelangt, als auch hinsichtlich der genauen Bestimmung der zu übergebenden Daten – sprich Datenfelder. Naturgemäß gilt dieses nicht für die einfache Parameterübergabe oder etwa simple Adressdatensätze, bei denen die Unterteilung in die Datenfelder Anrede, Vorname, Nachname, Straße, Postleitzahl, Ort, Telefon und E-Mail sowie die jeweils zugehörige Zuweisung der Datentypen TXT und INTEGER nicht als schöpferisch, sondern vielmehr als trivial einzustufen ist. In der Praxis hingegen werden weitaus komplexere und daher vielschichtigere Datensätze zwischen Computerprogrammen ausgetauscht. Und oftmals werden dann auch die Reihenfolge der Datenfelder sowie deren Art, Länge und Zuweisung nicht mehr derart zwingend sein, dass keinerlei Räume mehr für individuelles Schaffen bestehen. Kurzum: Es ist hier nicht auszuschließen, dass nicht nur Datenbankformate im Sinne des logischen Datenbankmodells, sondern auch Datensatzformate und Datenformate Urheberrechtsschutz nach § 4 Abs. 2 UrhG genießen können. In diesem Sinne sind sie potentiell lizenzpflichtiger Schutzgegenstand und im Rahmen der Lizenzierung zu berücksichtigen4. Dass die Schnittstellen für den Nutzer nicht ohne Wei1 Vgl. dazu Metzger, § 18 Rz. 2 ff.; Grützmacher, Urheber-, Leistungs- und Sui-generis-Schutz von Datenbanken, S. 212 ff.; s. auch OLG Frankfurt v. 19.6.2001 – 11 U 66/00, MMR 2002, 687 – IMS-Health. 2 Dazu Hoppen, § 2 Rz. 9. 3 So im Ergebnis auch Metzger, § 18 Rz. 4; s. aus technischer Sicht auch Hoppen, § 2 Rz. 39 ff. Vgl. OLG Frankfurt v. 19.6.2001 – 11 U 66/00, MMR 2002, 687 – IMS-Health. 4 Aus technischer Sicht auch Hoppen, § 2 Rz. 39 ff.; wohl auch OLG Frankfurt v. 19.6.2001 – 11 U 66/00, MMR 2002, 687 – IMS-Health; s. auch EuGH v. 29.4.2004 – Rs. C-418/01, GRUR 2004, 524 – IMS Health; a.A. offenbar Metzger, § 18 Rz. 9; Leistner, Der Rechtsschutz von Datenbanken im deutschen und euroGrtzmacher
603
§ 39
Vertrge ber Datenschnittstellen
teres zugänglich sind1, ist weder technisch richtig – die XML-Dateien werden durchaus offen ausgetauscht – noch rechtlich von Bedeutung; denn auch sonst gibt es in Softwareprodukten zahlreiche (schutzwürdige) Datenbanken, auf die der Nutzer nicht im Sinne einer klassischen Datenabfrage zugreifen kann. b) Urheberrechtsschutz an Computerprogrammen 28
Wie oben dargestellt wurde2, ist es zumindest bei einfacheren Schnittstellen so, dass diese allein auf Datensatz- bzw. Dateibasis realisiert werden können. Werden etwa einfache TXT-, CSV- oder XML-Dateien zum Austausch von Daten benutzt, so wird dieses bei einfacheren Schnittstellen nicht selten mit Hilfe selbst geschriebener Software bzw. genauer Computerprogramme möglich sein. Die Anbindung einer solchen Schnittstelle etwa im Rahmen einer individuell geschaffenen Softwarelösung oder aber auch im Rahmen einer von einem Softwarehersteller geschaffenen komplementären Standardsoftware erfordert daher per se nicht die Lizenzierung entsprechender Programmkomponenten. Zu beachten ist aber, dass in der Softwareindustrie teilweise die sog. mittelbare Nutzung für lizenzpflichtig gehalten wird; es fragt sich insofern, ob dieses auch gilt, wenn keinerlei Programmcode übernommen werden muss, sondern nur auf das anzubindende Programm zugegriffen wird3.
29
Genau andersherum verhält es sich, wenn etwa Konverter-Software4 genutzt werden muss, um die Konvertierung von einem Daten- bzw. Datensatzformat in ein anderes zu realisieren und dieses nicht etwa durch eigengenerierten Code innerhalb der zu verbindenden Systeme geschieht, sondern durch eine dazwischen geschaltete Softwarelösung.
30
Zwischen diesen beiden Extremen liegt der am schwersten zu beurteilende Sachverhalt solcher Daten- bzw. Programmschnittstellen, die auf der einen oder anderen Seite der Schnittstelle softwaretechnisch realisiert, d.h. im Programm integriert werden. Hier wird ggf. entweder die Originalschnittstelle auf Basis von Bibliotheken oder sonstigen Softwarefragmenten integriert oder aber im Zweifelsfall eine Software entwickelt, d.h. ein Computerprogramm bzw. ein Teil desselben geschaffen, welcher zur Realisierung der Schnittstellen notgedrungen dem anzubindenden Programm stark ähneln muss. In diesem Fall mag der unbefangene Leser
1 2 3 4
päischen Recht, München 2000, 58 f. sowie Leistner in Wiebe/Leupold (Hrsg.), Recht der elektronischen Datenbanken, 2003, Teil II, A, Rz. 22. So die Prämisse von Leistner, Der Rechtsschutz von Datenbanken im deutschen und europäischen Recht, S. 58 f.; Leistner in Wiebe/Leupold (Hrsg.), Recht der elektronischen Datenbanken, Heidelberg 2003, Teil II, A, Rz. 22. Vgl. dazu Rz. 7 und 10. Dazu unten Rz. 48 f. Das Beispiel von EDI-Konverter-Software wurde bereits diskutiert; s. oben Rz. 15.
604
Grtzmacher
§ 39
III. Lizenzrecht
des Gesetzes zwar schnell auf § 69a Abs. 2 Satz 2 UrhG rekurrieren. Denn dort heißt es: „Ideen und Grundsätze, die einem Element eines Computerprogramms zugrunde liegen, einschließlich der den Schnittstellen zugrunde liegenden Ideen und Grundsätzen, sind nicht geschützt.“
31
Nicht selten wird diese Norm dahingehend interpretiert, dass ein Schutz 32 von Programmen, die einer Schnittstelle zugrunde liegen, nicht möglich sei. Die heute ganz herrschende Meinung1 geht aber übereinstimmend davon aus, dass § 69a Abs. 2 Satz 2 UrhG den Schutz solcher Programmteile nicht per se ausschließt. Vielmehr ist in § 69a Abs. 2 UrhG genau genommen auch nur die Rede davon, dass die zugrunde liegenden Ideen nicht schutzfähig sind. Dieses ist aber ein im Urheberrecht allgemein anerkannter und in Art. 9 Abs. 1 GATT-TRIPS ohnehin verankerter Grundsatz. Richtigerweise wird daher heute gefragt, ob entsprechende Programmteile für sich sachbedingt sind oder nicht und ob sie in ihrer Programmierung mehr als trivial bzw. von einem signifikanten Umfang sind2. Unterstellt man dieses, so bietet sich für den Anbieter der Software, an die bzw. an dessen Schnittstelle eine Drittsoftware angebunden werden soll, ein Anker für die Forderung nach einer Lizenzierung der Schnittstelle3. Ob von einer solchen Lizenzpflicht auszugehen ist, ist hingegen eine Frage des Einzelfalls, die im Streitfall im Zweifel durch einen Sachverständigen zu klären ist. Auch kommt rein für die Erlangung der Schnittstelleninformationen als 33 solcher natürlich in Betracht, dass die Schnittstelle durch Dekompilierung nach § 69e UrhG4 auf Basis der so gewonnenen Informationen geschaffen wird5. c) Erfindungen Auch wenn Computerprogramme als solche im Grundsatz nicht patent- 34 fähig sind (§ 1 Abs. 3 PatG, Art. 52 EPÜ), so ist in der Vergangenheit von 1 Vgl. dazu Dreier in Dreier/Schulze, UrhG, § 69a Rz. 23; Schneider, Handbuch des EDV-Rechts, C Rz. 18; Grützmacher in Wandtke/Bullinger, Praxiskommentar zum Urheberrecht, § 69a Rz. 31; vgl. auch Schricker/Loewenheim, UrhG, § 69a Rz. 13. 2 Dazu näher Grützmacher in Wandtke/Bullinger, Praxiskommentar zum Urheberrecht, § 69a Rz. 31 m.w.N. 3 Grützmacher, Informationsdienst IT-Grundschutz 2006, Heft 5, S. 3 f.; dazu näher Rz. 48 f 4 Vgl. dazu Wiebe, JIPITEC 2011, 89; s. auch Schneider, Handbuch des EDVRechts, J Rz. 181. 5 Die Übernahme des die Schnittstelle realisierenden Codes ist gleichwohl im Grundsatz nicht erlaubt Grützmacher in Wandtke/Bullinger, Praxiskommentar zum Urheberrecht, § 69e Rz. 10. Es fragt sich in diesen Fällen auch, was mit Blick auf sog. versteckte Schnittstellen gilt (dazu Dreier/Schulze, UrhG, § 69e Rz. 15 sowie Grützmacher in Wandtke/Bullinger, Praxiskommentar zum Urheberrecht, § 69e Rz. 10 sowie Dreier/Schulze, UrhG, § 69e Rz. 16). Grtzmacher
605
§ 39
Vertrge ber Datenschnittstellen
der Rechtsprechung immer wieder von einer ausreichenden technischen Lehre mit Blick auf computerimplementierte Erfindungen ausgegangen worden1. 35
Schon dieses zeigt, dass auf abstrakter Ebene im Einzelfall immer darüber nachzudenken ist, dass die eine Schnittstelle umsetzenden Computerprogramme einem Patentschutz unterliegen könnten – erst recht gilt dieses für Programme, die im US-amerikanischen Markt vertrieben werden sollen. Es kommt insofern hinzu, dass gerade mit Blick auf Schnittstellen und den Datenaustausch in diesem Bereich die Chance, dass bestimmte technische Lehren als solche anerkannt und einem Patentschutz unterstellt werden, größer ist2. Denn potentiell patentfähig sind hier: – Dateiformate3 – die Übertragungsmethoden- und -verfahren4; und schließlich – der Kontext, in dem Schnittstellen genutzt werden, mithin der Steuerungseffekt mit Blick auf das große Ganze, der die konkrete Schnittstelle als technische Lehre erscheinen lassen kann5.
36
Kurzum, auch die Möglichkeit von Patenten muss mit Blick auf die Gestaltung von Lizenzverträgen für die Realisierung von Schnittstellen immer in Betracht gezogen werden.
1 Vgl. dazu Grützmacher in Wandtke/Bullinger, Praxiskommentar zum Urheberrecht, § 69g Rz. 9 ff. 2 S. etwa das Patent US 6,185,678: „1. An architecture for initializing a computer system comprising: a processor; an expansion bus coupled to said processor; a memory coupled to said expansion bus, said memory storing a system BIOS for execution by said processor upon power up of the computer system a plurality of boot components coupled to said expansion bus and accessed by said processor when said system BIOS is executed; a trusted repository coupled to said expansion bus; and means for verifying the integrity of said boot components and said system BIOS wherein integrity failures are recovered through said trusted repository. 2. […] 3. An architecture for initializing a computer system according to claim 1, wherein said trusted repository is a host computer communicating with said computer system through a communications interface coupled to said expansion bus […].“; zum Trusted Computing sowie sonstigen Patenten der Trusted Computing Group (TCG) – ehemals Trusted Computing Platform Alliance (TCPA): http:// www.heise.de/newsticker/meldung/Trusted-Computing-Group-will-TCPA-be erben-77511.html; http://de.wikipedia.org/wiki/Trusted_Computing_Group; dazu Bechtold, CR 2005, 393 (401); Koenig/Neumann, MMR 2003, 695 (698). 3 Man denke nur an die Formate für den Austausch von Videodaten, etwa in Form von MPEG (s. dazu http://www.mpegla.com/main/Pages/About.aspx sowie http://www.justice.gov/atr/public/busreview/215742.htm). 4 So etwa das Patent DE 10310622 B4 auf ein bzw. eine „Verfahren und Datenübertragungsanlage zur bidirektionalen, synchronen Datenübertragung“. 5 Dies gilt insbesondere für hardwarebezogene Schnittstellen, so etwa zu Computer-Devices oder auch für die Anlagensteuerung mit physikalischen oder chemischen Prozessen.
606
Grtzmacher
§ 39
III. Lizenzrecht
d) Geheimnisschutz (§ 17 UWG) Datenformate und -strukturen können schließlich je nach Form des 37 technischen Austausches – insbesondere wenn die Daten verschlüsselt werden und die Schnittstelle passwortgeschützt ist1 – geheim sein. In diesen Fällen kommt für diese auch ein Schutz nach §§ 17 ff. UWG in Betracht2. 2. Einzuholende Nutzungsrechte Damit fragt sich für die Gestaltung von Nutzungsrechtsklauseln ganz 38 konkret, welche Nutzungsrechte an welchen Schutzgegenständen eingeholt werden müssen. a) Nutzung des Daten(bank)-Formats Je nach technischer Ausgestaltung muss strikt genommen entweder die 39 Nutzung des gesamten Datenbankmodells – so etwa bei dem Komplettzugriff auf Datenbanken3 – oder aber zumindest, soweit ausreichend individuell und damit geschützt, das Daten- bzw. Datensatzformat lizenziert werden. Im Rahmen der Integration in ein Drittprodukt oder eine individuelle Software bedarf es hierzu eines Vervielfältigungsrechts sowie ggf. entsprechender Rechte zur Unterlizenzierung und Bearbeitung sowie Verbreitung und unter Umständen sogar öffentlichen Zugänglichmachung. Aber auch die Erstellung von Datensätzen und die Nutzung des Formats 40 zum Datenaustausch sind zu bedenken: „Der Lizenznehmer erhält das Recht, auf Basis des Datenformats eigene Datensätze zu erstellen, einzulesen, auszulesen, auszutauschen und an Dritte weiterzuleiten.“
41
Muss die Datensatzstruktur im Rahmen der Datenverarbeitung modifi- 42 ziert oder erweitert werden, ist möglicherweise auch ein entsprechendes Bearbeitungsrecht einzuholen. Häufig werden auch die Nutzung der Schnittstelle und die Dateninhalte 43 in einem lizenziert. Das ist regelmäßig dann der Fall, wenn Daten über 1 So z.B. im API License Agreement von Garmin (http://developer.garmin.com/ web-device/api-license-agreement/): „In order to use and access the API, You must register for an API account (“Account”) with Garmin. After completing your registration, which includes the URL for the website where you intend to use the API, and agreeing to these Terms of Use, You will be issued an electronic Key that is uniquely assigned to You and associated with the URL of Your website. Your Application must import the Garmin API using an HTML “script” tag that contains this Key, as described in the Maps API documentation, and Garmin shall block any requests with an invalid Key or invalid URL.“ 2 Dazu Gennen, § 13 Rz. 6 ff. 3 S. dazu oben unter Rz. 3. Grtzmacher
607
§ 39
Vertrge ber Datenschnittstellen
eine Schnittstelle bezogen werden. Oft wird die Schnittstelle dann in der Lizenzregelung gar nicht explizit erwähnt, sehr wohl aber die Zurverfügungstellung der Daten über die Schnittstelle beschrieben. In diesem Fall ist die Lizenzierung im Zweifel eher eng an dem Datenbezug zu orientieren (§ 31 Abs. 5 UrhG). 44
Beispiel: „License. Subject to the terms of this Agreement, TextWise hereby grants to You, the user, under its intellectual property and patent rights a non-exclusive, non-assignable, non-transferable, non-sub-licensable license to use the API to access and use the TextWise Services and the output thereof, for personal or business purposes.“1
45
Man wird sich auch fragen müssen, ob nicht einzelne Nutzungsarten im Rahmen der Lizenzierung klargestellt werden sollten – beispielsweise ist es umstritten, ob die Nutzung im Rahmen eines Outsourcings-, ASPoder laut Betriebs einer gesonderten Lizenzierung bedarf2.
46
Wird hingegen im Rahmen eines Lizenzvertrags allein beschrieben, dass die Schnittstelle benutzt werden darf, so verbleiben aufgrund der Zweckübertragungslehre (§ 31 UrhG) im Zweifel nicht unerhebliche Risiken, da sich eine Nutzung des Daten(bank)-Formats in der Praxis nicht deckungsgleich mit den eingeräumten Nutzungsrechten darstellt. b) Nutzung von Programmteilen und Programmen
47
Soweit nach dem oben Gesagten3 ein schutzfähiger Teil eines Computerprogramms entweder direkt 1:1 genutzt oder aber nachgeahmt werden muss, erfordert naturgemäß auch dieses die Einholung entsprechender Nutzungsrechte samt Befugnissen zur Modifikation und Vermarktung4. Wichtiger noch als bei den Daten(bank)-Formaten ist es hier, die Bearbeitungsrechte i.S.v. § 69c Nr. 2 UrhG einzuholen, ggf. auch zugunsten von
1 S. http://www.textwise.com/terms-and-conditions. 2 Dazu mit Blick auf Computerprogramme ausführlich Grützmacher, CR 2011, 697 (703 ff.); Grützmacher in Wandtke/Bullinger, Praxiskommentar zum Urheberrecht, § 69d Rz. 13. 3 Vgl. dazu unter Rz. 28 ff. 4 Mitunter geht es auch nur um die Integration in eine Website – so z.B. im API License Agreement von Garmin (http://developer.garmin.com/web-device/api-li cense-agreement/): „A. Overview of the Garmin API Package and License Grant. The Garmin API Package consists of a package or suite of different applications programmer’s interfaces (hereinafter referred to for convenience as “the AP” whether You access one or multiple interfaces) that will allow websites to directly interface with Garmin GPS devices and/or Garmin web services. Subject to the terms and restrictions set forth in these Terms of Use, Garmin grants You a limited, non-exclusive, non-transferrable and non-sublicensable license for the sole purpose of embedding the API and underlying content into your website so that Your website can interface directly with Garmin devices and/or web services. …“.
608
Grtzmacher
§ 39
III. Lizenzrecht
Handlungen Dritter, die Schnittstellen für den Nutzer integrieren1. Denn die Programmteile bzw. das Programm werden im Zweifel an das anzubindende Programm anzupassen sein. Möglicherweise muss das Programm sogar in der Zukunft einmal in eine andere Programmiersprache portiert werden. Und auch die diversen denkbaren Nutzungsarten und zukünftige Nutzungsformen sind zu beachten. So sollten heute noch unbekannte Nutzungsarten, soweit möglich, lizenziert werden, sofern sich der Lizenznehmer nicht der Gefahr aussetzen will, später Lock-in-Effekten ausgesetzt zu sein. c) Datenübertragung als mittelbare Nutzung des Programms In der Softwareindustrie, insbesondere von namhaften ERP-Herstellern, 48 wird immer wieder argumentiert, dass die mittelbare Nutzung ihres Programms durch Um- oder Vorsysteme, die über Schnittstellen angebunden werden, lizenzpflichtig sei. Dieses lässt sich nach dem Vorgesagten zumindest dann hören, wenn für die Realisierung der Schnittstelle gewisse Programmteile genutzt bzw. integriert werden müssen2. Gleichzeitig indiziert § 69a Abs. 2 UrhG aber, dass dieses dann nicht gilt, wenn keinerlei Code übernommen wird. Dann fragt sich wie gesagt allenfalls, ob die Nutzung des Datensatz- bzw. Datenformates selber lizenzfähig ist3. Die Programmnutzung als solche hingegen – auch im Sinne einer sog. 49 mittelbaren Nutzung – erscheint demgegenüber nicht lizenzpflichtig. Bei ihr fehlt es an einem zusätzlichen Eingriff in die Nutzungsrechte des Softwareherstellers4, auch wenn insofern zu attestierten ist, dass so manches user-basierte Vergütungsmodell durch vorgeschaltete Systeme (etwa Portallösungen im Internet) ausgehöhlt werden könnte. Beispiel: das für 50 User lizenzierte ERP-System wird von 100 Außendienstmitarbeitern über ein vorgeschaltetes Internetportal mitgenutzt. Aber andererseits wird man sich auch fragen müssen, ob nicht die Nutzung einer technisch vorgesehenen Schnittstelle eine bestimmungsgemäße Nutzung i.S.v. § 69d Abs. 1 UrhG ist, deren Nutzung dann auch unter Umständen noch nicht einmal vertraglich untersagt werden kann, nämlich
1 Bsp.: „1.2 You may utilize a technical services provider (“Provider”) to integrate and/or implement the OverDrive API(s) into Your Services. Provider is solely responsible for any costs or expenses, incurred by Provider, resulting from Provider’s integration with the OverDrive API. Provider shall comply with the terms and conditions as set forth in this API Agreement.“ (https://developer. overdrive.com/docs/terms-and-conditions). 2 Vgl. dazu Grützmacher, Informationsdienst IT-Grundschutz 2006, Heft 5, S. 3 f. 3 Dazu oben unter Rz. 26 ff., 39 ff. 4 Tendenziell a.A. OLG Hamburg v. 13.4.2012 – 5 U 11/11, CR 2012, 503 – Replay PSP mit krit. Anm. Spindler, CR 2012, 417 ff. Grtzmacher
609
§ 39
Vertrge ber Datenschnittstellen
dann, wenn dieses in den Bereich des zwingenden Kerns der Bestimmung1 fällt. d) Patentlizenzen 50
Mit Blick auf computerimplementierte Erfindungen in Bezug auf die Programm- bzw. Datenschnittstelle ist eine entsprechende Patentlizenz einzuholen. Dieses gilt insbesondere dann, wenn der Hersteller einer komplementären und auf die entsprechende Schnittstelle zugreifenden Software seine Software mit einer computerimplementierten Erfindung vertreiben will. Zu beachten ist insofern, dass die Lizenz mitunter nicht vom Anbieter des anzubindenden Programms einzuholen ist, sondern dass die Rechte durchaus bei sonstigen Dritten liegen können. Das Beispiel der bekannten patentgeschützten Dateiformate (z.B. MPEG etc.) verdeutlicht dieses im besonderen Maße. 3. Lizenzierungspflicht
51
Je nach Marktmacht des Anbieters der Ausgangssoftware mit Datenbzw. Programmschnittstelle kann der Inhaber der Rechte an der Schnittstelle durchaus einer Lizenzierungspflicht ausgesetzt bzw. zumindest zur Offenlegung der Schnittstelleninformationen verpflichtet sein2. Dieses gilt zunächst einmal dann, wenn der Hersteller auf dem besagten Softwaremarkt selber marktmächtig ist und ohne sachliche Rechtfertigung auf dem abgeleiteten Markt ein „neues“ Produkt verhindert und damit potentiell den Wettbewerb auf diesem Markt ausschließt3. Genau dieses war die Fragestellung in der Auseinandersetzung der EU mit Microsoft um die Schnittstelleninformationen und Schnittstellenanbindung an das Netzwerkbetriebssystem von Microsoft4. Der EuG ging insofern davon 1 Dazu BGH v. 24.2.2000 – I ZR 141/97, CR 2000, 656 (657 f.) – Programmfehlerbeseitigung; v. 24.10.2002 – I ZR 3/00, CR 2003, 323 (326) – CPU-Klausel; BTDrucks. 12/4022, 12; Erwägungsgrund 13 S. 2 (n.F.) bzw. 17 S. 2 (a.F.) der Computerprogramm-Richtlinie; Nordemann/Czychowski, UrhR, § 69d Rz. 31; Schricker/Loewenheim, UrhR, Rz. 13; im Detail Grützmacher, CR 2011, 485 (489). 2 Vgl. EuGH v. 7.7.1981 – Rs. 60 u. 190/81, Slg. 1981, 2639 – IBM/Kommission; EuG v. 22.12.2004 – T-201/04, WuW/E EU-R 863, Rz. 198 ff., insb. 207 und 222 ff. – Microsoft/Kommission; EuG v. 17.9.2007 – T-201/04, Slg. 2007, II-3602 = CRi 2007, 148, Rz. 312 ff., 643 ff.; Wiebe, JIPITEC 2011, 89 (93 ff.); auch Schneider, Handbuch des EDV-Rechts, C Rz. 33; dazu Bechtold, CR 2005, 393 (401); Koenig/ Neumann, MMR 2003, 695 (699 f.). 3 EuGH v. 6.4.1995 – Rs. C-241/91 P und C 242/91 P, GRUR Int. 1995, 490, Rz. 48 ff. – Magill; EuGH v. 26.11.1998 – Rs. C-7/97, MMR 1999, 348 Rz. 40 – Bronner; EuGH v. 29.4.2004 – Rs. C-418/01, GRUR 2004, 524, Rz. 37 – IMS Health; dazu näher Grützmacher, § 20. 4 S. dazu EU-Kommission, COMP/C-3/37792, C (2004) 900 final v. 24.3.2004, Rz. 542 ff., 709 ff., 743 ff. [= auszugsweise wiedergegeben in WuW/E EU-V 931] – Microsoft; dazu EuG v. 22.12.2004 – T-201/04, WuW/E EU-R 863, Rz. 198 ff., insb. 207 und 222 ff. – Microsoft/Kommission; EuG v. 17.9.2007 – T-201/04, Slg.
610
Grtzmacher
§ 39
III. Lizenzrecht
aus, dass „neue“ Produkt verhindert wurden, nämlich schon, weil „der künstliche Vorteil bei der Interoperabilität, den sich Microsoft durch ihre Weigerung verschaffte, ihre Konkurrenz davon abhielt, Betriebssysteme für Arbeitsgruppenserver mit innovativen Merkmalen zu entwickeln und zu vermarkten“; und dieses schade den Verbrauchern1. So kann der Anbieter einer Schnittstelle im Einzelfall unter dem kartellrechtlichen Aspekt einer Diskriminierung oder unzulässigen Zugangsverweigerung gem. § 19 Abs. 4 Nr. 4 GWB, § 20 Abs. 1 GWB bzw. Art. 102 AEUV verpflichtet sein, eine Schnittstelle bereitzustellen, wenn der Anbieter auf dem entsprechenden Markt ein marktbeherrschendes Unternehmen ist2. Ungeklärt ist demgegenüber, inwieweit Systementscheidungen dazu führen können, dass Hersteller für ihr eigenes Produkt als marktmächtig angesehen werden3, was mit Blick auf ein an dieses anzubindende Softwareprodukte ggf. im Rahmen eines eigenständigen Sekundärmarktes relevant ist. Weiter stellt sich die Frage der beherrschenden Stellung mitunter auch 52 bezogen auf das Daten- bzw. Datensatzformat als solches, wie die Entscheidung des EuGH in Sachen IMS-Health zeigt, in der sich ein Format zur geografischen Aufteilung eines Vertriebsgebiets im Pharmahandel, also eine Datenstruktur, zum De-facto-Standard entwickelt hatte4. So kann auch das Datenformat als solches sich als De-facto-Standard durchsetzen und damit von einer solchen Bedeutung sein, dass von einer marktbeherrschenden Stellung auszugehen ist.
1 2 3
4
2007, II-3602 = CRi 2007, 148, Rz. 312 ff., 643 ff. – Microsoft/Kommission; auch Heinemann, GRUR 2006, 705 (710 ff.); Moritz, CR 2004, 321; Körber, RIW 2004, 881 ff.; Zimmerlich, WRP 2004, 1260 ff. EuG v. 17.9.2007 – Rs. T-201/04, Slg. 2007, II-3602 = CRi 2007, 148, Rz. 653 – Microsoft. Im konkreten Fall ablehnend OLG Hamburg v. 30.7.2009 – 3 U 53/09, MD 2010, 523 (530). S. dazu auch Grützmacher, § 20 Rz. 18 ff. Vgl. dazu BGH v. 4.3.2008 – KVR 21/07, WRP 2008, 823 (825) – Soda-Club II: „Wird durch die Wahl eines auf eine längere Benutzung angelegten Systems ein davon abgeleiteter spezifischer Bedarf … geweckt, kommt es … entscheidend darauf an, welche Alternativen sich für den Nachfrager, der sich bereits für ein System entschieden hat … stellen“; BGH v. 29.4.2008 – KZR 2/07, WRP 2008, 963 (964) – Erdgassondervertrag: „Wechsel … mit erheblichen als Marktzutrittsschranken wirkenden Umstellungskosten verbunden“); sowie zur Frage der Marktmacht im Wartungsmarkt EuGH v. 31.5.1979 – Rs. 22/78 – Hugin, GRUR Int. 1980, 46, Rz. 3 ff.; auch BGH v. 26.10.1972 – KZR 54/71, GRUR 1973, 277 f. – Registrierkasse; BGH v. 22.10.1973 – KZR 22/72, GRUR 1974, 168 (169) – Büromaschinen; tendenziell auch BGH v. 19.9.1974 – KZR 14/73, GRUR 1975, 526 – Wartungsvertrag; aus der IT-rechtlichen Literatur etwa Vinje, CR 1993, 401 (405 f.); Zahrnt, CR 2000, 205 (206); Fritzemeyer/Splittgerber, CR 2007, 209 (213 f.); Grapentin/Ströbl, CR 2009, 137 f.; zurückhaltender Hoeren/Splittka, MMR 2009, 582 (586). Dazu EuGH v. 29.4.2004 – Rs. C-418/01, GRUR 2004, 524, Rz. 22 – IMS Health; KomE v. 3.7.2001, ABl. 2002 Nr. L 59/18 – NDC Health/IMS Health; dazu auch Grützmacher, § 20 Rz. 16. Grtzmacher
611
§ 39
Vertrge ber Datenschnittstellen
53
Schließlich gehen Gerichte in jüngster Zeit bei sog. standardessentiellen Patenten auch von einer Verpflichtung zur Lizenzierung aufgrund Kartellrechts aus (insbesondere bei sog. FRAND-Patenten)1. Noch nicht final entschieden ist insofern, in welchem Umfang sich der Lizenzsucher verhandlungsbereit zeigen muss, um einem Unterlassungsanspruch zu entgehen2.
54
So werden auch Datenübertragungsstandards oftmals durch mehrere Marktakteure festgelegt. Derartige Zusammenschlüsse von Marktakteuren zur Definition von Datenformaten lassen sich nach diesen Grundsätzen und aus der Erwägung des horizontalen Kartellrechts nur rechtfertigen, wenn die so entstehenden Standards den Wettbewerb fördern, mithin weitestgehend freigegeben sind bzw. gegen angemessene Gebühren lizenziert werden3.
IV. Sonstige vertragliche Aspekte 55
Für die Gestaltung entsprechender Lizenzverträge sind schließlich weitere Aspekte zu bedenken. 1. Änderungen der Datenschnittstellen
56
Die Datenschnittstelle kann durch den jeweiligen Hersteller einseitig verändert werden, wenn sie nicht allgemeinen Normstandards entspricht. So wird sich Microsoft etwa für die eigenen Betriebssysteme nicht vorschreiben lassen, wann und wie ggf. Schnittstellen zu ändern sind. Auch SAP wird im Zweifel Herr seiner eigenen Schnittstellen bleiben wollen.
57
Aus Sicht von Unternehmen, die von entsprechenden Schnittstellen abhängig sind bzw. auf diese zurückgreifen, ist es daher angezeigt, vertraglich zu regeln, dass sie auch auf künftigen Standards aufsetzen bzw. diese nutzen können, es sei denn, dass die Schnittstellen nicht rückwärtskompatibel gehalten werden; zudem sollte eine Verpflichtung zur Vorankündigung von Änderungen der Schnittstelle aufgenommen werden. Insofern ist sowohl mit Blick auf die Lizenzierung als auch mit Blick auf die Lieferung entsprechender Informationen über die Schnittstelle bzw. Rahmenkomponente eine zukunftsgerichtete Vereinbarung essenziell.
1 S. dazu etwa LG Düsseldorf v. 21.3.2013 – 4b O 104/12, GRUR-RR 2013, 196 – LTE-Standard; Walz, GRUR Int. 2013, 718 (723 ff.); Grützmacher, § 20 Rz. 24 ff.; s. auch zum Trusted Computing, vgl. Bechtold, CR 2005, 393 (401). 2 Dazu ausführlich Walz, GRUR Int. 2013, 718 (723 ff.) m.w.N. 3 Vgl. EU-Kommission, Leitlinien zur Anwendung von Art. 101 AEUV auf Vereinbarungen über horizontale Zusammenarbeit, ABl. 2011 Nr. C 11/01 Rz. 257 ff., insbes. 277 ff.; s. auch Entscheidung der Kommission in der Sache IV/31.458 – X/Open Group, ABl. 1987 Nr. L 35, S. 36.
612
Grtzmacher
§ 39
IV. Sonstige vertragliche Aspekte
2. Vergütungspflichten aufgrund von Schnittstellennutzung Nicht selten spielt die eigentliche Musik bei der Vertragsgestaltung sich 58 im Rahmen der Vergütung ab. a) Vergütungstatbestände So fragt sich schon, was wie zu vergüten ist. Die Vergütung kann dabei 59 auf verschiedene Metriken aufsetzten1. Sie kann sich etwa an den die Schnittstelle nutzenden Usern orientieren oder auch an dem zu übertragenden Datenvolumen. Oder sie erfolgt schlichtweg pauschal bzw. zumindest nach Anzahl der Vervielfältigungsstücke der Software. Letzteres erscheint mit Blick auf die Tatsache, dass hier ggf. an den urheberrechtsrelevanten Tatbeständen angeknüpft wird, kartell- und AGB-rechtlich wie auch im Rahmen der §§ 55a und 69d Abs. 1 UrhG unproblematischer. Etwas anderes gilt mit Blick auf das AGB-Recht im Falle einer intransparenten Gestaltung entsprechender Lizenzmetriken. b) Insbesondere kartellrechtliche Grenzen Der Höhe nach ist darauf zu achten, dass gerade marktmächtige Soft- 60 wareanbietung für die Lizenzierung ihrer Schnittstellen keine unangemessen hohe Gebühren fordern dürfen. Dieses gilt insbesondere, wenn dadurch der Wettbewerb auf einem Sekundärmarkt behindert würde2. 3. Haftung für Schutzrechtsverletzungen In Ansehung der diversen lizenzpflichtigen Tatbestände drängt sich die 61 Frage auf, wer ggf. für Schutzrechtsverletzungen haftet. Hierbei ist zu differenzieren zwischen der Lizenzierung im Rahmen der Anbindung von Standardsoftware und der Nutzungsrechtseinräumung für in Projekten geschaffene individuelle Software. a) Lizenzvereinbarung zur Anbindung von Standardsoftware Im Rahmen der Anbindung einer komplementären Software durch ei- 62 ne Schnittstelle wird der „Original“-Anbieter ggf. urheberrechtsfähige Schutzgegenstände lizenzieren. Ist er hierzu nicht befugt, trifft ihn eine entsprechende Rechtsmängelhaftung3. Was hingegen gilt, wenn die Schnittstelle auf einem Weg realisiert wird, der patentgeschützt ist, ist zweifelhaft. Einiges spricht dafür, dass dann, wenn der „Original“-Anbieter zur Anwendung auch ein Stück Software überlässt, die in das anzu1 S. zu derartigen Metriken Grützmacher, ITRB 2012, 135 (137). 2 Vgl. auch OLG Düsseldorf v. 8.6.2011 – VI-U (Kart) 2/11, U (Kart) 2/11, juris; BGH v. 29.6.2010 – KZR 47/07, juris. 3 Dazu Roth, ITRB 2003, 231 sowie Paul in Hoeren/Sieber, Multimedia-Recht, Rz. 186 ff. Grtzmacher
613
§ 39
Vertrge ber Datenschnittstellen
bindende Drittprodukt integriert werden soll, dieser insofern auch entsprechenden Gewährleistungsansprüchen ausgesetzt ist. 63
Werden hingegen lediglich die Schnittstelleninformationen preisgegeben bzw. die Formate lizenziert, ist nicht ausgeschlossen, dass der Anbieter bei einer Patentrechtsverletzung für diese nicht einstehen muss, sofern erst die ergänzende Programmierung auf Seiten der anzubindenden Lösung erfindungsgemäß und damit patentverletzend ist.
64
Zu bedenken ist auch, dass die Rechtsmängelansprüche zumindest im Kaufrecht, soweit dieses im Einzelfall zur Anwendung kommt, nach ganz h.M. in kürzester Zeit, nämlich nach 2 Jahren verjähren würden1. b) Schnittstellenanbindung im Softwareerstellungsprojekt
65
In individuellen Softwareprojekten gilt im Grundsatz das soeben Gesagte. Demgegenüber stellt sich eine ganz andere Frage, nämlich die, wer eigentlich für die Anbindung die notwendigen Rechte einzuholen hat. Haftet hier etwa der Implementierungspartner, der eine ERP-Lösung mit einem Vorsystem versieht, ohne für die nötige Lizenz hinsichtlich der Schnittstelle zu sorgen? Oder darf er sich darauf verlassen, dass der Kunde im Zweifel durch die Lizenzvereinbarung mit dem Hersteller ausreichend über die entsprechende Lizenzierungspflicht aufgeklärt ist, ja sich insoweit bereits vertraglich gebunden hat? Hier ist rechtlich vieles ungeklärt und daher regelungsbedürftig2. 4. Sachmängelhaftung
66
Last but not least sind Datenschnittstellen leider oft fehlerträchtig. Daten werden nicht übertragen, wie sich der Anwender dieses vorstellt. Insofern sollte ein besonderes Augenmerk insbesondere bei Softwareerstellungsprojekten dahin gehen, dass die Frage der Verantwortlichkeit für die Realisierung der Schnittstelle eindeutig geregelt ist. Nur dann resultieren hieraus auch sachgerechte Erfüllungs- und in der Folge Sachmängelansprüche und -rechte. Da man im Einzelfall immer darüber streiten kann, ob eine Schnittstelle auf der einen oder anderen Seite nicht funktioniert bzw. nachzubessern ist, sollte hier notfalls vertraglich nachgeholfen werden, etwa indem entsprechende über den normalen Gewährleistungsfall sachlich hinausgehende und ggf. auch verschuldensunabhängige Zusicherungen eingefordert werden.
1 Es greift § 434 Abs. 1 Nr. 3 BGB (s. nur BGH v. 5.10.2005 – VIII ZR 16/05, CR 2006, 221 – Baumarkt; Redeker, ITRB 2004, 69 [70]; Koch, Computervertragsrecht, S. 615; a.A. etwa Westermann in MünchKommBGB, § 438, Rz. 13; Spindler in FS Bartsch, S. 6, jeweils m.w.N.: BGB, § 438 Abs. 1 Nr. 1 lit. a könne analog angewendet werden). 2 Vgl. dazu Grützmacher, ITRB 2012, 135 (136 f.).
614
Grtzmacher
§ 39
IV. Sonstige vertragliche Aspekte
5. Geheimhaltungsverpflichtung Werden Daten im Grundsatz so ausgetauscht, dass die Daten(satz)-For- 67 mate und -strukturen nach § 17 UWG schutzfähig wären, also insbesondere bei verdeckt übermittelten Daten, ist es aus Sicht des Schnittstellenanbieters wichtig, eine Geheimhaltungsverpflichtung im Vertrag aufzunehmen1. Das gleiche gilt für die Passwörter passwortgeschützter Schnittstellen, auch wenn diese im Regelfall nach § 17 UWG geschützt sein sollten2. Denn die Schnittstelleninformationen müssen zwecks Anbindung der Schnittstelle ja im Grundsatz dem Vertragspartner offenbart werden, womit die Gefahr ihrer Veröffentlichung bestünde.
1 Dazu Gennen, § 13 Rz. 6 ff. 2 S. Rz. 37. Grtzmacher
615
§ 40 Datenspeicherungs- und Haltungsverträge bei Nutzung von Cloud-Services Rz. I. Ausgangssituation. . . . . . . . . . . . . 1. Anwender. . . . . . . . . . . . . . . . . . . . a) Software as a Service . . . . . . . . b) Storage as a Service . . . . . . . . . . c) Kombinierte Software as a Service- und Storage as a Service-Lösung . . . . . . . . . . . . . d) Risikoaufriss . . . . . . . . . . . . . . . aa) Ausfall des Anbieters . . . . . bb) Insolvenz des Anbieters . . . cc) Schlechtleistung des Anbieters. . . . . . . . . . . . . . . dd) Erfüllungsverweigerung . . ee) Zwischenergebnis . . . . . . . 2. Anbieter . . . . . . . . . . . . . . . . . . . . .
1 5 7 8
12 13 14 15
II. Bisherige Lösungsansätze zur Risikoabsicherung. . . . . . . . . . . . . 1. Escrow-Verträge. . . . . . . . . . . . . . . a) Gegenstand . . . . . . . . . . . . . . . . b) Interessenlage . . . . . . . . . . . . . . c) Rechtliche Bewertung . . . . . . .
16 17 17 18 19
9 10 10 11
Rz. 2. Backup-Lösungen . . . . . . . . . . . . . a) Gegenstand . . . . . . . . . . . . . . . . b) Backup-Stufen . . . . . . . . . . . . . . 3. Storage-Verträge. . . . . . . . . . . . . . . a) Gegenstand . . . . . . . . . . . . . . . . b) Rechtliche Absicherung . . . . . . c) Leistungsinhalte . . . . . . . . . . . . III. Übertragbarkeit auf CloudServices . . . . . . . . . . . . . . . . . . . . . 1. Technische Grundlagen der Cloud-Technologie . . . . . . . . . . . . 2. Konsequenzen für die Vertragsgestaltung . . . . . . . . . . . . . . . . . . . . a) Escrow-Verträge . . . . . . . . . . . . b) Backup-Lösungen . . . . . . . . . . . c) Storage-Verträge . . . . . . . . . . . .
21 22 23 26 27 30 34 40 41 43 43 47 54
IV. Absicherung der Cloud-Risiken . . 57 1. Insolvenz . . . . . . . . . . . . . . . . . . . . 58 2. Erfüllungsverweigerung . . . . . . . . 60 V. Fazit . . . . . . . . . . . . . . . . . . . . . . . . 62
I. Ausgangssituation 1
Cloud-Computing-Services sollen sowohl dem Anwender als auch dem Anbieter erhebliche Vorteile bei der Nutzung bzw. dem Angebot von ITLeistungen verschaffen. Durch standardisierte Lösungen soll das Angebot von IT-Leistungen kostengünstiger und effizienter werden. Zusätzlich wird zwischen unterschiedlichen Cloud-Services und Cloud-Modellen differenziert. In diesem Beitrag wird aufgeführt, warum bei der Überlegung zur Nutzung von Software as a Service und Storage as a Service im Hinblick auf die Business Continuity im Unternehmen vor der Entscheidung für ein Cloud-Modell, einen Cloud-Anbieter und einen Cloud-Service, die in diesem Beitrag behandelten Fragestellungen geklärt werden sollen.
2
Unter einem Cloud-Modell wird hier eine Public, Private und Hybrid Cloud verstanden. Dabei meint Public Cloud eine solche, in der der Anbieter standardisierte Leistungen in seiner Cloud-Umgebung für eine unbestimmte Anzahl von Kunden erbringt, die demgemäß keinen Einfluss auf die Ausgestaltung des Cloud-Modelles, die einzelnen Cloud-Services oder die Datenverarbeitung haben1. Eine Private Cloud meint im Gegen1 Heidrich/Wegener, MMR 2010, 803.
616
Bierekoven
§ 40
I. Ausgangssituation
satz dazu eine solche, die entweder von einem Anbieter als interne (Unternehmens-)Cloud für den Anwender betrieben wird oder jedenfalls dediziert für den Anwender und neben standardisierten Leistungen auch individuelle Leistungen zulässt, wobei der Anwender hier Einfluss auf die Datenverarbeitung nehmen kann1. Eine Hybrid Cloud ist eine solche, die die vorgenannten Cloud-Modelle miteinander und mit einer traditionellen sog. On-Premise-Lösung kombiniert2. Ein Cloud-Service ist hingegen die jeweils erbrachte Leistung mit den 3 Schwerpunkten Software as a Service (SaaS), Infrastructure as a Service (IaaS) und Platform as a Service (PaaS) bzw. die in diesem Beitrag für die Datenspeicherung und -haltung relevanten Cloud-Services Software as a Service und Storage as a Service. Die Ausgangssituation bei der Nutzung von Cloud-Services stellt sich 4 für den Anwender auf der einen und den Anbieter auf der anderen Seite wie folgt dar: 1. Anwender Der Anwender erwartet von der Nutzung eines Cloud-Service vor allem 5 Kosteneinsparungen in Bezug auf Anschaffung sowie Pflege oder Wartung der IT3, namentlich der Software aber auch der Hardware4. Darüber hinaus erwartet der Anwender Flexibilität bezüglich der Leistungserbringung, freie Skalierbar- und ständige Verfügbarkeit5. Er geht dabei davon aus, den gebuchten IT-Service aus der Cloud heraus 6 nutzen zu können, ohne selbst im eigenen Unternehmen Software installieren, warten oder pflegen zu müssen sowie ihn bei Bedarf schnell und einfach erweitern und auch wieder verringern zu können6, ohne das in der Praxis äußerst schwierige und heikle Thema des Software-Lizenzmanagements beachten zu müssen7, was bei traditioneller IT-Nutzung bei einer Nutzungserweiterung je nach Nutzungsmodell erforderlich werden könnte. Entsprechend verhält es sich bei Storage as a Service. Der Anwender geht auch insofern davon aus, aufgrund der freien Skalierbarkeit dieses Service Storage je nach Bedarf zubuchen und wieder abbestellen zu können, ohne selbst Speicherplatz vorhalten zu müssen.
1 Heidrich/Wegener, MMR 2010, 803. 2 BITKOM-Leitfaden Cloud-Computing – Was Entscheider wissen müssen. 2010, S. 18. 3 Bender, S. 85 f. 4 Roth-Neuschild, ITRB 2013, 215. 5 Roth-Neuschild, ITRB 2013, 215; Bender, S. 88 ff. 6 Letzmann/Giesecke, CR 2013, 608 (610). 7 Bierekoven, ITRB 2008, 84. Bierekoven
617
§ 40
Datenspeicherungs- und Haltungsvertrge
a) Software as a Service 7
Bei der Nutzung von Software as a Service kann der Anbieter also eine bestimmte Softwarelösung aus der Cloud nutzen, ohne sie im eigenen Rechenzentrum installieren zu müssen. Überwiegend wird davon ausgegangen, dass zur Nutzung ein Erwerb von Lizenzen deshalb nicht erforderlich ist, weil durch die Nutzung der Software keine urheberrechtlich relevante Vervielfältigungshandlung stattfindet. Dies wird damit begründet, dass die Software nicht auf der Hardware des Anwenders installiert wird und abläuft, sondern auf der Hardware des Anbieters. Dem Anwender bzw. Nutzer werde über das Internet lediglich der Bildschirminhalt übertragen, es erfolge weder eine Programminstallation noch ein Laden in den Arbeitsspeicher1. Dementsprechend liege der Schwerpunkt der Software as a Service-Lösung bezogen auf dessen Nutzung in der Bereitstellung von Funktionalitäten über das Internet während der Vertragslaufzeit im Sinne einer schuldrechtlichen Verpflichtung2. b) Storage as a Service
8
Bei Storage- oder auch Archivierungsleistungen as Service nutzt der Anwender nicht (nur) die Software-Applikation, sondern begibt sich darüber hinaus seiner Daten, insbesondere solcher, die über eine Software as a Service Applikation generiert werden, indem er Speicher des Cloud-Anbieters nutzt und seine Bestands- ebenso wie die neu über die SoftwareApplikation generierten Daten an den Cloud-Anbieter auslagert3. Der Anwender ist jedoch hinsichtlich der personenbezogenen Daten gem. Nr. 7 der Anlage zu § 9 BDSG verpflichtet, diese verfügbar zu halten. Gemäß § 11 Abs. 1 BDSG ist er auch bei einer Auftragsdatenverarbeitung verantwortliche Stelle. Hinzu kommen Aufbewahrungspflichten nach handels- und steuerrechtlichen Vorgaben für 6 bzw. 10 Jahre, die gem. §§ 146, 147 AO sowie GoBS und GDPdU revisionssicher und lesbar aufbewahrt werden müssen4. Die Daten werden also bei einer Storage as a Service Lösung und ggf. darüber hinausgehenden Archivierungslösungen nicht mehr in der eigenen IT-Infrastruktur des Anwenders gespeichert und ggf. archiviert, sondern im Rechenzentrum des Cloud-Anbieters. Der Anwender begibt sich in diesem Falle also vollständig seiner Daten. Will er sie nutzen, ist er darauf angewiesen, dass der Cloud-Anbieter sie verfügbar und für ihn nutzbar hält.
1 Selk, ITRB 2012, 201 (202 m.w.N.); Bierekoven, ITRB 2010, 42; Schuster/Reichl, CR 2010, 38 (40), anders Grützmacher, CR 2011, 697 (704). 2 Selk, ITRB 2012, 201 (202 m.w.N.). 3 Roth-Neuschild, ITRB 2013, 215. 4 Roth-Neuschild, ITRB 2013, 213 (215); ausführlich zum Thema Sinewe/Frase, BB 2011, 2198.
618
Bierekoven
§ 40
I. Ausgangssituation
c) Kombinierte Software as a Service- und Storage as a Service-Lösung Nutzt der Anbieter sowohl Software- als auch Storage- und/oder Archi- 9 vierungsleistungen as a Service aus der Cloud, begibt er sich im Ergebnis des Kernstückes seiner (traditionellen) IT-Infrastruktur, indem sowohl die Software-Applikation zur Generierung von Daten als auch die Daten selbst nicht mehr inhouse oder on premise verfügbar sind, sondern ausschließlich ausgelagert bei einem Cloud-Anbieter. d) Risikoaufriss aa) Ausfall des Anbieters Das Hauptrisiko, das der Anwender bei einer solchen Vorgehensweise 10 trägt, ist die vollständige Abhängigkeit, in die er sich zugunsten etwaiger Kosteneinsparungen und Flexibilitäten begibt. Dies bedeutet einerseits, dass er bei einem Ausfall der Systeme des Cloud-Anbieters weder seine Software nutzen noch auf seine Daten zugreifen kann. Handelt es sich hierbei um wichtige oder gar unternehmenskritische Software, kann dies im Worst Case vollständigen oder teilweisen Betriebsausfall nach sich ziehen. Dies gilt namentlich dann, wenn weder Aufträge verarbeitet, noch Rechnungen geschrieben oder Buchungen bzw. Überweisungen durchgeführt werden können. Ausweichmöglichkeiten, insbesondere der Rückgriff auf die eigene On-Premise-IT, stehen in diesen Fällen nicht zur Verfügung. bb) Insolvenz des Anbieters Ein weiteres Risiko ist die Insolvenz des Cloud-Anbieters. Mit zuneh- 11 mender Anzahl kleinerer Cloud-Anbieter erhöht sich auch das Risiko, dass diese die gebuchten IT-Services kapazitätsmäßig nicht erbringen können und ggf. Insolvenz anmelden müssen. Verweigert der Insolvenzverwalter nach § 103 Abs. 2 InsO die Vertragserfüllung, hat der Anwender im schlimmsten Fall weder Zugriff auf seine Daten noch kann er ohne Weiteres deren Herausgabe verlangen oder die Software-Applikation nutzen. Die Anforderungen der Nr. 7 der Anlage zu § 9 BDSG sowie gemäß GDPdU können nicht erfüllt werden, was steuerlich erhebliche Konsequenzen nach sich ziehen kann. cc) Schlechtleistung des Anbieters Ein weiteres Risikoszenario kann sich daraus ergeben, dass der Cloud- 12 Anbieter schlecht leistet, indem er die vereinbarten Verfügbarkeiten nicht einhält, keine regelmäßigen Updates installiert und notwendige gesetzliche und/oder technische Aktualisierungen, ggf. trotz mehrfacher Aufforderungen, nicht vornimmt. Dies kann erhebliche Auswirkungen auf den Betrieb des Anwenders haben, insbesondere wenn dieser mit gesetzlich aktueller Software arbeitet. Bierekoven
619
§ 40
Datenspeicherungs- und Haltungsvertrge
dd) Erfüllungsverweigerung 13
Schließlich kann der Anbieter die Erfüllung schlicht verweigern, woraus sich die aufgezeigten Probleme für den Anbieter ergeben. ee) Zwischenergebnis
14
Zusammenfassend ist also festzuhalten, dass der Vorteil möglicher Kostenersparnis und Flexibilität aufgrund höherer Skalierbarkeit durch die Nutzung eines Cloud-Services eine erhebliche bis vollständige Abhängigkeit des Anwenders von dem Cloud-Anbieter nach sich zieht, die ernsthafte Konsequenzen für den Anwender haben kann, denen er deswegen bereits bei der Vertragsgestaltung begegnen sollte. 2. Anbieter
15
Die Vorteile für den Cloud-Anbieter bestehen darin, dass dieser eine standardisierte Lösung anbieten kann, die einer Vielzahl von Kunden zur Verfügung gestellt wird, also ganz im Sinne eines One-to-Many-Ansatzes. Ebenso können Aktualisierungs-, Pflege- und Wartungsleistungen gebündelt und standardisiert erbracht werden, was eine regelmäßige individuelle Betreuung einzelner Anwender ggf. mit individuellen Anpassungen entbehrlich macht. Der Anbieter hat also die Möglichkeit, mit Standardleistungen eine erhebliche Anzahl von Kunden zu gewinnen, was insbesondere für Anbieter von Speziallösungen einen erheblichen Vorteil haben kann. Schafft der Anbieter die Betreuung für seine Kunden aus kapazitäts- oder finanziellen Gründen nicht, droht ihm im schlimmsten Fall die Insolvenz mit den aufgezeigten Konsequenzen für die Anwenderseite.
II. Bisherige Lösungsansätze zur Risikoabsicherung 16
Die dargestellten Risikoszenarien der Anwender sind im Ergebnis nicht neu. Die Abhängigkeit, insbesondere solche von einer Softwarelösung, bestand auch bisher ohne Cloud-Technologie und zwar sowohl bei Softwarelösungen, die als Standard- oder Individuallösungen erworben wurden als auch bei ASP-Lösungen. Im Folgenden werden die bislang entwickelten Ansätze zur Lösung dieser Abhängigkeitsthematik dargestellt, um in Ziff. III. zu untersuchen, ob und inwieweit diese Cloud-tauglich sind. 1. Escrow-Verträge a) Gegenstand
17
Zur Absicherung des Insolvenzrisikos des Anbieters einer Software-Applikation wird der Abschluss von Escrow-Vereinbarungen vorgeschlagen, 620
Bierekoven
§ 40
II. Bisherige Lçsungsanstze zur Risikoabsicherung
wobei diese regelmäßig mit dem jeweiligen (Haupt-)Lizenzvertrag kombiniert und synchronisiert werden. Mit diesen Escrow-Vereinbarungen soll der Quell- oder Sourcecode der Software-Applikation hinterlegt werden1. Dies soll dem Anwender im Sinne einer Sicherstellung der fortlaufenden praktischen Nutzbarkeit der Software Investitionssicherung gewährleiten, um so die Betriebsabläufe aufrechtzuerhalten bzw. im Rahmen des Risikomanagements die Kredit- oder Kapitalmarktwürdigkeit sicherzustellen2. b) Interessenlage Während die Herausgabe des Quellcodes für den Anwender geeignet sein 18 kann, bei entsprechender vertraglicher Gestaltung das Insolvenzrisiko, Schlechtleistungen oder die Erfüllungsverweigerung des Anbieters abzusichern, stellt dies für den Anbieter ein erhebliches Risiko dar, insbesondere wenn er selbst der Hersteller der Software-Applikation ist. Der Quellcode verkörpert, wenn nicht sein gesamtes, so doch zumindest einen Großteil des Produkt-Know-hows, das bei Offenbarung an Dritte von diesen nachgeahmt werden könnte3. Letztlich riskiert der Anbieter so den Verlust seines Wettbewerbsvorteils4. c) Rechtliche Bewertung Ein Anspruch auf Herausgabe des Quellcodes ist gesetzlich nicht vor- 19 gesehen5. Abgesehen von einer Einzelfallentscheidung des LG Köln6 besteht bei der Lieferung von Standardsoftware kein Anspruch auf Herausgabe des Quellcodes, da der erhebliche wirtschaftliche Wert desselben üblicherweise mit der Bezahlung der Lizenzgebühr nicht abgegolten und seine Überlassung nicht erforderlich ist, da solche Programme ohne weitreichende Änderungen eingesetzt werden können7. Anders beurteilt der BGH den Bereich der Erstellung von Individualsoftware. Hier ist im Einzelfall zu entscheiden, wobei die Höhe der Vergütung ebenso eine Rolle spielen soll wie die Frage, ob das Programm zur Vermarktung durch den Besteller erstellt wird und dieser zwecks Wartung und Fortentwicklung Zugriff auf den Quellcode benötigt8. Zur Vermeidung von Streitfällen ist demgemäß vertraglich zu vereinbaren, ob ein Herausgabeanspruch besteht, in welchen Fällen und welche Rechte der Anwender auch bei be1 Auer-Reinsdorff/Kast, IT-Recht, § 10 Rz. 6. 2 Auer-Reinsdorff/Kast, IT-Recht, § 10 Rz. 10. 3 Grützmacher in Redeker, Handbuch der IT-Verträge, Kap. 1.7, Rz. 3; Hoeren, CR 2004, 721. 4 Grützmacher in Redeker, Handbuch der IT-Verträge, Kap. 1.7, Rz. 3. 5 Hoeren, CR 2004, 721 (722). 6 LG Köln v. 15.4.2003 – 85 O 15/03, CR 2003, 484. 7 LG Köln v. 15.4.2003 – 85 O 15/03, CR 2003, 484; Auer-Reinsdorff/Kast, ITRecht, § 10 Rz. 25. 8 BGH, CR 2004, 490 (491); Auer-Reinsdorff/Kast, IT-Recht, § 10 Rz. 27. Bierekoven
621
§ 40
Datenspeicherungs- und Haltungsvertrge
stehendem Herausgabeanspruch am Quellcode erwirbt, insbesondere ob er diesen bearbeiten und fortentwickeln darf1. 20
Selbst wenn diese Anforderungen einschließlich der erforderlichen Synchronisation mit dem Hauptlizenzvertrag insolvenzfest abgesichert sind, so helfen diese Vereinbarungen nur, wenn es sich um die Nutzung von Softwareapplikationen einschließlich etwaiger Datenbanken handelt. Sie sichern nicht gegen Datenverlust bei in der Cloud gespeicherten Daten ebenso wenig wie sie dem Anwender ein Zugriffsrecht auf die Daten verschaffen, wenn der Anbieter diesen oder die Erfüllung des Vertrages verweigert. Zur Absicherung dieses Risikos bedarf es also anderer Lösungen. Dass dies kein rein theoretisches Problem darstellt, zeigen die Datenverluste nahezu aller großen Anbieter wie beispielsweise Windows-AzureStorage-Dienst, Amazon EC2, Microsoft und T-Mobile in Bezug auf Sidekick, Google Mail2. 2. Backup-Lösungen
21
Zur Absicherung eines Datenverlustes bedarf es also einer Backup-Strategie, die den Anwender vor einem Verlust seiner Daten schützt. a) Gegenstand
22
In der Regel vereinbart der Anwender mit dem Anbieter im Rahmen des Vertragsverhältnisses eine zusätzliche Installation einer Reserve für den sog. K- oder Katastrophenfall, wobei sich unterschiedliche Formen bzw. Stufen des Backups etabliert haben3 und diese Backups neben der Escrow-Vereinbarung auch als Sicherung der Software-Applikationen dienen. b) Backup-Stufen
23
Die Backup-Stufen unterscheiden sich wiederum nach den Leistungsinhalten4. Unterschieden werden kaltes, warmes und heißes Backup. Bei dem kalten Backup wird keine Hardware vorgehalten, sondern lediglich eine Ausweichfläche, die bereits die baulichen und versorgungstechnischen Voraussetzungen für ein Rechenzentrum bietet. Die Hardware muss noch, sobald der Bedarfsfall auftritt, aufgestellt und installiert werden. Schließlich muss die Hardware auch noch in einen betriebsbereiten Zustand versetzt werden, der zur Übernahme der Aufgaben geeignet ist5. 1 Auer-Reinsdorff/Kast, IT-Recht, § 10 Rz. 30. 2 Roth-Neuschild, ITRB 2013, 213 (214). 3 Schneider, Handbuch des EDV-Rechts, Kap. M Rz. 203 unter Bezugnahme auf Paulus, CR 1992, 1. 4 Schneider, Handbuch des EDV-Rechts, Kap. M Rz. 104; Kulessa, CR 1994, 431 (435) unter Bezugnahme auf Breuer, Report Backup’ 89, I KES 1/1989, 11. 5 Kulessa, CR 1994, 431 (435); Schneider, Handbuch des EDV-Rechts, Kap. M Rz. 104.
622
Bierekoven
§ 40
II. Bisherige Lçsungsanstze zur Risikoabsicherung
Bei einem „warmen“ Backup steht nicht nur eine Ausweichfläche, son- 24 dern ein komplettes Rechenzentrum zur Verfügung, in dem jedoch erst die geeigneten Verfahren, insbesondere Daten etwa aus dem Archiv installiert und zur Bereitschaft gebracht werden müssen. Bei dem „heißen“ Backup existieren ein weiteres oder mehrere komplett 25 ausgestattete Rechenzentren, die bereits in Betriebsbereitschaft sind und üblicherweise parallel arbeiten. Dies kann, wenn die System-Redundanz besonders wichtig ist, etwa in der Weise geschehen, dass Rechenzentren mit Rechnern gleicher Ausstattung arbeiten, von denen zwei die gleichen Aufgaben zeitparallel bearbeiten, so dass stets der gleiche Verarbeitungszustand auf beispielsweise zwei von drei Rechnern gleichzeitig zur Verfügung steht und die dritte Rechnerausstattung jederzeit von einem der beiden Rechner diese Aufgabe übernehmen könnte, bis dahin aber nur in bereits betriebsbereitem Zustand steht und ggf. niedrig priorisierte Aufgaben durchführt, die jederzeit ohne Beeinträchtigung abgebrochen werden könnten. Hingegen könnten höher priorisierte Aufgaben sofort übernommen werden, wie z.B. eine Maschinensteuerung oder ein Platzbuchungs- und Auskunftssystem1. 3. Storage-Verträge Soweit ersichtlich gibt es bislang keine Rechtsprechung zu der Frage, 26 welche Leistungsinhalte und welchen Vertragstyp ein Storage- oder Datenspeicherungs- und -haltungsvertrag (im Folgenden „Storage-Vertrag“) haben müsste bzw. darstellt. Ebenso wenig finden sich hierzu Stellungnahmen im Schrifttum, weshalb zunächst eine allgemeine Betrachtung, welche Leistungsinhalte ein Storage-Vertrag haben müsste, zu erfolgen hat. a) Gegenstand Storage-Verträge dienen zunächst dazu, personenbezogene und sonstige 27 Daten des Anwenders zu speichern. Ein wesentlicher Bestandteil ist hierbei die Datensicherung, wobei der Vertrag nicht hierauf beschränkt sein kann, wenn der Anwender die Daten im Unternehmen im üblichen Geschäftsablauf nutzen möchte. Der Anbieter muss sie deshalb für den Anwender in einem solchen Format verfügbar halten, dass dieser auf die Daten zugreifen und sie im ordnungsgemäßen Geschäftsgang weiterverarbeiten kann. Hierzu bedarf es der Verfügbarmachung und im Einzelfall der entsprechenden Schnittstellenanpassung zu den IT-Systemen des Anwenders. Sodann sind die Daten entsprechend dem Stand der Technik zu sichern.
1 Auch Kulessa, CR 1994, 431 (435); Schneider, Handbuch des EDV-Rechts Kap. M Rz. 104. Bierekoven
623
§ 40
Datenspeicherungs- und Haltungsvertrge
28
Dabei haben sich in den letzten Jahren Speicherformen wie SAN (Storage Area Network) oder NAS (Network Attached Storage) etabliert, die bereits Speichervirtualisierung darstellen1. Aufgrund ihrer Komplexität stellt die SAN-Technologie hohe technische Anforderungen an den Anwender. Typische Leistungsinhalte, um SAN nutzen zu können, sind Storage-AreaManagement, Storage-Area-Optimisation und Datensicherung2. Das Storage-Area-Management (SAM) regelt die Beziehung zwischen Applikation, ihrem Speicher und allen dazwischen, wobei die Technik die zentrale Verwaltung der Ressourcen und Daten über eine Speicherdomain hinweg liefert und einer Gruppe von Servern und Applikationen teilbare Dienste zur Verfügung stellt. Hierbei rückt die Anwendung in den Vordergrund3. Die Storage-Area-Optimisation behandelt nicht die Quantität, sondern die Wertigkeit der Daten, insbesondere, ob diese für ein Unternehmen „Mission Critical“ sind. Um zu verhindern, dass pauschal alles gesichert wird, werden Optimierungswerkzeuge eingesetzt, die den Datenbestand bezüglich der Wertigkeit durchforsten4. Die zentrale Aufgabe der Speicherverwaltung ist die Sicherung der Daten5. Soll der Anbieter neben den reinen Speicherungs- und Sicherungsleistungen die Daten auch archivieren, muss er die steuerlichen und handelsrechtlichen Anforderungen an eine revisionssichere Archivierung nach §§ 146, 147 AO, GoBS und GDPdU bzw. §§ 257, 258 HGB erfüllen.
29
Ein typischer Storage-Vertrag mit zusätzlicher Archivierungsverpflichtung beinhaltet also zumindest folgende Leistungen: – Datenspeicherung und damit einhergehend Bereitstellung von Speicherplatz – Datensicherung, einschließlich Backup-Lösungen6 – Verfügbarhaltung der Daten/Aufrechterhaltung der Nutzbarkeit der Daten – Schnittstellenmanagement zu Applikationen des Anbieters oder anderer (Cloud-)Services, insbesondere SaaS – Storage-Area-Management und -Optimisation – Revisionssichere Archivierung b) Rechtliche Absicherung
30
Im Hinblick auf die rechtliche Absicherung ist zunächst zu prüfen, welchem Vertragstyp ein solcher Storage-Vertrag zuzurechnen ist. Aufgrund der aufgezeigten Leistungen handelt es sich bei einem Storage-Vertrag 1 2 3 4 5 6
Küchler in Bräutigam, IT-Outsourcing und Cloud-Computing, Teil 1 E, Rz. 230. Küchler in Bräutigam, IT-Outsourcing und Cloud-Computing, Teil 1 E, Rz. 231. Küchler in Bräutigam, IT-Outsourcing und Cloud-Computing, Teil 1 E, Rz. 232. Küchler in Bräutigam, IT-Outsourcing und Cloud-Computing, Teil 1 E, Rz. 233. Küchler in Bräutigam, IT-Outsourcing und Cloud-Computing, Teil 1 E, Rz. 234. Dazu bereits zuvor unter Rz. 21.
624
Bierekoven
§ 40
II. Bisherige Lçsungsanstze zur Risikoabsicherung
um einen gemischten Vertrag, wobei nach der Rechtsprechung des BGH atypische oder gemischte Verträge nach einer Schwerpunktbetrachtung unter besonderer Berücksichtigung der vom Auftraggeber gewählten Zielrichtung einem der Vertragstypen des BGB zuzuordnen sind1. In seinem Urteil Internet-Systemvertrag hat der BGH diesen Vertrag als eigenen Vertragstyp, der sich insgesamt als Werkvertrag mit Dauerschuldcharakter i.S.d. §§ 633 ff. BGB zuordnen lasse, qualifiziert. Maßgeblich hat er dabei darauf abgestellt, dass die auf einen bestimmten Zeitraum festgelegte Gewährleitung der Abrufbarkeit einer für den Kunden erstellten und betreuten Webseite im Internet Gegenstand des Vertrages sei und nicht das schlichte Tätigwerden des Anbieters als solches, sondern die Herbeiführung eines Erfolges. Dabei stellte er schwerpunktmäßig darauf ab, dass die Webseite so bereitzustellen sei, dass sie für Internetnutzer abgerufen werden könne, wenn das Internet im üblichen Rahmen den Zugriff ermögliche2. Der BGH weist weiter ausdrücklich darauf hin, dass es für diese Einordnung nicht darauf ankommt, dass dem Kunden (k)ein körperlicher Gegenstand als Werkleistung übereignet wird3. Eine Qualifikation von Datenspeicherungs-, Sicherungs- und Archivie- 31 rungsleistungen war nicht Gegenstand dieses Urteils. Demgemäß musste der BGH sich hierzu nicht äußern. Hinsichtlich der Bereitstellung von Speicherplatz im Rahmen eines Webhosting-Vertrages legte der BGH sich nicht fest, sondern führte lediglich aus, dass dieser Vertrag dienst-, mietund werkvertragliche Aspekte aufweist4. Unter Zugrundelegung dieser Grundsätze lässt sich auch ein Storage-Vertrag mit den genannten Leistungen als gemischten oder eigenen Vertragstyp oder als Werkvertrag mit Dauerschuldcharakter einstufen. Aus dem Blickwinkel des Anwenders liegt der Schwerpunkt des Vertra- 32 ges nicht auf einem reinen Tätigwerden oder gar Bemühen des Anwenders, seine Daten zu speichern, sondern deren Bereitstellung zur Bearbeitung, der Aufrechterhaltung der Verfügbarkeit der Daten und der Datensicherung5. Dies bedingt zwar die Zur-Verfügung-Stellung von Speicherplatz, die als solche nach den Grundsätzen des BGH in InternetSystem-Vertrag mietrechtlich zu qualifizieren sein dürfte. Diese ist im Zusammenhang mit der eigentlichen Datenspeicherung jedoch notwendige Begleitleistung, ohne die diese nicht erbracht werden kann. Ebenso dürften Schnittstellenanpassungsleistungen zur Aufrechterhaltung bzw. 1 BGHZ 2, 331 (333); NJW 2002, 1571 (1573); BGHZ 54, 106 (107); BGH v. 4.3.2010 – III ZR 79/09, CR 2010, 327, Tz. 17; Grüneberg in Palandt, BGB, vor § 311 Rz. 26. 2 BGH v. 4.3.2010 – III ZR 79/09, CR 2010, 327, Tz. 26. 3 BGH v. 4.3.2010 – III ZR 79/09, CR 2010, 327, Tz. 27. 4 BGH v. 4.3.2010 – III ZR 79/09, CR 2010, 327, Tz. 20. 5 So Schneider für die im Rahmen eines Rechenzentrumsvertrages geschuldete Aufrechterhaltung der Verfügbarkeit, in Schneider, Handbuch des EDV-Rechts, M Rz. 107 und wohl auch für die Qualifizierung eines Vertrages über ein „heißes“ Backup. Bierekoven
625
§ 40
Datenspeicherungs- und Haltungsvertrge
Bereitstellung und Nutzbarkeit der Daten zur weiteren Verarbeitung als werkvertragliche Leistung qualifiziert werden, da es dem Anwender auf die Herbeiführung dieses Erfolges ankommt. Ein schlichtes Tätigwerden des Anbieters genügt nicht. 33
Entsprechendes gilt hinsichtlich der Archivierungsverpflichtung, da es aus dem Blickwinkel des Anwenders maßgeblich darauf ankommt, dass die archivierten Daten so archiviert werden, dass die Anforderungen der Finanzverwaltung mit jederzeitigem Zugriff gem. § 147 Abs. 5, 6 AO erfüllt werden. Angesichts der massiven Konsequenzen, die eine Nichterfüllung dieser Anforderungen nach sich ziehen könnte, kommt es dem Anwender nicht auf ein reines Bemühen der Erfüllung dieser Anforderungen an, sondern auf deren Erfolg. c) Leistungsinhalte
34
Zur Absicherung der jederzeitigen Verfügbarkeit bedarf es im Vertrag demgemäß eines entsprechenden Service Levels gekoppelt mit Vertragsstrafen zur Absicherung der Einhaltung. Regelmäßig empfiehlt sich des Weiteren die Vereinbarung von Datenformaten, die der Anwender entweder in seiner eigenen IT-Infrastruktur verarbeiten kann oder mit den von ihm genutzten Applikationen etwaiger Drittanbieter. Der reine Verweis auf die Bereitstellung eines „üblichen“ oder „dem Stand der Technik entsprechenden Formats“ genügt nicht. Bei einer solchen Festlegung läuft der Anwender Gefahr, dass er die Daten zwar in einem üblichen Format, das dem Stand der Technik entsprechen mag, erhält, er es jedoch für die von ihm genutzten Applikationen nicht nutzen kann. Weiterhin empfehlen sich Regelungen zum Schnittstellenmanagement und den Anforderungen nach §§ 146, 147 AO, GoBS und GDPdU.
35
Wenn und soweit – wovon im Regelfall auszugehen sein dürfte – die beim Anbieter zu speichernden Daten personenbezogene Daten enthalten, ist zudem sicherzustellen, dass eine Vereinbarung zur Auftragsdatenverarbeitung i.S.v. § 11 BDSG einschließlich der technisch-organisatorischen Maßnahmen der Anlage zu § 9 BDSG abgeschlossen wird1, da der Anbieter als Auftragsdatenverarbeiter für den Anwender dessen Daten nur auf Weisung verarbeiten wird. Befindet sich der Anbieter im Ausland, sind darüber hinaus die Anforderungen der §§ 4b, 4c BDSG zu beachten, die an dieser Stelle nicht vertieft werden2.
36
Hinzu kommen die üblichen Regelungen zur Gewährleistung, Haftung, anwendbarem Recht, Gerichtsstand und ggf. Nutzungsrechten, von deren Darstellung hier ebenfalls abgesehen wird.
1 Splittgerber/Rockstroh, BB 2011, 2179 (2181); zu den Anforderungen Gola/Schomerus, BDSG, § 11 Rz. 20 ff.; Plath, BDSG, § 11 Rz. 98 ff., Petri in Simitis, BDSG, § 11 Rz. 52 ff.; Taeger/Gabel, BDSG, § 11 Rz. 40 ff. 2 Dazu ausführlich Plath, BDSG, § 11 Rz. 52 ff.
626
Bierekoven
§ 40
III. bertragbarkeit auf Cloud-Services
Betrachtet werden sollen vielmehr die Themen Verfügbarkeit der Daten 37 nach Kündigung/Beendigung des Vertrages, in der Insolvenz des Anbieters und bei Erfüllungsverweigerung. Gesetzlich nicht eindeutig geregelt ist die Frage, ob auch ohne vertragli- 38 che Regelung nach Beendigung des Storage-Vertrages ein Herausgabeanspruch des Anwenders besteht. Ein solcher kann sich für eingebrachte Daten aus § 539 Abs. 2 BGB ergeben1. Unabhängig von der hier nicht vertieften Problematik, dass dieser neu generierte Daten wohl nicht umfassen dürfte, gilt § 539 Abs. 2 BGB nur bei Annahme einer mietrechtlichen Ausgestaltung, die nach hier vertretener Auffassung jedoch gerade nicht gegeben ist. Demgemäß hilft diese Überlegung nicht weiter. Es empfiehlt sich vor diesem Hintergrund vielmehr, eine vertragliche Festlegung2. Benötigt der Anwender Unterstützung bei der Datenmigration, ist auch dies in den Vertrag aufzunehmen. Zusammenfassend ist damit festzuhalten, dass wesentliche für die Da- 39 tenspeicherung und -nutzung während und nach Beendigung des Vertragsverhältnisses erforderliche Regelungen neben den typischen „Boilerplates“ solche sind, die sich auf die freie Verfügbarkeit und Nutzbarkeit der Daten für den Anwender beziehen, namentlich: – klar definierte Service Level Agreements (SLA) bzgl. der Verfügbarkeit der Daten3 – Herausgabeansprüche – Vereinbarung zur Auftragsdatenvereinbarung – Formate zur Nutzung der Daten – Ausschluss von Zurückbehaltungsrechten.
III. Übertragbarkeit auf Cloud-Services Nachfolgend gilt es zu untersuchen, ob die zuvor für die traditionelle IT 40 dargestellten Grundsätze auf die Nutzung von SaaS- und Storage as a Service in einer Cloud übertragen werden können. Ausgangspunkt müssen dabei neben den unterschiedlichen Cloud-Modellen vor allem das Geschäftsmodell und die technischen Hintergründe sein, die diesen Überlegungen deshalb vorweg gestellt werden sollen: 1. Technische Grundlagen der Cloud-Technologie Technischer Grundstein der gesamten Cloud-Computing-Technologie 41 sind Virtualisierungslösungen, aufgrund derer Hardware und Software 1 So Roth-Neuschild, ITRB 2013, 213 (215). 2 So auch Roth-Neuschild, ITRB 2013, 213 (215). 3 So auch Splittgerber/Rockstroh, BB 2011, 2179 (2181). Bierekoven
627
§ 40
Datenspeicherungs- und Haltungsvertrge
voneinander entkoppelt und auf einer physisch vorhandenen HardwareLandschaft eine Vielzahl virtueller Strukturen betrieben werden können, die sich ebenso gezielt voneinander abschirmen lassen wie sie miteinander vernetzt werden können1. Auf diese Weise entsteht eine Fülle virtueller Systemlandschaften, denen das Steuerungsprogramm zeit- und/oder lastabhängig physische Ressourcen zuweist. Dabei lassen sich physische Hardwareressourcen in mehrere virtuell eigenständige aufteilen oder zu einer einzigen virtuellen Umgebung zusammenfassen2. Als Ergebnis werden also im Rahmen von Cloud-Computing Daten, damit auch personenbezogene Daten, weltweit verteilt, bearbeitet, abgelegt und Cloudbasierte Services systemimmanent regelmäßig über Serverfarmen über die ganze Welt betrieben, so dass der Anwender typischerweise weder Kenntnis davon hat, an welche geografischen Orte seine Daten übermittelt werden, noch wo die physische Speicherung tatsächlich erfolgt3. Cloud-Technologie bedingt also, dass sowohl die Daten als auch die virtuelle Hardware und damit virtuelle Rechenzentren weltweit verteilt sein können. Entsprechendes gilt für die in einer Cloud im Rahmen eines Storage-Vertrages gespeicherten Daten. 42
Hieraus ergibt sich für die vorgenannten Lösungsmöglichkeiten zur Risikominimierung des Anwenders Folgendes: 2. Konsequenzen für die Vertragsgestaltung a) Escrow-Verträge
43
Grundsätzlich kann wohl davon ausgegangen werden, dass es technisch nicht ausgeschlossen ist, den Quellcode einer Software as a Service Cloud-Lösung zu hinterlegen. Für eine Storage-Lösung dürfte dies allenfalls für die zur Datenspeicherung verwendete Software eine Rolle spielen. Bei Storage-Verträgen interessieren den Anwender in erster Linie seine Daten, die er nutzen und im Beendigungsfalle heraus erhalten möchte. Eine Escrow-Lösung scheidet zu deren Sicherung aus. Problematisch ist an der Escrow-Lösung jedoch die Interessenlage zwischen Anwender und Anbieter.
44
Software as a Service wird als Standard-Lösung einer Vielzahl von Kunden angeboten. Sie ist dem ASP vergleichbar4. Der Anbieter wird jedoch kein Interesse daran haben, den Quellcode einem oder sämtlichen Anwendern seiner Lösung zur Verfügung zu stellen, da dies für ihn wirtschaftlich unrentabel wäre. Würde er seinen Kunden eine solche Variante anbieten, müssten die Kosten für die Nutzung entsprechend angepasst werden. Dies gilt sowohl für den Fall, dass Software as a Service-Lösun1 Pohle/Ammann, CR 2009, 273 (274) m.w.N. 2 Pohle/Ammann, CR 2009, 273 (274) m.w.N.; Nägele/Jacobs, ZUM 2010, 281; Heidrich/Wegener, MMR 2010, 803. 3 Pohle/Ammann, CR 2009, 273 (277). 4 Wicker, MMR 2012, 783.
628
Bierekoven
§ 40
III. bertragbarkeit auf Cloud-Services
gen in einer Public Cloud angeboten werden als auch in einer Private Cloud, bei der zusätzlich noch bestimmte kundenspezifische Anpassungsleistungen berücksichtigt werden müssen. Die Kostenersparnis durch die Nutzung von Cloud-Services dürfte damit für den Anwender dahin sein. Abgesehen davon ist äußerst fraglich, ob der einzelne Anwender mit dem 45 Quellcode einer für eine as a Service-Lösung entwickelten Software überhaupt etwas anfangen könnte. Dieser ist nicht nur für den einzelnen Kunden, sondern für die as a Service-Anwendung insgesamt konzipiert, so dass also der Quellcode für die gesamte, hochkomplexe und nur auf spezieller IT-Infrastruktur einsetzbare Anwendungen herausgegeben werden müsste mit sämtlichen zugrunde liegenden Datenbanken und SoftwareStrukturen, die zudem auf Grund der eingesetzten Virtualisierungstechnologie auch noch auf unterschiedlichen Servern weltweit verteilt sein könnten1. Die Software müsste also so konfiguriert werden, dass der Anwender sie im Herausgabefall nutzen kann, mit der Folge, dass eine passende technische Infrastruktur definiert und in diesem Falle sofort oder jedenfalls innerhalb kurzer Zeit beschafft werden kann2. Bedenkt man dabei, dass die Software as a Service-Lösung eine One-to-many-Lösung darstellt, ist wohl kaum davon auszugehen, dass der Anbieter entsprechende Investitionen tätigen würde. Umgekehrt dürfte der Aufwand für den Anwender dieses Modell unrentabel machen, da er im Ergebnis für einen etwaigen Beendigungsfall eine entsprechende IT-Infrastruktur vorhalten müsste. Somit ist im Ergebnis festzuhalten, dass sich eine Escrow-Lösung für ei- 46 ne Software as a Service-Lösung nicht eignet. b) Backup-Lösungen Hinsichtlich der Backup-Lösungen gilt Folgendes:
47
Die Bereitstellung sowohl einer reinen Cold und/oder Warm Backup-Lö- 48 sung ist nicht Cloud-tauglich. Cloud-Lösungen erfordern, egal nach welchem Modell sie ausgestaltet 49 sind, eine jederzeitige oder zumindest sehr hohe Verfügbarkeit. Diese bedingt jedoch, dass bei Ausfall virtueller Ressourcen sichergestellt sein muss, dass andere Ressourcen sofort den Ausfall dergestalt auffangen, dass die Verfügbarkeit gewährleistet wird. Dies ist beim „kalten“ Backup deshalb nicht gegeben, weil lediglich die Ausweichfläche vorgehalten, die Hardware jedoch im Bedarfsfall erst noch aufgestellt und installiert werden muss, was der jederzeitigen oder sehr hohen Verfügbarkeit zuwiderläuft. 1 Selk, ITRB 2012, 201 (204). 2 Roth-Neuschild, ITRB 2013, 213 (215). Bierekoven
629
§ 40
Datenspeicherungs- und Haltungsvertrge
50
Entsprechendes gilt für das „warme“ Backup, da bei diesem im Bedarfsfall erst die geeigneten Verfahren und insbesondere Daten installiert und zur Bereitschaft gebracht werden müssen.
51
Einzig das „heiße“ Backup eignet sich für Cloud-Services. Bei diesem existieren bereits mehrere komplett ausgestattete Rechenzentren, die in Betriebsbereitschaft sind und parallel arbeiten. Diese Variante entspricht damit im Ergebnis der Funktionsweise der Cloud-Technologie aufgrund der eingesetzten Virtualisierung.
52
Die „heiße“ Backup-Variante kann die jederzeitige Verfügbarkeit absichern. Insbesondere angesichts der beim Cloud-Computing eingesetzten Virtualisierungstechnologie dürfte die Bereitstellung eines „heißen“ Backups technisch ohne Weiteres machbar sein.
53
Demgemäß sind „heiße Backup-Lösungen“ zur Sicherung der Software und der Daten gegen Ausfall Cloud-tauglich und zwar sowohl im Falle von Public Cloud als auch im Falle von Private Cloud. c) Storage-Verträge
54
Bleibt weiter zu klären, ob Storage-Verträge Cloud-tauglich sind.
55
Unter Zugrundelegung der unter Rz. 34 ff. dargestellten Leistungsinhalte kann diese Frage bejaht werden.
56
Grundsätzlich können die unter Rz. 34 ff. dargestellten Leistungsinhalte auch als Cloud-Lösung erbracht werden. Technisch gesehen dürften hier keine Bedenken bestehen. Es ergeben sich hinsichtlich der Daten, insbesondere der personenbezogenen Daten, die typischen Probleme, die im Rahmen von Cloud-Lösungen bestehen, an dieser Stelle jedoch nicht vertieft werden1.
IV. Absicherung der Cloud-Risiken 57
Nun bleibt also zu klären, wie die Abhängigkeiten des Anwenders im Insolvenzfall oder bei Erfüllungsverweigerung durch den Anbieter möglichst gering gehalten werden. Für den technischen Ausfall der Software as a Service und gegen Datenverlust im Rahmen von Storage-Verträgen dürften Backup-Lösungen in der Form des heißen Backup ausreichen. Ausgehend davon, dass die Herausgabe des Quellcodes keine praktikable Lösung für Cloud-Services darstellt, muss es also darum gehen, im Insolvenzfall sowie bei Schlechtleistung und Erfüllungsverweigerung auf eine andere Lösung umzustellen, um die Daten weiter verwendbar zu halten bzw. an einen neuen Anbieter portieren zu können. Angesichts der Kom1 Hierzu: Schröder/Haag, ZD 2012, 362; Boos/Kroschwald/Wicker, ZD 2013, 205; Funke/Wittmann, ZD 2013, 221.
630
Bierekoven
§ 40
IV. Absicherung der Cloud-Risiken
plexität der Cloud-Services ist davon auszugehen, dass der Anwender auf die Unterstützung des Anbieters bei einem Wechsel angewiesen sein kann, so dass dieses Risiko vertraglich mit abgesichert werden muss. 1. Insolvenz Im Insolvenzverfahren besteht die Gefahr, dass der Anbieter nicht mehr 58 leisten kann oder der Insolvenzverwalter nach § 103 Abs. 2 InsO die Erfüllung des Vertrages ablehnt. Dem Anwender ist deswegen zu empfehlen, nach den Grundsätzen der Entscheidung des BGH v. 17.11.2005 – IX ZR 162/04 – eine insolvenzfeste Regelung in den Software as a Service-Vertrag und den Storage-Vertrag aufzunehmen, die ihm eine insolvenzfeste Lösung von diesem Vertrag im Falle einer solchen Erfüllungsverweigerung ermöglicht1. Wenngleich die Übertragung etwaiger Nutzungsrechte aus den genannten Gründen nicht erforderlich sein dürfte, so wird es dem Anwender jedoch darauf ankommen, im Kündigungsfall seine Daten zu erhalten, in einer neuen Anwendung umgehend nutzen zu können und – soweit noch leistbar – Unterstützungsleistungen vom Anbieter bis zur Portierung in eine solche neue Lösung zu erhalten. Es muss also das Risiko ausgeschlossen werden, dass der Anbieter sämtliche Leistungen sofort einstellt, was letztendlich nur durch eine Unterstützungsregelung bis zur endgültigen Beendigung des Software as a Service-Vertrages bzw. zur Portierung der Daten nach Beendigung des Storage-Vertrages möglich ist. Für letzteren Fall ist also ein Herausgabeanspruch auf den Kündigungsausfall mit Übergangslösung zur Herausgabe/Portierung zu vereinbaren. Weigert sich der Insolvenzverwalter oder kann er aus Kapazitätsgründen 59 nicht erfüllen, hilft jedoch diese Lösung nicht weiter. Insofern verbleibt also ein Restrisiko. 2. Erfüllungsverweigerung Entsprechendes gilt, wenn der Anbieter die Erfüllung verweigert und 60 zwar sowohl bei Software as a Service- als auch bei Storage as a ServiceVerträgen. Es verbleibt lediglich die Möglichkeit, in Fällen der unberechtigten Erfüllungsverweigerung ein Kündigungsrecht zu vereinbaren, das jedoch im schlimmsten Fall dieselben Konsequenzen nach sich ziehen kann, wie bei der Kündigung im Insolvenzfall, wenn der Anbieter schlicht nicht leistet oder nicht leisten kann. Der Anbieter muss deswegen durch andere Maßnahmen zur Erfüllung 61 angehalten werden, die im Rahmen eines Vertragsverhältnisses unabhängig von einer Insolvenz des Anbieters in der Vereinbarung von Vertragsstrafen oder Schadenspauschalen besteht, wie sie aus dem klassischen Outsourcing bekannt sind2. 1 Hierzu ausführlich Rath, CR 2013, 78. 2 Dazu Bräutigam, IT-Outsourcing und Cloud-Computing, Teil 13 D, Rz. 549 ff. Bierekoven
631
§ 40
Datenspeicherungs- und Haltungsvertrge
V. Fazit 62
Somit ist festzuhalten, dass sich die dargestellten Risiken für den Anwender im Ergebnis nicht vollständig ausschließen lassen. Einzig der technische Ausfall der Systeme des Anbieters kann durch die Vereinbarung von Backup-Maßnahmen im Sinne eines „heißen“ oder „hot“ Backups abgesichert werden.
63
Sowohl im Falle der Insolvenz als auch im Falle der Erfüllungsverweigerung ist der Anwender darauf angewiesen, umgehend eine entsprechende Alternativlösung zu finden. Die Herausgabe der im Rahmen eines Storage-Vertrages gespeicherten Daten kann nur durch einen vertraglichen auf den Kündigungszeitpunkt vereinbarten Herausgabeanspruch abgesichert werden. Ein Restrisiko bleibt jedoch angesichts der vollständigen Auslagerung der Daten.
64
Vor diesem Hintergrund empfiehlt es sich für den Anwender vor Beauftragung einer Cloud-Lösung zu überlegen, welche Softwarelösungen er als Cloud-Lösung beziehen möchte und welche Daten er an einen Storage-Anbieter auslagert.
65
Bei unternehmenskritischen Daten sollte entsprechend darauf geachtet werden, dass für den Kündigungsfall eine Übergangsregelung und der Ausschluss eines Zurückbehaltungsrechtes hinsichtlich der Daten vereinbart wird. Alternativ verbleibt nur eine Hybrid Cloud, bei der diese Daten on premise bleiben.
632
Bierekoven
§ 41 Standardbedingungen von Cloud-Anbietern, insbesondere Daten und Exit-Klauseln Rz. I. Ausgangslage . . . . . . . . . . . . . . . . . II. Topographie derzeitiger CloudAngebote . . . . . . . . . . . . . . . . . . . . III. Die Exit-Klausel – immer zu kurz gekommen? . . . . . . . . . . . . . . 1. Datenherausgabe und Datensicherung bei Vertragsbeendigung . . . . . . . . . . . . . . . . . . . . . . . . 2. Datenlöschung . . . . . . . . . . . . . . . 3. Rechte des Cloud-Anbieters an den eingestellten Daten . . . . . . . .
1 8 11 12 23
Rz. IV. Das Recht des Datenbankherstellers – noch gar nicht gesehen? . . . 1. Was stellt der Cloud-Nutzer ein und was könnte daraus werden? . 2. Wer ist der Hersteller?. . . . . . . . . . a) Die Investition des CloudAnbieters . . . . . . . . . . . . . . . . . . b) Der Konflikt mit Datenbankrechten des Cloud-Nutzers . . .
31 33 37 37 41
V. Vorschläge zur Best Practice . . . . 46
26
I. Ausgangslage* Der sich abzeichnende Wandel und vermeintliche Siegeszug von der 1 Überlassung bzw. Beschaffung von Softwarefunktionalitäten und Infrastrukturleistungen hin zu Cloud-basierten Mietmodellen wird allgemein mit dem geringeren Kapitaleinsatz, der hohen Flexibilität in der Ressourcenplanung und skalierbaren Nutzung bei nahezu unbegrenzter Verfügbarkeit sowie darauf ausgerichteter, degressiver Vergütungsmodelle („pay-per-use“) sowie der kurzfristigen Kündbarkeit der Leistungen begründet1. Die entsprechenden Leistungsversprechen der Industrie verbinden dies 2 mit dem klaren Blick auf eine der Quellen so mancher, oft jahrelanger Frustration auf Anwenderseite: die Herausforderungen in der Umsetzung monolithischer (und weniger monolithischer) Softwareprojekte, die – ob für Individualsoftware oder auch „lediglich“ die Einführung komplexer Standardsysteme – allzu oft in die „Software-Ruine“ und zugehörige Rechtsstreitigkeiten geführt haben. Mit der Cloud soll zwar nicht alles anders, aber doch vieles leichter werden – jedenfalls soweit es sich um standardisierte IT-Leistungen handelt. Rein in die Cloud durch ein schnelles „plug-in and switch-on“ ist für standardisierte Softwarefunktionalitäten und Infrastrukturleistungen eine sinnvolle, aussichtsreiche und tatsächlich erfolgreiche Verheißung, der sich viele Unternehmen nicht nur im Start-up-Bereich zunehmend öffnen.
* Der Verfasser dankt Dr. Bernd Schmidt, LL.M., Bird & Bird LLP, für die wertvolle Unterstützung in der Recherche und Vorbereitung dieses Beitrags. 1 Vgl. hierzu Bisgen, MMR 2012, 574 (575). Duisberg
633
§ 41
Standardbedingungen von Cloud-Anbietern
3
Dem stehen standardisierte Vertragsbedingungen zur Seite, über die – so will es die Natur der Sache – zumindest im Rahmen der Public-CloudModelle individuelle Vertragsverhandlungen kaum denkbar sind oder zu sein scheinen1.
4
So schnell der Weg in die Cloud beschritten ist, so wenig wirft so mancher Anwender einen genaueren Blick darauf, wie er denn womöglich später einmal wieder aus der Cloud herauskommt – ob durch die Rückführung von Daten und Funktionalitäten „in-house“ oder hin zu einem anderen Anbieter. Was hier als triviale Übung eines „plug-out and move on“ erscheinen sollte, ist zumindest von der rechtlichen Seite nicht immer befriedigend dokumentiert. Das gibt Anlass zu fragen, ob denn das Menetekel des „Vendor-Lock-In“ an der Wand steht oder – weniger dramatisch formuliert – wie leicht es der Cloud-Anbieter seinen Kunden macht, ohne technische und juristische Fußangeln aus dem Vertragsverhältnis auszuscheiden. Führen Cloud-Angebote wirklich zum Ende des „Vendor Lock-in“?
5
Dazu muss man anerkennen, dass die anbieterseitige Erleichterung und proaktive Unterstützung des Ausstiegs („Exit“) und ggf. sogar des Wechsels zu einem Wettbewerber in vieler Hinsicht „kontra-intuitiv“ ist und seitens der Cloud-Anbieter ein Umdenken erfordert bzw. bereits ausgelöst hat. Das Geschäfts- und Wettbewerbsmodell der Anbieter verlagert sich auch in der vertraglichen Handhabe von einer Produktorientierung (ich biete mein Produkt zum bestmöglich erzielbaren Preis an, sehe zu, soviel wie möglich Folgenutzen aus der Überlassung des Produkts zu ziehen, und nutze dazu alle Möglichkeiten, dem Kunden einen Wechsel möglichst schwer zu machen) hin zu einem echten Service-Modell, bei dem der Kunde vom Wechsel allein aufgrund des fortlaufenden Mehrwertes aus dem bezogenen Service – selbst bei einer überwiegend austauschbaren Grundleistung – absieht.
6
Dies erfordert offensichtlich anbieterseitig ein gerüttelt Maß an Mut und Zutrauen in die fortlaufende Attraktivität der eigenen Leistung. Ob und inwieweit Cloud-Anbieter diesen Schritt zum Service-Modell gehen und in ihren Vertragsbedingungen transparent gestalten, ist Gegenstand der nachstehenden Überlegungen. Ihnen liegt ein – keineswegs vollständiger, eher indikativer – Vergleich der am Markt verfügbaren Vertragsbedingungen einiger der wesentlichen Cloud-Anbieter zugrunde2. 1 Wobei dem Vernehmen nach nahezu alle großen Cloud-Anbieter im unternehmerischen Bereich juristisch ausgebildete „Deal-Negotiator“ vorhalten, die zumindest die „commercial terms“, aber womöglich auch die eine oder andere im engeren Sinne rechtlich relevante Bestimmung mit ihren Kunden besprechen und verhandeln, wenn dies für den Vertragsabschluss erforderlich sein könnte. 2 Der Beitrag knüpft an eine erstmals auf der „Trusted Cloud“ am 9.11.2012 präsentierte kursorische Vergleichsstudie des Autors an, Duisberg, http://trustedcloud.de/documents/2012-11-09_Duisberg.pdf, in der im Wesentlichen einige der im Netz verfügbaren Vertragsbedingungen für den gewerblichen Bereich
634
Duisberg
§ 41
II. Topographie derzeitiger Cloud-Angebote
Wo liegt also die rechte Balance zwischen vertraglichen Absicherungen 7 gegen den ungewollten Wechsel und der Erleichterung desselben, wenn der Cloud-Anwender diesen vollziehen möchte? Die Antwort hat im Wesentlichen zwei Dimensionen: zum einen die technische Abwicklung der Vertragsbeendigung, also insbesondere die Herausgabe von Daten und Inhalten, die der Anwender im Rahmen der Nutzung des Leistungsangebots in die Cloud eingestellt hat, in einem für die zukünftige Nutzung und Verarbeitung ohne zusätzlichen oder größeren Aufwand verwendbaren Format in einem angemessenen Zeitraum; und zum anderen den rechtlich bereinigten Exit, also die Löschung vorhandener Daten und Metadaten sowie die Absicherung des Anwenders, dass an den herausgegebenen Daten und Datenbeständen keine Rechte Dritter (einschließlich etwaiger Rechte des Cloud-Anbieters) bestehen.
II. Topographie derzeitiger Cloud-Angebote Die inzwischen unüberschaubare Vielzahl der für den B2C- und B2B-Be- 8 reich verfügbaren Cloud-Services zeigt, dass in kurzer Zeit eine fundamentale Veränderung der IKT-Landschaft stattgefunden hat, die noch vor wenigen Jahren nach ferner Zukunftsmusik geklungen hatte. CloudServices wie iCloud oder Google Drive erschließen breite Zielgruppen im B2C Segment und synchronisieren Endgeräte wie Tablet, Smartphone oder Laptop, bieten Terminplaner und die umfassende Verwaltung und Möglichkeiten der Bearbeitung selbst erstellter und fremder medialer und sonstiger Inhalte. Umfassend angelegte Office-Funktionalitäten ermöglichen die Erstellung, Bearbeitung und Verwaltung von Textdokumenten, Tabellen oder Präsentationen. In die Cloud eingestellte Daten werden strukturiert abgelegt und sind durch Suchfunktionen auffindbar. Im unternehmerischen Bereich erweitert sich das Spektrum um die Viel- 9 zahl der Angebote auf der Infrastruktur-, Plattform- und Anwendungsebene (IaaS, PaaS, SaaS). Die Ausdehnung in den Bereich Cloud-basierter Geschäftsprozesse bis hin zur Bereitstellung Cloud-basierter Datendienste (BPaaS und DaaS) ist da nur die logische Fortführung. Schon heute ist das Cloud-basierte Backup von Unternehmensdaten bis zur vollständigen Auslagerung der Datenspeicherung und -verarbeitung und Cloudbasierten Big Data-Analysen in vielen Unternehmen gängige Praxis.
(B2B) untersucht wurden. Es wird ausdrücklich darauf hingewiesen, dass auch die untersuchten und nachfolgend referenzierten Anbieter durchaus auch weiterführende Vertragsdokumentation vorhalten, die nicht vollständig untersucht werden konnte. Für die Zwecke dieser Darstellung wurde die Untersuchung auf einige weitere Vertragswerke, einschließlich des B2C-Bereichs, ausgedehnt (s. Fn. 6, Rz. 11). Duisberg
635
§ 41 10
Standardbedingungen von Cloud-Anbietern
Vertragstypologisch stellen sich Cloud-Verträge regelmäßig als typengemischte Verträge1 mit im Schwerpunkt mietvertraglichen2, wie aber auch werkvertraglichen3 und dienstvertraglichen Elementen dar4, die – entsprechend den zugrunde liegenden, standardisierten Leistungsangeboten – anhand der Maßstäbe des AGB-Rechts (§§ 305 ff. BGB) zu beurteilen sind5.
III. Die Exit-Klausel – immer zu kurz gekommen? 11
Der folgenden Darstellung liegt die Untersuchung von neun Vertragswerken zugrunde, mit denen Cloud-Anbieter im deutschen Markt für Geschäftskunden (B2B) und Verbraucher (B2C) die Abwicklung des Exit regeln6. Dabei geht es sowohl um die Modalitäten der technischen Rückführung (Datenherausgabe und Beendigungsunterstützung) als auch um die rechtlich einwandfreie und vorbehaltlose Abwicklung, einschließlich der Löschung von Daten und sonstigen Inhalten. Sofern beides, die technische und rechtliche Abwicklung, unproblematisch geregelt ist, wird man von einer den Kundenerwartungen gemäßen Vertragsabwicklung sprechen können („clean exit“), die im Sinne einer „best practice“ dem Leistungsversprechen der Industrie einer jederzeit abrufbaren und abbestellbaren Service-Leistung genügt. 1. Datenherausgabe und Datensicherung bei Vertragsbeendigung
12
Von den untersuchten neun Vertragswerken findet sich ein Anspruch des Cloud-Nutzers auf Herausgabe seiner Daten nur in zwei Fällen. Die betreffenden Anbieter stellen dem Cloud-Nutzer seine eingebrachten Da-
1 von dem Bussche/Schelinski, Münchener Anwaltshandbuch IT-Recht, Teil 1, Rz. 115; Nägele/Jacobs, ZUM 2010, 281 (284); Splittgerber/Rockstroh, BB 2011, 2179; zur vertragstypologischen Einordnung von IT-Verträgen s.a. Schneider, Handbuch des EDV-Rechts, D Rz. 14. 2 BGH, NJW 2007, 2394; Junker, NJW 2003, 2792 (2797); Nägele/Jacobs, ZUM 2010, 281 (284). 3 Splittgerber/Rockstroh, BB 2011, 2179; vgl. für IT-Verträge allgemein Schneider, ITRB 2010, 18. 4 Nägele/Jacobs, ZUM 2010, 281 (284); Splittgerber/Rockstroh, BB 2011, 2179. 5 Hierzu für IT-Verträge Schneider, ITRB 2007, 24; zu den AGB-rechtlichen Gesichtspunkten des Urhebervertragsrechts s. Grützmacher in Wandtke/Bullinger, UrhR, vor §§ 69a ff. Rz. 12 ff. 6 Apple Nutzungsbedingungen für iCloud, Stand: 13.9.2012 (B2C); Google-Nutzungsbedingungen, Stand: 1.3.2012 (B2C); HP Customer Agreement, Stand: 3.7.2012 (B2B); IBM SmartCloud Vereinbarung, Stand: 28.5.2013 (B2B); Microsoft-Volumenlizensierung, Stand Januar 2013 (B2B); ORACLE Cloud ServicesVereinbarung, Stand: 13.4.2012 (B2B); Salesforce Rahmen-Abonnementvertrag, Stand: 15.9.2009 (B2B); AGB für SAP Cloud Services der SAP Deutschland AG & Co. KG, Stand: Januar 2013 (B2B); AWS Customer Agreement, Stand: 15.3.2012 (B2B).
636
Duisberg
§ 41
III. Die Exit-Klausel – immer zu kurz gekommen?
ten im „CSV-Format“ („comma separated value“)1 mit den Anhängen im Originalformat zur Verfügung. Die entsprechende Klausel lautet (Salesforce): „Auf Anforderung des Kunden, die innerhalb von 30 Tagen nach dem Datum der Beendigung zu erfolgen hat, stellt [der Anbieter] dem Kunden mittels Download eine Datei mit seinen Kundendaten im CSV-Format sowie die Anhänge in ihrem ursprünglichen Format zur Verfügung […].“
Die betreffende Klausel von Oracle lautet:
13
„Oracle ist verpflichtet, bei Kündigung des Abonnement-Services unverzüglich und ohne unangemessene Verzögerung dem Kunden alle Kundendaten in einer CSV-Datei (comma separated value) zur Verfügung zu stellen. […] “
Zwei der untersuchten Cloud-Anbieter regeln lediglich die „Selbsthilfe“, 14 indem der Nutzer die Cloud-Services bis zur Beendigung nutzen darf, um selbst eine Datensicherung vor Schließung des Accounts bzw. Löschung der Daten durchzuführen. Dies folgt indirekt aus diesen Klauseln (IBM): „IBM schließt den Kundenaccount erst, wenn IBM vom Kunden eine Bestätigung erhalten hat, dass alle erforderlichen Maßnahmen zum Schließen des Accounts durchgeführt wurden. […] Der Kunde nimmt zur Kenntnis, dass bei einer Kündigung oder dem Schließen des Accounts der gesamte Content gelöscht wird.“
Apple:
15
„Nach Kündigung Ihres Kontos können Sie nicht länger auf den Dienst und alle Teile des Dienstes zugreifen. […] Darüber hinaus wird Apple nach einer gewissen Zeit auf Ihrem Konto/Ihren Konten gespeicherte Informationen und Daten löschen. […]“
Vier Cloud-Anbieter ermöglichen dem Cloud-Nutzer den Zugriff auf den 16 Account zur Datensicherung bzw. auf einen dafür spezifisch eingerichteten Account für eine Übergangszeit von 14 bis 90 Tagen. Amazon:
17
„[…], during the 30 days following termination […] you may retrieve Your Content from the Service only if you have paid any charges for any post-termination use of the Service Offerings and all other amounts due; and we will provide you with the same post-termination data retrieval assistance that we generally make available to all customers.[…]“
HP:
18
„[…] Customer will have access to Content following termination or expiration of this Agreement for at least fourteen (14) days after the effective date of termination or expiration, […].“
Microsoft:
19
„[…] Ihre im Onlinedienst gespeicherten Kundendaten [werden] mindestens 90 Tage nach dem Ablauf oder der Kündigung Ihres Abonnements (der „Aufbewahrungs-
1 Hierzu http://de.wikipedia.org/wiki/CSV_(Dateiformat). Duisberg
637
§ 41
Standardbedingungen von Cloud-Anbietern
zeitraum“) in einem Account mit eingeschränkter Funktionalität [aufbewahrt], damit Sie die Daten extrahieren können.“
20
SAP: „Der [Cloud-Nutzer] hat die Möglichkeit, die Daten […] innerhalb von dreißig (30) Tagen nach Datum des Inkrafttretens der Kündigung zu exportieren und abzurufen.“
21
Google trifft in seinen AGB keine Regelung zur Herausgabe von Daten bei einer Beendigung der Nutzung durch den Cloud-Nutzer. Es findet sich nur der Hinweis auf ein Recht zur jederzeitigen Beendigung der Nutzung durch den Cloud-Nutzer: „Sie können die Nutzung unseres Dienstes jederzeit beenden, auch wenn wir dies bedauern würden.“
22
Für eine Einstellung des Cloud-Services durch Google findet sich diese Regelung: „[…] Google kann die Bereitstellung von Diensten an Sie jederzeit aussetzen oder durch zusätzliche sowie neue Beschränkungen begrenzen. Ihre Daten gehören Ihnen und wir halten es für wichtig, dass Sie auf diese Daten zugreifen können. Sollten wir einen Dienst einstellen, werden wir, sofern vernünftigerweise möglich, Sie im Voraus angemessen darüber informieren und Ihnen die Möglichkeit geben, Ihre Daten aus diesem Dienst zu exportieren.“
2. Datenlöschung 23
Fünf der untersuchten Vertragswerke regeln eine Löschung der Nutzerdaten und anderen vom Anwender in den Cloud-Service eingestellten Daten sowie der hiervon erzeugten Sicherungskopien (Apple, IBM, Microsoft, SAP, Salesforce). Exemplarisch für diese Gruppe ist die Klausel von SAP: „SAP unternimmt […] bei Kündigung der Vereinbarung die wirtschaftlich vertretbaren Anstrengungen, um alle Daten, die noch auf den Servern verblieben sind, […] dauerhaft und unwiderruflich zu entfernen, zu löschen oder zu überschreiben, […], sofern und soweit geltende Gesetze und Vorschriften nicht eine weitere Aufbewahrung dieser Daten verlangen.“
24
Ein anderer Cloud-Anbieter knüpft an einen nachvertraglichen „Aufbewahrungszeitraum(s)“ und eine sich daran anschließende Löschung an (Microsoft): „Nach Ablauf des Aufbewahrungszeitraums werden wir Ihr[en] Account deaktivieren und Ihre Kundendaten löschen. Zwischengespeicherte Kopien oder Sicherungskopien werden innerhalb von 30 Tagen nach Ende des Aufbewahrungszeitraums entfernt.“
25
In vier Vertragswerken wird eine Löschung von Daten nach Beendigung der Nutzung eines Cloud-Services nicht geregelt (Amazon, Google, HP, Oracle).
638
Duisberg
§ 41
IV. Das Recht des Datenbankherstellers – noch gar nicht gesehen?
3. Rechte des Cloud-Anbieters an den eingestellten Daten Die Frage, ob der Cloud-Anbieter an den eingestellten Daten Rechte er- 26 wirbt, wird nur in dem Vertragswerk von SAP nicht angesprochen. In sieben Vertragswerken wird geregelt, dass die Rechte an den einge- 27 stellten Daten dem Cloud-Nutzer zustehen. So findet sich in dem Vertragswerk von Google die Regelung: „Ihre Daten gehören Ihnen […].“
In dem Vertragswerk von Salesforce findet sich diese Regelung:
28
„Im Verhältnis zwischen SFDC und dem Kunden ist der Kunde alleiniger Inhaber aller Rechte und Ansprüche an sämtlichen Kundendaten.“
Aus dem Vertragswerk von HP ergibt sich indirekt, dass der Cloud-Nut- 29 zer Inhaber der Eigentumsrechte an den Daten ist, da HP sich hierfür eine Lizenz geben lässt: „Customer hereby grants and agrees to grant to HP, under all intellectual property rights embodied in the Content, a non-exclusive, perpetual, irrevocable, worldwide, royalty free, fully paid-up license to use, import, distribute, modify and distribute modifications of, perform, create and distribute derivative works of, copy, and display Content, solely in connection with HP’s provision of Service […].“
Eine Regelung über Rechte an den Daten nach einem Exit findet sich in 30 keinem Vertragswerk.
IV. Das Recht des Datenbankherstellers – noch gar nicht gesehen? Typischerweise bieten Cloud-Services – jedenfalls auf der Applikations- 31 bzw. SaaS-Ebene – dem Nutzer die Möglichkeit, die von ihm eingestellten Daten einer Ordnungsstruktur zu unterstellen, die der Cloud-Anbieter im Rahmen der von ihm angebotenen Funktionalitäten standardisiert und skalierbar zur Verfügung stellt. Dabei stellt sich die Frage, ob und wie das Recht des Datenbankherstellers der §§ 87a ff. UrhG zum Tragen kommt – dieses Recht, das in der Weiterentwicklung unserer Informationsgesellschaft und der IKT-Branche zu einer Wirtschaft der Datentechnologien, Datendienste und Big Data ein geradezu überraschendes Schattendasein führt. Denn gleichermaßen, ob der Nutzer unstrukturierte Rohdaten oder vor- 32 strukturierte Daten in die Cloud stellt, drängt sich die Frage auf, wem im Verhältnis zwischen Cloud-Anbieter und Cloud-Nutzer welche Rechte an welchen Datenstrukturen zustehen. Dabei zeigen die oben aufgeführten Klauselbeispiele, dass sich die Anbieter richtigerweise keine
Duisberg
639
§ 41
Standardbedingungen von Cloud-Anbietern
eigenständigen Rechte an den „Daten des Kunden“1 anmaßen. Die Frage, ob dies angesichts des ipso iure Rechtserwerbs aus § 87a Abs. 1 Satz 1 UrhG genügt und im Zweifel für hinreichende Rechtssicherheit sorgt, ist bislang offen und soweit ersichtlich noch nicht diskutiert. 1. Was stellt der Cloud-Nutzer ein und was könnte daraus werden? 33
Eine Datenbank ist gemäß § 87a Abs. 1 Satz 1 UrhG „eine Sammlung von Werken, Daten oder anderen unabhängigen Elementen, die systematisch oder methodisch angeordnet und einzeln mit Hilfe elektronischer Mittel oder auf andere Weise zugänglich sind und deren Beschaffung, Überprüfung oder Darstellung eine nach Art oder Umfang wesentliche Investition erfordert“.
34
Je nachdem, welche Inhalte ein Cloud-Nutzer von seiner Seite aus in die Cloud einstellt und entsprechende Services bzw. Funktionalitäten des Anbieters nutzt, handelt es sich um „Werke“ i.S.d. § 2 Abs. 2 UrhG (also z.B. Text-, Audio- oder Videodateien)2, Daten (Einzelangaben, die keinen eigenständigen Informationsgehalt aufweisen)3 oder „andere unabhängige Elemente“ (worunter jedes „menschlich wahrnehmbare und einen Informationsgehalt aufweisende Material“4 fällt).
35
Das Kriterium der systematischen oder methodischen Anordnung grenzt die Datenbank von einer willkürlich entstandenen Anhäufung von Rohdaten ab. Es setzt voraus, dass Ordnungsgesichtspunkte erkennbar sind, die den Zugriff auf einzelne Elemente ermöglichen5. Das mag also bereits für die vom Cloud-Nutzer eingestellten Werke, Daten oder anderen unabhängigen Elemente der Fall sein. Es gilt mit Sicherheit aber auch dann, wenn der Cloud-Nutzer unstrukturierte Rohdaten in die Hände des Cloud-Anbieters gibt und dieser sie seinen systematischen oder methodischen Ordnungsprinzipien unterwirft. Denn nur so kann der Cloud-Nutzer die Vorteile des Cloud-Service in Anspruch nehmen und beispielsweise die von ihm eingestellten Inhalte individuell mittels Suchfunktionen und/oder den Möglichkeiten der alphabetischen6, chronologischen, thematisch oder in sonstiger Weise strukturierten Anzeige aufrufen und verarbeiten7. Mit anderen Worten: Durch die Einbringung
1 Zu der grundsätzlichen Frage des „Eigentums“ an Daten s. Duisberg in Eberspächer/Wohlmuth, Tagungsband Münchener Kreis „Big Data wird neues Wissen“, 2012. 2 Kilian/Heussen, Computerrecht, Teil 5, II., Rz. 5. 3 Thum in Wandtke/Bullinger, UrhR, § 87a Rz. 6. 4 Thum in Wandtke/Bullinger, UrhR, § 87a Rz. 6. 5 EuGH, GRUR 2005, 254 (255); Czchowski in Fromm/Nordemann, UrhG, § 87a Rz. 13; Haberstumpf in Mestmäcker/Grünwald, UrhR, § 87a Rz. 9; Kotthoff in Dreyer/Kotthoff/Meckel, UrhR, § 87a Rz. 19. 6 Zur alphabetischen Anordnung s. BGH, GRUR 1999, 923 (925). 7 Kotthoff in Dreyer/Kotthoff/Meckel, UrhR, § 87a Rz. 19.
640
Duisberg
§ 41
IV. Das Recht des Datenbankherstellers – noch gar nicht gesehen?
unstrukturierter Rohdaten in einen Cloud-Service entsteht typischerweise eine Datenbank i.S.d. § 87a UrhG. Stellt der Cloud-Nutzer strukturierte Werke, Daten oder andere unab- 36 hängige Elemente in die Cloud, die schon zuvor die Voraussetzungen des § 87a Abs. 1 Satz 1 UrhG erfüllen, so unterwirft er eine – eigene oder jedenfalls vorbestehende – Datenbank dem Dienst des Cloud-Anbieters. Erstreckt der Cloud-Anbieter nun seine (häufig genug: abweichenden) Ordnungs- und Strukturprinzipien auf die Elemente der eingebrachten Datenbank oder ändert er die vorbestehende Datenbankstruktur im Sinne einer Rekonfiguration oder erheblichen Umstrukturierung ab, ist gut denkbar, dass ein neues Recht sui generis an den vom Cloud-Nutzer eingestellten Inhalten entsteht. Denn „eine in ihrem Inhalt nach Art oder Umfang wesentlich geänderte Datenbank gilt als neue Datenbank, sofern die Änderung eine nach Art oder Umfang wesentliche Investition erfordert“ (§ 87a Abs. 1 Satz 2 UrhG). Dazu kommt es etwa dann, wenn der Cloud-Anbieter die vorbestehende Datenbank bzw. die darin enthaltenen Datensätze mit einer relevanten Anzahl weiterer Elemente oder eigenständigen Datenbanken verbindet bzw. die Ordnungsstruktur signifikant ändert und – im Sinne eines funktionalen Mehrwertdienstes – durch neue Ordnungs- und Darstellungsmöglichkeiten einschließlich z.B. zusätzlicher Suchfunktionen wesentlich erweitert. 2. Wer ist der Hersteller? a) Die Investition des Cloud-Anbieters Ob somit ein neues Recht sui generis entsteht, hängt darüber hinaus ge- 37 mäß § 87 Abs. 1 Satz 2 UrhG davon ab, ob die Veränderung eine wesentliche Investition erfordert – und wer diese tätigt. Dabei ist klar: Wenn der Cloud-Anbieter die Investition tätigt, so ist er und nicht der Cloud-Nutzer der Hersteller und Rechteinhaber an der veränderten Datenbank. Datenbankhersteller ist gemäß § 87b UrhG und dem Erwägungsgrund 41 38 der Datenbankrichtlinie1 diejenige natürliche oder juristische Person, die die wesentlichen Investitionen zum Aufbau der Datenbank vorgenommen hat und das Investitionsrisiko trägt2. Wesentlich für die Bestimmung des Datenbankherstellers ist somit, in wessen Namen und auf wessen Rechnung die zugehörigen Finanzierungs-, Beschaffungs- und Personalverträge
1 RL 96/9/EG des Europäischen Parlaments und des Rates vom 11. März 1996 über den rechtlichen Schutz von Datenbanken. 2 OLG Düsseldorf v. 29.6.1999 – 20 U 85/98, MMR 1999, 729 (731 f.); Decker in Möhring/Nicolini, UrhG, § 87a Rz. 16; Haberstumpf in Mestmäcker/Grünwald, UrhR, § 87a Rz. 42; Thum in Wandtke/Bullinger, UrhR, § 87a Rz. 133; zu CloudServices als Datenbank i.S.d. § 87a Abs. 1 UrhG s. ausführlich 3.2. Duisberg
641
§ 41
Standardbedingungen von Cloud-Anbietern
geschlossen werden1. An die Wesentlichkeit der Investition sind dabei keine besonders hohen Anforderungen zu stellen2. 39
Hinzu kommt gemäß dem Erwägungsgrund 40 der Datenbankrichtlinie, dass als Investitionen nicht nur die finanziellen Aufwendungen gelten, sondern sie auch den Einsatz von Zeit, Arbeit und Energie umfassen können3. Auch in diesem Zusammenhang ist jedoch Voraussetzung, dass der Einsatz nicht unmittelbar, etwa im Rahmen eines Arbeits- oder Werkvertrages, vergütet wird, sondern dass die tätige Person ein eigenes Investitionsrisiko trägt4. Zudem darf die getätigte Investition nicht allein der Erzeugung der eingestellten Inhalte dienen, sondern muss vielmehr zur Beschaffung, Überprüfung oder Darstellung der Elemente in der Datenbank erfolgen. Nach der Rechtsprechung des EuGH müssen die eingesetzten Mittel dazu dienen, die Verlässlichkeit der in der Datenbank enthaltenen Informationen sicherzustellen und deren Richtigkeit zu kontrollieren5.
40
Für einen Cloud-Service ist davon auszugehen, dass schon der finanzielle Aufwand, den der Cloud-Anbieter zur Bereitstellung seines Dienstes – soweit dieser Datenbankrelevanz im oben geschilderten Sinn aufweist – hat bzw. im Sinne einer entsprechenden Gewinnererwartung als unternehmerische Investition getroffen hat, die Schwelle der Wesentlichkeit überschreitet. Wirtschaftlich gesprochen schafft er mit der von ihm bereit gestellten Struktur und den Funktionalitäten Mehrwertdienste für die Rohdaten des Kunden (oder eben auch die von ihm eingestellten Datenbanken). Der Cloud-Nutzer zahlt das Entgelt, mit dem der Cloud-Anbieter seine Investition amortisiert. Der Cloud-Anbieter dürfte mithin in aller Regel Datenbankhersteller i.S.d. § 87a UrhG zumindest in Bezug auf diejenigen Daten sein, die keiner solchen Ordnungsstruktur unterliegen, die ihnen vor Einstellung in die Cloud die Datenbankeigenschaft i.S.d. § 87a UrhG verleiht. Man darf fragen, ob das Cloud-Anbietern und Cloud-Nutzern bekannt ist. Die meisten der oben genannten Beispiele bringen das allenfalls implizit oder intuitiv zum Ausdruck („Ihre Daten gehören Ihnen“); ein ausdrücklicher Verzicht des Cloud-Anbieters auf die Geltendmachung der Rechte aus § 87a UrhG liest sich in der Kautelarjurisprudenz aber noch etwas anders6.
1 Thum in Wandtke/Bullinger, UrhR, § 87a Rz. 133; Vogel in Schricker/Loewenheim, UrhR, § 87a Rz. 70. 2 Haberstumpf in Mestmäcker/Grünwald, UrhR, § 87a Rz. 33; Kotthoff in Dreyer/ Kotthoff/Meckel, UrhR, § 87a Rz. 29. 3 BGH, GRUR 2011, 724 (725); Kotthoff in Dreyer/Kotthoff/Meckel, UrhR, § 87a Rz. 28. 4 Dreier in Dreier/Schulze, UrhG, § 87a Rz. 12; Thum in Wandtke/Bullinger, UrhR, § 87a Rz. 134. 5 EuGH, GRUR 2005, 244 (247 f.); EuGH, GRUR 2005, 254 (256). 6 S. die entsprechende Formulierung von Salesforce.
642
Duisberg
§ 41
IV. Das Recht des Datenbankherstellers – noch gar nicht gesehen?
b) Der Konflikt mit Datenbankrechten des Cloud-Nutzers Was aber passiert, wenn der Cloud-Nutzer ein Datenbankwerk i.S.d. 41 § 87a Abs. 1 Satz 1 UrhG dem Cloud-Dienst unterstellt und es nolens volens kraft Gesetzes gemäß § 87a Abs. 1 Satz 2 UrhG zur Entstehung einer neuen Datenbank kommt? Wenn der Cloud-Anbieter grundsätzlich als Hersteller anzusehen ist, was wird aus der bisherigen Datenbank und was darf der Nutzer vom Cloud-Anbieter berechtigterweise erwarten? Genügt es, dass der Cloud-Anbieter auf die Geltendmachung eigener Rechte gegenüber dem Cloud-Nutzer im Rahmen des Exit verzichtet, oder muss er ggf. doch die Rechte aus § 87a UrhG ausdrücklich übertragen – wenn er nicht nur Rohdaten, sondern ggf. neu strukturierte Daten an den Cloud-Nutzer nicht „zurückgibt“, sondern erstmalig aushändigt? Zwar ist ohne Weiteres richtig, dass die Rechte des Cloud-Nutzers an der 42 von ihm eingebrachten Datenbank nicht durch die Veränderung untergehen, sondern eben im Rahmen des § 87 Abs. 1 Nr. 2 UrhG eine neue Datenbank entsteht, deren Hersteller und Rechteinhaber jedoch wohl der Cloud-Anbieter ist. Die alte Datenbank besteht also rechtlich neben der neuen Datenbank weiter, nur ist sie – sofern der Cloud-Nutzer am Ende das „Neue, Schönere, Bessere“ herausverlangt oder jedenfalls haben möchte – wirtschaftlich nicht mehr von Interesse. Nicht nur für die hier vorrangig betrachteten Public Cloud Angebote, son- 43 dern noch vermehrt im Bereich ggf. stärker personalisierter bzw. auf die spezifischen Kundenbedürfnisse ausgerichteter Private Cloud Angebote ist das Diktum „Ihre Daten gehören Ihnen“ juristisch mithin nicht zufriedenstellend. Denn zum einen sind „die Daten“ als Inhalte einer Datenbank offensichtlich weder synonym noch juristisch deckungsgleich mit der Datenbank selber und das Recht des Datenbankherstellers erstreckt sich eben auch nicht auf die Inhalte selber1. Zum anderen ist damit – wenn man sich etwa die Situation des Unternehmenskaufs und der Due Diligence entsprechender Verträge vor Augen führt – eine allenfalls kryptische Rechtsklarheit darüber vorhanden, dass ein etwaiges Recht des Cloud-Anbieters aus § 87a Abs. 1 Satz 2 UrhG ebenfalls umfassende oder jedenfalls für den Cloud-Nutzer hinreichende Nutzungsrechte an der Datenbank einräumt. Eine gemeinschaftliche Rechteinhaberschaft, wie sie für Sonderfälle ei- 44 ner Zweckgemeinschaft bzw. gemeinschaftlichen Investition zum Teil diskutiert wird2, ist für die klassische Anbieter-Kunden Beziehung verfehlt (s.o.) und allenfalls im Rahmen gemeinschaftlicher, den Gedanken von Forschungs- und Entwicklungsprojekten aufgreifende Vorhaben vorstellbar, in denen der Kunde bewusst einen Teil des Investitionsrisikos 1 Vgl. Vogel in Schricker/Löwenheim, UrhG, vor §§ 87a ff. Rz. 43 ff. m.w.N. 2 S. Czchowski in Fromm/Nordemann, UrhR, § 87a Rz. 26; Haberstumpf in Mestmäcker/Grünwald, UrhR, § 87a Rz. 43; Thum in Wandtke/Bullinger, UrhR, § 87a Rz. 140 f. Duisberg
643
§ 41
Standardbedingungen von Cloud-Anbietern
übernimmt. Das ist aber gerade nicht das zugrunde liegende Geschäftsmodell standardisierter, skalierbarer Cloud-Angebote. 45
Dann ist es aber letztlich doch geboten, in der Vertragsgestaltung über das plakative „Ihre Daten gehören Ihnen“ hinauszugehen.
V. Vorschläge zur Best Practice 46
Wenn also das Anliegen des Cloud-Nutzers an einem „clean exit“ umfassend zu verstehen ist, dann lassen sich einige Anregungen an die – noch in Entwicklung befindliche – „Best Practice“ geben: – Die Herausgabe der vom Cloud-Nutzer in die Cloud eingestellten Daten in einem anbieterunabhängigen, portierfähigen Format1. – Die proaktive Herausgabe der vom Cloud-Nutzer eingestellten Daten. Zwischen der Übermittlung der Daten bzw. einem Zugriff auf einen gesicherten Download-Bereich und der bloßen Mitteilung, dass die Daten download-bar sind, mag zum Teil nur ein gradueller Unterschied bestehen; liegt dem Cloud-Angebot aber tatsächlich der Service-Gedanke am Herzen, wird sich – so ist zu hoffen – die leicht handhabbare, proaktive Bereitstellung der Daten als Best Practice im Wettbewerb herausstellen. Zusätzliche Migrationsunterstützung nach kundenspezifischen Anforderungen mag als vergütungspflichtiges „add-on“ in Teilbereichen hinzutreten. – Die Regelung eines zeitlich nicht zu knapp bemessenen, nachvertraglichen „Aufbewahrungszeitraums“. Dies scheint sich (wenn auch bislang erst vereinzelt) als Best Practice abzuzeichnen, nicht zuletzt, um dem Cloud-Nutzer die Überprüfung der Vollständigkeit der Datenherausgabe zu ermöglichen. – Die vertraglich zugesicherte und ggf. ausdrücklich bestätigte Löschung der Daten von allen Speichermedien des Cloud-Anbieters (nach Ablauf des Aufbewahrungszeitraums). – Die vertragliche Regelung eines umfassenden Verzichts des Cloud-Anbieters auf die Geltendmachung etwaiger Rechte des Datenbankherstellers hinsichtlich der vom Cloud-Nutzer in den Cloud-Dienst eingebrachten Daten und Datenbanken, einschließlich etwaiger Rechte aus während der Erbringung der Cloud-Dienste neu entstandenen Rechten an Datenbanken i.S.d. § 87 Abs. 1 Satz 1 UrhG. – Stellt der Cloud-Anbieter bei Vertragsende nicht lediglich „Rohdaten“ in einem allgemeinen und portierfähigen Format zur Verfügung, son1 S. bereits 2010 das BSI, „Mindestanforderungen an Cloud-Computing-Anbieter“ https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Mindestanforderungen/ Cloud_Computing_Mindestsicherheitsanforderungen_2010.pdf?__blob=publica tionFile.
644
Duisberg
§ 41
V. Vorschlge zur Best Practice
dern werden diese in einer vom Cloud-Anbieter entwickelten Datenbankstruktur übergeben, hat der Cloud-Anbieter darüber hinaus umfassende, (im Zweifel:) nicht-ausschließliche Nutzungsrechte an der Datenbank für die Laufzeit des sui generis Schutzes (also von 15 Jahren ab Entstehung (§ 87d UrhG)) zu gewähren. „Mensch, was du tust, bedenk’ das End, das wird die höchst’ Weisheit ge- 47 nennt!“ heißt es zeitlos bei Hans Sachs. In der noch heterogenen Findungsphase der Cloud-Industrie will man allen Beteiligten zurufen, auf dem Weg zu einer Best Practice zügig voranzuschreiten, um den Sorgen um den „Vendor Lock-In“ abzuhelfen und die Akzeptanz der Cloud-Angebote weiter voranzubringen.
Duisberg
645
Teil 6 Nutzung von Daten und Datenbanken; Nutzungs-, Lizenz- und Vertriebsverträge § 42 Verträge zur Nutzung und Lizenzierung von Datenbanken Rz. I. Ausgangslage . . . . . . . . . . . . . . . . .
1
II. Datenbankvertragsrecht . . . . . . . . 1. Datenbanklizenzverträge . . . . . . . a) Entgeltpflichtige OfflineDatenbanken . . . . . . . . . . . . . . . b) Entgeltpflichtige OnlineDatenbanken . . . . . . . . . . . . . . . aa) Überlassung eines vollständigen Datenbankexemplars oder Teile hiervon . . . . . . . . . . . . . . . . bb) Online-Abfrage von Datenbankelementen . . . . . . . c) Kostenlose Datenbankangebote. . . . . . . . . . . . . . . . . . . d) Gewährleistung . . . . . . . . . . . . e) Haftung . . . . . . . . . . . . . . . . . . . 2. Verträge zur Entwicklung von Datenbanken . . . . . . . . . . . . . . . . . 3. Verträge über Content-Nutzung .
7 8
III. Die aus Sicht des Anwenders bei Offline-Datenbanken erforderlichen Nutzungsrechte . . . . . . . . . . 1. Vervielfältigen . . . . . . . . . . . . . . . . a) Relevante Vervielfältigungshandlungen bei Datenbankwerken . . . . . . . . . . . . . . . . . . . . b) Relevante Vervielfältigungshandlungen bei Datenbanken . c) Nutzungsrechtseinräumung und Installation. . . . . . . . . . . . . d) Nutzungsrechtseinräumung für Sicherungskopien . . . . . . . . e) Lizenzierung der erforderlichen Anzahl von Arbeitsplätzen . . . . . . . . . . . . . . . . . . . . 2. Verbreiten . . . . . . . . . . . . . . . . . . . 3. Bearbeiten und sonstiges Umgestalten . . . . . . . . . . . . . . . . . a) Datenbankwerke . . . . . . . . . . . b) Datenbanken . . . . . . . . . . . . . . .
8 12
12 15 22 24 26 27 29
31 31 32 33 34 35 36 38 39 40 41
IV. Lizenzbedürftige Nutzungshandlungen bei Online-Datenbanken . 42
Rz. 1. Vervielfältigen von Datenbanken oder Datenbankteilen beim Herunterladen . . . . . . . . . . . . . . . . a) Datenbankwerke. . . . . . . . . . . . b) Aus verwandtem Schutzrecht geschützte Datenbanken . . . . . c) Vervielfältigen heruntergeladener Datenbanksoftware durch den Nutzer . . . . . . . . . . . 2. Bearbeiten von Datenbankwerken und Datenbanken. . . . . . . . . . a) Datenbankwerke. . . . . . . . . . . . b) Datenbanken . . . . . . . . . . . . . . . V. Die aus Sicht des Anbieters bzw. Mittlers von Online-Datenbanken erforderlichen Nutzungsrechte . . . . . . . . . . . . . . . . . . . . . . . 1. Vervielfältigungen . . . . . . . . . . . . . a) Uploading . . . . . . . . . . . . . . . . . b) Speichern in der Cloud . . . . . . . 2. Öffentliches Zugänglichmachen von Datenbankwerken und Datenbanken . . . . . . . . . . . . . . . . . a) Bereithalten zum Abruf und Übertragen . . . . . . . . . . . . . . . . . b) Öffentlichkeit des Zugänglichmachens von Datenbanken . . . aa) Mehrheit von Nutzern . . . . bb) Persönliche Verbundenheit . . . . . . . . . . . . . . . . cc) Räumliche und zeitliche Wahlfreiheit des Zugriffs . . dd) Spezialfall: Mitarbeiter eines Betriebs als Öffentlichkeit . . . . . . . . . . . ee) Auswirkung auf die Vertragspraxis . . . . . . . . . . . c) Öffentlichkeit des Zugänglichmachens von Datenbanken und die Öffentlichkeit in der Cloud . . . . . . . . . . . . . . . . . .
46 47 53 55 62 62 64
65 65 65 66 68 71 77 78 81 87 89 92
95
VI. Die für den Vertrieb von Datenbanken erforderlichen Nutzungsrechte . . . . . . . . . . . . . . . . . . . . . . . 96
Koch
647
§ 42
Vertrge zur Nutzung und Lizenzierung von Datenbanken Rz.
Rz.
1. Offline-Vertrieb von Datenträgern . . . . . . . . . . . . . . . . . . . . . . 98 2. Online-Vertrieb per DownloadAngebot . . . . . . . . . . . . . . . . . . . . . 100
3. Vertrieb der zugehörigen ClientSoftware (Computerprogramm) . . 103 VII. Integration der Werke Dritter in eine Datenbank . . . . . . . . . . . . . . . 105
I. Ausgangslage* 1
Datenbanken erfüllen regelmäßig die Schutzvoraussetzungen für den Schutz aus Urheberrecht (§§ 4 Abs. 2, 55a UrhG) oder aus verwandtem Schutzrecht (Sui-generis-Recht aus den §§ 87a–87e UrhG), wenn es sich nicht um bloße Datenhaufen handelt. Solche Datenhaufen können freilich ungeordnete Datenmengen sein, die in „Big Data“-Anwendungen zusammenkopiert und mittels Auswertungsalgorithmen durchsucht, ausgewertet und erst hierdurch nach einheitlichen Kriterien geordnet werden.
2
Auch Datenbanklizenz- und Nutzungsverträge folgen regelmäßig den genannten Regelungen zu den Schutzrechten, soweit die Verträge die Rechteeinräumung regeln1. Damit sind aber auch die Rechte festgelegt, die ein Urheber oder Hersteller von Datenbanken Vertragspartnern und diese ihren Kunden für Verwertung und Nutzung einräumen kann bzw. muss.
3
Bei Datenbanken unterscheidet man Offline- und Online-Nutzung, also den Vertrieb der Datenbank auf Datenträger und die (meist internetbasierte) Online-Überlassung. Ein Vervielfältigen erfolgt in beiden Fällen, denn die Datenbank muss vom erworbenen Datenträger oder aus dem Internet in den Rechner geladen werden. Die Offline-/Online-Unterscheidung kommt aber bei dem Vertrieb zum Tragen. Das Verbreitungsrecht erfasst die Überlassung der Datenbank als Vervielfältigungsstück auf Datenträger, das Recht der Online-Zugänglichmachung das Bereithalten der Datenbank auf Rechnern des Anbieters zum Online-Abruf, bei dem ein Bitstrom übertragen wird. Diese Online-Überlassung gewinnt wirtschaftlich zunehmend an Bedeutung.
4
Erwirbt ein Kunde eine Datenbank gegen Einmalvergütung zur zeitlich nicht begrenzten Nutzung, wirkt sich Urheberrecht unmittelbar auf die vertragsrechtliche Zuordnung aus. Ein auf Datenträger verbreitetes Datenbankexemplar darf der Nutzer weiterveräußern, ein online heruntergeladenes Exemplar aber möglicherweise nicht2. Das im ersten Fall gem. * Der Verfasser dankt Herrn Dr. Grützmacher für vielfältige Hinweise und Anregungen. 1 Ausf. zu Datenbanknutzungsverträgen s. Koch in Loewenheim, Handbuch des Urheberrechts, § 77 Rz. 65 ff. 2 Ob der Weiterverkauf auch hier in Ansehung der Entscheidung EuGH v. 3.7.2012 – C-128/11, CR 2012, 498 – UsedSoft, erlaubt ist, ist zumindest strittig, s. dazu Schneider/Spindler, CR 2012, 489 (497); Grützmacher, ZGE 2013, 46 (80 ff.).
648
Koch
§ 42
II. Datenbankvertragsrecht
§ 453 BGB jedenfalls entsprechend anwendbare Kaufrecht wird im zweiten Fall gewissermaßen halbiert. Der Nutzer muss sich das Weiterveräußerungsrecht ggf. gesondert vom Berechtigten einräumen lassen. Dies zeigt die enge Verknüpfung von Schutzrecht und Vertragsrecht, die bei der Vertragsgestaltung beachtet werden muss. Zunächst werden nachfolgend die sich ergebenden Vertragstypen knapp 5 erläutert1, bevor dann die zu regelnden Nutzungs- und Verwertungsrechte vertieft dargestellt werden2. Hierbei sind die teilweise unterschiedlichen Regelungen für urheberrechtlich und für sui-generis geschützte Datenbanken berücksichtigt. Welche Schutzform in Betracht kommt, lässt sich meist nicht ohne nähere Untersuchung der Datenbank feststellen. In der Vertragspraxis empfiehlt es sich deshalb, für beide Schutzformen Regelungen zu treffen, wenn eine urheberrechtsrelevante Gestaltung möglich erscheint. Zur Begriffsverwendung sei kurz angemerkt, dass mit „Lizenznehmer“ 6 derjenige bezeichnet wird, dem vom „Lizenzgeber“ vertraglich Verwertungsrechte eingeräumt werden. Lizenznehmer kann der Endkunde sein, der oft auch Verbraucher ist, jedoch ebenfalls ein anwendendes Unternehmen. Der Lizenznehmer erwirbt hier Nutzungsrechte, die ihn etwa zum Vervielfältigen berechtigten. Lizenznehmer können aber auch Vertriebshändler oder weitervertreibende Software-Häuser sein, denen außerdem das Recht zum Vertrieb, zum öffentlichen Zugänglichmachen und gegebenenfalls zum Bearbeiten eingeräumt werden. Der Vertriebshändler kann so im Verhältnis zum Datenbankurheber oder -hersteller Lizenznehmer sein, im Verhältnis zum Endkunden oder zu weiteren Zwischenhändlern seinerseits Lizenzgeber. Die Unterschiede sind auch bei der Vertragsgestaltung zu beachten.
II. Datenbankvertragsrecht In dem nachfolgenden knappen Überblick sollen einige Hinweise zur 7 vertragsrechtlichen Gestaltung von Datenbanknutzungsverträgen zusammengefasst werden. 1. Datenbanklizenzverträge a) Entgeltpflichtige Offline-Datenbanken Offline-Datenbanken werden auf Datenträger ausgeliefert. Kaufrecht ist 8 auf den Erwerb anwendbar, wenn der Kunde ein Datenbankexemplar auf Datenträger gegen Einmalzahlung zur zeitlich nicht begrenzten Nutzung erwirbt. Diese Einordnung hat der BGH für den Erwerb von Software vorgenommen und dies damit begründet, dass das auf Datenträger verkör1 S. dazu unter I. 2 S. dazu unter II.–IV. Koch
649
§ 42
Vertrge zur Nutzung und Lizenzierung von Datenbanken
perte Programmexemplar eine bewegliche Sache darstellt1. Diese Einordnung lässt sich auf Exemplare von Datenbanken übertragen, die auf Datenträger vertrieben werden. 9
Der Erwerb der Datenbank umfasst technisch bedingt auch die Datenbanksoftware. Die Einräumung von Nutzungsrechten muss beide Komponenten einbeziehen.
10
Mietrecht kann anzuwenden sein, wenn die Überlassung zeitlich begrenzt erfolgt. Die Einstufung von Software – und damit auch von Datenbanken – durch den BGH als bewegliche Sache beim Kauf kann auch für das Mietrecht übernommen werden (Mietsache gemäß § 535 Abs. 1 BGB). Eine zeitliche Begrenzung der Nutzungsdauer besteht auch dann, wenn zwar keine Mietdauer vereinbart wird, aber der Anbieter sich verpflichtet, in regelmäßigen Abständen Updates in der Form aktualisierter Vollversionen auf Datenträger auszuliefern, die beim Kunden (meist automatisiert) installiert werden und anlässlich dieser Installation die Vorversion überschrieben wird.
11
Die Erstellung einer individuellen Datenbank wird grundsätzlich Werkvertragsrecht folgen. Zu prüfen ist aber, ob über § 651 BGB Kaufrecht zur Anwendung gelangt2. b) Entgeltpflichtige Online-Datenbanken aa) Überlassung eines vollständigen Datenbankexemplars oder Teile hiervon
12
Zu unterscheiden ist zwischen der Überlassung einer vollständigen Datenbank und der Abfrage einzelner Elemente. Der EuGH sieht Kaufrecht auch dann als anwendbar an, wenn ein Exemplar einer Software nicht auf Datenträger überlassen, sondern online durch abrufausgelöste Übertragung dem Kunden zugänglich gemacht wird3. Der EuGH stützt dieses Ergebnis auf die Lex-specialis-Regelung des Art. 4 Abs. 2 der EG-Computerprogrammrichtlinie, die eine Ausweitung des urheberrechtlichen Schutzes auf verkörperte und unverkörperte Vervielfältigungsexemplare vorsieht. Eine vergleichbare Sonderregelung enthält die EG-Datenbankrichtlinie nicht, so dass die Erschöpfung des (Online-)Verbreitungsrechts zwar für Computerprogramme eintritt, aber nicht für Datenbanken4. Der EuGH hat offen gelassen, ob sein Ergebnis auch auf sonstige Schutzgegenstände wie etwa Datenbanken übertragen werden kann, aber für Software immerhin auf die funktionelle Vergleichbarkeit der Aushändigung eines materiellen Datenträgers mit dem Herunterladen verwiesen5. 1 2 3 4 5
BGH v. 15.11.2006 – XII ZR 120/04, CR 2007, 75 – ASP. S. dazu Funk, § 37 Rz. 27. EuGH v. 3.7.2012 – C-128/11, CR 2012, 498 – UsedSoft. Koch, ITRB 2013, 9, 17 Fn. 32. EuGH v. 3.7.2012 – C-128/11, CR 2012, 498 – UsedSoft, Tz. 60.
650
Koch
§ 42
II. Datenbankvertragsrecht
Diese funktionelle Vergleichbarkeit besteht auch bei Datenbanken, wenn diese auf Datenträger übergeben oder online vollständig heruntergeladen werden. Im deutschen Recht ergibt sich die Anwendung des Kaufrechts schon aus § 453 BGB1. Auch die online erfolgende Überlassung von Datenbanken kann zeitlich 13 begrenzt erfolgen, so dass Mietrecht zumindest entsprechend anzuwenden ist. Eine unmittelbare Anwendung scheitert daran, dass beim Download entgegen § 535 Abs. 1 Satz 1 BGB keine Mietsache überlassen werden kann, sondern nur eine digitale Kopie. Für Software – und damit Datenbanksoftware – wäre aber nach dem erwähnten Ansatz des EuGH zum Kaufrecht auch eine unmittelbare Anwendung von Mietrecht möglich. In der Praxis findet man auch die Miete des gesamten Datenbanksystems 14 einschließlich Hardware und Systemsoftware, etwa beim Application Service Providing. Auch wenn die Überlassung online erfolgt, also (außerhalb des Anwendungsbereichs der Computerprogrammrichtlinie) keine bewegliche Sache überlassen (sondern nur ein Bitstrom übertragen) wird, ist Mietrecht zumindest entsprechend anzuwenden2. bb) Online-Abfrage von Datenbankelementen Für die Abfrage von Datenbankelementen ist zu unterscheiden: Verfolgt 15 der abfragende Nutzer kein konkretes Suchziel, kann der Anbieter auch nicht ein bestimmtes Abfrageergebnis versprechen; vielmehr wird er dann nur die Suchtätigkeit des Nutzers technisch ermöglichen und (z.B. durch Hilfefunktionen) unterstützen. Auf derartige Leistungen wird grundsätzlich Dienstvertragsrecht anzuwenden sein3. Werkvertragsrecht kann anwendbar sein, wenn der abfragende Nutzer 16 ein bestimmtes Suchziel festlegt (etwa alle Entscheidungen des BGH zur Softwareüberlassung) und der Anbieter einen entsprechenden Leistungserfolg schuldet4, etwa ein Datenbankelement erst generiert. Werkvertragsrecht wird aber auch zu prüfen sein, wenn der Anbieter ständige Online-Verfügbarkeit oder Aktualität der Datenbankelemente (z.B. von Urteilssammlungen) verspricht. Wird ein vorhandenes Datenbankelement gegen Einmalvergütung zeit- 17 lich unbegrenzt zugänglich gemacht, ist Kaufrecht entsprechend anwendbar5. Das abgespeicherte Element darf aber nicht selbst wieder online zugänglich gemacht werden.
1 2 3 4 5
S. dazu Grützmacher, ZGE 2013, 46 (52 f.). Vgl. BGH v. 15.11.2006 – XII ZR 120/04, CR 2007, 75 – ASP. Koch in Loewenheim, Handbuch des Urheberrechts, § 77 Rz. 145. Koch in Loewenheim, Handbuch des Urheberrechts, § 77 Rz. 150. BGH v. 18.10.1989 – VIII ZR 325/88, CR 1990, 24 (noch zum Btx-Abruf). Koch
651
§ 42
Vertrge zur Nutzung und Lizenzierung von Datenbanken
18
Ist die Verwertung des gefundenen Datenbankelements nur zeitlich begrenzt zulässig, kann Miete oder Pachtvertragsrecht anwendbar sein (wegen der Online-Überlassung ebenfalls analog).
19
In typenkombinierten Verträgen lassen sich etwa dienst- und werkvertragliche Elemente und Übereignungen zusammenbinden.
20
In jedem der genannten Fälle muss der Nutzer aber berechtigt sein, die abgefragten Inhalte zu nutzen. Hierfür müssen ihm zumindest einfache Nutzungsrechte wenigstens konkludent eingeräumt sein.
21
Kein Gegenstand wirksamer vertraglicher Regelung sind Vertragsbestimmungen, nach denen etwa eine Datenbank als urheberrechtlich geschützt oder ein Datenbankteil immer als wesentlich gelten soll. Auch können nicht Datenansammlungen als Datenbank deklariert werden, die die jeweiligen Schutzvoraussetzungen nicht erfüllen. Schließlich sind vertragliche Regelungen unwirksam, denen zufolge etwa eine kaufweise Überlassung als Dienstvertrag (ohne Gewährleistung) gelten soll. c) Kostenlose Datenbankangebote
22
Sind Datenbanken offline oder online für den Nutzer kostenlos (von dessen eigenen Netzanschlusskosten einmal abgesehen), kann eine Schenkung in Betracht kommen (§§ 516 ff. BGB). Dem steht ein gesetzlicher Rückforderungsanspruch (§ 528 Abs. 1 BGB) zumindest in den Fällen nicht entgegen, in denen persönliche Bedürftigkeit des Schenkers nicht auftreten kann, etwa bei kostenfreier Nutzungseinräumung durch Softwareanbieter oder etwa die Betreiber von Online-Lexika wie Wikipedia.
23
Allerdings ist der Nutzer nur berechtigt, die ihm eingeräumte Nutzungsmöglichkeit auszuschöpfen, also die auf Datenträger überlassene Datenbank zu laden und zu benutzen oder auf die kostenfreie Online-Datenbank zuzugreifen. Er kann mangels besonderer Vereinbarung aber weder ein Aktualisieren noch überhaupt beanspruchen, dass die Datenbank dauerhaft online zugreifbar bleibt. Notarielle Form des Schenkungsversprechens muss nicht eingehalten werden, wenn die versprochene Leistung bewirkt (§ 518 Abs. 2 BGB), also etwa die Datenbank zugänglich gemacht ist. d) Gewährleistung
24
Der Anbieter einer Datenbank muss für Sach- und Rechtsmängel der Datenbank einstehen. Sachmängel sind zu bejahen, wenn die Datenbank oder ein einzelnes Abfrageergebnis nicht die dem vertraglich vereinbarten oder üblichen Gebrauch entsprechende Beschaffenheit aufweist, etwa inhaltlich falsch oder nicht aktuell ist oder durch technischen Fehler nur
652
Koch
§ 42
II. Datenbankvertragsrecht
ein nicht lesbares oder leeres Dokument darstellt1. Ein Rechtsmangel besteht, wenn der Anbieter etwa nicht zum Vertrieb, zur Einräumung der erforderlichen Vervielfältigungsrechte oder u.U. auch öffentlichen Zugänglichmachen der Datenbank berechtigt ist. Die Gewährleistung bestimmt sich nach § 434 BGB für Sachmängel und § 435 BGB für Rechtsmängel im Kaufrecht sowie nach § 633 BGB für Sach- und Rechtsmängel aus Werkvertragsrecht. Dies gilt für Datenbankwerke wie für Datenbanken2. Vertragliche Gewährleistung kommt nicht in Betracht, wenn die Daten- 25 bank unentgeltlich verfügbar oder zugänglich gemacht wird, da die Bestimmungen zur hier in Betracht kommenden Bestimmungen zu Schenkung (§§ 516 ff. BGB) oder Leihe keine Gewährleistung vorsehen, es sei denn, es liege arglistiges Verschweigen eines Mangels im Recht oder eines Mangels der Sache vor (§§ 523 Abs. 1, 524 Abs. 1 BGB für Schenkung und § 600 BGB für Leihe). e) Haftung Für Datenbanken ist nach den allgemeinen Grundsätzen der Delikts- 26 und Produkthaftung zu haften, wenn Datenbanken fehlerhafte Informationen aufweisen3, etwa in medizinischen Datenbanken. Der Anbieter solcher Datenbanken haftet vertraglich gegenüber seinen Kunden4 und außervertraglich (deliktisch oder aus Produkthaftungsrecht) auch gegenüber Dritten5. 2. Verträge zur Entwicklung von Datenbanken Die Entwicklung von Datenbankwerken folgt in den Grundzügen und 27 der Stufenfolge dem Vorgehen bei der Softwareentwicklung und IT-Projekten6. Das Werkvertragsrecht sieht nun keine Regelungen für den Erwerb von Schutzrechten an den Entwicklungsprodukten. Diese Regelungen müssen deshalb ergänzend im Entwicklungsvertrag getroffen werden. Dem Auftraggeber müssen grundsätzlich ausschließliche Verwertungsrechte (§ 31 Abs. 3 UrhG) für Datenbank und Datenbanksoftware zustehen. Zu klären ist weiter, ob und welche Komponenten (z.B. Funktionsbibliotheken) von Dritten der beauftragte Entwickler in das Entwicklungsprodukt integriert hat, da der Auftraggeber insoweit kein ausschließliches Verbreitungsrecht erwerben kann.
1 2 3 4 5 6
S. dazu Redeker, § 55. Allg. s. Koch in Loewenheim, Handbuch des Urheberrechts, § 77 Rz. 137. S. dazu Bartsch, § 57. S. dazu Redeker, § 55. S. dazu Bartsch, § 57 sowie Hörl, § 58. Koch, IT-Projektrecht, 2007, passim; Funk, § 37. Koch
653
§ 42 28
Vertrge zur Nutzung und Lizenzierung von Datenbanken
Bei der Entwicklung von Datenbanken stehen die Verwertungsrechte grundsätzlich dem beauftragenden Hersteller zu, der die Entwicklungsinvestition finanziert. 3. Verträge über Content-Nutzung
29
Wenn Datenbankhersteller Werke oder sonstige Schutzgegenstände Dritter über ihre Daten offline oder online zugänglich machen wollen, müssen sie sich vor Beginn der Nutzung von den jeweiligen Rechteinhabern entsprechende Nutzungsrechte einräumen lassen, also vor Aufnahme in die Datenbank. In den vertraglichen Regelungen ist zwischen Offlineund Online-Verwertungen sowie zwischen Datenbankwerken und Datenbanken zu unterscheiden.
30
Der Erwerber muss berechtigt sein, die Schutzgegenstände in die Datenbank zu speichern (zu vervielfältigen) und hierfür u.U. zunächst in ein digitales Format zu konvertieren (zu bearbeiten oder umzugestalten). Weiter muss sich der Erwerber je nach geplanter Verwertungsform Rechte zur Verbreitung einräumen lassen, wenn die Schutzgegenstände als Teil der Datenbank auf Datenträger überlassen werden, oder Rechte zum öffentlichen Zugänglichmachen bei Online-Überlassung der gesamten Datenbank auf Nutzerrechner oder beim öffentlichen Zugänglichmachen für Abfragen von Datenbankelementen. Erwerbsverträge mit zuliefernden Rechteinhabern sind bei sui-generis-geschützten Datenbanken auch dann zu schließen, wenn sich die jeweiligen Inhalte für den Nutzer der Datenbank als nicht wesentlichen Teil der Datenbank darstellen.
III. Die aus Sicht des Anwenders bei Offline-Datenbanken erforderlichen Nutzungsrechte 1. Vervielfältigen 31
Beim Laden einer vollständigen Datenbank oder von wesentlichen Datenbankteilen vom erworbenen Datenträger und Speichern im Anwenderrechner erfolgt ein Kopieren, also urheberrechtlich und auch sui-generis-rechtlich ein Vervielfältigen, zu dem der Nutzer berechtigt sein muss. Hier ist zwischen Datenbankwerken und Datenbanken zu unterscheiden. Das Gesetz knüpft nicht pauschal an das Erstellen einer 1:1-Kopie an, sondern im ersten Fall an gestaltungprägende Strukturen des Datenbankwerks bzw. im zweiten Fall an das Kopieren eines wesentlichen Teils der Datenbank. a) Relevante Vervielfältigungshandlungen bei Datenbankwerken
32
Ein aus Sicht des Urheberrechts relevantes Vervielfältigen aus Datenbankwerken erfolgt, wenn zumindest ein Teil der schöpferisch gestalteten Struktur nach § 4 Abs. 2 UrhG geschützten Datenbank vervielfältigt 654
Koch
§ 42
III. Die aus Sicht des Anwenders erforderlichen Nutzungsrechte
wird, also noch nicht beim Kopieren eines einzelnen Elements vom Datenträger, es sei denn, das Element weist in seiner Formatgestaltung zumindest Teile dieser Struktur auf (etwa, wenn technisch bedingt zugleich Teile spezifischer Dateiformate mitkopiert werden). Bei urheberrechtlich geschützten Datenbankwerken ist ein Vervielfältigen nur zulässig, wenn es für die Benutzung erforderlich ist (§§ 15 Abs. 1 Nr. 1, 16 Abs. 1, 55a Abs. 1 UrhG). b) Relevante Vervielfältigungshandlungen bei Datenbanken Für das Kopieren aus sui-generis-geschützten Datenbanken vom Daten- 33 träger muss der Lizenznehmer in den Fällen ein Vervielfältigungsrecht erworben haben, in denen ein nach Art oder Umfang wesentlicher Teil der Datenbank heruntergeladen wird (§§ 87b Abs. 1 Satz 1, 87e UrhG) oder in denen ein wiederholtes und systematisches Vervielfältigen nicht wesentlicher Teile der Datenbank erfolgt (§§ 87b Abs. 1 Satz 2, 87e UrhG). Ein Vervielfältigungsrecht muss also nicht erworben werden, wenn aus einer Datenbank nur einzelne Elemente abgerufen werden sollen und dies nicht wiederholt und systematisch erfolgt1. c) Nutzungsrechtseinräumung und Installation Beim Kopieren einer Datenbank während der Installation vom Datenträ- 34 ger werden häufig zuweilen mehrstufige Installationsprozeduren durchlaufen, nämlich zuerst durch Abspeichern einer ausführbaren (exe-)Datei auf dem Rechner des Kunden und dann durch Installieren der Datenbank aus dieser Datei. Soweit der Anbieter bzw. Hersteller der Datenbank diese Installationsroutine einheitlich und gar als automatisierte ausgestaltet, unterfallen alle beim Ablauf dieser Routine erfolgenden Zwischenspeicherungen dem insofern einzuräumenden Vervielfältigungsrecht, da anders eine vertragsgemäße Nutzung nicht möglich ist2. d) Nutzungsrechtseinräumung für Sicherungskopien Die §§ 55a und 87e UrhG enthalten (anders als der nicht abdingbare 35 § 69d Abs. 2 UrhG für Computerprogramme) keine Regelungen zur Zulässigkeit des Erstellens von Sicherungskopien. § 55a UrhG regelt zwar ein Vervielfältigen als zulässig, soweit es für den Zugang zu den Elementen des Datenbankwerks oder für dessen übliche Benutzung erforderlich 1 Schließlich können natürlich auch die einzelnen Inhalte, sprich Einzeldaten, als Werk geschützt und damit lizenzpflichtig sein (vgl. Art. 8 Abs. 3 Datenbankrichtlinie). 2 Vgl. § 55a UrhG. § 87e UrhG bezieht sich nur auf unwesentliche Teile; die Datenbankrichtlinie ist in Ansehung von Art. 8 Abs. 2 aber u.U. anders auszulegen und damit u.U. auch § 87e UrhG entsprechend, nämlich europarechtskonform (Grützmacher, Urheber-, Leistungs- und Sui-generis-Schutz von Datenbanken, S. 342 f.). Koch
655
§ 42
Vertrge zur Nutzung und Lizenzierung von Datenbanken
ist; dies schließt aber nicht generell das Erstellen einer Sicherungskopie des Datenbankwerks ein. Meist genügt in der Praxis ohnehin die Möglichkeit, auf den Originaldatenträger erneut zuzugreifen oder, soweit dieses für eine Datenträgerversion angeboten wird, von der Website des Anbieters erneut einen Download des Datenbestands vornehmen zu können1. e) Lizenzierung der erforderlichen Anzahl von Arbeitsplätzen 36
Bei Anwendungen, die für die Nutzung von mehreren Arbeitsplätzen ausgelegt sind, ist einzelfallbezogen zu prüfen, ob auf den Arbeitsplatzrechnern vollständige Datenbankkopien gespeichert werden müssen (was zu einer entsprechenden Vervielfachung der Anzahl der Kopien führt) oder ob es genügt, wenn vom Arbeitsplatz aus über spezifische Client-Software (oder gar übliche Browser) auf dieselbe Datenbankkopie zugegriffen werden kann, die auf dem Serverrechner des Unternehmens gespeichert ist. Aber nicht nur bei mehreren Datenbankkopien, sondern auch bei der Nutzung einer Datenbankkopie über mehrere Arbeitsplätze ist – wie bei Client-Server-Software allgemein – im Zweifel die Lizenzierung der entsprechenden Anzahl von Arbeitsplätzen erforderlich.
37
Ist bei einer entsprechenden Anzahl von Arbeitsplätzen die Client-Software Teil der Datenbankanwendung, kann letztere nur mit installiertem Client genutzt werden und muss dem Kunden zumindest konkludent bzw. gemäß § 69d Abs. 1 UrhG ein Vervielfältigungsrecht für die erforderliche Anzahl der Arbeitsplätze eingeräumt sein. 2. Verbreiten
38
Erwirbt der Kunde vom Anbieter eine Datenbank kaufweise auf Datenträger, also gegen Einmalzahlung und zur zeitlich unbegrenzten Nutzung, ist der Kunde berechtigt, diese erworbene Kopie auf dem Originaldatenträger (und nur diese) an Dritte weiterzuveräußern (also etwa nicht selbsterstellte Sicherungskopien oder die installierte Kopie mit dem Rechner). Das Verbreitungsrecht des Anbieters an diesem einzelnen, übergebenen Vervielfältigungsexemplar (§§ 15 Abs. 1 Nr. 2, 17, 87b Abs. 1 UrhG) erlischt mit dieser kaufweisen Überlassung (§ 17 Abs. 2 UrhG). Der Kunde darf also das Exemplar Dritten weiterveräußern, es aber nicht online zugänglich machen. Diese Grundsätze gelten einheitlich für Datenbankwerke und Datenbanken. Weiterveräußerungsverbote in Lizenzverträgen hingegen sind in diesem Fall bei Offline-Datenbanken regelmäßig unwirksam2. Anders ist die Situation bei der mietweisen Überlassung von Datenbanken (§§ 17 Abs. 2 und 3, 87b Abs. 1 UrhG). 1 A.A. Grützmacher in Wandtke/Bullinger, UrhR, Rz. 55 und Grützmacher, Urheber-, Leistungs- und Sui-generis-Schutz von Datenbanken, S. 269, sowie mit Blick auf die insofern zweifelhafte Auslegung des § 87e UrhG, a.a.O., S. 342 f. 2 S. Schneider, Handbuch des EDV-Rechts, C Rz. 253 ff.
656
Koch
§ 42
IV. Lizenzbedrftige Nutzungshandlungen bei Online-Datenbanken
3. Bearbeiten und sonstiges Umgestalten Bearbeitungsrechte müssen regelmäßig nicht eingeräumt werden.
39
a) Datenbankwerke Mit der Zustimmung durch den Urheber in Verkehr gebrachte Vervielfäl- 40 tigungsexemplare von Datenbankwerken dürfen durch den Nutzungsberechtigten bearbeitet oder in sonstiger Weise umgestaltet werden, soweit dies für die übliche Benutzung der Datenbank erforderlich ist (§§ 23 Satz 2, 55a Satz 1 UrhG). Von Open Source-Datenbanken abgesehen wird es dem Nutzer jedoch oft bereits technisch nicht möglich sein, Änderungen an dem Datenbankwerk bzw. an deren Struktur durchzuführen, da er keinen Zugriff auf den Quellcode der Datenbanksoftware oder die Datenbank insgesamt hat. Nicht als Bearbeitung gilt hingegen das Ändern oder Ergänzen einzelner Datenbankelemente (z.B. zwecks Aktualisierung), wenn die schöpferische Datenbankstruktur unberührt bleibt1. Fraglich ist lediglich, ob dieses auch gilt, wenn bezogen auf die Datenbankinhalte der Schutz auch aus der Auswahl derselben resultiert, wobei dann u.U. § 55a UrhG eingreifen würde2. b) Datenbanken Bei sui-generis-geschützten Datenbanken sind Erwerber mangels beson- 41 derer Vereinbarung nicht berechtigt, Bearbeitungen bzw. Umgestaltungen durchzuführen. § 87b UrhG sieht für den Datenbankhersteller allerdings auch gar kein Bearbeitungsrecht vor3. Insofern ist im Einzelfall vielmehr zu fragen, ob bei der Bearbeitung eine durch § 87e UrhG nicht gedeckte Vervielfältigung i.S.v. § 87b UrhG vorliegt.
IV. Lizenzbedürftige Nutzungshandlungen bei Online-Datenbanken Zunehmend werden IT-Anwendungen nicht mehr komplett auf den Sys- 42 temen von Anwendern installiert, sondern auf Serverrechnern der Anbieter (oder unterbeauftragter Dienstleister) für den Online-Zugriff durch die Kunden bereitgehalten, also nicht mehr dem Kunden überlassen. Dies ist für beide Seiten vorteilhaft: Kunden benötigen einerseits weniger Systemressourcen für die Speicherung der Anwendungssoftware und greifen über installierte Client-Software (entweder solcher des Anbieters oder teilweise sogar über Standardbrowser) auf Software und Datenbanken zu, die die Anbieter auf ihren Servern laufend pflegen (z.B. aktuali1 Loewenheim in Schricker/Loewenheim, UrhR, § 55a Rz. 10. 2 Grützmacher, Urheber-, Leistungs- und Sui-generis-Schutz von Datenbanken, S. 243 f. 3 Koch in Loewenheim, Handbuch des Urheberrechts, § 77 Rz. 98. Koch
657
§ 42
Vertrge zur Nutzung und Lizenzierung von Datenbanken
sieren) und weiterentwickeln können. Allerdings hängt die Nutzung der Anwendungen davon ab, dass der Kunde das dauerhafte Bestehen einer Online-Anbindung sicherstellt. Anbieter können andererseits von einer Abrechnung eingeräumter Lizenzen zur Abrechnung der Nutzungsvorgänge übergehen. Auch ist das Risiko deutlich reduziert, dass Kunden oder Dritte rechtswidrig Vervielfältigungsexemplare der Software oder der Datenbank erstellen, da weder Kunden noch Dritte auf die Anwendung als solche zugreifen können, um sie unrechtmäßig zu vervielfältigen. 43
Diese Entwicklung zu einer Verlagerung der Administration der Anwendungen auf die Anbieterseite lässt die Verträge zur (dann online erfolgenden) Datenbanknutzung nicht unberührt. Die Online-Datenbanken können auf Serverrechnern der Anbieter (oder auf solchen unterbeauftragter Dienstleister) zugänglich gemacht und Abfragen von einzelnen Elementen der Datenbank ermöglicht werden. Zu finden sind verschiedene Leistungsvarianten, die auch zu Unterschieden im vertraglichen Leistungsbild führen. Die Datenbanken lassen sich als Teil von kundenspezifischen oder von standardisierten Applikationen betreiben, also als Application Service Providing (ASP) oder als Software as a Service (SaaS)1, in beiden Fällen auf Hostrechnern der Anbieter. Die Nutzer greifen hier über anbieterspezifische, auf den Nutzerrechnern installierte Client-Software oder über allgemein verfügbare Webbrowser auf die jeweilige Datenbank zu.
44
Datenbankanbieter zählen zur größeren Gruppe der Content-Provider im Internet. Ihre Applikationen können von ihnen selbst verwaltet oder in eine gegenüber Dritten abgesicherte Cloud ausgelagert sein2, die der Anbieter wiederum selbst betreibt und kontrolliert oder durch Dienstleister betreiben und kontrollieren lässt („Private Cloud“). Oder der Kunde nutzt von großen Anbietern betriebene und kontrollierte, für jedermann oder jedenfalls große Anzahlen von Nutzern zugängliche, meist grenzüberschreitende Clouds („Public Clouds“).
45
Zudem bilden sich mittlerweile Leistungsketten heraus, in denen Dienstleister für Anbieter oder teilweise für Kunden im Unternehmensbereich Leistungen erbringen (etwa Wartung bzw. Pflege der Datenbank, Anpassen von Datenbanken für die Schnittstellen unterschiedlicher Browser oder die Darstellung der Anwendung auf Mobilrechnern). Auch 1 Zur Abgrenzung s. etwa Spindler in Schricker/Loewenheim, UrhR, Vor §§ 69a ff. Rz. 65. Dazu auch Seffer, § 10. 2 Cloud Computing wird treffend von Böhm/Leimeister/Riedl/Krcmar, Information Management und Consulting 24 (2009), 2, 8 definiert: „Cloud Computing ist ein auf Virtualisierung basierendes IT-Bereitstellungsmodell, bei dem Ressourcen sowohl in Form von Infrastruktur als auch Anwendungen und Daten als verteilter Dienst über das Internet durch einen oder mehrere Leistungsanbieter bereitgestellt“ werden. „Diese Dienste sind nach Bedarf flexibel skalierbar und können verbrauchabhängig abgerechnet werden.“
658
Koch
§ 42
IV. Lizenzbedrftige Nutzungshandlungen bei Online-Datenbanken
Nutzungshandlungen sind auf den verschiedenen Stufen der Leistungsketten möglich und auf jeder Stufe getrennt zu beurteilen. Das öffentliche Zugänglichmachen oder Vervielfältigen kann etwa bereits beim ASP- oder SaaS-Anbieter, beim unterbeauftragten Datenbankanbieter oder im Verhältnis des auftraggebenden Kunden zu dessen Mitarbeitern erfolgen; Konsequenz kann sein, dass der Anbieter einer Datenbank nicht nur selbst ein Recht zum öffentlichen Zugänglichmachen erwerben, sondern dieses selbst wieder seinen Kunden einräumen können muss, sofern etwa deren Mitarbeiter öffentlichen Zugriff erhalten sollen1. 1. Vervielfältigen von Datenbanken oder Datenbankteilen beim Herunterladen Wenn ein Nutzer eine Online-Datenbank abfragt, wird das abgefragte 46 Element nicht von einem ausgelieferten Datenträger, sondern gleich online von der Website des Anbieters auf den Nutzerrechner heruntergeladen und abgespeichert. Urheberrechtlich ist hierin ein Vervielfältigen zu sehen. Die Anknüpfung dieses Vervielfältigungsrechts erfolgt aber bei Datenbankwerken und Datenbanken unterschiedlich. a) Datenbankwerke Beim online erfolgenden Herunterladen einer vollständigen Datenbank 47 oder von Datenbankteilen und Speichern im Zielrechner erfolgt ein Vervielfältigen, zu dem der Nutzer berechtigt sein muss. Bei urheberrechtlich geschützten Datenbankwerken ist ein Vervielfältigen im Zweifel (nur) zulässig, wenn (und soweit) das öffentliche Zugänglichmachen mit Zustimmung des Berechtigten erfolgt und wenn dieses für den Zugang zu den Datenbankelementen und die übliche Benutzung des Datenbankwerks erforderlich ist (§§ 15 Abs. 1 Nr. 1, 16, 55a Abs. 1 UrhG)2. Im Lizenzvertrag ist näher zu regeln, die Verfolgung welcher Benutzungszwecke der Lizenzgeber gestattet. Er kann etwa zulässig zwischen Nutzung am Einzelplatzrechner und Nutzung im LAN differenzieren3. Ein Vervielfältigen aus Datenbankwerken erfolgt, wenn zumindest Teile 48 der schöpferisch gestalteten Struktur nach § 4 Abs. 2 UrhG geschützten Datenbank im jeweiligen Teil erkennbar sind, also nicht beim Kopieren von Werten in einzelnen Datenfeldern. Jedoch sind auch Nutzungsformen möglich, bei denen der Nutzer nur 49 den Inhalt eines abgefragten Elements am Bildschirm liest, aber nicht 1 S. dazu unten unter Rz. 89 ff. 2 Loewenheim in Schricker/Loewenheim, UrhR, § 55a Rz. 7; Dreier in Dreier/ Schulze, UrhG, § 55a Rz. 5 (jeweils unter Bezugnahme auf die BT-Drucks. 13/7934, 52). 3 Dreier in Dreier/Schulze, UrhG, § 55a Rz. 7. Koch
659
§ 42
Vertrge zur Nutzung und Lizenzierung von Datenbanken
auf seinem Rechner dauerhaft abspeichert. Dennoch erfolgt auch hier oft ein Vervielfältigen, das freilich nur flüchtig oder begleitend ist, etwa beim Zwischenspeichern im Grafikkartenspeichern. § 44a UrhG regelt dieses vorübergehende Vervielfältigen als zustimmungsunabhängig zulässig, wenn es integraler und wesentlicher Teil des technischen (Übermittlungs-)Verfahrens ist, jedoch keine eigenständige wirtschaftliche Bedeutung hat. Die Bestimmung des § 44a UrhG ist auch auf Datenbankwerke anwendbar1. 50
Allerdings werden durch § 44a Nr. 1 UrhG nur Vervielfältigungshandlungen freigestellt, die durch einen Vermittler erfolgen2, etwa den Netzbetreiber oder Access Provider. Auf der Seite des anfragenden Nutzers erfolgende temporäre Vervielfältigungen werden von der Zustimmung des Urhebers nicht freigestellt. Dies kann bei Client-Server-Applikationen zu Abgrenzungsproblemen führen, sofern der Anbieter die Applikation technisch auf der Server- wie auf der Client-Seite steuert3. Freigestellt sein sollten auch die vom Client ausgelösten technischen Aktionen, wenn sie allein vom Anbieter gesteuert werden und der abfragende Kunde keinen Einfluss darauf hat, in welcher Weise der Client mit dem Server interagiert. § 44a Nr. 2 UrhG stellt das Vervielfältigen als Teil des technischen Verfahrens außerdem frei, wenn es der rechtmäßigen Nutzung der Datenbank dient und keine neue eigenständige Nutzungsmöglichkeit eröffnet wird. Dies kann der Fall sein, wenn Vervielfältigungen nicht nur unvermeidlich mit einem technischen Downloading auf den Nutzerrechner verbunden sind, sondern zusätzlich erfolgen, weil der Anbieter das Downloading nicht über eigene Server anbietet, sondern über zwischengeschaltetes Cloud Computing.
51
Die Freistellung durch § 44a UrhG kommt nicht zum Tragen, wenn im schnellen Zwischenspeicher nur einzelne Elemente vervielfältigt, jedoch hierbei keine Teile der schöpferisch gestalteten Datenbankstruktur erfasst werden.
52
Der Lizenznehmer darf ein durch Vervielfältigen zulässig erstelltes Exemplar nicht ohne gesonderte Zustimmung des Berechtigten verbreiten oder öffentlich zugänglich machen4. Auch das Benutzen des Inhalts wird, soweit dieser selbständig schutzfähig ist, im Gegensatz zum Datenbankwerk jedenfalls durch § 55a UrhG nicht gestattet5. Bestehen an Inhalten eigenständig Schutzrechte, muss der Lizenznehmer entsprechende Nutzungsrechte zusätzlich erwerben. Sonstige einzelne Daten-
1 Loewenheim in Schricker/Loewenheim, UrhR, § 44a Rz. 3. 2 KG v. 30.4.2004 – 5 U 98/02, GRUR-RR 2004, 228 – Ausschnittdienst; Dreier in Dreier/Schulze, UrhG, § 44a Rz. 7. 3 Zum Problemkreis s. Bisges, MMR 2012, 577 f. der den client-nutzenden CloudKunden als Veranlasser der Vervielfältigungen ansieht. 4 Dreier in Dreier/Schulze, UrhG, § 55a Rz. 6. 5 Loewenheim in Schricker/Loewenheim, UrhR, § 55a Rz. 4.
660
Koch
§ 42
IV. Lizenzbedrftige Nutzungshandlungen bei Online-Datenbanken
bankelemente können genutzt werden, wenn nicht zugleich Strukturteile der Datenbank mitgenutzt werden. b) Aus verwandtem Schutzrecht geschützte Datenbanken Für den Download aus sui-generis-geschützten Datenbanken müssen 53 Nutzer ein Vervielfältigungsrecht in den Fällen erworben haben, in denen ein nach Art oder Umfang wesentlicher Teil der Datenbank heruntergeladen wird (§§ 87b Abs. 1 Satz 1, 87e UrhG) oder in denen ein wiederholtes und systematisches Vervielfältigen nicht wesentlicher Teile der Datenbank erfolgt (§ 87b Abs. 1 Satz 2 UrhG). Ein Vervielfältigungsrecht muss also nicht erworben werden, wenn aus einer Datenbank nur einzelne Elemente abgerufen werden sollen und dies nicht wiederholt und systematisch erfolgt. Nicht entscheidend ist, ob das Vervielfältigen schöpferisch gestaltete Datenbankstrukturen vollständig oder auch nur teilweise erfasst. Auf sui-generis-geschützte Datenbanken wird die Bestimmung des § 44a 54 UrhG zu vorübergehenden Vervielfältigungshandlungen als nicht anwendbar angesehen1. c) Vervielfältigen heruntergeladener Datenbanksoftware durch den Nutzer Werden vollständige Datenbankkopien vom Nutzer zum Abspeichern 55 auf seinen Rechner heruntergeladen, erfolgt regelmäßig auch ein Download der Software, die den Zugriff auf Datenbankelemente und in bestimmten Fällen (etwa bei Open-Source-Software) auch Änderungen an der Datenbankstruktur ermöglicht. Datenbanksoftware ist aber meist zwecks Beschleunigung der Datenkom- 56 munikation und Reduzierung des Traffic als Client-Server-Applikation organisiert, bei der nur ein relativ kleiner Client-Teil auf den Nutzerrechner geladen wird, während der überwiegende Teil auf den Serverrechnern des Anbieters verwaltet wird. Nur für diesen Client-Teil muss ein Nutzungsrecht erworben werden. Je mehr Anwendungsmöglichkeiten die Datenbank eröffnet, desto kom- 57 plexer wird in der Regel auch die Datenbanksoftware gestaltet sein. Das gilt nicht nur für ihren Serverteil, sondern auch den Client, der unter1 Loewenheim in Schricker/Loewenheim, UrhR, § 44a Rz. 3, der eine analoge Anwendung des § 44a UrhG auf Datenbanken als erforderlich ansieht. Zu sehen ist aber, dass die Untergrenze des § 87b Abs. 1 UrhG nicht unterschritten werden darf, also auch die temporäre Abspeicherung etwa im schnellen Zwischenspeicher doch gleich insgesamt einen wesentlichen Teil der Datenbank erfassen oder wiederholt und systematisch erfolgen muss. Zwischenspeicherungen kleiner Teile oder gar einzelner Elemente in kleinen schnellen Zwischenspeichern könnten bei analoger Anwendung des § 44a UrhG nicht erfasst werden. Koch
661
§ 42
Vertrge zur Nutzung und Lizenzierung von Datenbanken
schiedliche Nutzeraktionen unterstützen und ggf. die Verwaltung der Nutzungsrechtszuweisung kontrollieren und protokollieren muss (etwa wenn mit heruntergeladenen Datenbankteilen auch offline gearbeitet werden kann). Bei komplexerer Funktionalität empfiehlt sich eine klare Festlegung, welche Nutzungshandlungen zulässig sein sollen. 58
Bei Datenbankanwendungen des Massenmarkts muss der Nutzer oft nicht einmal anbieterspezifische Client-Software herunterladen und Nutzungsrechte für diese erwerben, sondern kann er oft (meist) vergütungsfrei auf Browser-Software zurückgreifen. Freilich sind dann auch die möglichen Aktionen des Nutzers stark standardisiert.
59
Auch als Teil einer Datenbank ist die Datenbanksoftware über die §§ 69a–69g UrhG geschützt. Die urheberrechtliche Schutzfähigkeit ist für jede Datenbanksoftware individuell zu prüfen, doch kann als Richtschnur genommen werden, dass die meisten Programme die Schutzvoraussetzungen des § 69a Abs. 3 UrhG erfüllen; die teilweise erhebliche Programmkomplexität wird hier in der Regel ein hinreichendes Indiz sein. Auch der (oft recht schlanke) Client-Teil der Datenbanksoftware kann als eigenständig schutzfähig anzusehen sein. Bereits sein Abspeichern nach dem Download stellt dann ein Vervielfältigen dar (§ 69c Nr. 1 UrhG), erst recht das Abspeichern einer vollständigen Datenbanksoftware. Anbieter berechnen in der Praxis für dieses Installieren aber meist keine Nutzungsvergütung im Sinne des Urheberrechts, sondern betrachten die Client-Installation als Teil des gesamten Leistungspakets.
60
Die Datenbanksoftware darf grundsätzlich nur in Verbindung mit der Datenbank genutzt werden. Im Datenbankvertrag ist diese Begrenzung der bestimmungsgemäßen Benutzung zu regeln. Bei Vertragsbeendigung (etwa bei Miete) darf weder die Datenbanksoftware oder auch nur der Client-Teil weiter vom Kunden genutzt werden (soweit dies technisch möglich wäre).
61
Der Rechtsprechung des EuGH zufolge kann Software vom Kunden nicht nur bei Erwerb auf Datenträger, sondern auch bei Erwerb durch Download weiterveräußert werden, wenn der Erwerb kaufweise erfolgt1. Der EuGH stellt freilich (in Tz. 57 des Urteils) ausdrücklich fest, dass sich diese Entscheidung ausschließlich auf Besonderheiten der Regelung des Art. 1 Abs. 2 der EG-Richtlinie zum Schutz von Computerprogrammen 2009/24/EG stützt. Dies erlaubt den Schluss, dass zwar online kaufweise erworbene Software weiterveräußert werden darf, Datenbanken und sonstige Schutzgegenstände aber wohl nicht2. Die Konsequenz wäre, dass
1 EuGH v. 3.7.2012 – C-128/11, CR 2012, 498 – UsedSoft. 2 A.A. Schneider/Spindler, CR 2012, 489 (497); Grützmacher, ZGE 2013, 46 (80 ff.).
662
Koch
§ 42
IV. Lizenzbedrftige Nutzungshandlungen bei Online-Datenbanken
kaufweise online erworbene Datenbankanwendungen nicht frei weiterveräußert werden, da die Datenbank ohne die integrierte Anwendungssoftware selten nutzbar sein wird. 2. Bearbeiten von Datenbankwerken und Datenbanken a) Datenbankwerke Auch online mit Zustimmung des Berechtigten vollständig oder teilwei- 62 se heruntergeladene Exemplare von Datenbankwerken dürfen durch den Nutzungsberechtigten nur bearbeitet oder in sonstiger Weise umgestaltet werden, soweit dies für die übliche Benutzung der Datenbank erforderlich ist (§§ 23, 55a Satz 1 UrhG). Zulässig sind nur Änderungen in Anordnung und Auswahl der Elemente der Datenbank, nicht jedoch ergänzende oder ändernde Eintragungen bezüglich einzelner Elemente, soweit an diesen Rechte Dritter bestehen1. Wird nicht ein vollständiges Exemplar des Datenbankwerks online he- 63 runtergeladen, sondern sind nur Abrufe von Elementen möglich, wird ein Bearbeiten schon technisch oft nicht möglich sein, da der Kunde keinen Zugriff auf die Datenbank in toto und erst recht nicht auf die Quellcodes der Datenbanksoftware erhält. b) Datenbanken § 87b UrhG regelt kein ausschließliches Recht des Datenbankherstellers, 64 die von ihm erstellte Datenbank zu bearbeiten. Er kann deshalb auch seinen Lizenznehmern kein Bearbeitungsrecht einräumen. Dennoch soll ein Bearbeitungsrecht zumindest insoweit eingeräumt werden, als eine wesentliche oder wiederholte und systematische Entnahme oder Weiterverwendung erfolgt2. Der Hersteller bleibt auch berechtigt, selbst unter Investitionsaufwand Änderungen oder Erweiterungen an einer vorhandenen Datenbank durchzuführen (§ 87a Abs. 1 Satz 2 UrhG) oder auch diese neu zu erstellen. Dies kann auch durch beauftragte Dienstleister geschehen. Nutzer sind hingegen nach der hier vertretenen Auffassung nicht berechtigt, an (offline oder online) überlassenen Datenbankexemplaren derartige Änderungen durchzuführen3.
1 Loewenheim in Schricker/Loewenheim, UrhR, § 55a Rz. 10. 2 Dreier in Dreier/Schulze, UrhG, § 87b Rz. 3. Es erscheint aber als fraglich, ob unter dieser Voraussetzung überhaupt von einer Bearbeitung (oder Umgestaltung) i.S.v. § 23 UrhG gesprochen werden sollte, die auf Werke bezogen ist. 3 A.A. Grützmacher, Urheber-, Leistungs- und Sui-generis-Schutz von Datenbanken, S. 243 f.; a.A. wohl Jaschinski in Wiebe/Leipold, Recht der elektronischen Datenbanken, Teil II E Rz. 37. Koch
663
§ 42
Vertrge zur Nutzung und Lizenzierung von Datenbanken
V. Die aus Sicht des Anbieters bzw. Mittlers von OnlineDatenbanken erforderlichen Nutzungsrechte 1. Vervielfältigungen a) Uploading 65
Bereits das Heraufladen eines Datenbankwerks oder einer Datenbank auf einen Serverrechner des Anbieters stellt ein Vervielfältigen dar, für das sich der Anbieter vom Urheber bzw. Hersteller das Vervielfältigungsrecht einräumen lassen muss. Das Vervielfältigen erfolgt nicht nur vorübergehend, sondern dauerhaft, da nur dann eine gesicherte Abrufmöglichkeit auf Dauer besteht. In der Praxis müssen sogar mehrere Kopien auf verschiedenen Serverrechnern gespeichert und bereitgehalten werden, wenn mit größeren Zahlen von zeitgleichen Zugriffen zu rechnen ist. Für jeden Server ist dann eine Kopierlizenz zu erwerben (wobei freilich in der Praxis die Vergütungen nicht selten mit wachsender Zahl degressiv gestaltet sind). b) Speichern in der Cloud
66
Wenn Anbieter (oder Kunden) in Clouds Daten oder Software speichern, führen sie hierbei ein Vervielfältigen durch (Uploading). Meist erfolgt dieses Vervielfältigen dauerhaft, so etwa bei Datenbanken, die ständig zugreifbar sein sollen. Es gelten deshalb unverändert die Grundsätze zur urheberrechtlichen Zulässigkeit des Vervielfältigens.
67
Da aber Clouds oft grenzüberschreitend oder gar (fast) weltweit verteilt betrieben werden und zusammenhängen können, muss im Einzelfall geprüft werden, in welchem Staat eine Vervielfältigungshandlung durchgeführt wurde, um dem Territorialitätsprinzip folgend nach dem Schutzrecht des jeweiligen Staats die Zulässigkeit der Vervielfältigungshandlung feststellen zu können1. Dieses Problem wird insbesondere dann relevant, wenn sui-generis-Datenbanken oder Teile von diesen in NichtEU/EWR-Staaten (etwa in den USA) gespeichert (und öffentlich zugänglich gemacht) werden und in diesen Staaten kein vergleichbarer Schutz besteht. Datenbankanbieter werden deshalb bestrebt sein, ihre nur suigeneris-geschützte Datenbank vor dem Zugriff aus solchen Staaten zu schützen. Dies ist im Internet freilich aus technischen Gründen nur begrenzt möglich, soweit etwa anbieterseitige Abgleiche der IP-Adressen abrufender Nutzer von diesen umgangen werden können. Das aus dem Schutzgefälle resultierende Problem kann für manchen Anbieter gravierend sein, wenn die Gefahr besteht, dass aus einem Drittstaat die komplette sui-generis-geschützte Datenbank des europäischen Anbieters durch wiederholte und systematische Entnahmen in den Drittstaat heruntergeladen werden, in dem das verwandte Schutzrecht nicht greift; das
1 S. dazu auch Spindler, § 21 Rz. 7 und 11 f.
664
Koch
§ 42
V. Die aus Sicht des Anbieters erforderlichen Nutzungsrechte
gilt erst recht, wenn das Herunterladen von einer Datenbankkopie aus einer Cloud erfolgt, die in Drittstaaten verwaltet wird1. 2. Öffentliches Zugänglichmachen von Datenbankwerken und Datenbanken Nach § 4 Abs. 2 UrhG sind Datenbankwerke durch das Urheberrecht ge- 68 schützte Werke und anderen Werktypen schutzrechtlich gleichgestellt. Das Urhebern durch § 19a UrhG eingeräumte ausschließliche Verwertungsrecht zum öffentlichen Zugänglichmachen eines Werks erfasst deshalb auch Datenbankwerke und muss von Datenbankanbietern bzw. -mittlern für deren Angebot erworben werden. Hersteller sui-generis-geschützter Datenbanken sind berechtigt, ihre Da- 69 tenbank öffentlich im Netz zugänglich zu machen. Das öffentliche Zugänglichmachen wird als Teil der öffentlichen Wiedergabe i.S.v. § 87b Abs. 1 Satz 1 UrhG eingestuft2. Damit ist § 19a UrhG auch auf das öffentliche Zugänglichmachen der nach den §§ 87a ff. UrhG geschützten Datenbanken entsprechend anwendbar. Das öffentliche Zugänglichmachen ist auch dann nicht von der Zustim- 70 mungsabhängigkeit freigestellt, wenn nur unwesentliche Teile der Datenbank zugänglich gemacht (freigeschaltet) werden. Zwar darf ein Nutzer solche unwesentlichen Teile zustimmungsunabhängig auf seinem Rechner vervielfältigen. Aber der Anbieter kann solche unwesentlichen Teile nicht zustimmungsfrei öffentlich zugänglich machen, wenn diese nur in der gesamten Datenbank zugreifbar sind. Denn im Raum steht eine wiederholte und systematische öffentliche Wiedergabe unwesentlicher Teile i.S.v. § 87 Abs. 1 Satz 2 UrhG gegenüber einer Vielzahl von Kunden. a) Bereithalten zum Abruf und Übertragen Datenbankwerke und Datenbanken sind bereits dann öffentlich zugäng- 71 lich gemacht, wenn Nutzern technisch die Möglichkeit eröffnet ist, eine Abfrage durchzuführen, also die Datenbank tatsächlich bereitgehalten wird3. Hierfür genügt es technisch, dass das Datenbankexemplar auf einem internetkonnektierten Serverrechner freigeschaltet wird4. Das Recht der öffentlichen Zugänglichmachung muss vom Anbieter spätestens in dem Augenblick dieses Freischaltens erworben worden sein. Es kommt nicht darauf an, ob bereits ein Abruf durch einen Nutzer erfolgt ist. 1 Vorgehen kann man dann nach h.M. allenfalls gegen die öffentliche Zugänglichmachung in Deutschland; s. dazu unten unter Rz. 72. 2 Vogel in Schricker/Loewenheim, UrhR, § 87b Rz. 49, 51; Dreier in Dreier/Schulze, UrhG, § 87b Rz. 3; Thum in Wandtke/Bullinger, UrhR, § 87b Rz. 48 f. 3 v. Ungern-Sternberg in Schricker/Loewenheim, UrhR, § 19a Rz. 43. 4 v. Ungern-Sternberg in Schricker/Loewenheim, UrhR, § 19a Rz. 42, 43, 45. Koch
665
§ 42
Vertrge zur Nutzung und Lizenzierung von Datenbanken
72
Reicht bereits ein bloßes Bereithalten aus, um das Zugänglichmachungsrecht auszuüben, so ist das durch eine Abfrage ausgelöste Übertragen nach der hier vertretenen Auffassung nicht mehr von § 19a UrhG umfasst1. Versucht wurde von der ganz h.M., auch die konkrete, durch einen Abruf ausgelöste Übermittlung (Downloading auf den Kundenrechner) noch als Teil des Zugänglichmachens2 anzusehen. Dem ist die Rechtsprechung aber bisher nicht gefolgt3. So oder so ist der Urheber in seinen Rechten jedenfalls bereits dann verletzt, wenn das Freischalten ohne seine Zustimmung erfolgt; er muss nicht abwarten, ob Abrufe erfolgen.
73
Die eigentliche durch den Abruf des Nutzers ausgelöste Übertragung wird nach der hier vertretenen Auffassung nicht als eigenständige Nutzungshandlung erfasst4. Ein ausschließliches Verwertungsrecht zum online Punkt-zu-Punkt erfolgenden Übertragen wird vom UrhG nicht vorgesehen und kann deshalb als dingliches Recht auch nicht wirksam eingeräumt werden5. Der reine Übertragungsakt fällt gewissermaßen in eine urheberrechtliche Schutzlücke. Der bereithaltende Anbieter kann eine Einräumung von Nutzungsrechten gegenüber Nutzern aber jedenfalls an den regelmäßig dem Übertragen nachfolgenden Nutzungsvorgang des Abspeicherns auf dem Nutzerrechner anknüpfen.
74
Diskutiert wird, ob ersatzweise zur Erfassung des eigentlichen Übertragungsvorgangs auf ein unbenanntes Verwertungsrecht aus § 15 Abs. 2 UrhG abzustellen ist6. Hiergegen spricht zumindest, dass Art. 3 Abs. 1 der Informationsgesellschafts-Richtlinie 2001/29/EG für die öffentliche Zugänglichmachung ausdrücklich darauf abstellt, ob das Werk öffentlich zugänglich gemacht ist (also aus einer Öffentlichkeit abgerufen werden kann)7. Die Richtlinie erfasst damit nur ein Bereithalten für den Abruf, regelt nach der hier vertretenen Auffassung also weder den Abruf selbst noch die durch diesen ausgelöste Übertragung. Weiter wird darauf hinge1 v. Ungern-Sternberg in Schricker/Loewenheim, UrhR, § 19a Rz. 42. 2 v. Gerlach, ZUM 1999, 278 (279 ff.); Grützmacher in Wandtke/Bullinger, UrhR, § 69c Rz. 53, 60 m.w.N. insbesondere zur Anwendung der Bogsch-Theorie aufs Internet; ebenso Dreier in Dreier/Schulze, UrhG, § 19a Rz. 6 mit dem Argument, das Zugänglichmachen erfordere eine Verbindung zum Abrufenden. Wenn das Zugänglichmachen aber bereits durch das Freischalten vollendet ist, ohne dass ein Abruf erfolgt sein muss, kann es auch nicht auf das Bestehen einer Verbindung zu einem Abrufenden ankommen (s. v. Ungern-Sternberg in Schricker/Loewenheim, UrhR, § 19a Rz. 42). 3 Vgl. aber OLG Köln v. 30.10.2007 – 6 W 161/07, MMR 2008, 342 f. 4 Zum Problemkreis s. Koch, ITRB 2004, 131 (132). Gaster, Der Rechtsschutz von Datenbanken, 1999, Rz. 320, 521 sah den Online-Abruf durch Art. 8 WCT erfasst. 5 v. Ungern-Sternberg in Schricker/Loewenheim, UrhR, § 19a Rz. 42 weist zutreffend darauf hin, dass bei Einbeziehen des Übertragungsakts das Zugänglichmachungsrecht erst verletzt sein könnte, wenn tatsächlich auch ein Übertragen stattgefunden hat. 6 v. Ungern-Sternberg in Schricker/Loewenheim, UrhR, § 19a Rz. 33, 42. 7 Koch, ITRB 2004, 131 (134).
666
Koch
§ 42
V. Die aus Sicht des Anbieters erforderlichen Nutzungsrechte
wiesen, dass bei der Übertragung an einen abrufenden Nutzer als solcher keine Wiedergabe gegenüber der Öffentlichkeit erfolgt1. Unter dieser Voraussetzung kann ein unbenanntes Verwertungsrecht der nichtöffentlichen Dateiübertragung nach deutschem Recht nicht auf das aus der Datenbankrichtlinie 96/9/EG vorgesehene Recht der öffentlichen Wiedergabe gestützt werden2. Für die Vertragspraxis wesentlich ist also, dass mit der Vereinbarung des 75 Rechts zum öffentlichen Zugänglichmachen nach der hier vertretenen Auffassung nicht auch das Recht eingeräumt wird, bereitgehaltene Datenbanken, Datenbankteile oder allgemein Dateien zu übertragen. Soll schließlich dem Nutzer vom Anbieter die Möglichkeit eingeräumt 76 werden, bestimmte Schutzgegenstände selbst wieder (etwa im Verhältnis zu Abnehmern oder Beschäftigten) zugänglich zu machen, so muss der Anbieter dem Nutzer das Recht zum öffentlichen Zugänglichmachen einräumen (wozu er wiederum vom Urheber oder Hersteller berechtigt worden sein muss); das Einräumen eines bloßen Übertragungsrechts würde nicht ausreichen, sondern das Risiko begründen, dass der Nutzer Rechte des Urhebers bzw. Herstellers verletzt. b) Öffentlichkeit des Zugänglichmachens von Datenbanken Ein besonderes Problem stellt gerade in der Vertragspraxis die Ab- 77 grenzung dar, unter welchen Voraussetzungen das Zugänglichmachen öffentlich erfolgt. Dies gilt primär für den Anbieter, der vom Berechtigten (Datenbankurheber oder -hersteller) das Recht erwerben muss, die Datenbank Dritten öffentlich zugänglich zu machen. Es gilt aber auch für Nutzer, die selbst die Datenbank ihren Abnehmern oder Mitarbeitern öffentlich zugänglich machen wollen (oder müssen). Die Rechteeinräumung muss sich also wesentlich danach bestimmen, ob ein Schutzgegenstand öffentlich zugänglich gemacht oder nur durch Einzelübertragung heruntergeladen wird. aa) Mehrheit von Nutzern Der Anbieter muss ein Recht zum öffentlichen Zugänglichmachen nur 78 dann erwerben, wenn er einen Schutzgegenstand der Öffentlichkeit (im 1 v. Ungern-Sternberg in Schricker/Loewenheim, UrhR, § 19a Rz. 33. 2 v. Ungern-Sternberg in Schricker/Loewenheim, UrhR, § 19a Rz. 33. v. UngernSternberg verweist darauf, dass die Informationsgesellschafts-Richtlinie (2001/ 29/EG) und die Datenbankrichtlinie (96/9/EG) auch ein Recht an der Abrufübertragung des öffentlich zum Abruf bereitgehaltenen Werkes als unbenanntes Verwertungsrecht (nicht als Teil des Zugänglichmachens bzw. Freischaltens) umfassen. Dieses mögliche Regelungsdefizit wird freilich eher nicht durch die nur national wirksame Annahme eines Innominatrechts zu beseitigen sein, sondern nur durch eine korrigierende Rechtsprechung des EuGH oder vorzugsweise durch Ergänzung der Informationsgesellschafts-Richtlinie. Koch
667
§ 42
Vertrge zur Nutzung und Lizenzierung von Datenbanken
Sinne des Urheberrechts) zugänglich machen will. Das ist nicht erforderlich, wenn der Anbieter eine spezifische Leistung nur für einen bestimmten Kunden erbringt, etwa eine für diesen entwickelte Datenbank(software) diesem online zugänglich machen will. Wird nämlich nur einem einzelnen Kunden eine Datenbank zum Abruf zugänglich gemacht wird, erfolgt dies nicht öffentlich1. Der Anbieter kann hier beliebig dem Kunden einen Online-Zugriff auf den Server des Anbieters eröffnen, ohne ein Zugänglichmachungsrecht erwerben zu müssen. 79
Diese klare Abgrenzung wird bereits dann problematisch, wenn der Anbieter mehrere Kunden online beliefert und die Frage zu beantworten ist, ob diese Kundenmehrheit eine Öffentlichkeit darstellt. Diese Frage stellt sich aber auch dann, wenn ein Kunde (meist ein Unternehmen) die Datenbank selbst Dritten zugänglich machen will, seien es Abnehmer oder seien es die eigenen Mitarbeiter.
80
Zur Beantwortung dieser Fragen ist der urheberrechtliche Öffentlichkeitsbegriff kurz zu betrachten. Nach dem allgemeinen Kriterium des § 15 Abs. 3 Satz 2 UrhG gehört jeder zur Öffentlichkeit, der nicht mit dem Werkverwerter oder anderen Personen, an die sich die Wiedergabe richtet, persönlich verbunden ist. Die Abgrenzung, ob ein Zugänglichmachen öffentlich erfolgt, kann bei beiden Fallvarianten nur nach den Umständen des Einzelfalls erfolgen2. Die auf diese Einzelfälle bezogene Rechtsprechung ist zwar mittlerweile reichhaltig, aber weitaus überwiegend (noch) nicht auf die Nutzung von IT-Systemen oder gar elektronischen Datenbanken bezogen. Für diese Bereiche wird sich Rechtsprechung erst entwickeln, so dass es Aufgabe der Vertragsgestaltung ist, klare und AGB-rechtlich zulässige Nutzungsregelungen zu treffen. bb) Persönliche Verbundenheit
81
Keine Öffentlichkeit ist grundsätzlich in den Fällen anzunehmen, in denen die adressierten Mitglieder persönlich miteinander verbunden sind. Ob eine solche „persönliche Verbundenheit“ angenommen werden kann, lässt sich wiederum nur im Einzelfall beurteilen, wobei zu sehen ist, dass dieser Begriff der persönlichen Verbundenheit kein (urheber)rechtlicher ist, sondern aus dem jeweiligen sozialen Kontext ermittelt werden muss. So ist das persönliche Verbundensein in sozialen Netzwerken wie Facebook doch oft deutlich ausgedünnt; eintausend Facebook-Freunde (oder Twitter-Follower) zu haben, wird meist nicht bedeuten, dass zu diesen Personen persönliche Verbindungen bestehen3. Das Web oder soziale Netzwerke schaffen keine persönliche Verbundenheit. 1 v. Ungern-Sternberg in Schricker/Loewenheim, UrhR, § 19a Rz. 42; ähnlich bereits Grützmacher, Urheber-, Leistungs- und Sui-generis-Schutz von Datenbanken, S. 255. 2 Dreier in Dreier/Schulze, UrhG, § 19a Rz. 7 a.E. 3 Ähnlich i.E. v. Ungern-Sternberg in Schricker/Loewenheim, UrhR, § 15 Rz. 75.
668
Koch
§ 42
V. Die aus Sicht des Anbieters erforderlichen Nutzungsrechte
Für die Beurteilung der Kommunikation des Anbieters mit seinen Kun- 82 den ist zu differenzieren. Zwischen einer beliebigen und gar räumlich verteilten Mehrheit von Kunden wird in aller Regel keine persönliche Verbundenheit untereinander unterstellt werden. Auch eine persönliche Verbundenheit der Kunden zum Anbieter wird grundsätzlich zu verneinen sein, jedenfalls wenn der Anbieter eine juristische Person ist. Nur in Sonderfällen wird eine persönliche Beziehung der adressierten Kunden zu Personen bestehen, die für die juristische Person handeln1. Der Umstand, dass Mitarbeiter des Anbieters ein Datenbankprodukt vorführen, es installieren oder Schulungen durchführen, wird zumeist nicht zu persönlicher Verbundenheit mit Mitarbeitern des Kunden führen. Jedoch ist zu prüfen, ob der Anbieter tatsächlich eine Mehrheit von 83 Kunden einheitlich adressiert oder ob er zu seinen Kunden eine kommerzielle Einzelbeziehung hat. Diese Beziehung ist eher mit der E-MailKommunikation zu vergleichen, die auch trotz Fehlen persönlicher Verbundenheit zwischen allen Mailnutzern nicht öffentlich erfolgt2. Möglich erscheint ein solches Personalisieren auch bezogen auf Kunden für unterschiedliche Anwendungen oder bezogen auf Mitarbeiter, die aufgabenspezifisch unterschiedlich zugeschnittene Rechte zum Zugriff auf eine Datenbank eingeräumt erhalten. Öffentlichkeit kann hingegen zu bejahen sein, wenn der Anbieter für alle 84 Kunden einheitliche Updates zum Abruf bereithält, die die Kunden über dieselbe Website abrufen können. Öffentlichkeit besteht andererseits wohl nicht, wenn jeder Kunde ein auf seine Anwendung abgestimmtes (personalisiertes) Update erhält oder wenn für jeden Kunden vom Anbieter eigene virtuelle Festplatten oder zumindest Segmente auf diesen bereitgehalten werden, auf die nur dieser Kunde Zugriff erhält. Im Einzelfall ist zu klären, ob bereits die Vergabe von Passwörtern oder 85 Zugangscodes an Kunden oder sonstige Dritte zu einem Entfallen der Öffentlichkeit führt3. Diese Frage ist auf zwei Ebenen relevant, nämlich bei Zuweisung des Codes durch den Anbieter an einen Kunden oder bei Zuweisung der Codes zu den Arbeitsplätzen von Mitarbeitern im Unternehmen durch den Arbeitgeber. Maßgeblich wird im ersten Fall sein, ob die Passwort- bzw. Code-Vergabe zu einer Einzelbeziehung zwischen Anbieter und Kunde führt. Eine solche Einzelbeziehung kann dadurch entstehen, dass der Anbieter jedem Kunden separat einen eigenen Lizenzcode zuteilt. Das gilt zumindest dann, wenn der Anbieter kundenspezifisch unterschiedliche Leistungen erbringt, die jeder Kunde nur für sich abru1 BGH v. 12.7.1974 – I ZR 68/73, GRUR 1975, 33 f. – Alterswohnheim. 2 OLG München v. 10.5.2007 – 29 U 1638/06, ZUM-RD 2007, 347 – Subito; v. Ungern-Sternberg in Schricker/Loewenheim, UrhR, § 15 Rz. 83; Grützmacher in Wandtke/Bullinger, UrhR, § 69c Rz. 54. Ähnlich besteht eine solche Einzelverbindung bei personalisierten Internetradios (v. Ungern-Sternberg in Schricker/ Loewenheim, UrhR, § 19a Rz. 45). 3 v. Ungern-Sternberg in Schricker/Loewenheim, UrhR, § 15 Rz. 68. Koch
669
§ 42
Vertrge zur Nutzung und Lizenzierung von Datenbanken
fen kann. Es kann keinen Unterschied machen, ob nur einem einzelnen Kunden der Zugriff auf einen durch ihn zu nutzenden Schutzgegenstand ermöglicht wird oder ob über dieselbe Online-Verteilung unterschiedliche Kunden ihre spezifischen Leistungen (z.B. spezifisch angepassten Updates) erhalten. Das Fehlen von Öffentlichkeit wurde auch für Fälle bejaht, in denen der Internetauftritt des Anbieters kennwortgeschützt und für Suchmaschinen nicht zugänglich ist und nicht damit gerechnet werden kann, dass auf der Webseite präsentierte Werke von der Öffentlichkeit gesucht werden1. 86
Neben dem Bestehen einer der E-Mail-Kommunikation vergleichbaren Einzelbeziehung kann aber die Annahme von Öffentlichkeit auch dann zu verneinen sein, wenn die Wahlfreiheit des Zugriffs auf die Datenbank eingeschränkt ist oder nicht besteht. Öffentlichkeit ist im Rahmen des § 19a UrhG dann zu bejahen, wenn eine Mehrzahl von Personen von Orten und zu Zeitpunkten ihrer Wahl auf die Datenbank zugreifen kann2. Hier wird vertreten, dass diese Wahlfreiheit auch dann gegeben ist, wenn jeder Nutzer einen Lizenzcode zugeteilt erhält3. Dies wird aber nur gelten können, wenn den Kunden bzw. Nutzern zwar codegesichert der Zugang zum grundsätzlich selben Leistungsangebot eröffnet wird, jedoch nicht, wenn der Anbieter über die codegesicherte Online-Anbindung kundenspezifisch unterschiedliche Leistungen erbringt. cc) Räumliche und zeitliche Wahlfreiheit des Zugriffs
87
Besteht die räumliche und zeitliche Wahlfreiheit des Zugriffs des Kunden bzw. Nutzers nicht oder nur eingeschränkt, kann Öffentlichkeit nicht angenommen werden. Die Abgrenzung muss von der Möglichkeit des zeitgleichen Zugriffs her erfolgen. Nicht erforderlich ist, dass die Nutzer tatsächlich zeitgleich zugreifen; die Zugriffe können auch sukzessiv erfolgen. Es muss aber möglich sein, zeitgleich zuzugreifen4. Deshalb muss das Bereithalten sehr wohl zeitgleich für alle Nutzer erfolgen. Wird nämlich der Schutzgegenstand nicht für mehrere Nutzer zu deren zeitgleichem Zugriff zugänglich gemacht, sondern nur sukzessive einmal für diesen und dann für jenen Nutzer, hat keine Mehrheit von Nutzern die Möglichkeit, zum selben Zeitpunkt auf die Datenbank zuzugreifen und besteht insoweit keine Öffentlichkeit5. Wahlfreiheit kann außerdem dann nicht angenommen werden, wenn die Nutzer nicht von Orten ihrer Wahl auf die Datenbank (oder allgemein den Schutzgegenstand) zugreifen, sondern etwa nur an vorinstallierten Leseplätzen. Zudem darf nicht der Anbieter des Werkes den Ort bestimmen, von dem abgerufen wird, sondern der Nutzer muss diesen Ort be1 2 3 4 5
v. Ungern-Sternberg in Schricker/Loewenheim, UrhR, § 15 Rz. 68. S. Rz. 77 ff. Bullinger in Wandtke/Bullinger, UrhR, § 19a Rz. 6. Bullinger in Wandtke/Bullinger, UrhR, § 19a Rz. 9. v. Ungern-Sternberg in Schricker/Loewenheim, UrhR, § 15 Rz. 71.
670
Koch
§ 42
V. Die aus Sicht des Anbieters erforderlichen Nutzungsrechte
stimmen können1. Diese zeitliche und die räumliche Wahlfreiheit muss kumulativ bestehen. Für die Vertragspraxis bedeutet dies, dass der Anbieter einer Datenbank 88 vom Berechtigten wohl dann kein Recht zum öffentlichen Zugänglichmachen erwerben muss, wenn er Einschränkungen der Zugriffsmöglichkeit vorsieht, etwa den Zugriff örtlich auf den Standort eines betrieblichen IT-Systems des Kunden einschränkt. dd) Spezialfall: Mitarbeiter eines Betriebs als Öffentlichkeit Die Wahlfreiheit des Zugriffs ist auch in Fällen zu prüfen, in denen der 89 Kunde als Unternehmer seinen Mitarbeitern von deren Arbeitsplätzen den Zugriff auf die Datenbank ermöglicht. Jedenfalls größere Anzahlen von Mitarbeitern im Betrieb sind regelmäßig nicht einander persönlich verbunden2. Außerdem muss aber die für den Zugriff bereitgehaltene Datenbank bereits mit dem Abruf zugänglich sein, ohne dass es einer weiteren Entscheidung des Bereithaltenden bedarf3. Öffentliches Zugänglichmachen ist deshalb nicht anzunehmen, wenn erst ein Systemoperator von Fall zu Fall prüft und entscheidet, ob einem anfragenden Mitarbeiter ein Zugriffsrecht zugewiesen werden kann. Auch wenn bzw. soweit damit in größeren Unternehmen (bzw. in deren 90 Intranets oder WLANs) keine persönliche Verbundenheit zwischen allen Beschäftigten besteht4, folgt hieraus noch nicht, dass das Zugänglichmachen eines Schutzgegenstands in solchen Fällen immer öffentlich erfolgt5. § 19a UrhG erfordert zusätzlich, dass die Beschäftigten darin frei sind, an Orten und6 zu Zeiten ihrer Wahl auf die Datenbank Zugriff zu erhalten. Öffentlichkeit kann damit schon dann nicht angenommen werden, wenn die Beschäftigten an einen bestimmten Arbeitsplatz arbeitsvertraglich gebunden sind7. In diesen Fällen kommt es nicht mehr darauf 1 Bullinger in Wandtke/Bullinger, UrhR, § 19a Rz. 7, 8. 2 Grützmacher in Wandtke/Bullinger, UrhR, § 69c Rz. 54. Vgl. auch BGH, GRUR 1955, 549 – Betriebsfeier. 3 v. Ungern-Sternberg in Schricker/Loewenheim, UrhR, § 19a Rz. 45. 4 Koch, Internet-Öffentlichkeit, in Conrad, Inseln der Vernunft, S. 96, 97. Vgl. auch BGH, GRUR 1955, 549 – Betriebsfeier. 5 So aber Bisges, MMR 2012, 574. 6 Diese beiden Voraussetzungen müssen kumulativ erfüllt sein (v. Ungern-Sternberg in Schricker/Loewenheim, UrhR, § 19a Rz. 53). 7 Ebenso Bisges, MMR 2012, 577. Nicht uneingeschränkt zugestimmt werden kann hingegen der Feststellung von Bisges, MMR 2012, 577, wenn mehrere PCArbeitsplätze zur Verfügung gestellt werden, von denen aus auf den Server zugegriffen werden kann, sei Wahlfreiheit in Bezug auf den Ort gegeben. In der betrieblichen Praxis ist es wohl eher seltene Ausnahme, dass Arbeitnehmer wahlfrei mal an diesem und mal an jenem Arbeitsplatz arbeiten dürfen. Eher findet man an den Namen gebunden definierte Zugriffsrechte für jeweils einen bestimmten Rechner. Und selbst wenn nur eine Höchstzahl gleichzeitiger Zugriffe mit dem Anbieter vereinbart ist, wird im Einzelfall zu prüfen sein, ob die MitKoch
671
§ 42
Vertrge zur Nutzung und Lizenzierung von Datenbanken
an, ob die Beschäftigten zu Zeiten ihrer Wahl auf die Datenbank zugreifen dürfen1. Fraglich ist, welchen Einfluss es hat, dass die Beschäftigten i.d.R. nicht frei darüber entscheiden können, wann sie auf die Datenbank zugreifen, da der Zugriff immer zu dem Zeitpunkt erfolgen muss, in dem eine bestimmte zugewiesene Aufgabe zu bearbeiten ist2. Dies kann zu einem Entfallen der Wahlfreiheit führen. 91
Selbst wenn Wahlfreiheit der Mitarbeiter besteht, bleibt aber zu klären, ob § 19a UrhG auf Fallkonstellationen anwendbar ist, in denen der Arbeitgeber seinen Beschäftigten im Betrieb einen Zugang zu Schutzgegenständen vermittelt, also am selben Ort. Denn Art. 3 der Informationsgesellschafts-Richtlinie 2001/29/EG und damit der sie in nationales Recht umsetzende § 19a UrhG setzt aber gemäß Erwägungsgrund 23 dieser Richtlinie voraus, dass die Adressaten nicht an dem Ort anwesend sind, an dem die Wiedergabe ihren Ursprung nimmt3. ee) Auswirkung auf die Vertragspraxis
92
Soweit Öffentlichkeit zu bejahen ist, muss in der Vertragspraxis nicht nur der Anbieter das Recht auf öffentliches Zugänglichmachen vom Urheber bzw. Hersteller erwerben, sondern auch der Kunde dieses Recht vom Anbieter eingeräumt erhalten. Im Nutzungsvertrag muss dann dem Kunden dieses Zugänglichmachungsrecht eingeräumt werden; das setzt voraus, dass der Anbieter selbst wiederum vom Urheber bzw. Hersteller zu einer solchen zusätzlichen Weiterübertragung des Zugänglichmachungsrechts vertraglich berechtigt wurde.
93
In der Vertragspraxis ist von Bedeutung, ob der Anbieter das öffentliche Zugänglichmachen für das Unternehmen und zugleich für dessen Mitarbeiter durchführt oder ob es der Arbeitgeber ist, der (auch) gegenüber seinen Mitarbeitern ein öffentliches Zugänglichmachen durchführt, für das er selbst das entsprechende Verwertungsrecht erworben haben muss. Teilweise wird der Anbieter als derjenige angesehen, der direkt den Mitarbeitern eines Kunden den Datenbankzugriff eröffnet4. Vertreten lässt sich aber auch, dass es erst der Arbeitgeber ist, der seinen Mitarbeitern die Datenbank öffentlich zugänglich macht. Hierfür spricht, dass es we-
1
2
3 4
arbeiter ihren Arbeitsplatz tauschen dürfen. Außerdem und vor allem befinden sich Beschäftigte auch dann noch am selben Ort, wenn sie im Betrieb von einem Arbeitsplatz an den Arbeitsplatz nebenan wechseln. Ähnlich wird die Wahlfreiheit eines Bibliotheksbesuchers verneint, der Werke nur an einem bestimmten Standort abrufen kann (Bullinger in Wandtke/Bullinger, UrhR, § 19a Rz. 8). Ebenso sind Mitarbeiter zu beurteilen, die nur am ihnen zugewiesenen Arbeitsplatz auf eine Datenbank zugreifen können. So wird vertreten, dass es zumeist nicht darauf ankommt, ob den Beschäftigten in der Arbeitszeit jeweils ein Zeitfenster für die Datenbanknutzung zugewiesen wurde (so Bisges, MMR 2012, 577), wenn die Beschäftigten in diesem Zeitfenster den Zeitpunkt der Aufgabenerfüllung nicht frei wählen dürfen. Ausf. s. v. Ungern-Sternberg in Schricker/Loewenheim, UrhR, § 15 Rz. 55. So KG v. 23.11.2001 – 5 U 188/01, ZUM 2002, 828.
672
Koch
VI. Die fr den Vertrieb von Datenbanken erforderlichen Nutzungsrechte
§ 42
sentlich von der betriebsinternen Organisation des Kunden abhängt, ob diese Zugriffe wahlfrei erfolgen können und deshalb als öffentliche zu werten sind. Auch ist zu berücksichtigen, dass sich die Wiedergabe an Personen richten muss, die Letztverbraucher sind1, also etwa gerade nicht an juristische Personen, die ihrerseits den Mitarbeitern Schutzgegenstände zugänglich machen. Ändert der Kunde außerdem nach Abschluss des Datenbanknutzungsver- 94 trags diese betriebliche Organisation und führt er orts- und zeitbezogene Wahlfreiheit seiner Mitarbeiter ein, wird das zunächst nichtöffentliche Zugänglichmachen durch den Anbieter nicht nachträglich zum öffentlichen, sondern es ist der Kunde, der im Vertragszusammenhang erstmals ein öffentliches Zugänglichmachen durchführt bzw. durchführen lässt. Hier ist es am Kunden, vom Urheber das Recht zur öffentlichen Zugänglichmachung zu erwerben. Der Erwerb vom Anbieter ist nur möglich, wenn der Anbieter nicht nur zum öffentlichen Zugänglichmachen berechtigt ist, sondern auch dazu, seinen Kunden (arbeitgebenden Unternehmen) selbst wieder ein solches Recht einzuräumen. c) Öffentlichkeit des Zugänglichmachens von Datenbanken und die Öffentlichkeit in der Cloud Die Grundsätze der §§ 15 Abs. 3, 19a UrhG gelten also uneingeschränkt 95 auch in der Cloud. Relevant wird hier aber gerade bei Angeboten aus der Public-Cloud, bei denen sich nicht bestimmen lässt, wo der Server steht, die Frage, ob wie hier vertreten nur das Bereithalten oder mit der h.M. auch der Übertragungsakt § 19a UrhG unterfällt2, was die Rechtsdurchsetzung im Empfängerland erleichtert.
VI. Die für den Vertrieb von Datenbanken erforderlichen Nutzungsrechte Auch für den Vertrieb von Datenbanken ist zwischen urheberrecht- 96 lichem und sui-generis-rechtlichem Schutz zu unterscheiden, ebenso zwischen Offline- und Online-Nutzung. Allgemein ist zu klären, ob das Verbreitungsrecht (§§ 15 Abs. 1 Nr. 2, 17, 31 Abs. 3 UrhG) als ausschließliches Recht, das zur Einräumung einfacher Nutzungsrechte berechtigt, räumlich oder zeitlich eingeschränkt eingeräumt wird. Räumliche Beschränkungen können bei Offline-Vertrieb sinnvoll sein, sind beim Online-Vertrieb (per Download) aber schwer zu kontrollieren, da das Internet grundsätzlich weltweit nutzbar ist. Hinzu kommt, dass der Schutz von Datenbanken aus den §§ 87a ff. UrhG 97 bzw. aus den zugrundeliegenden Richtlinienbestimmungen räumlich auf 1 v. Ungern-Sternberg in Schricker/Loewenheim, UrhR, § 15 Rz. 66. 2 Dazu oben Rz. 72. Koch
673
§ 42
Vertrge zur Nutzung und Lizenzierung von Datenbanken
EU/EWR beschränkt ist. Vertriebsrechte können deshalb für sui-generisgeschützte Datenbanken nicht mit internet-, also weltweiter Geltung eingeräumt werden, da dieser Schutz in Drittstaaten nicht besteht, sondern sie müssen räumlich auf den Bereich von EU/EWR beschränkt werden. Entsprechend kann der vertriebsberechtigte Anbieter auch seinen Abnehmern nur durch den Geltungsbereich räumlich begrenzt einfache Nutzungsrechte zum Vervielfältigen einräumen (§ 32 Abs. 1 Satz 2 UrhG zumindest in entsprechender Anwendung). 1. Offline-Vertrieb von Datenträgern 98
Für den Vertrieb von Datenbankwerken auf Datenträgern muss der Anbieter vom Urheber im Lizenzvertrag ein Verbreitungsrecht eingeräumt erhalten (§ 17 UrhG). Dieses erfasst aber nur Verbreitungsvorgänge, nicht auch die Benutzung des Datenbankwerks, die zusätzlich gemäß § 55a UrhG zu regeln ist. Soweit der Urheber dem Vertriebslizenznehmer ein Verbreitungsrecht eingeräumt hat, kann er die Erst- und Folgeerwerber wegen der Erschöpfung des Verbreitungsrechts bei kaufweiser (Weiter-)Überlassung nicht an der Weiterveräußerung der Datenbankkopie auf Datenträger hindern1, wohl aber daran, die Datenbank etwa selbst online zugänglich zu machen.
99
Für Datenbanken muss sich der Anbieter vom Berechtigten das Verbreitungsrecht gemäß § 87b Abs. 1 Satz 1 UrhG einräumen lassen. Auch das dem Anbieter für eine Datenbank eingeräumte Verbreitungsrecht erschöpft sich, wenn der Anbieter seinen Kunden die Datenbank auf Datenträger kaufweise überlässt (§§ 87b Abs. 2, 17 Abs. 2 UrhG). 2. Online-Vertrieb per Download-Angebot
100
Der Anbieter muss sich beim Online-Vertrieb im Zweifel vom Urheber das Recht einräumen lassen, das Datenbankwerk öffentlich für Nutzer auf vertraglicher Basis zugänglich zu machen (§ 19a UrhG). Auch dieses Recht umfasst nicht Benutzungshandlungen durch den Vertriebslizenznehmer, die zusätzlich über § 55a UrhG zu regeln sind. Notwendige Voraussetzung für das Zugänglichmachen ist freilich, dass ein Exemplar des Datenbankwerks zunächst auf einem Serverrechner des Anbieters heraufgeladen und abgespeichert wird. Von dieser Kopie können Nutzer dann ihrerseits Kopien durch Download erstellen. Jeder dieser Kopiervorgänge stellt ein Vervielfältigen dar.
101
Eine Erschöpfung des vom Anbieter erworbenen Rechts der öffentlichen Zugänglichmachung tritt nicht ein. Die Rechtsprechung des EuGH, die eine Erschöpfung des Verbreitungsrechts bei kaufweiser Online-Überlassung annimmt, ist ausdrücklich auf Computerprogramme beschränkt2, 1 S. dazu oben Rz. 38. 2 EuGH v. 3.7.2012 – C-128/11, CR 2012, 498 – UsedSoft.
674
Koch
§ 42
VII. Integration der Werke Dritter in eine Datenbank
erfasst also (jedenfalls bisher)1 nicht Datenbankwerke oder Datenbanken. Auch für sui-generis-geschützte Datenbanken muss sich der Anbieter 102 vom Berechtigten das Recht einräumen lassen, die Datenbank öffentlich zugänglich zu machen (§ 87b Satz 1 UrhG)2 und tritt auch bei kaufweiser Nutzungsrechtseinräumung gegenüber Kunden nach der bisherigen Rechtsprechung des EuGH nicht zwingend die Erschöpfung des Rechts zur öffentlichen Zugänglichmachung ein. 3. Vertrieb der zugehörigen Client-Software (Computerprogramm) Hat der Anbieter eine spezifische, für die Datenbank genutzte Client-Soft- 103 ware nicht selbst erstellt, muss er vom Urheber also das Recht erwerben, diese Software auf Datenträgern zu verbreiten oder sie online den Kunden öffentlich zugänglich zu machen, letzteres aber nur, wenn das Zugänglichmachen öffentlich erfolgt. Das Problem stellt sich nicht, wenn die Anwendung so ausgelegt ist, dass der Kunde über gängige (meist kostenlos verfügbare) Browser auf die Software bzw. die Daten zugreifen kann. Mit dem beim Kunden installierten Client lassen sich Funktionen der 104 Anwendung aufrufen, die auf dem Serverrechner des Anbieters verwaltet werden (Serverside-Software). Dieser Serverteil der Client-Server-Applikation muss auf dem Anbieterrechner installiert sein, um eine OnlineVerbindung zum Kunden herstellen und unterstützen zu können. Der Anbieter muss deshalb vom Urheber (oder sonst Berechtigten) ein entsprechendes Vervielfältigungsrecht erwerben, aber kein Zugänglichmachungsrecht, da dieser Softwareteil auf dem Anbieterrechner verbleibt.
VII. Integration der Werke Dritter in eine Datenbank Fügt der Anbieter in seine Datenbank als Elemente Inhalte ein, die selbst 105 als Werke Dritter urheberrechtlich (oder sui-generis-rechtlich) geschützt sind, muss er sich vorab von den Urhebern dieser Werke entsprechende Verwertungsrechte einräumen lassen, etwa für Gedichte-, Film- oder Musikwerksammlungen. Die Vereinbarung muss regeln, ob eine Verbreitung oder ein öffentliches Zugänglichmachen (oder beides) eingeräumt werden soll3.
1 Ob der Weiterverkauf auch hier in Ansehung der Entscheidung EuGH v. 3.7.2012 – C-128/11, CR 2012, 498 – UsedSoft, erlaubt ist, ist zumindest strittig, s. dazu Schneider/Spindler, CR 2012, 489 (497); Grützmacher, ZGE 2013, 46 (80 ff.). 2 Loewenheim in Schricker/Loewenheim, UrhR, § 87b Rz. 29. 3 Koch in Loewenheim, Handbuch des Urheberrechts, § 77 Rz. 165 f. Koch
675
§ 43 Verträge über den Vertrieb von Datenbankwerken, Datenbanken und Daten Rz. I. Einleitung . . . . . . . . . . . . . . . . . . .
1
II. Begrifflichkeiten . . . . . . . . . . . . . . 1. Vertriebsrecht und Vertriebsverträge. . . . . . . . . . . . . . . . . . . . . . 2. Daten . . . . . . . . . . . . . . . . . . . . . . . 3. Datenbanken und Datenbankwerke . . . . . . . . . . . . . . . . . . .
2 2 4 5
III. Denkbare Konstellationen des mittelbaren Vertriebs in der Praxis . . . . . . . . . . . . . . . . . . . . . . . 9 1. Datenbanken und Datenbankwerke . . . . . . . . . . . . . . . . . . . 9 a) Datenbank/Datenbankwerk als ergänzender/zusätzlicher Bestandteil eines Anwendungsprogramms . . . . . . . . . . . 9 b) Datenbank/Datenbankwerk als eigenständiges Produkt, jedoch in Zusammenhang mit sonstigen Dienstleistungen . . . 12 c) Datenbank/Datenbankwerk als eigenständiges Werk . . . . . . 14 2. Daten . . . . . . . . . . . . . . . . . . . . . . . 15 IV. Gesetzlicher Hintergrund des mittelbaren Vertriebs von Datenbanken/Datenbankwerken und Daten . . . . . . . . . . . . . . . . . . . . . . . 1. Rechtsnormen im bürgerlichen Recht und Handelsrecht . . . . . . . . 2. AGB-Recht . . . . . . . . . . . . . . . . . . . 3. Kartellrechtliche Regelwerke. . . .
16 16 20 22
Rz. 4. Urheberrecht und geistige Schutzrechte . . . . . . . . . . . . . . . . . a) Verbreitung von Datenbankwerken . . . . . . . . . . . . . . . . b) Verbreitung von Datenbanken. c) Bearbeiten von Datenbankwerken . . . . . . . . . . . . . . . . d) Bearbeiten von Datenbanken . . V. Vertragsgestaltung. . . . . . . . . . . . . 1. Ausgestaltung als Händler- oder Handelsvertretermodell . . . . . . . . a) Vor- und Nachteile . . . . . . . . . . b) Tendenz zu Vertriebsnetzen und Mischmodell . . . . . . . . . . . 2. Vertragstypologie . . . . . . . . . . . . . . a) Vertrag sui generis . . . . . . . . . . b) Typische Merkmale . . . . . . . . . 3. Pflichten der Vertragspartner, insbesondere Absatzförderung . . . 4. Dauerschuldcharakter. . . . . . . . . . 5. Rechtseinräumung . . . . . . . . . . . . a) Datenbankwerke. . . . . . . . . . . . b) Datenbanken . . . . . . . . . . . . . . . 6. Probleme bei der Beendigung von Vertriebsverträgen, insbesondere Vertragshändlerverträgen . . . . . . . a) Ausgleichsanspruch nach § 89b HGB . . . . . . . . . . . . . . . . . b) Erweiterungen und Aktualisierungen an Datenbank/ Datenbankwerk durch den Vertriebspartner . . . . . . . . . 7. Sach- und Rechtsmängelhaftung .
25 25 26 31 33 35 35 35 36 38 38 39 40 41 42 43 46 47 47
48 49
I. Einleitung 1
Die kommerzielle Nutzung und Verwertung von Informationen (Daten, einschließlich personenbezogener Daten) ist ein wesentliches Merkmal der Informationsgesellschaft. Datenbanken ersetzen mehr und mehr Zeitschriften und Bücher als Informationsquellen. Online-Enzyklopädien wie Wikipedia stellen für klassische Lexika eine erhebliche Konkurrenz dar, Online-Wörterbücher wie „Leo“ sind eine echte Alternative zu etablierten Printmedien und „soziale Netze“, die auch als „Datenbanken“ zu qualifizieren sind, lassen sich als Kommunikationsmittel – trotz fragwürdiger Datenschutzpraktiken – nicht mehr verdrängen. Datenbestände sind ein eigenständiges Informationskapital und die aus solchen Daten676
Witzel
§ 43
II. Begrifflichkeiten
beständen entstehenden Datenbanken und/oder Datenbankwerke haben erhebliches Vermarktungspotential1, sowohl im Wege einer direkten Vermarktung durch den Hersteller als auch im Wege des mittelbaren oder indirekten Vertriebs über Vertriebspartner, die je nach Vertragsgestaltung als Vertragshändler oder als Handelsvertreter einzustufen sind. Der Vertrieb über zwischengeschaltete Dritte stellt an die Vertragsgestaltung zusätzliche Anforderungen, die sich auch aus kartellrechtlichen Bestimmungen ergeben. Zudem sind innerhalb eines komplexen Vertriebssystems häufig nicht nur die wechselseitigen Verpflichtungen des Herstellers mit dem jeweiligen Vertriebspartner zu beachten, sondern auch die Beziehungen der einzelnen Vertriebspartner untereinander. Die Komplexität wird weiter durch die unterschiedlichen Vertriebsformen erhöht. Wie bei Software und anderen digitalen Inhalten stellt sich auch bei Daten und Datenbanken die Frage, ob Onlinevertrieb oder „klassischer“ Vertrieb durch Übermittlung eines Datenträgers unterschiedliche rechtliche Bewertungen erlauben können oder nicht2.
II. Begrifflichkeiten 1. Vertriebsrecht und Vertriebsverträge Eine Legaldefinition des „Vertriebsrechts“3 gibt es nicht. Synonym wird 2 die Terminologie „Absatzrecht“ und „Distributionsrecht“ verwendet. Hintergrund des Vertriebsrechts ist der gesamte Prozess, der den Weg eines „Produkts“ vom Hersteller über eine oder mehrere Zwischenstationen bis zum endgültigen Verbraucher betrifft. Produkte, die Gegenstand eines Vertriebsprozesses sein können, sind nicht nur Sachleistungen, sondern auch Dienstleistungen sowie immaterielle Güter (Software, Know-how und Informationen) und Nutzungs- und Verwertungsrechte an immateriellen Gütern. Bei einer weiten Auslegung erfasst das Vertriebsrecht nicht nur Händlerverträge, sondern auch Handelsvertreterverträge4. Auch die Intention des Handelsvertreters ist schließlich die Absatzförderung zugunsten des Herstellers, nur die Vertragsbeziehungen, die am Ende eines Vertriebsprozesses stehen, sind wiederum direkte Beziehungen mit dem Hersteller. Es gibt auch keine Legaldefinition des „Vertriebsvertrags“. Der Begriff 3 umfasst allerdings üblicherweise Rahmenverträge, die dem Warenabsatz 1 Allein der Adressdatenhandel führt zu Milliardenumsätzen. 2 Bäcker/Höflinger, ZUM 2013, 623. 3 Dazu Hampe, ZVertriebsR 2013, 21; Malzer, ZVertriebsR 2012, 343: „(…) Vertriebsrecht im engeren Sinn ist Absatzmittlungsrecht, ist somit die rechtliche Gestaltung des regelmäßig kooperativen Vertriebs von Produkten und Dienstleistungen hin zum Endverbraucher.“ 4 Weitere Varianten von Vertriebsverträgen sind der Franchisevertrag, der Fachhändlervertrag oder der Kommissionärsvertrag, s. dazu Martinek/Semler/Habermeier/Flohr, Vertriebsrecht. Witzel
677
§ 43
Vertrge ber den Vertrieb von Datenbankwerken
dienen. Sie verpflichten im Regelfall einen Hersteller, seinen Vertriebspartner auf einer dauerhaften Basis mit Waren zu beliefern und dem Vertriebspartner wiederum diese Waren abzunehmen und ihren Weitervertrieb aktiv zu fördern. Bei einer weiten Auslegung ist der Vertriebsvertrag ein Oberbegriff für Handelsvertreter- und Vertragshändlerverträge. Tendenziell dürfte der Begriff des „Vertriebsvertrags“ jedoch eher als Synonym für den Vertragshändlervertrag verwendet werden1. 2. Daten 4
Der Begriff Daten wird in verschiedenen Gesetzen (z.B. § 263a StGB, § 3 Abs. 1 BDSG) verwendet und kann je nach Kontext unterschiedliche Bedeutung haben. DIN 44300 Teil 2 Nr. 2.1.20132 definiert Daten als „Gebilde aus Zeichen oder kontinuierlichen Funktionen, die aufgrund bekannter oder unterstellter Abmachungen Informationen darstellen“3. Allgemein erfasst der Begriff „Informationen“. Unter den Begriff fallen nicht nur personenbezogene Daten, sondern generell elektronisch erfasste Informationen und Tatsachen. Daten können vertrauliche Informationen sein, aber auch öffentlich bekannte Tatsachen. Je nach Art der Daten, die Gegenstand des Vertriebs sind, sind bei der Vertragsgestaltung weitere gesetzliche Bestimmungen zu beachten. Bei personenbezogenen Daten ist die Vermarktung nur in engen Grenzen zulässig4. Vertrauliche Informationen können im Regelfall ebenfalls nicht vermarktet werden, da sie vom Empfänger geheim zu halten sind. Daten können als Einzelinformationen oder einzelne Datensätze vermarktet werden, häufig werden jedoch komplette Datenbanken oder Datenbankwerke vertrieben.
1 Spickhoff in Bamberger/Roth, Beck’scher Online-Kommentar BGB, Rz. 42–45; Martinek in Martinek/Semler/Habermeier/Flohr, Vertriebsrecht, Rz. 1–2: Das vertriebsrechtliche Schrifttum hat sich schon früh um eine Typen- und Systembildung der Absatzmittlungs- oder Vertriebsverträge als Gegenstand des Vertriebsrecht im engeren Sinn bemüht. Dabei scheint darüber Einigkeit zu herrschen, dass eine solche Systembildung kaum anders sinnvoll ist als auf der Grundlage der Unterscheidung nach der Intensität der Verhaltensabstimmung bei der vertriebsvertraglichen Kooperation, d.h. nach dem Grad der vertikalen Integration …“. 2 Ersetzt durch ISO/IEC 2382 – 1. 3 In der Wirtschaftsinformatik werden Daten definiert als „zum Zweck der Verarbeitung zusammengefasste Zeichen, die aufgrund bekannter oder unterstellter Abmachungen Informationen (d.h. Angaben über Sachverhalte und Vorgänge) darstellen“, s. http://wirtschaftslexikon.gabler.de/Definition/daten.html (abgerufen am 14.9.2013). 4 S. zur Zulässigkeit des Adressdatenhandels unter dem neuen BDSG Patzak/Beyerlein, MMR 2009, 525 sowie Feldmann/Höppner, § 48.
678
Witzel
§ 43
II. Begrifflichkeiten
3. Datenbanken und Datenbankwerke Datenbank1 i.S.d. § 87b UrhG ist eine Sammlung von Werken, Daten 5 und anderen unabhängigen Elementen2 („Informationen“), die systematisch und methodisch angeordnet und einzelnen mit Hilfe elektronischer Mittel oder auf andere Weise zugänglich sind. Auf die urheberrechtliche Schutzfähigkeit, mithin die Schöpfungshöhe, kommt es beim „Sui-generis-Recht“ der §§ 87a ff. UrhG gerade nicht an. Welcher Art die in der Datenbank enthaltenen Informationen sind, ist zunächst unerheblich. Entscheidend ist, dass die in einer Sammlung enthaltenen Informationen unabhängig voneinander bestehen. Die in einer Datenbank enthaltenen Informationen müssen systematisch und methodisch angeordnet sein und einzeln zugänglich sein. Nach der Begriffsbestimmung des EuGH3 ist die Datenbank eine Sammlung, – die Werke, Daten oder andere Elemente umfasst, die sich voneinander trennen lassen, ohne dass der Wert ihres Inhalts dadurch beeinträchtigt wird, und – die eine Methode oder ein System beliebiger Art enthält, mit der sich jedes der Elemente der Sammlung wieder auffinden lässt. Eine Datenbank ist nur sui generis geschützt, wenn für ihre Erstellung 6 oder Änderung vom Hersteller eine wesentliche Investition erbracht wurde. Investitionen sind finanzielle, aber auch arbeitsmäßige und zeitliche Aufwendungen. Demgegenüber ist ein Datenbankwerk i.S.v. § 4 Abs. 2 UrhG ein Sam- 7 melwerk, das die Elemente einer Datenbank aufweist, aber darüber hinaus in seiner Anordnung, Struktur oder Auswahl individuellen Charakter aufweist und damit die erforderliche Schöpfungshöhe hat4. Das Abgrenzungskriterium zwischen Datenbanken und Datenbankwerken besteht allein darin, dass die Auswahl der Elemente und die Anordnung der ausgewählten Elemente bei Datenbankwerken schöpferisch sein müssen5. Datenbanken, die aufgrund der Auswahl oder Anordnung des Stoffes eine eigene geistige Schöpfung des Urhebers darstellen, sind also bereits 1 Aus technischer Sicht lässt sich der Begriff der Datenbank wie folgt beschreiben: „Selbständige, auf Dauer und flexiblen und sicheren Gebrauch ausgelegte Datenorganisation, die sowohl eine Datenbasis als auch eine zugehörige Datenverwaltung – Datenbankmanagementsystem (DBMS) – umfasst. Eine Datenbank dient dazu, eine große Menge von Daten strukturiert zu speichern und zu verwalten“, s. http://wirtschaftslexikon.gabler.de/Definition/datenbank.html (abgerufen am 14.9.2013). 2 Auch komplette Werke wie Filme und Texte können Elemente einer Datenbank sein. Die eigenständige Schutzfähigkeit dieser Elemente steht einem Schutz der Datenbank aus Urheber- oder Sui-Generis-Recht nicht entgegen, ist allerdings auch nicht Voraussetzung für deren Schutz, s. auch Koch in Loewenheim, Handbuch des Urheberrechts, § 77 Rz. 7 ff. 3 EuGH v. 9.11.2004 – Rs. C-444/02, CR 2005, 412. 4 Koch in Loewenheim, Handbuch des Urheberrechts, § 77 Rz. 7 ff. 5 Koch in Loewenheim, Handbuch des Urheberrechts, § 77 Rz. 41 ff. Witzel
679
§ 43
Vertrge ber den Vertrieb von Datenbankwerken
urheberrechtlich geschützt1. Auf die Voraussetzungen des § 87b UrhG kommt es dann nicht mehr an. Schutzfähige Teile der Datenbank sind auch der Datenbank-Thesaurus, Abfragesysteme und Hypertextsysteme, jedoch nur dann, wenn deren Erstellung und Nutzung mit Aufwendungen verbunden ist, nicht wenn vorbestehende Komponenten übernommen werden. 8
Nicht unter die Begriffe Datenbank/Datenbankwerk fällt die Datenbanksoftware, die zu deren Erstellung dient. Diese genießt als Computerprogramm eigenen Urheberrechtsschutz nach §§ 69a ff. UrhG.
III. Denkbare Konstellationen des mittelbaren Vertriebs in der Praxis 1. Datenbanken und Datenbankwerke a) Datenbank/Datenbankwerk als ergänzender/zusätzlicher Bestandteil eines Anwendungsprogramms 9
Hersteller von Anwendungsprogrammen bieten ihren Kunden häufig nicht nur das eigentliche Computerprogramm mit den für einen bestimmten Anwendungsbereich erforderlichen Funktionen, sondern auch vorkonfigurierte oder vor-parametrisierte Muster-/Standardanwendungsfälle (häufig auch als „best practice2 – Use Cases“ bezeichnet)3, die dem Kunden die Implementierung des Anwendungsprogramms erleichtern sollen. Solche Musteranwendungsfälle werden dem Kunden als „Referenz“ in sog. „Referenzdatenbanken“ bereitgestellt und führen im Idealfall dazu, dass der Kunde seine bisherige Arbeitsweise an das neue Anwendungsprogramm anpasst und die standardisierten Anwendungsfälle zur Umsetzung seiner Geschäftsprozesse übernimmt. Je mehr Musteranwendungsfälle der Hersteller hat, desto eher wird zusätzlich zum Anwendungsprogramm eine Datenbank, im Einzelfall auch ein Datenbankwerk, vertrieben.
10
Beim (mittelbaren) Vertrieb4 stellen sich neben den typischen Fragen des Softwarevertriebs auch spezielle Fragen zu der Datenbank/dem Datenbankwerk als ergänzendem Bestandteil. Ist diese Datenbank/das Daten1 BGH v. 19.5.2010 – I ZR 158/08, ZUM-RD 2011, 14. 2 „Der Begriff best practice, auch Erfolgsmethode genannt, stammt aus der angloamerikanischen Betriebswirtschaftslehre und bezeichnet bewährte, optimale bzw. vorbildliche Methoden, Praktiken oder Vorgehensweisen im Unternehmen“ (http://de.wikipedia.org/wiki/Best_practice, abgerufen am 15.9.2013). 3 www.wikipedia.org: „Ein Anwendungsfall (engl. use case) bündelt alle möglichen Szenarien, die eintreten können, wenn ein Akteur versucht, mit Hilfe des betrachteten Systems ein bestimmtes fachliches Ziel (engl. business goal) zu erreichen“. 4 Zum direkten Vertrieb über Datenbanknutzungsverträge s. Koch in Loewenheim, Handbuch des Urheberrechts, § 77 Rz. 131 ff.
680
Witzel
§ 43
III. Denkbare Konstellationen des mittelbaren Vertriebs in der Praxis
bankwerk ein integrierter Bestandteil des Anwendungsprogramms oder ein selbständiges Werk? Das Anwendungsprogramm wird meist ohne die Datenbank/das Datenbankwerk nicht funktionieren. Umgekehrt können Musteranwendungsfälle abstrakt – d.h. ohne das Anwendungsprogramm – genutzt werden. Können beide Bestandteile bei der Einräumung von Nutzungsrechten an 11 Vertriebspartner/Kunde identisch behandelt werden oder sind zusätzliche Rechte bzw. Einschränkungen erforderlich? Ergeben sich für die Verbreitung Unterschiede aus der Einordnung als Datenbank oder Datenbankwerk? Was passiert, wenn eine bestehende „Referenzdatenbank“ im Verlauf eines Implementierungsprojekts durch vom Vertriebspartner/ Kunden beigestellte Musteranwendungsfälle ergänzt wird? Entsteht dabei eine Miturheberschaft und, wenn ja, welche Konsequenzen ergeben sich dadurch für den Fall einer Vertragsbeendigung. Eine Miturheberschaft wird vom Hersteller keinesfalls gewollt sein, es sei denn, er möchte bei seiner Entwicklung einen „Community-Ansatz“ verfolgen. Welches Haftungsrisiko kann und will der Hersteller für die in der „Referenzdatenbank“ enthaltenen Musteranwendungsfälle übernehmen? Er wird seine Verantwortung auf die funktionierende technische Abwicklung eines Musteranwendungsfalls beschränken wollen, nicht jedoch darauf erstrecken wollen, dass der Musteranwendungsfall tatsächlich einem De-Facto-Standard der jeweiligen Branche entspricht. Die Beschreibungen zu den Zwecken solcher „Referenzdatenbanken“ sowie die typischen Vorgaben an den Kunden, sich an die vorgegebenen Muster zu halten, werden die Verantwortung des Herstellers aber gerade begründen. b) Datenbank/Datenbankwerk als eigenständiges Produkt, jedoch in Zusammenhang mit sonstigen Dienstleistungen Hersteller von Sachleistungen, aber auch Anbieter von Dienstleistungen, 12 bieten ihren Kunden auch Datenbanken/Datenbankwerke an, deren Inhalte im sachlichen Zusammenhang mit den vertriebenen Sach- oder Dienstleistungen stehen. Beispielsweise bietet eine Unternehmensberatung, die sich auf Kommunikationsberatung spezialisiert hat, ihren Kunden als zusätzliche Leistung Datenbanken mit Presseberichten und sonstigen Darstellungen in der Öffentlichkeit. Solche Datenbanken/Datenbankwerke können kundenspezifisch sein, aber auch standardisiert. Häufig wird die Bereitstellung der Datenbank/des Datenbankwerks an die Erbringung sonstiger Leistungen geknüpft sein und nicht zwingend zu den Hauptleistungen des Herstellers gehören. Wenn die Bereitstellung einer solchen Datenbank/eines Datenwerks nicht zu einem zusätzlichen Vergütungsanspruch des Herstellers führt, werden die vertraglichen Vereinbarungen regelmäßig einseitige Änderungsvorbehalte und auch Haftungsmilderungen enthalten, die der Inhaltskontrolle der §§ 305 ff. BGB standhalten müssen. Kennzeichnend für diese Vertriebsvariante wird allerdings sein, dass Rechte zur Nutzung der Datenbank/des Datenbankwerks an die Laufzeit der erbrachten Dienstleistungen geknüpft sein werWitzel
681
§ 43
Vertrge ber den Vertrieb von Datenbankwerken
den, d.h., eine dauerhafte Überlassung an Vertriebspartner und/oder Endkunden wird im Regelfall nicht erfolgen. 13
Auch in dieser Konstellation ist ein mittelbarer Vertrieb denkbar: beispielsweise ein Arzneimittelhersteller, der seinen Händlern eine Datenbank überlässt, die diese wiederum ihren Endkunden zur Nutzung überlassen können. c) Datenbank/Datenbankwerk als eigenständiges Werk
14
Datenbanken/Datenbankwerke gibt es für nahezu alle Branchen und Geschäftsbereiche, für die Informationen von Nutzen sind – von der Arzneimitteldankbank1 über elektronische Enzyklopädien und Lexika, elektronischen Wörterbüchern, Translation Memories zur Vereinfachung von Übersetzungen hin zu Börsen- und Finanzmarktdaten. Kunden können diese teilweise im Wege einer direkten Vertragsbeziehung mit dem Hersteller nutzen – Datenbanknutzungsvertrag, auch hier ist ein mittelbarer Vertrieb über Vertriebskanäle denkbar: ein Verlag, der seine elektronischen Wörterbücher als „Apps“ über Hersteller von Mobiltelefonen und anderen mobilen Endgeräten vertreibt. 2. Daten
15
Nicht nur komplette Datenbanken/Datenbankwerke können Gegenstand des Vertriebs sein: Adressdaten, Börsendaten, Produktinformationen, Marktübersichten, Bilder und Graphiken, und mehr. Im Regelfall werden aber nicht einzelne Daten Gegenstand des Vertriebs sein, sondern mehrere Datensätze, d.h. wesentliche oder unwesentliche Bestandteile einer Datenbank oder eines Datenbankwerks.
IV. Gesetzlicher Hintergrund des mittelbaren Vertriebs von Datenbanken/Datenbankwerken und Daten 1. Rechtsnormen im bürgerlichen Recht und Handelsrecht 16
Der Vertrieb von Waren (jeglicher Art) und Dienstleistungen ist nicht systematisch geregelt. Für das Vertriebsrecht gibt es kein einheitliches Regelwerk und wenige spezifische gesetzliche Bestimmungen2. Für jeden Vertriebsvertrag gelten zunächst die Bestimmungen des BGB zu Schuldverhältnissen sowie zu AGB.
17
Für den als Handelsvertreter einzuordnenden Vertriebspartner sieht das HGB in den §§ 89 ff. Regelungen vor, die durch die Rechtsprechung teilweise analog auf das Vertragshändlermodell angewendet werden. Nach 1 Dazu BGH v. 17.8.2011 – I ZR 13/10 (OLG München, LG München I), MMR 2011, 810. 2 S. dazu Teichmann/Wauschkuhn, ZVertriebsR 2012, 274.
682
Witzel
IV. Gesetzlicher Hintergrund des mittelbaren Vertriebs von Datenbanken
§ 43
§ 84 HGB ist Handelsvertreter, wer als selbständiger Gewerbetreibender ständig damit betraut ist, für einen anderen Unternehmer – das kann z.B. ein Markenproduzent oder ein Importeur oder ein Dienstleister sein – Geschäfte zu vermitteln oder in dessen Namen abzuschließen. Charakteristisch für den Handelsvertreter ist, dass er selbst nicht Vertragspartner des Endkunden wird, sondern nur Verträge mit dem Hersteller vermittelt. Der Vertragshändler ist ein fest in ein Vertriebssystem eingebundener 18 und zur Pflege der Marke des Herstellers verpflichteter Eigenhändler1. Der Vertragshändler ist mit dem Hersteller durch einen Rahmenvertrag zu einer organisierten Vertriebseinheit verbunden, aber er ist doch eigenständig: Der Vertragshändler kauft die Waren vom Hersteller und verkauft sie weiter. Es liegt im Regelfall eine Käuferkette vor, aber der Vertragshändler ist durch den Vertragshändlervertrag in das Vertriebssystem des jeweiligen Herstellers eingebunden. Die Gestaltung eines Vertriebssystems (ausschließlich) nach dem klassi- 19 schen Handelsvertretermodell, das auf Basis der Handelsvertreterrichtlinie2 europaweit harmonisiert wurde, ist rückläufig und im Bereich Computerprogramme und Datenbanken/Datenbankwerke eher die Ausnahme, vermutlich auch, weil eine direkte Vertragsbeziehung des Endkunden an den Hersteller zur Vermeidung von Haftungsrisiken nicht gewollt ist. Eine Organisation des Vertriebssystems auf Basis von Vertragshändlerverträgen findet sich dagegen immer häufiger, obwohl es für dieses Modell nur in wenigen europäischen Ländern eine eigene gesetzliche Grundlage gibt3. Der Maßstab für Vertragshändlerverträge sind folglich Urteile, aus denen sich häufig die analoge Anwendung des Handelsvertreterrechts ergibt, und allgemeine Rechtsvorschriften für Verträge, wie das AGB-Recht. Für den Handel mit digitalen Produkten – wie Datenbanken, Datenbankwerken und Daten – erschweren die fehlenden rechtlichen Grundlagen die Vertragsgestaltung. Bei Standardverträgen ist die Gestaltung wirksamer Klauseln problematisch, da es ein richtiges gesetzliches Leitbild nicht gibt, und die Vorgaben des Handelsvertreterrechts – trotz der diversen Analogien – nicht passen. 2. AGB-Recht Ziel des mittelbaren Vertriebs über Vertragshändler oder sonstige Ver- 20 triebspartner ist die Verbesserung der Vermarktungsmöglichkeiten, die Gewinnung neuer Kundengruppen und Marktsegmente, die Ausnutzung bestehender Vertriebskanäle und die Erhöhung des Umsatzes. Ein Her1 Genzow, ZVertriebsR 2013, 81; Martinek/Semler/Habermeier/Flohr, Handbuch des Vertriebsrechts, S. 385 ff., 419 ff. 2 Richtlinie 86/653/EWG des Rats der EG v. 18.12.1986 zur Koordinierung der Rechtsvorschriften der Mitgliedstaaten betreffend die selbständigen Handelsvertreter ABl. Nr. L 382 v. 31.12.1986, S. 17. 3 S. Genzow, ZVertriebsR 2013, 81. Witzel
683
§ 43
Vertrge ber den Vertrieb von Datenbankwerken
steller wird im Regelfall nicht mit einem Vertriebspartner zusammenarbeiten, sondern wird das Ziel haben, ein möglichst weit verzweigtes globales Netz aufzubauen. Verträge mit Vertriebspartnern sollten daher schon aus Gründen der Vergleichbarkeit und der praktischen Handhabung möglichst identische Bedingungen enthalten. Der Hersteller wird demzufolge eine Standardvorlage nutzen, die nur im zwingend notwendigen Maß angepasst werden soll. Da weder Hersteller noch Vertriebspartner üblicherweise Verbraucher sind, stellen sich unter den Rechtsordnungen, die keinen strengen Vorgaben für standardisierte Vertragsbedingungen unterliegen, allein durch die Verwendung vorgefertigter Texte keine Probleme. Im deutschen Markt sieht das aufgrund der restriktiven Anwendung der §§ 305 ff. BGB auf Verträge im unternehmerischen Verkehr anders aus. Sofern nicht die Flucht in eine ausländische Rechtsordnung gelingt, sind die §§ 307 ff. BGB der Prüfungsmaßstab, auch bei den wettbewerbsbeschränkenden Regelungen. 21
Beispiele aus der Rechtsprechung für unwirksame Klauseln in Vertriebsverträgen sind folgende: – Verkürzung der Verjährungsfrist für Ansprüche des Handelsvertreters auf ein Jahr ab Fälligkeit ohne Rücksicht auf Kenntnis oder fahrlässige Unkenntnis1; – Einseitiges Preisbestimmungsrecht ist eine unangemessene Benachteiligung des Vertragshändlers2; – Formularmäßige Laufzeitregelung von sieben Jahren3; – Verschuldensunabhängige Vertragsstrafe4. 3. Kartellrechtliche Regelwerke
22
Vertriebsverträge können Bestimmungen enthalten, die den Wettbewerb beschränken oder einschränken. Art. 101 Abs. 1 AEUV verbietet Vereinbarungen, Beschlüsse und abgestimmte Verhaltensweisen, die den Wettbewerb beschränken, während Art. 102 AEUV die missbräuchliche Ausnutzung einer marktbeherrschenden Stellung untersagt. Von beiden Vorschriften sind vertragliche Vertriebssysteme, die grenzüberschreitende Bedeutung haben, betroffen. Neben den nationalen Bestimmungen spielen daher die EU-Gruppenfreistellungsverordnungen eine Rolle, wenn es um die Zulässigkeit von wettbewerbsbeschränkenden Bestimmungen in Vertriebsverträgen geht.
23
Die Gruppenfreistellungsvereinbarung für Vertikalvereinbarungen („Vertikal-GVO“)5 ist grundsätzlich auf alle Vertikalvereinbarungen anwend1 2 3 4 5
OLG München v. 3.11.2010 – 7 U-3083. OLG Düsseldorf v. 30.9.2009 – U (Kart) 3/09, NJOZ 2010, 420. OLG München v. 19.6.2008 – U (K) 4252/07. BGH v. 21.3.2013 – VII ZR 224/12, VersR 2013, 860. Dazu Malec/von Bodungen, BB 2010, 2383.
684
Witzel
IV. Gesetzlicher Hintergrund des mittelbaren Vertriebs von Datenbanken
§ 43
bar, also auf Vereinbarungen und aufeinander abgestimmte Verhaltensweisen zwischen zwei oder mehreren Unternehmern, von denen jedes zwecks Durchführung der Vereinbarung auf einer unterschiedlichen Produktions- und Vertriebsstufe tätig ist und die Bedingungen betreffen, zu denen ein Vertragspartner bestimmte Waren und Dienstleistungen beziehen, verkaufen oder weiterverkaufen kann. Von der Vertikal-GVO erfasst werden grundsätzlich alle Vertriebs- und Zuliefervereinbarungen, die Unternehmen „nach unten“ und „nach oben“ abschließen. Die Gruppenfreistellungsvereinbarung für Technologietransfer-Verein- 24 barungen („TT-GVO“) erfasst solche Vereinbarungen zwischen zwei Unternehmen, die die Produktion von Vertragsprodukten und den anschließenden Vertrieb ermöglichen. Die TT-GVO umfasst Patentlizenzvereinbarungen, Know-how-Vereinbarungen sowie Softwarelizenzvereinbarungen und entsprechend gemischte Vereinbarungen, die sich auf den Erwerb oder Verkauf von Produkten oder auf die Lizenzierung von geistigem Eigentum beziehen, sofern diese Bestimmungen nicht den eigentlichen Stand der Vereinbarung bilden und unmittelbar mit der Produktion in Verbindung stehen. Ob und unter welchen Voraussetzungen die TTGVO auf den klassischen Vertrieb von Software anwendbar ist, ist streitig und auch mit der im Gesetzgebungsverfahren befindlichen Neufassung nicht geklärt1. Beim Vertrieb von Datenbanken/Datenbankwerken stellen sich ähnliche Fragen. Ist die Datenbank/das Datenbankwerk das vertriebene Produkt als solches und ist damit eher die Vertikal-GVO anwendbar oder wird die Datenbank/das Datenbankwerk zur Erstellung eines Produkts genutzt und kommt damit die Anwendung der TT-GVO in Betracht. 4. Urheberrecht und geistige Schutzrechte a) Verbreitung von Datenbankwerken Für Datenbankwerke2 kann wie für sonstige Werke i.S.v. § 2 Abs. 1 UrhG 25 das ausschließliche Recht eingeräumt werden, das Original oder Vervielfältigungsstücke des Werks der Öffentlichkeit anzubieten oder in Verkehr zu bringen. Eine Form dieser Verbreitung ist die Überlassung auf einem Datenträger. Notwendig für die Verbreitung ist, dass ein Vervielfältigungsstück in Verkehr gebracht wird, wobei die Verkörperungsform während des Verbreitungsvorgangs aufrechterhalten werden muss3. Der Vertrieb auf Datenträger dürfte bereits für Software mehr und mehr zur Ausnahme werden, die Übertragung durch Datenleitungen scheint auch bei dauerhafter (d.h. kaufrechtlicher) Überlassung der Regelfall zu sein. Sofern Datenbankwerke online überlassen werden, stellt sich wie bei 1 Zum Meinungsstand Grützmacher, Praxiskommentar zum Urheberrecht, § 69c Rz. 76; § 69d Rz. 46 m.w.N. 2 Dazu Haberstumpf, GRUR 2003, 14; Koch in Loewenheim, Handbuch des Urheberrechts, § 77 Rz. 82–84; v. Ungern-Sternberg, GRUR 2013, 248. 3 So auch Koch in Loewenheim, Handbuch des Urheberrechts, § 77 Rz. 82 ff. Witzel
685
§ 43
Vertrge ber den Vertrieb von Datenbankwerken
Software die Frage nach dem Eintritt der Erschöpfungswirkung des § 17 Abs. 2 UrhG. Anders als bei Software gibt die Richtlinie zum Datenbankschutz1 in den Erwägungsgründen die Antwort: „Im Fall einer OnlineÜbermittlung erschöpft sich das Recht, die Weiterverwendung zu untersagen, weder hinsichtlich der Datenbank noch hinsichtlich eines vom Empfänger der Übermittlung mit Zustimmung des Rechtsinhabers angefertigten physischen Vervielfältigungsstücks dieser Datenbank oder eines Teils davon“. Der Hersteller kann folglich jedes weitere Verbreiten auf Datenträger wie auch jede weitere Online-Verbreitung wirksam untersagen bzw. muss entsprechende Rechte einräumen. Ob die unterschiedliche Bewertung vor dem Hintergrund der Usedsoft-Entscheidung des EuGH2 dauerhaft aufrechterhalten wird, erscheint im Hinblick auf die aktuelle Diskussion zum Vertrieb digitaler Inhalte3 zumindest fraglich. Bei Datenbanken, die als integraler Bestandteil einer Anwendungssoftware vertrieben werden4, könnte die unterschiedliche Bewertung dazu führen, dass die online übermittelte Anwendungssoftware wegen eingetretener Erschöpfung weiterverbreitet werden kann, die Referenzdatenbank mit den Anwendungsfällen jedoch nicht. Weitergabeverbote wären teilweise unwirksam. b) Verbreitung von Datenbanken 26
Für Datenbanken wird das ausschließliche Recht zur Verbreitung der gesamten Datenbank oder eines wesentlichen Teils an dieser in § 87b UrhG begründet. Verbreitung ist eine Form der „Weiterverwendung“ i.S.v. Art. 7 Abs. 1 lit. b Datenbankrichtlinie mittels öffentlicher Verfügbarmachung. Auch im Rahmen von § 87b UrhG soll die Erschöpfung des Verbreitungsrechts5 eintreten, die die Existenz eines Vervielfältigungsstücks, also eines Vervielfältigungsexemplars in körperlicher Form, voraussetzt.
27
Das Verbreitungsrecht des § 87b Abs. 1 UrhG ist allerdings anders als das Recht zur Verbreitung einer Datenbank eingeschränkt insofern, als unwesentliche Teile der Datenbank zustimmungsunabhängig und unabhängig vom Eintritt der Erschöpfungswirkung verbreitet werden dürfen, vorausgesetzt dass die Verbreitung nicht wiederholt oder jedenfalls nicht systematisch erfolgt. Zustimmungsunabhängig ist jedoch auch: – das wiederholte, aber nicht systematisch erfolgende Verbreiten von unwesentlichen Teilen der Datenbank;
1 Richtlinie 96/9/EG des Europäischen Parlaments und des Rates vom 11.3.1996 über den rechtlichen Schutz von Datenbanken, ABl. Nr. L 77, S. 20. 2 EuGH v. 3.7.2012 – C-128/11, CR 2012, 498. 3 S. Bäcker/Höflinger, ZUM 2013, 623. 4 S. oben Rz. 9 ff. 5 Zur Erschöpfung bei Verbreitung von Datenbanken, s. Gaster in Hoeren/Sieber, Handbuch Multimedia-Recht, Rz. 208; Senftleben, NJW 2012, 2924.
686
Witzel
IV. Gesetzlicher Hintergrund des mittelbaren Vertriebs von Datenbanken
§ 43
– die wiederholte und systematische Verbreitung, vorausgesetzt, dass sie der normalen Auswertung der Datenbank nicht zuwiderläuft oder berechtigte Interessen des Datenbankherstellers nicht unzumutbar beeinträchtigt. In der Konsequenz heißt das, dass der Erwerber einer Datenbank auf ei- 28 nem Datenträger kopierte unwesentliche Bestandteile unter den genannten Voraussetzungen zustimmungsunabhängig weiterverbreiten darf. Für den Nutzer der Datenbank, aber auch für einen Vertriebspartner wird 29 meist nur schwer feststellbar sein, ob es sich bei dem bereitgestellten Produkt um eine Datenbank handelt, die nur den Sui-generis-Schutz der §§ 87a ff. UrhG genießt, oder ob ein Datenbankwerk vorliegt. Seine Möglichkeiten sind allerdings bei einer Datenbank, die keinen Urheberrechtsschutz genießt, weiter. Klauseln, die ihn in dieser Nutzung beschränken, wären unwirksam. Auch für die Rechtseinräumung an den Vertriebspartner kann die Unterscheidung eine Rolle spielen. Vertreibt er nur eine Datenbank mit Sui-generis-Schutz sind die denkbaren Restriktionen für den Endkunden – vor allem in AGB – geringer. Im Übrigen bestünde die Möglichkeit, dass er auch nach Ende seiner Vertragsbeziehung mit dem Hersteller unwesentliche Teile der Datenbank weiter nutzt, etwa als Grundlage für eine eigene Entwicklung. War Gegenstand des Vertriebs dagegen ein Datenbankwerk, ist ihm nach Vertragsende auch die Nutzung unwesentlicher Bestandteile versagt. Das Recht zur Vermietung ist – wie bei Computerprogrammen – geson- 30 dert einzuräumen. Das gilt insbesondere für Vertriebsmodelle, in denen am Ende eine zeitlich begrenzte Nutzung durch den Endkunden steht1. c) Bearbeiten von Datenbankwerken Für Datenbankwerke gestatten die §§ 23, 55a UrhG das Bearbeiten und 31 andere Umgestaltungen durch den Berechtigten, wenn und soweit dies für den Zugang zu den Elementen des Datenbankwerks und für dessen „übliche Benutzung“ erforderlich ist. Als zustimmungsbedürftiges Bearbeiten oder sonstiges Umgestalten kann sich das Ergänzen, Ändern oder Aktualisieren von Datensätzen darstellen. Ob eine solche Änderung, Aktualisierung oder Ergänzung von Datensätzen zustimmungspflichtig ist, kann jedenfalls bei „Offline-Datenbanken“ als fraglich gelten2. Die Änderung oder Aktualisierung von Datensätzen wird die schöpferische Anordnung und Gestaltung der Datenbank im Regelfall nicht berühren, könnte sogar zur bestimmungsgemäßen Nutzung gehören, wenn der Wert der Datenbank an ihre Aktualität und ständige Erweiterung geknüpft ist. Die Hersteller von Datenbankwerken haben vermutlich weni1 So im Regelfall bei Beispiel Rz. 12 ff. 2 Grützmacher, Urheber-, Leistungs- und Sui-generis-Schutz von Datenbanken, S. 243; Koch in Loewenheim, Handbuch des Urheberrechts, § 77 Rz. 96 ff. Witzel
687
§ 43
Vertrge ber den Vertrieb von Datenbankwerken
ger ein Interesse daran, die Erweiterung und Aktualisierung zu verhindern, als daran, dass diese Erweiterungen und Aktualisierungen an den Hersteller „zurückfließen“ und damit auch anderen Endkunden zur Verfügung stehen. Vertriebspartner und Endkunde des Herstellers in den oben genannten Beispielen1 brauchen daher kein Recht zur Bearbeitung, um Ergänzungen und Aktualisierungen durchzuführen. Nur für strukturelle Änderungen bedarf es einer gesonderten Rechtseinräumung. 32
Änderungen in der Anordnung der Datenbank, etwa auch durch das Zusammenführen von Datenbeständen, dürften im Regelfall eine zustimmungsbedürftige Bearbeitung darstellen2. Abzugrenzen von der Bearbeitung des Datenbankwerks ist die Bearbeitung der darin enthaltenen Elemente, für deren Bearbeitung es – soweit es sich um eigenständig schutzfähige Werke handelt – einer eigenen Gestattung bedarf. d) Bearbeiten von Datenbanken
33
Für Datenbanken sieht § 87 UrhG kein (ausschließliches) Recht der Datenbankhersteller vor, entsprechende Bearbeitungs- und Umgestaltungsrechte Dritten einzuräumen. § 87 UrhG regelt nur das Vervielfältigen, Verbreiten und öffentliche Wiedergeben. Der Datenbankhersteller erhält somit aus § 87 UrhG kein auf Dritte übertragbares, dinglich wirkendes Bearbeitungsrecht. § 23 UrhG kann nicht analog angewandt werden, da Datenbanken gerade der Werkcharakter fehlt.
34
Dies hat zur Konsequenz, dass berechtigte Nutzer einer Datenbank einzelne Elemente der Datenbank uneingeschränkt ändern oder ergänzen können, wenn damit kein wiederholtes oder systematisches Vervielfältigen verbunden ist. Das Ändern oder Ergänzen darf sich allerdings nicht auf wesentliche Datenbankteile beziehen, soweit die Ergebnisse des Änderns oder Ergänzens selbst abgespeichert und damit vervielfältigt werden müssen, da hier ein Vervielfältigen des Datenbankteils erfolgt, das zustimmungsbedürftig ist.
V. Vertragsgestaltung 1. Ausgestaltung als Händler- oder Handelsvertretermodell a) Vor- und Nachteile 35
Bei der Frage, nach welchem Modell der Hersteller seine Vertriebsorganisation gestaltet, werden die rechtlichen Fragen meist eine nachrangige Rolle spielen. Es werden erst Partnerprogramme aufgesetzt und Partnerkategorien definiert, und dann die Verträge dazu gestaltet. Ob die Vertriebskette mit Handelsvertretern oder Vertragshändlern aufgebaut wird, 1 S. Rz. 9 ff. 2 Koch in Loewenheim, Handbuch des Urheberrechts, § 77 Rz. 97.
688
Witzel
§ 43
V. Vertragsgestaltung
hängt auch davon ab, wie selbständig der Vertrieb überhaupt tätig werden kann. Stark standardisierte Produkte erfordern keine starke Einbindung des Herstellers bei Implementierung im Unternehmen des Endkunden. Bei komplexen Produkten mit hohem Implementierungsaufwand (einschließlich Anpassung) muss der Hersteller Leistungen erbringen. Das kann im Rahmen einer Subunternehmerbeziehung mit dem Vertriebspartner erfolgen. Allerdings wird der Kunde regelmäßig daran interessiert sein, den Hersteller selbst in die Pflicht nehmen zu können. Ein durch einen Handelsvertreter vermittelter Vertrag ermöglicht dem Hersteller auch die Kontrolle und Steuerung der Implementierung. Gerade bei komplexen Softwareprodukten kann eine Vertriebsorganisation mit Handelsvertretern von Vorteil sein. Beim Vertrieb von Datenbanken/Datenbankwerken, die ein eigenständiger Vertragsgegenstand sind, werden weniger umfassende Leistungen des Herstellers erforderlich sein. Die vertragliche Nähe zum Kunden ist dann zweitrangig und der Einsatz von Vertragshändlern, die eigenständig Verträge schließen, bietet Vorteile bei Mängelhaftung und sonstigen Pflichtverletzungen. b) Tendenz zu Vertriebsnetzen und Mischmodell Wie oben ausgeführt, ist der klassische Handelsvertreter heute die Aus- 36 nahme; die Tendenz geht zum Vertragshändler oder zu Mischkonstellationen, da es das Ziel des Herstellers ist, die Endkunden bestmöglich zu beliefern und sein Netzwerk die entscheidende Rolle für den Absatzerfolg spielt1. Auch innerhalb eines Vertriebsvertrags ist die Möglichkeit, unterschied- 37 liche Vertriebskonstellationen zu verknüpfen, praxisüblich geworden; beispielsweise kann ein Vertriebspartner einerseits hinsichtlich der dauerhaften Überlassung einer Datenbank zur „Offline-Nutzung“ als Vertragshändler, anderseits als Handelsvertreter Verträge zu einer zeitlich begrenzten „Online-Nutzung“ vermitteln. Die besondere Herausforderung bei der Vertragsgestaltung ist die Transparenz solcher Vertragswerke, die sich, wenn überhaupt, nur noch bedingt an einem gesetzlichen Leitbild orientieren können. 2. Vertragstypologie a) Vertrag sui generis Wie oben ausgeführt, gibt es kein Vertriebsrecht als solches, und Ver- 38 triebsverträge sind Rahmenverträge und damit Dauerschuldverhältnis1 Malzer, ZVertriebsR 2012: „Um den Vertrieb „in der Fläche“ zu gewährleisten, bedarf es eines Systems von Vertriebsstellen, die sich „netzartig“ über die jeweilige Vertriebsregion legen und so die Versorgung des Endverbrauchers in gleichförmiger Weise sicherstellen. Ein derartiges Vertriebssystem stellt sich rechtlich als „fächer- oder pyramidenförmiges Vertriebsvertragssystem“ dar, und zwar unabhängig von der Art der zum Einsatz kommenden Vertriebsverträge (…)“. Witzel
689
§ 43
Vertrge ber den Vertrieb von Datenbankwerken
se1, die Elemente unterschiedlicher Vertragstypen enthalten. Werden die Produkte, die Gegenstand des Vertriebs sind, dem Kunden dauerhaft überlassen, liegen kaufrechtliche Elemente vor. Bei einer zeitlich begrenzten Überlassung sind Elemente des Mietvertragsrechts denkbar. Daneben wird der Hersteller Aktualisierungen der Datenbank/des Datenbankwerks liefern und unter Umständen falsche und inkonsistente Daten und Elemente bereinigen2. Sofern auch eine Verpflichtung zur Fehlerbehebung vorgesehen ist, kann ein Vertriebsvertrag auch werkvertragliche Elemente aufweisen3. Bei jeglichen zusätzlichen Leistungen kommt die Anwendung der §§ 611 ff. BGB in Betracht. Ein Schwerpunkt der Leistungen wird sich selten bilden lassen. Die Einstufung als Vertrag sui generis i.S.v. § 305 BGB ist naheliegend4. b) Typische Merkmale 39
Kennzeichnend für Vertriebsverträge sind folgende Merkmale: – Aus dem Vertrag selbst ergeben sich im Regelfall keine unmittelbaren Liefer- und Zahlungsverpflichtungen. Diese entstehen erst bei einer Bestellung des Vertriebspartners, und es wird nur die Verpflichtung begründet, die Bestellungen auf Basis der Bestimmungen des Vertriebsvertrags auszuführen; – der Vertrag regelt eine langfristige Zusammenarbeit und begründet Verhaltenspflichten, etwa Qualitätssicherungspflichten und Informationspflichten, die den gesetzlich geregelten Vertragstypen nicht zwingend eigen sind; – die Menge der zu liefernden Produkte/Leistungen steht anders als beim Sukzessivlieferungsvertrag, der ein Kaufvertrag mit Dauerschuldcharakter ist, nicht fest5. 3. Pflichten der Vertragspartner, insbesondere Absatzförderung
40
Die wesentliche Zielsetzung des mittelbaren Vertriebs ist die Absatzförderung. Vertriebsverträge enthalten daher regelmäßig konkrete Verpflichtungen zur Absatzförderung, beispielsweise die Teilnahme an Schulungen zur Aus- und Fortbildung von Vertriebsmitarbeitern und Werbeaktionen (Messen, Mailing-Aktionen, Anzeigenschaltung in einschlägigen Medien), Vorgaben zu Gestaltung und Inhalt von Werbematerial und zum Außenauftritt. Die Gestaltung der vertraglichen Vereinbarungen ist 1 2 3 4
S. dazu auch Rz. 41. S. dazu auch Redeker, § 55. S. dazu auch Redeker, § 55. So für den Fachhändlervertrag Flohr/Pohl in Martinek/Semler/Habermeier/ Flohr, Vertriebsrecht, § 30 Rz. 6 ff. und Beckmann in Staudinger, BGB, § 433 Rz. 175 ff. für den Eigenhändlervertrag. 5 Zur Abgrenzung zwischen Rahmenlieferverträgen und Sukzessivlieferungsverträgen s. Budde/Geks, ZVertriebsR 2012, 37.
690
Witzel
§ 43
V. Vertragsgestaltung
schwierig, da zu konkrete Vorgaben die Gefahr bergen, dass sich der Vertragstext schnell von der Wirklichkeit entfernt. Der Vertrieb ist schnellen Wandlungen unterworfen und Werbemaßnahmen müssen flexibel gestaltbar sein. Es ist den Interessen der Vertragspartner nicht dienlich, wenn der Vertragstext konkrete Verpflichtungen zur Absatzförderung beschreibt, die schon kurz nach Vertragsschluss überholt sind, und damit nicht eingehalten werden können. Laufen vertragliche Verpflichtungen ins Leere, lässt sich häufig schwer feststellen, wann eine Pflichtverletzung vorliegt oder nicht. Da vor allem die Beendigungsmöglichkeiten häufig an das Vorhandensein einer Pflichtverletzung geknüpft sind, wird es dann problematisch, wenn die Einhaltung konkreter Absatzförderungspflichten stillschweigend aufgegeben wird. Auf welcher Basis kann dann noch ermittelt werden, ob der Vertriebspartner den Absatz eines Produkts noch richtig fördert oder nicht. Wenn konkrete Verpflichtungen vereinbart werden sollen, dann besser in einem Business Plan, der regelmäßig angepasst wird als im Vertragstext selbst. Zu unbestimmte Absatzförderungspflichten bergen demgegenüber die Gefahr, dass sie für die Feststellung einer Pflichtverletzung nicht geeignet sind, weil der Spielraum zu groß ist. Der Hersteller kann seinem Vertriebspartner keine konkreten Maßnahmen abfordern, und er ist mehr auf die freiwillige Kooperationsbereitschaft seines Vertragspartners angewiesen, als auf vertragliche Vereinbarungen. 4. Dauerschuldcharakter Vertriebsverträge haben unstreitig Dauerschuldcharakter1, da sie auf den 41 wiederkehrenden Austausch von Leistungen gerichtet sind. Der Langfristigkeit der Vertragsbeziehung ist bei der Gestaltung des Vertrags Rechnung zu tragen. Erforderlich sind Informationspflichten und ggf. auch die Ausgestaltung von Treuepflichten. Die technische Entwicklung einerseits und die Veränderung der Marktgegebenheiten andererseits machen es notwendig, dass vertragliche Regelungen angepasst werden müssen. Häufig sind das Leistungsportfolio, aber auch die Vergütungsregelungen Änderungsvorbehalten unterworfen, die – sofern nicht individualvertraglich vereinbart – auch den Vorgaben der AGB-Rechtsprechung unterworfen sind. Naturgemäß lässt sich jede Vertragsklausel ändern oder anpassen, wenn auf Seiten beider Vertragspartner Einverständnis besteht. Der Hersteller wird sich darauf aber nicht verlassen wollen und hat ein erhebliches Interesse daran, einseitige Änderungen durchzusetzen. Er muss auf geänderte Marktverhältnisse kurzfristig reagieren (können) und technische Innovationen umsetzen. Der Vertriebspartner muss anderseits sicher genug sein, dass er ein Produkt auch bei längeren Vertriebsprozessen überhaupt noch anbieten kann, wenn der Kunde sich endlich zu einem Vertragsschluss entscheidet. Dieses Spannungsverhältnis zwischen Flexibilität des Herstellers und der Sicherheit des Vertriebspartners mag beim 1 Budde/Geks, ZVertriebsR 2012, 37. Witzel
691
§ 43
Vertrge ber den Vertrieb von Datenbankwerken
Vertrieb von Datenbanken/Datenbankwerken und Daten weniger problematisch sein als bei Software oder anderen Sachleistungen, denn Aktualität und Innovation stehen dabei ohnehin im Vordergrund. Ein Endkunde, der sich eine Datenbank ins Unternehmen holt, die für seine Geschäftstätigkeit kritische Daten enthält, wird mehr an der aktuellsten Version als an einem Vorgängermodell interessiert sein. Anders wird es bei der Preisgestaltung sein, hier wollen sowohl der Vertriebspartner als auch der Endkunde vor kurzfristigen Preiserhöhungen geschützt sein. Auch eine Preisanpassungsklausel ist allerdings nicht per se unwirksam, sondern kann der Inhaltskontrolle standhalten, wenn sie die Gründe für die Anpassung benennt und die Interessen der Vertragspartner gleichermaßen berücksichtigt1. 5. Rechtseinräumung 42
Die Frage, ob und in welchem Umfang ein Vertrag zum Vertrieb einer Datenbank Regelungen zur Rechtseinräumung2 enthalten muss, hängt, wie oben dargestellt, auch davon ab, ob es sich um ein urheberrechtlich geschütztes Datenbankwerk oder um eine Datenbank i.S.v. §§ 87a ff. UrhG handelt. Weiterhin ist abzuschichten zwischen den Rechten des Vertriebspartners und des Endkunden, sowie zwischen Rechten zur Nutzung, Verbreitung, Bearbeitung und öffentlichen Wiedergabe. a) Datenbankwerke
43
Für Datenbankwerke bestimmt sich der Vervielfältigungsbegriff nach Maßgabe der §§ 15 Abs. 1 Nr. 1, 16, 55a UrhG. Sofern das Datenbankwerk insgesamt vervielfältigt wird, muss man von einer zustimmungspflichtigen Handlung ausgehen. Das Kopieren einzelner Elemente des Datenbankwerks ist allerdings zustimmungsfrei, da der Schutz des § 4 Abs. 2 UrhG sich auf die Anordnung und Auswahl der Elemente und nicht auf die Elemente selbst bezieht. Anders kann es aber sein, wenn in der Abfrage eines Elements die schöpferische Anordnung des Datenbankwerks selbst zum Ausdruck kommt3. Wird in einem abgefragten Element also zumindest ein Teil der schutzfähigen Auswahl oder Anordnung mitkopiert, liegt ein zustimmungspflichtiger Vervielfältigungsvorgang vor. Der Vertriebspartner wird bei der Überlassung an Dritte wohl immer vervielfältigen, solange er keine verkaufsfertigen Kopien erhält. Seinem Endkunden muss er aber dann keine Vervielfältigungsrechte einräumen, wenn dieser das Datenbankwerk nur zeitlich begrenzt und „online“ nutzt, und bei der Datenbankabfrage keine schutzfähigen Elemente kopiert werden. 1 BGH v. 19.11.2002 – X ZR 253/01, NJW 2003, 746. 2 Koch in Loewenheim, Handbuch des Urheberrechts, § 77 Rz. 97. 3 So für den Fachhändlervertrag Flohr/Pohl in Martinek/Semler/Habermeier/ Flohr, Vertriebsrecht, § 30 Rz. 6 ff. und Beckmann in Staudinger, BGB, § 433 Rz. 175 ff. für den Eigenhändlervertrag.
692
Witzel
§ 43
V. Vertragsgestaltung
Für die Verbreitung des Datenbankwerks benötigt der Vertriebspartner 44 eine entsprechende Rechtseinräumung und je nach Ausgestaltung der Vertragsbeziehung mit dem Endkunden auch ein Vermietungsrecht sowie ein Recht zur öffentlichen Zugänglichmachung. Auch die Bearbeitung eines Datenbankwerks unterscheidet wieder zwi- 45 schen den Elementen des Datenbankwerks und der schöpferischen Anordnung und Auswahl. Die Rechtseinräumung an den Vertriebspartner kann dann weitergehend sein, wenn sich der Hersteller nicht nur Absatzerfolge wünscht, sondern auch die Weiterentwicklung und Verbesserung seines Datenbankwerks durch sein Vertriebsnetzwerk. b) Datenbanken Regelt ein Vertrag den Vertrieb einer Datenbank, ist bei der Rechts- 46 einräumung zu beachten, dass die zustimmungsfreien Handlungen der Nutzer weiter gehen als beim Datenbankwerk1. Vervielfältigung und Bearbeitung unwesentlicher Bestandteile einer Datenbank sind unter bestimmten Voraussetzungen zulässig. 6. Probleme bei der Beendigung von Vertriebsverträgen, insbesondere Vertragshändlerverträgen2 a) Ausgleichsanspruch nach § 89b HGB Der Ausgleichsanspruch des Handelsvertreters nach § 89b HGB gilt für 47 den Vertragshändler zunächst nicht, da die Regelung unmittelbar eben nur für den Handelsvertreter zur Anwendung kommt. Die Rechtsprechung bejaht die analoge Anwendung des § 89b HGB3 für den Vertragshändler allerdings unter bestimmten Voraussetzungen. Generell soll dem Vertragshändler der Ausgleichsanspruch des § 89b HGB zu Gute kommen, wenn er wie ein Handelsvertreter in das Vertriebssystem des Herstellers eingebunden ist, und verpflichtet ist, dem Hersteller den geworbenen Kundenstamm zu überlassen4. Die Einbindung in die Vertriebsorganisation wird auch von den Größenverhältnissen der Vertragspartner und ihrer wirtschaftlichen Position abhängen. Viele kleine und mittelgroße Anbieter vertreiben ihre Produkte über große Unternehmen, die über eine große Produktpalette verfügen und deren Abhängigkeit vom jeweiligen Hersteller überschaubar sein dürfte. In vielen Fällen wird die Vertriebsorganisation in solchen Fällen auch nicht vom Hersteller, sondern vom Vertragshändler vorgegeben. Auch eine etwaige Verpflichtung zur Überlassung des Kundenstamms wird von der Marktposition der beteiligten Unternehmen abhängen. 1 2 3 4
S. dazu Rz. 25 ff. Teichmann/Wauschkuhn, ZVertriebsR 2013, 139. BGH v. 7.5.2013 – IX ZR 191/12, NJW 2013, 501. BGH v. 6.10.1999 – VIII ZR 125/98, NJW 2000, 515. Witzel
693
§ 43
Vertrge ber den Vertrieb von Datenbankwerken
b) Erweiterungen und Aktualisierungen an Datenbank/Datenbankwerk durch den Vertriebspartner 48
Eine Besonderheit kann sich beim Vertrieb von Datenbanken oder Datenbankenwerken im Falle der Vertragsbeendigung stellen: Beide leben von ständiger Aktualisierung und Erweiterung. Solange nur der Hersteller diese Aktualisierungen und Erweiterungen vornimmt, dürfte die Lage bei Vertragsbeendigung klar sein. Allerdings könnten dem Vertragshändler wie auch dem Handelsvertreter Ansprüche zustehen, wenn durch sein Zutun eine Datenbank oder ein Datenbankwerk umfassende Erweiterungen erfahren hat. Es stellt sich neben der Frage einer etwaigen Rechteinhaberschaft1 auch die Frage nach einem finanziellen Ausgleich der eingebrachten Inhalte. 7. Sach- und Rechtsmängelhaftung
49
Für Sach- und Rechtsmängel bei Datenbanken und Datenbankwerken gilt grundsätzlich das Mängelregime des jeweils zur Anwendung kommenden Vertragstyps (überwiegend Kauf- oder Mietrecht im Verhältnis) zum Endkunden, der entweder dauerhafte oder zeitlich begrenzte Rechte erhält. Der Vertriebsvertrag hat kein eigenes Mängelregime, da er nicht eindeutig einem Vertragstyp zugordnet werden kann. Für den ausschließlich nach dem Handelsvertreter-Modell ausgestalteten Vertrag braucht es kein eigenes Mängelregime, da der Vertrag mit dem Hersteller selbst zustande kommt. Anders sieht es beim Vertragshändler aus, der den Ansprüchen seiner Endkunden ausgesetzt ist. Die vertragliche Regelung kann entweder so gestaltet sein, dass die Mängelansprüche auf die konkrete Bestellung eines Endkunden bezogen sind, was vor allem beim Verjährungsbeginn Konfliktpotential birgt. Denkbar ist es aber auch, den Hersteller mietähnlich zur Erhaltung der Gebrauchstauglichkeit während der gesamten Laufzeit des Vertriebsvertrags zu verpflichten. Eine Datenbank/ein Datenbankwerk wird dann einen Sachmangel aufweisen, wenn sich die Datenbank nicht zum vertraglich vorausgesetzten Gebrauch eignet oder nicht die vertraglich vereinbarte Beschaffenheit aufweist. Kritischer wird die Verantwortlichkeit des Herstellers für den Inhalt sein. Unvollständige, falsche oder veraltete Inhalte können einen Sachmangel darstellen. Gerade bei Datenbanken/Datenbankwerken, bei denen der Hersteller den Inhalt nicht selbst liefert, sondern von Dritten bezieht, ergeben sich erhöhte Risiken gegenüber den weiteren Vertragspartnern in der Vertriebskette. Da die vertraglichen Regelungen zu Sachund Rechtsmängeln in AGB einer restriktiven Inhaltskontrolle unterworfen sind, bleiben dem Hersteller nur über die Produktbeschreibung Möglichkeiten, seine Verantwortlichkeit einzuschränken. Denkbar wären auch Qualitätssicherungsvereinbarungen, um die Risiken angemessen zu verteilen2. 1 S. dazu Rz. 9 ff. 2 Zu Qualitätssicherungsvereinbarungen s. Budde/Geks, ZVertriebsR 2012, 37.
694
Witzel
Teil 7 Verträge über die Weitergabe und Verarbeitung von Daten § 44 Auftragsdatenverarbeitung vs. Datenübermittlung – Folgen der Einordnung als Übermittlung Rz. I. Vorbemerkung . . . . . . . . . . . . . . . . II. Auftragsdatenverarbeitung gemäß § 11 BDSG . . . . . . . . . . . . . 1. Begriffsbestimmung . . . . . . . . . . . 2. Die Abgrenzung zur Datenübermittlung . . . . . . . . . . . . . . . . . a) Funktionsübertragungstheorie b) Wortlaut des Gesetzes . . . . . . . c) Gesetzesbegründungen, Verwaltungsvorschriften etc. . . . . d) Europäische Datenschutzrichtlinie 95/46/EG. . . . . . . . . . e) Art. 29 Datenschutzgruppe Stellungnahme 2010 zu den Begriffen „für die Verarbeitung Verantwortlicher“ und „Auftragsverarbeiter“ vom 16.2.2010 . . . . . . . . . . . . . . . . . . 3. Bewertung . . . . . . . . . . . . . . . . . . .
1 3 3 11 14 15 17 27
32 39
III. Datenübermittlung . . . . . . . . . . . . 47 1. Rechtsgrundlagen . . . . . . . . . . . . . 47
Rz. a) § 28 Abs. 1 Satz 1 Nr. 1 BDSG „Schuldverhältnis“ . . . . . . . . . . b) § 28 Abs. 1 Satz 1 Nr. 2 BDSG „Berechtigte Interessen“ . . . . . c) § 28 Abs. 1 Satz 2 BDSG „Zweckbindung“ . . . . . . . . . . . d) § 28 Abs. 2 BDSG „Übermittlung für andere Zwecke“ . . . . . 2. Folgen der Datenübermittlung . . . a) Verantwortliche Stelle . . . . . . . b) § 28 Abs. 5 BDSG „Zweckbindung bei Übermittlung“ . . . . . . c) Pflichten des Auftraggebers . . . 3. Bewertung . . . . . . . . . . . . . . . . . . . IV. Lösungsmöglichkeiten . . . . . . . . . a) Erweiterung der Auftragsdatenverarbeitung . . . . . . . . . . . b) Vertragliche Absicherung der schutzwürdigen Interessen . . . c) Fazit . . . . . . . . . . . . . . . . . . . . . .
48 51 58 60 63 63 67 68 72 73 73 74 80
I. Vorbemerkung In Zeiten immer stärkerer, effizienzgesteuerter und steueroptimierender 1 Aufspaltung von Arbeitsprozessen und der damit einhergehenden Möglichkeiten, Teilleistungen „zuzukaufen“ oder Arbeitsbereiche auszulagern, stellt sich, wenn personenbezogene Daten weitergegeben werden, die Frage nach der datenschutzrechtlichen Zulässigkeit und damit die Frage, ob die Weitergabe der Daten eine Auftragsdatenverarbeitung darstellt. Während vor der Novellierung des BDSG im Jahr 2009 die Auftragsdatenverarbeitung eher beiläufig und mit Standardklauseln in den betroffenen Verträgen abgehandelt wurde, haben die Konkretisierung in § 11 BDSG und die Verschärfung der gesetzlichen Sanktionen in §§ 43 und 44 BDSG sowie die strengere Kontrolle der Aufsichtsbehörden zu einer klaren Veränderung jedenfalls der Vertragspraxis geführt. Die damit einhergehende Verkomplizierung der Auftragsdatenverarbeitung hat sicherlich auch dazu geführt, mehr Augenmerk auf die nicht § 11 BDSG unterfallende Datenübermittlung zu richten. Roth-Neuschild
695
§ 44 2
Auftragsdatenverarbeitung vs. Datenbermittlung
Im Folgenden soll die Auftragsdatenverarbeitung beschrieben und von der Übermittlung personenbezogener Daten abgegrenzt werden. Ferner werden die rechtlichen Folgen der Einordnung einer Datenübertragung als Übermittlung i.S.v. § 3 Abs. 4 Nr. 3 BDSG dargestellt.
II. Auftragsdatenverarbeitung gemäß § 11 BDSG 1. Begriffsbestimmung 3
Werden personenbezogene Daten (im folgenden „Daten“) im Auftrag nach Maßgabe von § 11 BDSG durch eine andere Stelle (im folgenden „Auftragnehmer“) im Inland oder innerhalb der EU/EWR für den Auftraggeber erhoben, verarbeitet oder genutzt, so bedarf die Überlassung der Daten vom Auftraggeber an den Auftragnehmer keiner Rechtsgrundlage gemäß § 4 Abs. 1 oder Abs. 2 BDSG, denn der Auftragnehmer ist nicht Dritter i.S.v. § 3 Abs. 8 Satz 2 BDSG, so dass schon die Weitergabe der Daten an den Auftragnehmer keine, eine Rechtsgrundlage erfordernde Datenübermittlung i.S.v. § 3 Abs. 4 Nr. 3 BDSG ist1.
4
Die Auftragsdatenverarbeitung ist insoweit im Verhältnis zu der Datenübermittlung privilegiert. Jedoch verbleibt die datenschutzrechtliche Verantwortlichkeit gegenüber den Dateninhabern sowie den Aufsichtsbehörden auch für die vom Auftragnehmer vorgenommenen Handlungen bei dem Auftraggeber als „verantwortliche Stelle“ i.S.v. § 3 Abs. 7 BDSG2, 3.
5
Während das Gesetz die Voraussetzungen einer Auftragsdatenverarbeitung nur marginal beschreibt, nämlich dass der Auftraggeber personenbezogene Daten „im Auftrag“ durch eine andere Stellen verarbeiten lässt, sind die Anforderungen an den Auftraggeber, den Auftragnehmer und die Zusammenarbeit ausführlich aufgelistet.
6
Eine einheitliche Definition der Auftragsdatenverarbeitung liegt nicht vor.
7
Nach bisher herrschender Meinung in der Literatur soll eine Auftragsdatenverarbeitung dann vorliegen, wenn nur „gewisse Hilfs- und Unterstützungsfunktionen“ vom Auftragnehmer erbracht werden4. Es dürfe nicht die Erledigung der Aufgabe als solche an den Auftragnehmer übertragen werden, sondern nur die praktisch-technische Durchführung der 1 Erfolgt eine Auftragsdatenverarbeitung in anderen als den EU-/EWR-Ländern, liegt stets eine Datenübermittlung vor. 2 Sutschet, RDV 2004, 97 (98). 3 Dies gilt im Außenverhältnis. Im Innenverhältnis wird der Auftraggeber bestehende Pflichten an den Auftragnehmer weitergeben müssen. 4 Gola/Schomerus, § 11 BDSG Rz. 3 ff.; Walz in Simitis, § 11 BDSG (6. Aufl.) Rz. 17; Petri in Simitis, § 11 BDSG (7. Aufl.) Rz. 22; Bergmann/Möhrle/Herb, § 11 BDSG (Aufl. 2011) Rz. 8; Redeker, IT-Recht, Rz. 953.
696
Roth-Neuschild
§ 44
II. Auftragsdatenverarbeitung gemß § 11 BDSG
Datenverarbeitung. Der Auftragsdatenverarbeiter soll ohne inhaltlichen Entscheidungs- und Beurteilungsspielraum als „verlängerter Arm“ des Auftraggebers unselbständig und weisungsgebunden agieren, während der Auftraggeber als Herr der Daten die volle Verantwortung und Verfügungsgewalt behalte1. Von einem Auftrag i.S.v. § 662 BGB könne nicht ausgegangen werden, da der bürgerlich-rechtliche Auftragnehmer einen gewissen eigenen Entscheidungsspielraum inne habe2. Neben der Weisungsgebundenheit wird teilweise verlangt, dass sich das Gefahrenpotential für die Daten durch die Überlassung an den Auftragnehmer nicht erhöhen dürfe3. Auch sollen dem Auftragnehmer keine Verwertungsrechte für eigene Zwecke eingeräumt werden. Jedenfalls müsse dem Auftraggeber die Befugnis verbleiben, auf einzelne Phasen der Verarbeitung Einfluss nehmen zu können4. Die der dargestellten Meinung entgegen gesetzte Auffassung, die sog. 8 „Vertragstheorie“, stellt für die Bestimmung der Auftragsdatenverarbeitung auf die von den Vertragspartnern gewählte Ausgestaltung der Zusammenarbeit ab5. Danach soll eine Auslagerung der Datenverarbeitung zulässig sein, wenn vertraglich sichergestellt ist, dass die alleinige datenschutzrechtliche Verantwortlichkeit des Auftraggebers bestehen bleibe und datenschutzrechtliche Beeinträchtigungen durch vertragliche und verfahrensmäßige Vorkehrungen ausgeschlossen sei. Die Grenze dieser Gestaltungsmöglichkeit sei jedoch überschritten, wenn Übermittlungsvorschriften, also beispielsweise § 28 oder § 29 BDSG mit der Vertragsgestaltung umgangen werden sollen6. Der Vertragstheorie ähnlich ist eine Definition der Auftragsdatenver- 9 arbeitung auf der Grundlage der beteiligten Interessen, insbesondere dem Interesse des Auftragnehmers. Danach ist für eine Auftragsdatenverarbeitung maßgeblich, dass sich das Interesse des Auftragnehmers darin erschöpfe, eine Gegenleistung zu verdienen und die Verarbeitung der Daten nur ein Mittel zur Erreichung dieses Zweckes ist. Hat der Auftragnehmer dagegen Interesse an den Daten und erbringt er nur aus diesem Grund seine Leistung, dann liege keine Auftragsdatenverarbeitung vor7. Abschließend sei noch auf eine neuere Auffassung hingewiesen, die die 10 Auftragsdatenverarbeitung auf Basis übergeordneter Rechtsprinzipien, nämlich der Grundrechte und der Europäischen Datenschutzrichtlinie 95/46/EG bestimmt. Da § 11 BDSG die sich aus dem informationellen Selbstbestimmungsrecht ergebende datenschutzrechtliche Position des 1 Bergmann/Möhrle/Herb, § 11 BDSG (Aufl. 2011) Rz. 12; Gola/Schomerus, § 11 BDSG Rz. 3; Müthlein/Heck, Outsourcing und Datenschutz, 24, 35. 2 Petri in Simitis, § 11 BDSG Rz. 22. 3 Kramer/Hermann, CR 2003, 938 (939). 4 Kilian/Scheja, BB Beilage 3, Heft 14, 22 (23). 5 Fasbender, RDV 1994, 14. 6 Fasbender, RDV 1994, 12 (14). 7 Sutschet, RDV 2004, 97 (102). Roth-Neuschild
697
§ 44
Auftragsdatenverarbeitung vs. Datenbermittlung
Dateninhabers einschränke, müsse § 11 BDSG restriktiv zu Gunsten der Rechtsposition des Dateninhabers beurteilt werden. Danach sollen die Komplexität des ausgelagerten Verfahrens, die Fachkunde des Auftraggebers und dessen tatsächliche Einwirkungsmöglichkeiten auf den Auftragnehmer relevant sein1. Nach dieser Ansicht sei das Weisungsrecht als bestimmendes Merkmal der Auftragsdatenverarbeitung nicht nur deshalb untauglich, weil ein solches Weisungsrecht zwischen selbständigen Unternehmen rechtlich sinnlos sei, sondern auch weil es leer laufe, wenn das Datenverarbeitungsverfahren für den Auftraggeber eine „black box“ ist und er mangels Kenntnis des Verfahrens, eigener Fachkunde oder geographischer Ferne keine Einwirkungsmöglichkeit habe2. 2. Die Abgrenzung zur Datenübermittlung 11
Liegen die Voraussetzungen einer Auftragsdatenverarbeitung nicht vor, dann ist der Auftragnehmer Dritter i.S.v. § 3 Abs. 8 Satz 2 BDSG mit der Folge, dass eine Weitergabe von Daten eine Übermittlung gemäß § 3 Abs. 4 Nr. 3 BDSG ist, deren Zulässigkeit eine Rechtsgrundlage i.S.v. § 4 BDSG erfordert. Der Dritte hat selbst als verantwortliche Stelle für die Rechtsmäßigkeit der Datenverarbeitung im Außenverhältnis einzustehen3.
12
Zu berücksichtigen ist § 11 Abs. 5 BDSG, der Wartungs- und Pflegeleistungen von Datenverarbeitungsanlagen den Regeln der Auftragsdatenverarbeitung unterstellt, wenn ein Zugriff auf personenbezogene Daten bei diesen Tätigkeiten nicht ausgeschlossen ist. Grund für diese Privilegierung der Datenübermittlung ist, dass die Wartung eines IT-Systems nicht eine klassische Auftragsdatenverarbeitung darstellt, jedoch dennoch ein Gefahrenpotential für Daten mit sich bringt4.
13
Die Schwierigkeit der Einordnung einer Datenweitergabe als Auftragsdatenverarbeitung setzt sich natürlich zwangsläufig bei der Einordnung als Datenübermittlung fort, denn eine Datenübermittlung liegt nur dann vor, wenn die Voraussetzungen der Auftragsdatenverarbeitung nicht gegeben sind. a) Funktionsübertragungstheorie5
14
Wird die der technischen Verarbeitung zugrundeliegende Aufgabe oder Funktion auf den Auftragnehmer übertragen oder handelt der Auftragnehmer zur Erfüllung eigener Interessen, erbringt er eigene materielle Leistungen, so soll nach der h.M. keine Auftragsdatenverarbeitung mehr 1 2 3 4 5
Elbel, RDV 2010, 203 f. Elbel, RDV 2010, 208. S. dazu Rz. 63. Plath in Plath, § 11 BDSG Rz. 121. Zur Herleitung aus der betriebswirtschaftlichen Funktionslehre s. Elbel, RDV 2010, 203 (204).
698
Roth-Neuschild
§ 44
II. Auftragsdatenverarbeitung gemß § 11 BDSG
vorliegen, sondern eine sog. Funktionsübertragung, für die der Auftraggeber, da eine Übermittlung i.S.v. § 3 Abs. 4 Nr. 3 BDSG zugrunde liegt, einer Rechtsgrundlage gemäß § 4 BDSG bedarf1. b) Wortlaut des Gesetzes Gegen den als „Funktionsübertragungstheorie“ bezeichneten Abgren- 15 zungsversuch spricht der Wortlaut des Gesetzes. Der Wortlauf von § 11 Abs. 1, Abs. 3 BDSG verlangt, dass die Daten im Auftrag erhoben, verarbeitet oder genutzt werden. Alle anderen Vorgaben von § 11 BDSG behandeln die Ausgestaltung dieses Auftrages. Die Einschränkung, dass die Auftragsdatenverarbeitung nur untergeordnete Hilfs- und Unterstützungsfunktionen erfasse und keinesfalls eine Funktion oder Aufgabe übertragen werden dürfe, fehlt in § 11 BDSG. Auch das Erfordernis der Weisungsabhängigkeit führt nicht zu einem an- 16 deren Ergebnis, denn auch bei Übernahme einer Funktion oder Aufgabe kann deren Ausübung durch Weisungen konkretisiert werden. Der Wortlaut des Gesetzes verlangt lediglich eine Tätigkeit „im Auftrag“. c) Gesetzesbegründungen, Verwaltungsvorschriften etc. Die Auftragsdatenverarbeitung war bereits Gegenstand des ersten Bun- 17 desdatenschutzgesetzes von 1977. Der damalige Gesetzeswortlaut bringt keine neuen Erkenntnisse. Die Gesetzesbegründung führt im Zusammenhang mit der Verarbeitung personenbezogener Daten im Auftrag durch Dritte für öffentliche Stellen gemäß § 5 BDSG 1977 aus: „… Dabei war der Gedanke leitend, dass das ausführende Rechenzentrum Erfüllungsgehilfe ist, während die auftraggebende Behörde Herr der Daten bleiben soll, die sie zur Erfüllung ihrer Verwaltungsaufgaben benötigt.“2
Und bezogen auf § 29 BDSG 1977, der die Auftragsdatenverarbeitung 18 nicht öffentlicher Stellen betraf, heißt es auf Seite 31 der Gesetzesbegründung: „Es handelt sich dabei um solche Stellen, die die geschäftsmäßige Speicherung, Veränderung und sonstige Verarbeitung personenbezogener Daten in fremdem Auftrag betreiben (z.B. Lohnrechenzentren). Sie sollen die vom Auftraggeber gelieferten, personenbezogenen Daten nur mit dessen Zustimmung weitergeben, verändern oder löschen dürfen, sind jedoch … für die Durchführung technischer und organisatorischer Maßnahmen zur Verhinderung von Missbräuchen verantwortlich.“
1 Petri in Simitis, § 11 BDSG Rz. 23; Simitis in Simitis, § 28 BDSG Rz. 100; zum Streitstand vgl. Gabel in Taeger/Gabel, § 11 BDSG Rz. 14 ff.; Plath in Plath, § 11 BDSG Rz. 27 ff. 2 BT-Drucks. 7/1027, 24. Roth-Neuschild
699
§ 44
Auftragsdatenverarbeitung vs. Datenbermittlung
19
Aus den Gesetzesbegründungen des BDSG 20011 sowie des BDSG 20092 ergeben sich keine Aussagen, die die Funktionsübertragungstheorie begründen könnten.
20
Der Begriff der Funktionsübertragung ist in einer Gesetzesbegründung erstmals zu § 10 BDSG 1990 zu lesen: „… Wie bisher handelt es sich nicht um Auftragsdatenverarbeitung im Sinne dieser Vorschrift, wenn neben der Datenverarbeitung auch die zugrundeliegende Aufgabe übertragen wird (Funktionsübertragung). In diesem Fall hat derjenige, dem die Funktion übertragen wird, alle datenschutzrechtlichen Pflichten, insbesondere die Ansprüche der Betroffenen, zu erfüllen.“3
21
Außer in der Gesetzesbegründung zum BDSG 1990 findet sich der Begriff der Funktionsübertragung im Zusammenhang mit der Auftragsdatenverarbeitung weder in einem Stand des BDSG noch in einer Gesetzesbegründung.
22
Die wohl erstmalige Verwendung des Begriffs Funktion in diesem Zusammenhang erfolgte in einer „Vorläufigen Verwaltungsvorschrift zum BDSG“ im hessischen Staatsanzeiger von 1978 im Kontext der Datenübermittlung im Konzern4.
23
Auch im Hinweis Nr. 26 des Innenministeriums Baden-Württemberg findet sich die Verwendung des Funktionsbegriffs für die Abgrenzung zur Auftragsdatenverarbeitung.
24
Im Hinweis des Landesbeauftragten für den Datenschutz Baden-Württemberg vom 31.12.20125 findet sich der Begriff der Funktionsübertragung noch als Überschrift. Jedoch stellt der Datenschutzbeauftragte nicht mehr auf die Übertragung einer Aufgabe oder einer Funktion ab, sondern darauf, dass bei der Funktionsübertragung „die „eingeschaltete Stelle“ für die andere [Stelle] einen bestimmten Auftrag wahrnimmt und dazu im eigenen Namen alle erforderlichen Entscheidungen trifft, dabei aber stets im Interesse des „Auftraggebers“ handeln muss.“
25
Zur Auftragsdatenverarbeitung besagt der Hinweis: „Charakteristisch für die Auftragsdatenverarbeitung ist, dass sich die datenschutzrechtlich verantwortliche Stelle eines Dritten für die Durchführung bestimmter Datenverarbeitungsvorgänge bedient. Die maßgeblichen Entscheidungen über den Umgang mit den personenbezogenen Daten verbleiben aber bei der beauftragenden Stelle. Der Auftragnehmer verfährt lediglich entsprechend den Weisungen des Auftraggebers mit den überlassenen und für ihn zu verarbeitenden Daten. Das Serviceunternehmen fungiert gleichsam als ausgelagerte Abteilung des weiterhin datenschutzrechtlich verantwortlichen Auftraggebers, der als „Herr der Daten“ die volle Verfügungsgewalt über die Daten behält und damit auch alleine über deren Erhe1 2 3 4 5
BT-Drucks. 14/4329 – Umsetzung der Richtlinie 95/46/EG. BT-Drucks. 16/13657; BT-Drucks. 16/12011. BT-Drucks. 11/4306. Staatsanzeiger Hessen 1978, 587 f. Unter www.baden-wuerttemberg.datenschutz.de.
700
Roth-Neuschild
§ 44
II. Auftragsdatenverarbeitung gemß § 11 BDSG
bung, Verarbeitung und Nutzung bestimmt und den Auftragnehmer wie eigene Mitarbeiter der Datenverarbeitung zu beaufsichtigen hat. … Der Auftragnehmer darf deswegen die Daten nur in dem Maße verarbeiten, wie dies auch sein Auftraggeber darf.“
Diesem Hinweis kann entnommen werden, dass dem Auftragsdatenver- 26 arbeiter im Rahmen der Auftragsdatenverarbeitung auch eine Aufgabe übertragen werden kann, so lange die Ausübung weisungsgebunden und kontrolliert erfolgt. d) Europäische Datenschutzrichtlinie 95/46/EG Die Europäische Datenschutzrichtlinie aus dem Jahre 1995 definiert den 27 Auftragsverarbeiter in Art. 2 lit. e) DSRL wie folgt: „Die natürliche oder juristische Person, Behörde, Einrichtung oder jede andere Stelle, die personenbezogene Daten im Auftrag des für die Verarbeitung Verantwortlichen verarbeitet;“
Der „für die Verarbeitung Verantwortliche“ ist gemäß Art. 2 lit. d) DSRL:
28
„… die natürliche oder juristische Person, Behörde, Einrichtung oder jede andere Stelle, die alleine oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. …“
Die Kernvorschriften der Richtlinie für die Auftragsdatenverarbeitung 29 finden sich in Art. 16 und Art. 17 DSRL. Art. 16 bestimmt, dass alle Personen, die dem Auftragsverarbeiter unter- 30 stellt sind und die Zugang zu personenbezogenen Daten haben sowie der Auftragsverarbeiter selbst, personenbezogene Daten nur auf Weisung des für die Verarbeitung Verantwortlichen verarbeiten dürfen, soweit keine andere gesetzliche Verpflichtung besteht. Art. 17 Abs. 2 bis Abs. 4 DSRL legen die Anforderungen an die Auftragsdatenverarbeitung fest, wie sie letztlich in § 11 BDSG umgesetzt wurden. Festzustellen ist, dass sich aus der Richtlinie weder eine Beschränkung 31 der Auftragsdatenverarbeitung auf die technische Durchführung einer Aufgabe noch die Durchführung von untergeordneten Hilfsleistungen ergibt. Anders als § 3 Abs. 7 BDSG verlangt die Richtlinie, dass die verantwortliche Stelle auch über „die Mittel der Verarbeitung“ entscheidet. e) Art. 29 Datenschutzgruppe Stellungnahme 2010 zu den Begriffen „für die Verarbeitung Verantwortlicher“ und „Auftragsverarbeiter“ vom 16.2.2010 Die Art. 29-Datenschutzgruppe, eine auf der Grundlage der DSRL ein- 32 gerichtete beratende Instanz, bestehend u.a. aus den Datenschutzbeauftragten der EU-/EWR-Länder und dem EU-Datenschutzbeauftragten, sah
Roth-Neuschild
701
§ 44
Auftragsdatenverarbeitung vs. Datenbermittlung
sich zur wirksamen Einhaltung des Datenschutzes1 veranlasst, „klärende Ausführungen“ zur Feststellung der Verantwortung der an der Datenverarbeitung Beteiligten zu veröffentlichen2. 33
Als Auftragsverarbeiter wird von der Art. 29-Datenschutzgruppe eingestuft, wer – eine im Verhältnis zum für die Verarbeitung Verantwortlichen eigenständige juristische Person ist und – wer personenbezogene Daten im Auftrag des für die Verarbeitung Verantwortlichen verarbeitet.
34
Leider erschöpft sich auch dieser Definitionsversuch im wesentlichen Punkt in einer Tautologie.
35
Ferner könne – sich die Verarbeitungstätigkeit des Auftragsverarbeiters auf eine ganz spezielle Aufgabe oder einen speziellen Kontext beschränken oder – könne dem Auftragnehmer ein gewisser Ermessensspielraum in der Frage eingeräumt sein, wie er den Interessen des für die Verarbeitung Verantwortlichen am besten gerecht werde und ihm die Wahl der geeigneten technischen und organisatorischen Mittel überlassen werden3.
36
Der für die Verarbeitung Verantwortliche zeichne sich durch die ihm infolge rechtlicher und/oder faktischer Gegebenheiten zustehende Entscheidungsfähigkeit aus. Er entscheide über den Zweck und die Mittel der Datenverarbeitung4. Allerdings – so die Art. 29-Gruppe – könne der für die Verarbeitung Verantwortliche Entscheidungen in Bezug auf die technischen oder organisatorischen Fragen und über die Mittel der Verarbeitung delegieren. Entscheidungen über den Verarbeitungszweck und über inhaltliche Fragen, die den Kern der Rechtsmäßigkeit der Verarbeitung wesentlich betreffen, seien dem für die Verarbeitung Verantwortlichen vorbehalten5.
37
Da sich die Einordnung als Auftragsverarbeiter oder als für die Verarbeitung Verantwortlicher – so die Art. 29-Gruppe – stets aus der konkreten Tätigkeit im spezifischen Kontext der Datenverarbeitung ergebe, sollen zur Erleichterung der Zuordnung der Verantwortlichkeiten noch einige Abgrenzungskriterien dienen: – Die Ausführlichkeit der von dem für die Verarbeitung Verantwortlichen erteilten Weisungen, 1 2 3 4 5
Art. 29-Gruppe WP 169, 9. Art. 29-Gruppe WP 169, 4. Art. 29-Gruppe WP 169, 40. Art. 29-Gruppe WP 169, 38 f. Art. 29-Gruppe WP 169, 17 f.
702
Roth-Neuschild
§ 44
II. Auftragsdatenverarbeitung gemß § 11 BDSG
– die Überwachung der Erbringung der Dienstleistung durch den für die Verarbeitung Verantwortlichen, – die Außenwirkung gegenüber betroffenen Personen, – die Fachkompetenz der Beteiligten und – die den Beteiligten überlassenen Entscheidungsspielräume1. Wie diese Kriterien konkret zu gewichten sind, bleibt offen. Aus der Stel- 38 lungnahme ergibt sich jedenfalls, dass ein gewisser Entscheidungs- und Gestaltungsspielraum bei der Auftragsbearbeitung auch auf Seiten des Auftragsverarbeiters zuzulassen ist und eine Beschränkung des Auftrages auf eine Hilfsaufgabe nicht verlangt wird. 3. Bewertung Wie aufgezeigt, findet die Abgrenzung der Auftragsdatenverarbeitung 39 von der Datenübermittlung mittels der Funktionsübertragungstheorie keine Stütze in § 11 BDSG. Gegen die Auffassung, dass eine Auftragsdatenverarbeitung nicht die Aufgabenerledigung oder die Wahrnehmung einer Funktion umfassen dürfe, spricht, dass auch die technische Umsetzung eines Arbeitsschrittes eine Funktion als solche ist. Letztlich kann, je granularer die Organisation des Auftraggebers aufgegliedert ist, jeder Arbeitsschritt als Funktion oder Aufgabe definiert werden. Auch für eine Beschränkung der Auftragsdatenverarbeitung auf unterge- 40 ordnete Hilfsdienste besteht kein Raum. Eine Abgrenzung nach dem Aspekt der Erhöhung des Gefahrenpotenti- 41 als2 dürfte ebenfalls nicht verfangen, da jede Weitergabe von Daten Gefahren mit sich bringt. Das ist auch dann der Fall, wenn der Verantwortliche die Daten an eine Stelle innerhalb seiner Organisation weitergibt, die räumlich entfernt ist. Ebenso scheint die Auffassung, die § 11 BDSG wegen der damit verbunde- 42 nen Beeinträchtigung des informationellen Selbstbestimmungsrechts restriktiv auslegen will3, verfassungsrechtlich problematisch. Das im Datenschutzrecht bestehende Verbotsprinzip wird teilweise als verfassungsrechtlich nicht haltbar angesehen, da dem informationellen Selbstbestimmungsrecht ebenbürtige Grundrechtspositionen wie Informationsfreiheit, wirtschaftliche Betätigungsfreiheit, Meinungsäußerungsfreiheit oder Eigentumsschutz nicht im gebotenen Maße berücksichtigt werden. Das Verbot bleibe somit ohne unmittelbares Ausgleichsgewicht. Erst im Rahmen der Ausnahmen zu dem Verbot werden diese Grundrechtspositionen relevant4. 1 2 3 4
Art. 29-Gruppe WP 169, 40. Vgl. Rz. 7 Fn. 3. Vgl. Rz. 10 Fn. 1. Schneider, AnwBl 2011, 233 f. Roth-Neuschild
703
§ 44
Auftragsdatenverarbeitung vs. Datenbermittlung
43
Sinn und Zweck der Privilegierung der Auftragsdatenverarbeitung ist es, der verantwortlichen Stelle die Möglichkeit zu geben, „Leistungen außer Haus“1 durchführen zu lassen, ohne dass der Schutz personenbezogener Daten dadurch beeinträchtigt wird. Eine wesentliche Rahmenbedingung, die gleichfalls die rechtliche Qualität dieser Außer-Haus-Leistung bestimmt, ist die Weisungsabhängigkeit des Auftragnehmers in Bezug auf die Daten. Fehlt diese Weisungsabhängigkeit, liegt der Außer-Haus-Leistung eine Datenübermittlung zugrunde.
44
Für die Abgrenzung der Auftragsdatenverarbeitung wird richtigerweise darauf abzustellen sein, ob der Auftragnehmer dem Weisungsrecht in Bezug auf die Daten und deren Verwendung unterliegt2. Keine Verpflichtung lässt sich aus dem Gesetz dafür entnehmen, dass dieses Weisungsrecht jeden Verarbeitungsschritt oder das „wie“ im Detail vorgeben muss, so lange der Zweck der Verarbeitung und festgelegt ist, dass die Verarbeitung ausschließlich „im Interesse“ der verantwortlichen Stelle erfolgt.
45
Ergänzt werden muss dies durch die Möglichkeit der uneingeschränkten Kontrolle der Datenverarbeitungsvorgänge. Denn nur auf diese Weise kann die Umsetzung der Weisung sichergestellt werden3.
46
Für einen weiten Anwendungsbereich der Auftragsdatenverarbeitung in Bezug auf die Tätigkeiten spricht auch das Urteil des EuGH vom 22.11.2012 – C-119/12 –, das einen Abtretungsvertrag u.a. an Art. 16 und Art. 17 der Datenschutzrichtlinie 95/76/EG misst und das Weisungsrecht in Bezug auf den Verarbeitungszweck und dessen Kontrolle als maßgebliche Kriterien der Auftragsverarbeitung hervorhebt4.
III. Datenübermittlung 1. Rechtsgrundlagen 47
Liegen die Voraussetzungen einer Auftragsdatenverarbeitung nicht vor, kann eine Übermittlung von Daten im Rahmen der Auslagerung einer Tätigkeit für die verantwortliche Stelle – sofern keine Einwilligung des Betroffenen vorliegt – nur erfolgen, wenn eine gesetzliche Grundlage dafür gegeben ist. § 28 BDSG gewährt eine solche Rechtsgrundlage5. In der Folge werden im Wesentlichen § 28 Abs. 1 Nr. 1 und 2 und Abs. 2 BDSG beleuchtet. § 29 BDSG dürfte nicht einschlägig sein, denn die Auslage1 Staatsanzeiger Hessen 1978, 587 f. 2 Eul in Roßnagel, Handbuch Datenschutzrecht, 1091; Gabel in Taeger/Gabel, § 11 Rz. 15 m.w.N.; Plath in Plath, § 11 BDSG Rz. 29. 3 OVG Schleswig-Holstein v. 12.1.2012 – 4 MB 56/10. 4 Nachfolgend auch BGH v. 7.2.2013 – III ZR 200/11; dazu auch Conrad/Fechtner, CR 2013, 137. 5 Nicht Gegenstand der Ausführungen sind besondere Arten von Daten gemäß § 3 Abs. 9 BDSG sowie § 28 Abs. 3 BDSG und § 32 BDSG.
704
Roth-Neuschild
§ 44
III. Datenbermittlung
rungsfälle sind davon gekennzeichnet, dass die Datenübermittlung „Nebeneffekt“ bzw. „notwendige Begleiterscheinung“ der von Dritten für die verantwortliche Stelle erbrachten Leistungen ist1. In den Fällen von § 29 BDSG ist die Übermittlung als solche der eigentliche Geschäftszweck2. a) § 28 Abs. 1 Satz 1 Nr. 1 BDSG „Schuldverhältnis“ Eine Datenübermittlung ist für die Erfüllung eigener Geschäftszwecke 48 gemäß § 28 Abs. 1 Satz 1 Nr. 1 BDSG zulässig, wenn dies für die Begründung, Durchführung oder Beendigung eines rechtsgeschäftlichen oder gesetzlichen Schuldverhältnisses erforderlich ist. Der Begriff der „Erforderlichkeit“ ist im Gesetz nicht definiert. Einigkeit besteht darin, dass der Begriff objektiv nach Maßgabe der Zweckbestimmung des konkreten Schuldverhältnisses zu beurteilen ist3. Die wohl h.M. verlangt, dass die Übermittlung der Daten notwendig ist, um die sich aus dem Vertragsverhältnis ergebenden Pflichten erfüllen zu können4. In der Regel dürfte die Auslagerung eines Geschäftsprozesses (z.B. Rech- 49 nungsstellung und Zahlungseinzug einer gelieferten Ware durch einen Dritten) nicht notwendig sein, um ein Vertragsverhältnis (z.B. einen Kaufvertrag) zu erfüllen5. Deshalb wird § 28 Abs. 1 Satz 1 Nr. 1 BDSG als Rechtsgrundlage für eine Datenübermittlung in typischen Auslagerungsfällen ausscheiden6. Im Einzelfall kann dies anders sein, wenn z.B. die Übermittlung der Daten zur Vertragserfüllung erforderlich ist (z.B. bei Lieferketten)7. Teilweise wird diese restriktive Beurteilung relativiert. Danach soll es 50 für die Erforderlichkeit ausreichen, wenn die Verwendung der Daten sinnvoll bzw. förderlich ist, um Vorgänge effizienter, schneller oder günstiger abzuwickeln8. Das gelte auch dann, wenn ein „milderes Mittel“ zur Verfügung stehe, also vertragliche Pflichten ohne Datenverwendung erfüllbar wären, jedoch letzteres mit Nachteilen für die verantwortliche Stelle verbunden wäre9. Legt man diese Auffassung zugrunde, könnte jede Auslagerung problemlos begründet werden. Im Hinblick darauf, dass im Rahmen dieser Zulässigkeitsalternative eine Abwägung der Interessen der verantwortlichen Stelle und des Betroffenen nicht erfolgt, erscheint eine so weitgehende Auslegung der „Erforderlichkeit“ problematisch. 1 2 3 4 5 6 7 8 9
Plath in Plath, § 29 BDSG Rz. 11. Plath in Plath, § 29 BDSG Rz. 11. Taeger in Taeger/Gabel, § 28 BDSG Rz. 47; Plath in Plath, § 28 BDSG Rz. 19. Taeger in Taeger/Gabel, § 28 BDSG Rz. 50. Anders wenn eine spezialgesetzliche Grundlage vorliegt, z.B. § 97 TKG, vgl. dazu BGH v. 7.2.2013 – III ZR 200/11; EuGH v. 22.11.2012 – C-119/12. Grützmacher, ITRB 2007, 186; Riechert, DANA 2013, 49. Plath in Plath, § 28 BDSG Rz. 31. Plath in Plath, § 28 BDSG Rz. 25. Plath in Plath, § 28 BDSG Rz. 25; anders Gola/Schomerus, § 28 BDSG Rz. 13. Roth-Neuschild
705
§ 44
Auftragsdatenverarbeitung vs. Datenbermittlung
b) § 28 Abs. 1 Satz 1 Nr. 2 BDSG „Berechtigte Interessen“ 51
Eine Datenübermittlung zur Erfüllung eigener Zwecke ist auch dann zulässig, wenn sie zur Wahrung berechtigter Interessen der verantwortlichen Stelle erforderlich ist und schutzwürdige Interessen des Betroffenen an der Datenverwendung nicht überwiegen.
52
Als berechtigtes Interesse der verantwortlichen Stelle wird von der h.M. jedes von der Rechtsordnung gebilligte und objektiv feststellbare eigene Interesse1, also auch ein wirtschaftliches oder ideelles Interesse als ausreichend angesehen, wenn die verantwortliche Stelle ohne die Datenverarbeitung einen erheblichen Nachteil erleiden würde2. Grundsätzlich wird man eine Auslagerung eines Geschäftsprozesses als ein billigenswertes Interesse beurteilen müssen. Welche Daten übermittelt werden dürfen, richtet sich danach, welche Daten für die korrekte Durchführung der Aufgabe erforderlich sind. Eine beliebige Zweckentfremdung gespeicherter Daten ist nicht von dem berechtigten Interesse gedeckt3.
53
Hierzu wird jedoch auch vertreten, dass einem Auftraggeber die Datenübermittlung nach § 28 BDSG dann verwehrt sein müsse, wenn anhand objektiv zu bemessender Kriterien nicht feststellbar sei, dass ihm eine eigenverantwortliche Datenverarbeitung – auch im Wege der Auftragsdatenverarbeitung – unmöglich sei4. Alleine der Umstand, dass dem Auftraggeber für die externe Datenverarbeitung ein günstigeres Angebot vorliege, sei für die Anwendbarkeit von § 28 Abs. 1 Satz 1 Nr. 2 BDSG nicht ausreichend5.
54
Die Übermittlung der Daten muss für die Wahrung der berechtigten Interessen erforderlich sein. Die Erforderlichkeit stellt eine eigenständige Voraussetzung dar und ist nicht schon mit Vorliegen eines berechtigten Interesses gegeben6. Ebenso wie bei § 28 Abs. 1 Satz 1 Nr. 1 BDSG ist die Meinung geteilt. Die wohl h.M. stellt darauf ab, dass es zur Datenübermittlung keine objektiv zumutbare7 oder sinnvolle8 Alternative geben darf. Es reiche also nicht aus, dass die Verarbeitung der Daten aus Sicht der verantwortlichen Stelle (nur) „geeignet“ oder „zweckmäßig“ ist. Die Erforderlichkeit ist danach nur gegeben, wenn das Informationsziel bzw. das berechtigte Interesse nicht anders erreicht werden könne9. Zum Teil
1 Gola/Schomerus, § 28 BDSG Rz. 24 m.w.N. 2 Plath in Plath, § 28 BDSG Rz. 47, 49; Taeger in Taeger/Gabel, § 28 BDSG Rz. 55. 3 Simitis in Simitis, § 28 BDSG Rz. 99, 102. 4 Riechert, DANA 2013, 49. 5 Weichert, DuD 2010, 683. 6 Taeger in Taeger/Gabel, § 28 BDSG Rz. 75. 7 Simitis in Simitis, § 28 BDSG Rz. 108. 8 Gola/Schomerus, § 28 BDSG Rz. 24. 9 Simitis in Simitis, § 28 BDSG Rz. 108 m.w.N.
706
Roth-Neuschild
§ 44
III. Datenbermittlung
wird es jedoch für ausreichend erachtet, dass die Datenübermittlung zur Wahrung der berechtigten Interessen zweckmäßig sei1. Damit die Rechtsgrundlage greift, müssen die Interessen der verant- 55 wortlichen Stelle mit den entgegenstehenden Interessen des Betroffenen abgewogen werden. Das Gesetz gibt auch hierfür keine Hilfestellung. Maßgeblich ist die Perspektive eines objektiven Dritten2. Die am Verhältnismäßigkeitsgrundsatz ausgerichtete Abwägung der beiderseitigen schutzwürdigen Interessen darf für die speichernde Stelle keinen Grund zur Annahme bieten, dass die Verarbeitung der in Frage stehenden Daten zu dem damit verfolgten Zweck schutzwürdige Belange des Betroffenen beeinträchtige3. Dabei soll jedoch nicht jede theoretisch denkbare Interessensverletzung der Zulässigkeit der Datenverarbeitung entgegenstehen. Solange sich die Verarbeitung im Rahmen konkreter Geschehensabläufe halte und kein triftiger Grund vorliege, der konkrete Hinweise auf eine Persönlichkeitsrechtsverletzung gebe, sei die Abwägung zu Gunsten der schutzwürdigen Interessen der verantwortlichen Stelle zu entscheiden4. Zwar soll § 28 Abs. 1 Satz 1 Nr. 2 BDSG kein Auffangtatbestand von § 28 56 Abs. 1 Satz 1 Nr. 1 BDSG darstellen5, wenn die Datenverwendung nicht durch § 28 Abs. 1 Satz 1 BDSG gedeckt ist6. Dennoch wird § 28 Abs. 1 Satz 1 Nr. 2 BDSG von der h.M. in der Literatur als Rechtsgrundlage für das „Outsourcing“ betrachtet, sofern dieses nicht unter die Auftragsdatenverarbeitung subsumiert werden kann7, 8. Kritiker bemängeln, dass dieser Rechtsgrundlage das Manko anhafte, die 57 Datenübermittlung alleine in das Ermessen des Unternehmers zu stellen, ohne objektiven Bewertungsmaßstab und ohne Einflussnahmemöglichkeit der Betroffenen9. c) § 28 Abs. 1 Satz 2 BDSG „Zweckbindung“ Die Datenübermittlung nach § 28 Abs. 1 Satz 1 Nr. 1 und Nr. 2 BDSG ist 58 jedoch nur zulässig, wenn bei der Erhebung der Daten die Zwecke, für die die Daten verarbeitet oder genutzt werden sollen, konkret festgelegt 1 2 3 4 5 6 7 8 9
Plath in Plath, § 28 BDSG Rz. 50; Schaffland/Wiltfang, § 28 BDSG Rz. 85, 110. Taeger in Taeger/Gabel, § 28 BDSG Rz. 63. BGH, NJW 1986, 2505. Gola/Schomerus, § 28 BDSG Rz. 28. Simitis in Simitis, § 28 BDSG Rz. 99; Taeger in Taeger/Gabel, § 28 BDSG Rz. 54; andere Auffassung Plath in Plath, § 28 BDSG Rz. 46. Simitis in Simitis, § 28 BDSG Rz. 99. Simitis in Simitis, § 28 BDSG Rz. 101, 136; Plath in Plath, § 28 BDSG Rz. 65; offen bleibt dies bei Bräutigam/Glossner, IT-Outsourcing, 360. Problematisch ist die Rückführung der Daten an den outsourcenden Auftraggeber, vgl. Müthlein/Heck, Outsourcing und Datenschutz, 40. Riechert, DANA 2013, 51. Roth-Neuschild
707
§ 44
Auftragsdatenverarbeitung vs. Datenbermittlung
wurden. Nur anhand dieser Zweckbestimmung zu Beginn der Datenverarbeitung kann ermittelt werden, ob die weitere Verarbeitung an sich zulässig ist1. Die Zweckbestimmung darf sich nicht darin erschöpfen, auf „eigene Geschäftszwecke“ zu verweisen. Vielmehr müsse zumindest die typische Datenverwendung dargestellt und für interne Zwecke dokumentiert werden2. 59
Allerdings hat diese Zweckbestimmung nur einen sehr eingeschränkten Wert, denn die verantwortliche Stelle (sowie der Datenempfänger gemäß § 28 Abs. 5 BDSG) kann den Zweck nachträglich ändern und erweitern3. d) § 28 Abs. 2 BDSG „Übermittlung für andere Zwecke“
60
Die verantwortliche Stelle ist berechtigt, Daten, die sie rechtmäßig erhoben hat, auch für einen anderen als den ursprünglich gemäß § 28 Abs. 1 Satz 2 BDSG festgelegten Zweck zu übermitteln oder zu nutzen, wenn bestimmte Voraussetzungen vorliegen, insbesondere die Voraussetzungen von § 28 Abs. 1 Satz 1 Nr. 2 oder Nr. 3 BDSG oder wenn ein berechtigtes Interesse eines Dritten an der Übermittlung oder Nutzung besteht4.
61
Soweit für die Übermittlung zu einem anderen Zweck die Voraussetzungen von § 28 Abs. 1 Satz 1 Nr. 2 BDSG vorliegen müssen, wird auf das oben Ausgeführte verwiesen.
62
Eine Übermittlung für einen anderen Zweck ist ebenfalls zulässig, soweit dies zur Wahrung berechtigter Interessen eines Dritten erforderlich ist. Dies wird bejaht, wenn der Dritte ein von der Rechtsordnung gebilligtes, eigenes berechtigtes Interesse besitzt, personenbezogene Daten übermittelt zu bekommen und eine Interessenabwägung nicht überragende Interessen des Betroffenen gegen eine solche Übermittlung ausweist. Für die Auslagerung eines Geschäftsprozesses wird diese Rechtsgrundlage nicht einschlägig sein, da für den Dritten regelmäßig keine eigenen berechtigten Interessen an den Daten ersichtlich sind.
1 2 3 4
Gola/Schomerus, § 28 BDSG Rz. 35. Plath in Plath, § 28 BDSG Rz. 89, 90. Vgl. Rz. 60 und Rz. 67. Eine Speicherung ist der verantwortlichen Stelle zu diesem „anderen Zweck“ jedoch nicht erlaubt. Nun ist dem Dritten, dem die Daten übermittelt wurden, gemäß § 28 Abs. 5 BDSG der Zweck der Datennutzung aufzuerlegen. Der Dritte darf die ihm auf der Grundlage von § 28 Abs. 2 BDSG überlassenen Daten verarbeiten, also sogar speichern, was der überlassenden verantwortlichen Stelle nach § 28 Abs. 2 BDSG im Falle einer Zweckänderung offensichtlich nicht erlaubt ist. Das ist widersprüchlich.
708
Roth-Neuschild
§ 44
III. Datenbermittlung
2. Folgen der Datenübermittlung a) Verantwortliche Stelle Die Datenübermittlung bringt eine Veränderung der verantwortlichen 63 Stelle mit sich. Der Dritte, dem Daten übermittelt werden, wird als verarbeitende Stelle selbst verantwortliche Stelle i.S.v. § 3 Abs. 7 BDSG, und somit Träger der diesem Beteiligten zugeordneten datenschutzrechtlichen Pflichten und Rechte. Ist der Dritte nicht Auftragsdatenverarbeiter, trifft ihn zunächst die Pflicht zur Prüfung der Zulässigkeit der Überlassung und der Verwendung der Daten. Dem Auftragsdatenverarbeiter dagegen obliegt keine Prüfpflicht, er muss gemäß § 11 Abs. 3 BDSG den Auftraggeber nur auf eine Gesetzeswidrigkeit hinweisen, wenn konkrete Anhaltspunkte vorliegen. Die Erfüllung der Rechte Betroffener (§§ 33 ff. BDSG) obliegt dem Dritten 64 – anders als bei der Auftragsdatenverarbeitung1 – ebenso wie er auch unmittelbar Schadensersatzansprüchen gemäß § 7 BDSG der Betroffenen ausgesetzt ist und Informationspflichten nach § 42a BDSG nachkommen muss. Bezüglich der konkreten Tätigkeit hat der Dritte in eigener Verantwor- 65 tung das Verfahrensverzeichnis gemäß § 4e BDSG zu führen. Darüber hinaus treffen den Dritten bezogen auf die zu verarbeitenden 66 Daten alle anderen Pflichten einer verantwortlichen Stelle (z.B. Meldepflichten, Bestellung eines Datenschutzbeauftragten, Verpflichtung auf das Datengeheimnis, organisatorische und technische Maßnahmen zum Schutze der Daten, Sperr- und Löschpflichten etc.). b) § 28 Abs. 5 BDSG „Zweckbindung bei Übermittlung“ Werden Daten an einen Dritten – rechtmäßig – übermittelt, darf der Drit- 67 te diese nur für den Zweck verarbeiten oder nutzen, zu dessen Erfüllung sie ihm übermittelt wurden. Diese Verpflichtung relativiert das Gesetz jedoch, denn es erlaubt dem Dritten eine Zweckänderung in Bezug auf die Verarbeitung der Daten, wenn bei dem Dritten die Voraussetzungen von § 28 Abs. 2 oder Abs. 3 BDSG vorliegen. Sowohl auf die primäre Zweckbindung als auch auf die Möglichkeit der Zweckänderung hat der Übermittler gemäß § 28 Abs. 5 Satz 3 BDSG hinzuweisen. Diese Möglichkeit der Zweckänderung wird durchgängig als gesetzgeberisch verfehlt bewertet2. Denn es gewährt dem Dritten dieselben Verarbeitungsrechte wie dem Auftraggeber und korrumpiert somit das Ziel der zu
1 Gemäß § 6 Abs. 2 BDSG kann sich der Betroffene auch an den Auftragsdatenverarbeiter wenden, wenn er nicht in der Lage ist, festzustellen, welche Stelle die Daten speichert; vgl. Meents in Taeger/Gabel, § 6 BDSG Rz. 12. 2 Simitis in Simitis, § 28 BDSG Rz. 284; Taeger in Taeger/Gabel, § 28 BDSG Rz. 218. Roth-Neuschild
709
§ 44
Auftragsdatenverarbeitung vs. Datenbermittlung
Gunsten des Betroffenen gesetzlich eigentlich vorgesehenen Zweckbindung. c) Pflichten des Auftraggebers 68
Den Auftraggeber trifft sowohl bei der Datenübermittlung als auch bei der Auftragsdatenverarbeitung die Hinweispflicht gemäß § 4 Abs. 3 BDSG, wenn personenbezogene Daten beim Betroffenen erhoben und Letzterer nicht auf andere Weise Kenntnis hiervon erlangt hat1. Eine Benachrichtigungspflicht gemäß § 33 BDSG besteht in Auslagerungsfällen nicht, da die Daten nicht geschäftsmäßig zum Zwecke der Übermittlung gespeichert werden.
69
Der Auftraggeber ist für die Nutzung der Daten nach einer rechtmäßigen Datenübermittlung wohl nicht mehr verantwortlich. War die Übermittlung rechtswidrig, dürfte die Verantwortlichkeit des Auftraggebers bestehen bleiben.
70
Eine Verpflichtung des Auftraggebers, dem Dritten Schutzpflichten in Bezug auf die übermittelten Daten aufzuerlegen und deren Einhaltung oder die Einhaltung der Datenschutzgesetze bei dem Dritten zu kontrollieren, ist im Gesetz nicht vorgesehen.
71
Streitig ist, ob die auslagernde Stelle und der Dritte in Bezug auf die konkret übermittelten Daten eigene organisatorische und technische Maßnahmen zum Schutze der Daten gemäß § 9 BDSG2 oder sogar die gesamten Anforderungen von § 11 BDSG aufzuerlegen sind3. Der Gesetzestext gibt dazu keinen Anlass. 3. Bewertung
72
Aufgrund der mangelnden gesetzlichen Vorgaben zur Datenübermittlung und der daraus resultierenden rechtlichen Unklarheiten in der Bewertung, liegt das Ergebnis nahe, dass die eigentlich an strengere Voraussetzungen geknüpfte Datenübermittlung im Verhältnis zur Auftragsdatenverarbeitung der einfachere Weg der Datenverarbeitung außer Haus ist und diese geeignet ist, die Anforderungen der eigentlich privilegierten Auftragsdatenverarbeitung zu umgehen. Dass dies nicht dem Ziel des Datenschutzes, nämlich dem wirksamen Schutz personenbezogener Daten des Betroffenen, entspricht, liegt auf der Hand.
1 Sokol in Simitis, § 4 BDSG Rz. 43. 2 Müthlein/Heck, Outsourcing und Datenschutz, 40. 3 Riechert, DANA 2013, 51.
710
Roth-Neuschild
§ 44
IV. Lçsungsmçglichkeiten
IV. Lösungsmöglichkeiten a) Erweiterung der Auftragsdatenverarbeitung Datenschutz hat nicht das Ziel, technische und wirtschaftliche Entwick- 73 lungen zu blockieren, daher bietet sich als Lösung an, den Anwendungsbereich der Auftragsdatenverarbeitung nicht auf bloße Hilfsfunktionen zu beschränken, sondern weiter zu fassen. Denn § 11 BDSG gewährt einen zweckmäßigen Rechtsrahmen, um das Interesse an einer effizienten Umsetzung von Geschäftsprozessen und das Schutzbedürfnis von „Dateninhabern“ in Einklang zu bringen. b) Vertragliche Absicherung der schutzwürdigen Interessen Da die Aufsichtsbehörden die Auftragsdatenverarbeitung wohl nach wie 74 vor auf die Erbringung von Hilfsleistungen reduzieren, könnte die Erweiterung des Anwendungsbereiches der Auftragsdatenverarbeitung auf Widerstand stoßen. Es werden einige Möglichkeiten diskutiert, wie eine Absicherung der Interessen der Betroffenen bei Auslagerungsfällen aussehen könnte, um die oben beschriebene Umgehung zu vermeiden. Zum Teil wird empfohlen, den Datenempfänger einzelvertraglich eng, in 75 ähnlicher Weise wie dies § 11 BDSG verlangt, an das auslagernde Unternehmen anzubinden1. Als Kompensation für den Verlust der Stellung des Verantwortlichen auf 76 Seiten des Auftraggebers wird auch empfohlen, den Auftragnehmer durch die Vereinbarung empfindlicher Vertragsstrafen von der weisungswidrigen Nutzung der Daten abzuhalten und Weisungs-, Kontroll- und Betroffenenrechte zu vereinbaren, die sogar über die Anforderungen einer Auftragsdatenverarbeitung hinausgehen2. Gemäß dem Arbeitsbericht der Ad-hoc-Arbeitsgruppe „Konzerninterner 77 Datentransfer“ verlangen die Aufsichtsbehörden, dass die durch die Übermittlung herbeigeführte Diversifizierung der Verantwortlichkeiten dadurch kompensiert werden solle, dass neben dem Dritten auch der Auftraggeber gegenüber dem Betroffenen Verantwortlicher bleibe3. Das vom Bundesministerium des Innern im Jahr 2001 in Auftrag gegebe- 78 ne Gutachten zur „Modernisierung des Datenschutzrechts“4 verlangt für die Datenübermittlung, dass
1 Günther Dorn, Leiter des Bayerischen Landesamtes für Datenschutzaufsicht: Drei Wünsche aus Bayern an den Datenschutz-Gesetzgeber („Das DatenschutzBlog“). 2 Weichert, DuD 2010, 679 (683). 3 Arbeitsbericht der Ad-hoc-Arbeitsgruppe „Konzerninterner Datentransfer“, 8. 4 Roßnagel/Pfitzmann/Garstka, „Modernisierung des Datenschutzrechts“, www. sachsen-anhalt.de. Roth-Neuschild
711
§ 44
Auftragsdatenverarbeitung vs. Datenbermittlung
– die übermittelnde Stelle, die Daten über Personen erhebt und sie von einem Anderen in ihrem Interesse verarbeiten lässt, weiterhin verantwortlich bleibt und für die Rechtmäßigkeit der Datenverarbeitung und für die Erfüllung der Betroffenen einzustehen hat, – die übermittelnde Stelle sicherstellt, dass die für sie geltende Zweckbindung auch für die Datenverarbeitung beim Funktionsübernehmer unveränderlich gilt und – diese Absprachen vertraglich mit dem Datenempfänger vereinbart werden. 79
Der Datenempfänger/Funktionsübernehmer soll ebenfalls verantwortliche Stelle werden und hat deren Pflichten zu erfüllen, so dass der Betroffene seine Datenschutzrechte auch gegenüber dem Datenempfänger geltend machen könne. Dem Datenempfänger werden die gleichen Zweckbindungen wie der übermittelnde Stelle sowie die gleichen Sicherungs- und Geheimhaltungspflichten auferlegt. Darüber hinaus sollen die Weisungs- und Verarbeitungsbereiche der beiden Vertragspartner vertraglich abgegrenzt werden1. c) Fazit
80
Soll eine Auslagerung von Geschäftsprozessen erfolgen, die die Grenze der Auftragsdatenverarbeitung überschreitet, müssen, um einen effektiven Datenschutz zu gewährleisten, mindestens die Anforderungen von § 11 BDSG im Verhältnis zum Auftragnehmer umgesetzt sein. Hierfür bieten die bereits in die Praxis umgesetzten Auftragsdatenverarbeitungsverträge gutes Anschauungsmaterial.
81
Es muss sichergestellt sein, dass der Auftraggeber sich jederzeit von der Einhaltung der vertraglichen Vereinbarungen überzeugen kann.
82
Darüber hinaus muss der Auftragnehmer neben dem Auftraggeber die Position einer verantwortlichen Stelle einnehmen und damit auch im Außenverhältnis für die Ordnungsgemäßheit der Datenverarbeitung haften. Anders formuliert: Der Auftraggeber darf seine Position als verantwortliche Stelle durch die Datenübermittlung nicht verlieren!
83
Jedenfalls muss vertraglich gewährleistet sein, dass eine solche Datenübertragung „nicht das für persönliche Daten der Nutzer bestehende Schutzniveau beeinträchtigt“2. Dies muss bei jeder Datenweitergabe gelten, unabhängig davon, ob dieser eine Auftragsdatenverarbeitung oder ob eine andere Rechtsgrundlage zugrunde liegt.
1 Roßnagel/Pfitzmann/Garstka, Modernisierung des Datenschutzrechts, www. sachsen-anhalt.de, 124, 125. 2 EuGH v. 22.11.2012 – C-119/12, Celex-Nr. 62012CJ0119, Ziff. 26.
712
Roth-Neuschild
§ 45 Selbstregulierung im Datenschutz und verbindliche Unternehmensregelungen (BCR) Rz. I. Einleitung . . . . . . . . . . . . . . . . . . . II. Gesellschaftliche und rechtliche Basis der Selbstregulierung. . . . . .
1 5
III. Die informationelle Selbstbestimmung als Basis zur Selbstregulierung im Datenschutz. . . . . 10 IV. Selbstregulierung als Regelungsmodell in einer modernen Rechtsordnung . . . . . . . . . . . . . . . 14 V. Etablierung und Vorteile der Selbstregulierung im Datenschutz . . . . . . . . . . . . . . . . . . . . . . . 18 VI. Selbstregulierungsinstrumente im Datenschutz . . . . . . . . . . . . . . . 25
Rz. VII. Verbindliche Unternehmensregelungen . . . . . . . . . . . . . . . . . . . 1. Verbindliche Unternehmensregelungen nach deutschem Datenschutzrecht (§§ 4b, c BDSG) . . 2. Die Anforderungen an den grenzüberschreitenden Datenverkehr nach der EU-Datenschutzrichtlinie. . . . . . . . . . . . . . . . . . . . . . . . . 3. Modell einer Infrastruktur für Verbindlichkeit einer Datenschutzstrategie in einem global tätigen Unternehmen . . . . . . . . . . VIII. Der Entwurf der DatenschutzGrundverordnung vom 25.1.2012
31 33
37
47 53
IX. Ausblick . . . . . . . . . . . . . . . . . . . . . 60
I. Einleitung Die Begriffe, die uns nicht nur im Datenschutz in der vergangenen Deka- 1 de stetig begleitet haben, waren insbesondere Globalisierung, Konvergenz und Selbstregulierung. Über Globalisierung zu sprechen, gilt zwar heute noch nicht als über- 2 holt, aber inzwischen hat dieser Begriff nicht mehr dieselbe Aktualität wie noch vor einigen Jahren. Die globalisierten Märkte und die damit zusammenhängenden Möglichkeiten des elektronischen Geschäftsverkehrs sind inzwischen so selbstverständlich geworden, dass sie nicht mehr als Neuerungen wahrgenommen werden. Auch die Konvergenz beginnt langsam aus der aktuellen Datenschutz- 3 debatte zu verschwinden. Die nationale Gesetzgebung ist inzwischen in vielen Staaten so weit entwickelt, dass die Weichen vielerorts gestellt sind. Da immer mehr Staaten weltweit eine Datenschutzregulierung haben, kann einem Ruf nach Konvergenz der Regulierung heute nicht mehr das gleiche Gehör geschenkt werden wie noch vor einigen Jahren. Trotzdem ist die Konvergenz am Ziel einer weltweiten Datenschutzpolitik nicht überholt, sondern sie hat sich in vielen Bereichen durchgesetzt und verfestigt. Vor diesem Hintergrund, dass der weltweite Datenaustausch und die glo- 4 balisierte Datenverarbeitung in einer globalisierten Wirtschaft immer mehr an Bedeutung gewinnt und hierfür rechtliche Lösungen gefunden Bllesbach
713
§ 45
Selbstregulierung im Datenschutz
werden müssen, hat die Selbstregulierung in der Diskussion nicht an Aktualität eingebüßt und bildet insofern eine Ausnahme. Die Gründe für diese andauernde oder auch neu gewonnene Aktualität sollen in diesem Beitrag dargestellt werden.
II. Gesellschaftliche und rechtliche Basis der Selbstregulierung 5
In unserem modernen Gesellschaftsverständnis, das das Individuum als eigenverantwortlich und verantwortungsvoll begreift, erfährt dessen Entscheidungsfreiheit und Entscheidungsfähigkeit eine so bisher noch nicht gekannte Anerkennung und Ausprägung. Dies zeigt sich zum einen in der Kodifizierung bestimmter Freiheitsgrundrechte, zum anderen aber auch in der Etablierung verschiedener Vertrags- und Verpflichtungsinstrumente als Möglichkeiten der selbständigen Regelung der eigenen Rechtsverhältnisse1.
6
Die Frage der Bereitschaft der Bürger zur Annahme von Selbstregulierungsinstrumenten statt staatlich vorgeschriebener Regelungen ist demgegenüber eine gesellschaftliche Frage. Die moderne Gesellschaft ist geprägt von einem zunehmenden Individualismus und einem Freiheitsdenken, dessen Umsetzung individuelle Aktivität erfordert. Die Bereitschaft zur eigenverantwortlichen Lebensgestaltung ist folglich eine wesentliche Voraussetzung für eine erfolgreiche Selbstregulierung. Die Etablierung einer Selbstregulierungskultur ist daher eine Herausforderung, die die Gesellschaft als Ganzes durchdringen und die von dieser geleistet werden muss.
7
Voraussetzung dafür ist die Bereitschaft der Beteiligten zur Selbstverpflichtung und zur Würdigung der Interessen der anderen. Denn nur bei entsprechender Bereitschaft der Beteiligten, ihre Verhältnisse einvernehmlich zu regulieren, kann auf einen hoheitlichen Eingriff verzichtet werden. Die Selbstregulierung bietet sich dann als Alternative zum hoheitlichen Eingriff an und der Staat kann als „Wächter des gesellschaftlichen Zusammenlebens“ zurücktreten2. Dieses Interesse an der Würdigung der gegenseitigen Anforderungen und Bedürfnisse erfordert allerdings eine weniger selbstfokussierte Individualität des Einzelnen.
8
Dies setzt voraus, dass die Rechtsordnung dem Einzelnen ein Selbstbestimmungsrecht einräumt und dessen Ausübbarkeit sicherstellt. Weitere Voraussetzung für Selbstregulierungsmaßnahmen ist daher der entsprechende rechtliche Handlungsspielraum der Beteiligten. Das bedeutet, dass nicht nur rechtliche Instrumente zur Gestaltung vorhanden 1 Vgl. insgesamt hierzu Höffe, Wirtschaftsbürger/Staatsbürger/Weltbürger, politische Ethik im Zeitalter der Globalisierung, s. besonders S. 190 bis 196. 2 Weiterführend zur Selbstregulierung und zur Autopoiesis s. Büllesbach in Kaufmann/Hassemer/Neumann, Einführung in Rechtsphilosophie und Rechtstheorie der Gegenwart, 8. Aufl. 2011, S. 445 ff.
714
Bllesbach
§ 45
III. Die informationelle Selbstbestimmung als Basis
sein müssen, sondern auch Durchsetzungsmechanismen für die Selbstbestimmung gegenüber Angriffen gegen das Recht. Der Einzelne muss sich bei der Ausübung und Verteidigung dieses Rechts wiederum selbst engagieren, seine Interessen selbst vertreten und eigene Entscheidungen treffen. Ein Selbstregulierungsmodell kann daher nur Erfolg haben, wenn die ge- 9 sellschaftliche und rechtliche Basis zur Selbstbestimmung und Selbstverantwortung vorhanden ist. Der Einzelne muss dabei sowohl in seinem Interesse an der Ausübung seines Selbstbestimmungsrechts, als auch in einem weniger egoistischen und daher ausgleichenden Individualismus gestärkt werden. Nur wenn diese gesellschaftlichen und individuellen Voraussetzungen gegeben sind, kann Selbstregulierung die hoheitliche Regulierung ersetzen. Die Selbstbestimmung ist folglich eine der wichtigsten Wurzeln der Selbstregulierung.
III. Die informationelle Selbstbestimmung als Basis zur Selbstregulierung im Datenschutz Die informationelle Selbstbestimmung als konkrete Ausprägung einer 10 allgemeinen Philosophie der Freiheit und Selbstbestimmung bildet einen wesentlichen Bestandteil des Fundaments des Datenschutzes. Das gilt nicht nur für das deutsche Datenschutzrecht sondern für alle Rechtsordnungen, die die elementaren Datenschutzprinzipien anerkennen1. In Europa erfolgte erstmalig eine Dokumentation des Rechts auf Privat- 11 sphäre in der Europäischen Menschenrechtskonvention von 19502. Bereits 1981 widmete der Europarat dem Thema Datenschutz und Privatsphäre eine eigene Konvention, das „Übereinkommen zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten des Europarats“3. In der EU ist der Datenschutz inzwischen als Grundrecht anerkannt. In Art. 8 der EU-Grundrechtscharta4 findet sich einerseits der Grundsatz 12 des Einwilligungserfordernisses als auch das Recht auf Zugang zu den Daten, die über die eigene Person gespeichert sind. In Deutschland ist das Recht auf informationelle Selbstbestimmung seit 1983 durch das Volkszählungsurteil5 verfassungsrechtlich etabliert. Eine Verankerung
1 Einen Überblick über die internationale Rechtslage bietet Büllesbach, RDV 2002, 55. 2 Konvention zum Schutze der Menschenrechte und Grundfreiheiten des Europarates, Dok.-Nr. 005 v. 4.11.1950. 3 Dok.Nr. 108 v. 28.1.1981. 4 Entspricht Art. 11–68 der Europäischen Verfassung, in die die Charta der Grundrechte als Teil 2 integriert ist. 5 BVerfGE 65, 1. Bllesbach
715
§ 45
Selbstregulierung im Datenschutz
im Grundgesetz als Grundrecht hat die informationelle Selbstbestimmung allerdings bisher nicht erfahren1. 13
Weltweit erfahren im Datenschutz die Rechte auf Zugang, Information, Löschung und Berichtigung immer breitere Anerkennung. Auch der Grundsatz, dass eine Datenverarbeitung nur mit der Einwilligung des Betroffenen erfolgen darf, wird mehr und mehr anerkannt und kann zu den international etablierten Grundlagen des Datenschutzes gezählt werden. Allerdings ergeben sich, vor allem durch Eingriffs- und Beschränkungsmöglichkeiten, die die Rechtsordnungen in unterschiedlicher Weise dem Gesetzgeber offenhalten oder zuschreiben, Differenzierungen in der Effektivität und Ausübbarkeit der Selbstbestimmung im Datenschutz. Diese Problematik hat vor allem durch die Antiterrorismus-Debatte und aktuell durch die Offenlegung der Überwachungsmöglichkeiten durch die NSA vielerorts zu einer neuen Diskussion um die Selbstbestimmung insbesondere im Datenschutz geführt2.
IV. Selbstregulierung als Regelungsmodell in einer modernen Rechtsordnung 14
Begrifflich bedeutet Selbstregulierung, dass ein Lebenssachverhalt nicht durch den Gesetzgeber, also von außen, geregelt wird, sondern dass die Beteiligten selbst Regulative für ihre widerstreitenden Interessen finden und so zu einem allseits akzeptierten Interessenausgleich kommen. Selbstregulierung bildet damit einen Gegensatz zur hoheitlichen Regulierung, wie sie durch den Gesetzgeber und andere staatliche Stellen mit hoheitlichen Befugnissen erfolgt.
15
Erste Ansätze für eine Abkehr von der hoheitlichen Regelungskultur hin zu einer selbstbestimmten Gesellschaft finden sich in Platons „Politikos“ aus dem Jahre 360 v. Chr. Dieser statuiert folgende Erkenntnis3: „Auf gewisse Weise nun ist wohl offenbar, dass zur königlichen Kunst die gesetzgebende gehört, das Beste aber ist, wenn nicht die Gesetze Macht haben, sondern der mit Einsicht königliche Mann. Und weshalb? Weil das Gesetz nicht imstande ist, das für alle Zuträglichste und Gerechteste genau zu umfassen und so das wirklich Beste zu befehlen.“ Darin zeigt sich bereits ein Bewusstsein für die Grenzen und Schwächen der hoheitlichen Regulierung. Allerdings war Platon ein Vertreter der ideellen Naturrechtslehre und sprach den Bürgern eines Staates die Fähigkeit zur Mitentscheidung und Mitverantwortung noch ab4. 1 Diskutiert von Faber, RDV 2003, 278 (285 f.). 2 Vgl. zur früheren Diskussion um die Zugriffe auf Flugpassagierdaten Schröder, RDV 2003, 285. 3 Platon, Politikos, S. 294. 4 Weiterführend zur Geschichte der Rechtsphilosophie s. Kaufmann in Kaufmann/Hassemer/Neumann, Einführung in Rechtsphilosophie und Rechtstheorie der Gegenwart, S. 33 ff.
716
Bllesbach
V. Etablierung und Vorteile der Selbstregulierung im Datenschutz
§ 45
Heute erfahren Selbstregulierungsmaßnahmen vor allem in den Bereichen 16 zunehmende Verbreitung, in denen die territoriale Begrenzung der gesetzgeberischen Regelungsmacht aufgrund der globalisierten Wirtschaftsstruktur praktische Probleme aufwirft. Durch selbstregulative Maßnahmen gelingt es, eine Einheitlichkeit in das rechtliche Fundament von globalen Geschäften und anderen wirtschaftlichen Aktivitäten zu bringen. Politische Lösungen sind hier wesentlich schwieriger zu erzielen, weil bei einer abstrahierten internationalen Kodifizierung nicht nur die Vielzahl der Beteiligten und ihrer vielfältigen Interessen zum Ausgleich zu bringen sind, sondern auch unterschiedliche Rechtskulturen in Einklang gebracht werden müssen. Ein wesentlicher Vorteil der Selbstregulierung besteht in der Flexibilität 17 der Maßnahmen. Aufgrund der begrenzten Zahl von Beteiligten und damit der Überschaubarkeit der involvierten Interessen ist es hier wesentlich leichter, später eine Anpassung an Veränderungen der äußeren und inneren Gegebenheiten des geregelten Lebenssachverhaltes vorzunehmen. Wie schon beim Regulierungsvorgang macht sich auch bei solchen Änderungsprozessen bezahlt, dass die Beteiligten ein Interesse an einer möglichst praxis- und interessengerechten Lösung haben und gleichzeitig ein konkretes Ziel den Regulierungsvorgang leitet1.
V. Etablierung und Vorteile der Selbstregulierung im Datenschutz Bereits seit vielen Jahren befindet sich in Deutschland die Diskussion 18 um eine Neuordnung von staatlichen und privaten Verantwortungsebenen und Steuerungs- sowie Vollzugsdefiziten klassisch imperativer Regelungsmechanismen in vollem Gang2. Dennoch wurde die Selbstregulierung als Regulierungsinstrument für den Datenschutz erst in den vergangenen Jahren ernst genommen. Aufgrund der teilweise noch völlig unregulierten Thematik stand man in der Anfangsphase des Datenschutzes zunächst vor der elementaren Frage, ob es zum angemessenen Ausgleich der Interessen einer gesetzgeberischen Regelung bedarf. Als Datenschutz aufgrund der technischen Entwicklungsstandards vor 19 allem eine Frage von Rechten des Einzelnen gegenüber dem Staat war, 1 S. dazu auch Roßnagel, Marktwirtschaftlicher Datenschutz – eine Regulierungsperspektive, in Bizer/Lutterbeck/Rieß, Freundesgabe für Alfred Büllesbach, S. 142. 2 Vgl. etwa: Grimm (Hrsg.), Wachsende Staatsaufgaben – sinkende Steuerungsfähigkeit des Rechts; Mayntz, Politische Steuerung und gesellschaftliche Steuerungsprobleme – Anmerkungen zu einem theoretischen Paradigma in Jahrbuch zur Staats- und Verwaltungswissenschaft, Band 1/1987, S. 89 ff.; Mayntz/Scharpf (Hrsg.), Gesellschaftliche Selbstregulierung und politische Steuerung; Schuppen, Verwaltungsrecht als Steuerungswissenschaft in Hoffmann-Riem/Schmidt-Assmann/Schuppert (Hrsg.), Reform des Allgemeinen Verwaltungsrechts, S. 72 ff.; Teubner, Global law without a State. Bllesbach
717
§ 45
Selbstregulierung im Datenschutz
kam die Selbstregulierung als Alternative zur gesetzgeberischen Regelung kaum in Betracht, so dass heute in Staaten, die bereits seit dieser Zeit ein Datenschutzgesetz haben, die Selbstregulierung noch immer relativ wenig Verbreitung und rechtliche Anerkennung gefunden hat. Historisch ist diese Unterentwicklung des Selbstregulierungssektors in den Staaten frühzeitiger Datenschutzgesetzgebung insoweit nachvollziehbar, als die Verbreitung der technischen Infrastruktur im privaten Bereich sich langsam entwickelte und durch das bestehende Regelungswerk direkt oder indirekt abgedeckt wurde. Bis zur Verabschiedung des BDSG 2001 war auch dem deutschen Datenschutzrecht die Kodifizierung von privater Regelsetzungsbefugnis fremd. 20
Einen Wandel hat die Selbstregulierungsdebatte vor allem durch die, ebenfalls technisch zu begründende, Entgrenzung der Datenschutzfragestellungen erfahren. Von dem Moment der grenzüberschreitenden Datenschutzverarbeitungstätigkeit an konnten die bestehenden Regelungsmechanismen nicht mehr auf die neuen Problemstellungen übertragen werden. Erst zu diesem Zeitpunkt rückte die Selbstregulierung als Lösung für die sich neu stellenden Probleme in den Fokus des Interesses. Daher blieben Selbstregulierungsinstrumente hier eine Alternative, die nicht nur aus praktischen sondern auch aus rechtskulturellen Gesichtspunkten vorteilhaft erscheinen, weil sie die Unterschiede in den Rechtskulturen anerkennen.
21
Inzwischen ist die Selbstregulierung zu einem anerkannten und immer beliebteren Mittel geworden, um die Umsetzung unterschiedlicher nationaler Voraussetzungen auf einem einheitlichen Weg zu ermöglichen. Die Heterogenität der Voraussetzungen lässt sich durch eine selbst geschaffene einheitliche Basis überwinden. Dabei muss die Selbstregulierungsmaßnahme der anspruchsvollsten der anzuwendenden Rechtsordnungen Genüge tun, um in ihrem gesamten Geltungsbereich rechtliche Anerkennung erfahren zu können. Aber auch aufgrund der Tatsache, dass noch immer vielerorts keine Datenschutzgesetze für den privaten Bereich existieren, gewinnt die Selbstregulierung als Mittel zur Herstellung eines einheitlichen Standards weiterhin an Aktualität.
22
Das Netz, auf das die Maßnahmen der Selbstregulierung passen müssen, wird allerdings bei zunehmender Regulierungsdichte immer engmaschiger. Aus Sicht eines innerhalb der EU-ansässigen Unternehmens ist dies vergleichsweise unproblematisch, da die Datenschutzanforderungen der EU im weltweiten Vergleich relativ hohe Anforderungen stellen. Eine Selbstregulierungsmaßnahme, die auf diesen Anforderungen aufbaut und sie weltweit umsetzt, geht deshalb vielerorts über das gesetzlich geforderte Maß hinaus. Auf diese Weise lässt sich der in einem Teil des Unternehmens ohnehin zu verwirklichende Standard in seinem Geltungsbereich auf das gesamte Unternehmen ausdehnen. Im Gegensatz zu dem durch die Globalisierung befürchteten „race to the bottom“ kann die Selbstregulierung teilweise sogar zu einem „race to the summit“ führen. 718
Bllesbach
§ 45
VI. Selbstregulierungsinstrumente im Datenschutz
Dort, wo die Politik der Konvergenz an ihre Grenzen stößt, verhilft dies dem Datenschutz zu einem höheren Homogenisierungs- und Anerkennungsgrad. Gleichzeitig können negative Effekte der Globalisierung beschränkt werden. Ein wenig paradox mag dabei wirken, dass dies letztendlich durch die Globalisierung selbst erfolgt, nämlich in den Bereichen, in denen die Globalisierung gelebt wird, wie beispielsweise in einem weltweit tätigen Unternehmen. Außerdem spielt die Flexibilität von Selbstregulierungsmaßnahmen vor 23 allem im Datenschutz eine wichtige Rolle und bildet insbesondere aus der Perspektive eines Weltunternehmens einen entscheidenden Vorteil. Durch die noch immer fortschreitende Etablierung von Datenschutzgesetzen in vielen Staaten entwickelt sich die Gesetzeslage stetig weiter. Inzwischen existieren weltweit mehr als 100 nationale Datenschutzgesetze. Hierdurch ergeben sich noch häufig Neuerungen, deren Umsetzung ein weltweit tätiges Unternehmen immer wieder vor neue Herausforderungen stellt. Diesen kann auf der Grundlage von Selbstregulierungsmaßnahmen zeitnah und konkret begegnet werden. Die Entlastungswirkung, die Selbstregulierungsmaßnahmen für die 24 Rechtsordnung insbesondere im Bereich des Datenschutzes haben, ist außerdem nicht zu unterschätzen. Aufgrund des ubiquitären Einsatzes automatisierter Datenverarbeitung, der Social Media, der Herausforderungen durch Mobile Devices sehen sich internationale Gesetzgeber vor einer besonders großen Zahl zu regelnder Lebenssachverhalte. Einerseits wird von einer gesetzlichen Regelung verlangt, dass sie sämtliche Sachverhalte erfasst, gleichzeitig besteht die Gefahr einer enormen Flut zur Regulierung einer Vielzahl von Einzelfällen1.
VI. Selbstregulierungsinstrumente im Datenschutz Die Mittel der Selbstregulierung2, die sich im Datenschutz zur Überwin- 25 dung der aufgezeigten Schwierigkeiten entwickelt haben, sind vielfältig. Der Katalog reicht von Gütesiegeln und Selbstkontrolle über Selbstverpflichtungserklärungen und Verhaltensregeln bis hin zur internationalen Anerkennung von Vertragsklauseln und Verhaltensprinzipien. Welches dieser Instrumente zur Anwendung kommt, hängt in erster Linie von der lokalen Rechtskultur und der konkreten Regelungsmaterie ab.
1 S. dazu Roßnagel/Pfitzmann/Garstka, Modernisierung des Datenschutzrechts, Gutachten im Auftrag des Bundesministeriums des Inneren, S. 44 f. 2 S. dazu auch Büllesbach, RDV 2002, 45; ausführlich diskutiert werden die verschiedenen Instrumente durch Büllesbach/Höss-Löw, DuD 2001, 135 sowie Büllesbach, Selbstregulierungsinstrumente in der globalen Wirtschaft in Griesche/ Meyer/Dörrenberg, Innovative Managementaufgaben in der nationalen und internationalen Praxis, Festschrift anlässlich des 60. Geburtstages von Prof. Dr. Dr. h. c. Sebastian Dworatschek, S. 128 ff. Bllesbach
719
§ 45
Selbstregulierung im Datenschutz
26
In den USA besteht die Möglichkeit der Anerkennung der Safe Harbor Principles als freiwillige Verhaltensregeln. Nachteil dieser Lösung ist in erster Linie ihre räumlich begrenzte Geltung. Die Safe Harbor Principles bilden nur in den USA eine anerkannte datenschutzrechtliche Basis, weshalb sich ihre Tauglichkeit zur Überwindung weltweiter Regulierungsunterschiede auf die Differenzen zwischen der europäischen und der amerikanischen Rechtslage beschränkt. Letztendlich ist dadurch kaum mehr gewonnen als mit einer verbindlichen nationalen Gesetzgebung. Im Übrigen sei darauf hingewiesen, dass die Akzeptanz und die Durchsetzung der Safe Harbor Principles in den Vereinigten Staaten von europäischen Datenschutzaufsichtsbehörden sehr kritisch betrachtet wird.
27
Ein ähnliches Problem tritt zum Teil bei den Gütesiegeln auf. Häufig sind diese durch Organisationen angeboten, die keine weltweite Anerkennung erfahren, sondern beispielsweise nur kontinental etabliert sind. Ein Gütesiegel zu schaffen, das weltweit anerkannt und auch großflächig umgesetzt wird, stellt den Gütesiegelanbieter vor ähnliche Probleme wie einen Weltgesetzgeber, weil er dabei nicht nur unterschiedlichen Rechtskulturen, sondern auch Besonderheiten aller Rechtsordnungen entsprechen muss. Daher ist auch diese Lösung für den besonderen Bedarf nach Schaffung eines weltweit einheitlichen Datenschutzniveaus noch in den Anfängen ihrer Praktikabilität.
28
Als Alternative bieten sich Vertragsklausel-Lösungen an. Hier bieten sich sowohl individuell vereinbarte Vertragsklauseln als auch die EUStandardvertragsklauseln an. Individuell vereinbarte Vertragsklauseln haben den Nachteil, dass sie im Einzelnen von den zuständigen Datenschutzaufsichtsbehörden genehmigt werden müssen. Die EU-Standardvertragsklauseln sind Musterverträge der EU-Kommission, die i.S.d. § 4c Abs. 2 ausreichende Garantien für ein angemessenes Datenschutzniveau bieten. Allerdings ist jede Abweichung von den Standardvertragsklauseln unzulässig bzw. bei Abweichung die Genehmigung der Verwendung dieser Klauseln durch die Datenschutzbehörden erforderlich.
29
Die EU-Kommission hat in Form von Entscheidungen der Kommission bis heute drei gültige Standardvertragsklauseln veröffentlicht: – Entscheidung der Kommission vom 15.6.2001, hinsichtlich Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer nach der Richtlinie 95/46/EG (Entscheidung 2001/497/EE), – Entscheidung der Kommission vom 27.12.2004 zur Änderung der Entscheidung 2001/497/EE bezüglich der Einführung alternativer Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer (Entscheidung 2004/915/EE) sowie – der Beschluss der Kommission vom 5.2.2010 über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftrags-
720
Bllesbach
§ 45
VII. Verbindliche Unternehmensregelungen
datenverarbeiter in Drittländern nach der Richtlinie 95/46/EG des europäischen Parlamentes und des Rates (Beschluss 2010/87/EU)1. Die größte Problemlösungsmöglichkeit bietet die Verwendung von ver- 30 bindlichen Unternehmensregeln. Die verbindlichen Unternehmensregeln bieten dabei vor allem für weltweit tätige Unternehmen Lösungen an, die eine Datenübermittlung für die verschiedenen Geschäftszwecke ermöglichen. Sie schaffen eine umfassende, weltweit gültige Basis für den Umgang mit Betroffenen und ihren personenbezogenen Daten. Gleichzeitig erleichtern sie durch die zentrale Kodifizierung der Prinzipien die Anpassung an veränderte Rechts- oder Sachlagen.
VII. Verbindliche Unternehmensregelungen Verbindliche Unternehmensregeln (Binding Corporate Rules, BCR) sind 31 interne Regeln (ähnlich wie sog. Codes of Conduct), die von internationalen Konzernen oder Gesellschaften entwickelt und gruppen- bzw. gesellschaftsintern verbindlich eingeführt wurden. Diese globalen Richtlinien beziehen sich darauf, den transnationalen Transfer personenbezogener Daten innerhalb der Gruppe zu Gesellschaften in Ländern ohne angemessenes Datenschutzniveau zu gewährleisten. Im Gegensatz zu den Modellvertragsklauseln bieten verbindliche Unter- 32 nehmensregeln die Chance, international ausreichende Garantien für die Gewährleistung eines angemessenen Datenschutzniveaus herzustellen. 1. Verbindliche Unternehmensregelungen nach deutschem Datenschutzrecht (§§ 4b, c BDSG) Verbindliche Unternehmensregeln haben gem. § 4c Abs. 2 Satz 1 BDSG 33 keine gesetzlich festgelegten Inhalte. Sie müssen allerdings „ausreichende Garantien hinsichtlich des Schutzes des Persönlichkeitsrechts und der Ausübung der damit verbundenen Rechte“ vorweisen. Die Inhalte von verbindlichen Unternehmensrichtlinien richten sich also nach datenschutzrechtlichen Grundanforderungen des BDSG, insbesondere aber den jeweiligen unternehmensspezifischen Besonderheiten2 und den sie regulierenden, jeweiligen gesetzlichen Anforderungen. Als Regelungsinhalte für BCR lassen sich folgende Anforderungen nennen: Grundsätze 1 S. Büllesbach in Büllesbach/Gijrath/Poullet/Prins (Eds.), Concise European IT Law, 2. Ed., 2010, Art. 26 Nr. 4, S. 125. Vgl. auch Götz, Zulässigkeit der grenzüberschreitenden Datenübermittlung zwischen Konzernunternehmen gem. BDSG und dem Entwurf der Europäischen Datenschutzgrundverordnung in Law as a Service (LaaS) – Recht im Internet- und Cloud-Zeitalter, Hrsg. Jürgen Taeger, DSRI-Tagungsband Herbstakademie 2013, Band 1, S. 21 ff. insb. 30 f. 2 Zu Datenschutzorganisation und Implementierung eines Code of Conduct (seit 2001 BCR) in einem globalen Unternehmen s. Büllesbach, RDV 2000, 1 (3 ff.); Roßnagel/Büllesbach, Handbuch Datenschutzrecht, Kap. 7.1., S. 1076. Bllesbach
721
§ 45
Selbstregulierung im Datenschutz
für die Verarbeitung personenbezogener Daten und den Umgang mit besonderen Arten personenbezogener Daten, Rechte der Betroffenen, Datengeheimnis und Vertraulichkeit, Datensicherheitsgrundsätze, Bestimmungen zum Gebrauch von Telekommunikationseinrichtungen, Social Media, Mobil Devices, Internet, Regeln für Datenverarbeitung im Auftrag bzw. unter Einbeziehung Dritter, Festlegung des Geltungsbereiches, Abhilfe/Sanktionen/Verantwortlichkeiten sowie Aufgaben und Befugnisse eines Konzernbeauftragten für den Datenschutz. 34
Deutlich wird damit, dass bei der Konzeption von BCR eine konzernweite einheitliche Ausgestaltung oder die Ausrichtung auf bestimmte Gruppen durch unterschiedliche Versionen abzuwägen ist. Der Zuschnitt von BCR auf verschiedene Gruppen kann sinnvoll sein, wenn der Umgang mit personenbezogenen Daten sich bei diesen Gruppen unterscheidet (etwa bei Lieferanten, Kunden, Mitarbeiter etc.). Letztlich entscheiden die internen Arbeitsabläufe des jeweiligen Unternehmens über die konkrete Gestaltung von verbindlichen Unternehmensregelungen.
35
Der Begriff „Verbindliche Unternehmensregelungen“ wurde im Zuge der Novellierung des Bundesdatenschutzgesetzes 2001 erstmalig in das Datenschutzgesetz unter dem Aspekt der Gewährleistung der Selbstregulierung aufgenommen. Die Herausforderungen für global agierende Unternehmen konnten im Rahmen der Selbstregulierung am besten aufgearbeitet werden. Es ging darum, die Einheit kultureller Vielfalt von nationalen Gesetzen zu gewährleisten und compliant mit den Prinzipien der Art. 25 und 26 der EU-Direktive 95/46 und der BDSG-Regeln in §§ 4b und 4c zu sein. Notwendig für global agierende Unternehmen war es, eine globale Datenschutzstrategie zu erarbeiten, in der substantielle Anforderungen wie das angemessene Datenschutzniveau bei grenzüberschreitendem Datenverkehr, eine Infrastruktur und ein Law Enforcement System enthalten sind.
36
Vorteile des selbstregulierenden Ansatzes sah man in schnellen und flexiblen Reaktionsmöglichkeiten auf Marktveränderungen, wie Verbesserung des Verbraucherschutzes und der Wettbewerbsfähigkeit durch spezifische Regelungen, grenzüberschreitende Lösungen für globale Märkte, globale Transparenz und Orientierung für Kunden, schnelle und effiziente Streitschlichtung durch alternative Streitschlichtungsmodelle, effektive Rechtsdurchsetzung und schließlich selbstregulierende Modelle, in denen die Heterogenität weltweiter Datenschutzgesetze berücksichtigt werden können. Für die Bewusstseinsstärkung und Sensibilisierung war wichtig, dass sich Datenschutz zu einem Kulturbestandteil in verschiedenen Ländern entwickelt. Für eine strategische Ausrichtung eines Unternehmens galt es, Datenschutz und Datensicherheit zu einem integralen Bestandteil von Dienstleistungen, Projekten und Geschäftsprozessen werden zu lassen.
722
Bllesbach
§ 45
VII. Verbindliche Unternehmensregelungen
2. Die Anforderungen an den grenzüberschreitenden Datenverkehr nach der EU-Datenschutzrichtlinie Ziel der Richtlinie ist die Harmonisierung von Datenschutzanforderungen 37 innerhalb der EU und der freie Datenverkehr im Binnenmarkt. Art. 25 regelt die Übermittlung personenbezogener Daten nur in solche Drittländer (nicht EU/EWG), die ein „angemessenes“ Datenschutzniveau haben. Die Definition von „Angemessenheit“ soll sich nach Art. 25 Abs. 2 auf die Berücksichtigung aller Umstände, wie sie dort genannt sind, beziehen. Die Bewertung hat in der Praxis regelmäßig Probleme hervorgerufen, so dass schon frühzeitig von der EU-Kommission Entscheidungen über die Angemessenheit eines Datenschutzniveaus in Drittstaaten getroffen wurden. Der Effekt der EU-Kommissions-Entscheidungen ist, dass personenbezogene Daten von allen 28 EU-Mitgliedstaaten und den drei EWG-Staaten (Norwegen, Liechtenstein und Island) in Drittstaaten ohne weitere Prüfung des angemessenen Schutzniveaus zulässig sind. Die Kommission hat bis heute folgende Länder als angemessen anerkannt: Andorra, Argentinien, Australien, Kanada, Schweiz, Färöer-Inseln, Guernsey-Inseln, Israel, Isle Of Man, Jersey, Safe Harbor Privacy Principles und Air Passenger Name Record für die USA, Neuseeland, Uruguay. Die Konsequenz aus diesen Entscheidungen ist, dass alle anderen Daten- 38 übermittlungen in die USA und in andere Länder bestimmte Schutzmaßnahmen erfordern, es sei denn, es besteht eine Ausnahme. Die Datenübermittlung ist in den Ausnahmefällen des Art. 26 Abs. 1 erlaubt, hierzu zählen z.B. die zweifelsfreie Einwilligung des Betroffenen, wenn die Übermittlung für die Erfüllung eines Vertrages mit den Betroffenen erforderlich ist, wenn die Übermittlung erforderlich ist zur Durchführung von vorvertraglichen Maßnahmen auf Antrag des Betroffenen, wenn die Übermittlung zur Wahrung lebenswichtiger Interessen des Betroffenen erforderlich ist. Art. 26 Abs. 2 regelt schließlich eine weitere Ausnahme vom Prinzip des 39 angemessenen Schutzniveaus. Hiernach kann unbeschadet der o.g. Ausnahmefälle des Abs. 1 ein Mitgliedstaat eine Übermittlung oder eine Kategorie von Übermittlungen personenbezogener Daten in ein Drittland genehmigen, das kein angemessenes Schutzniveau gewährleistet, wenn der für die Verarbeitung Verantwortliche ausreichende Garantien hinsichtlich des Schutzes der Privatsphäre der Grundrechte und der Grundfreiheiten der Personen sowie hinsichtlich der Ausübung der damit verbundenen Rechte bietet. In der EU-Richtlinie wird darauf hingewiesen, dass diese Garantien sich insbesondere aus entsprechenden Vertragsklauseln ergeben können. In Ergänzung zu dieser Regelung des Art. 26 Abs. 2 letzter Halbs. wird, wie bereits oben erwähnt, im Bundesdatenschutzgesetz in § 4c Abs. 2 Satz 1 letzter Halbs. darauf hingewiesen, dass Garantien sich nicht nur aus Vertragsklauseln, sondern insbesondere auch aus verbindlichen Unternehmensregelungen ergeben können.
Bllesbach
723
§ 45
Selbstregulierung im Datenschutz
40
Die einzelnen nationalen Datenschutzaufsichtsbehörden können nach Art. 26 Abs. 2 Satz 1 Übermittlungen oder eine Kategorie von Übermittlungen personenbezogener Daten in ein Drittland genehmigen bei Vorliegen ausreichender Garantien. Dieses Genehmigungsverfahren bezieht sich nicht auf die Genehmigung der BCR, sondern auf die Datenübermittlungen. Bei der Prüfung der Zulässigkeit werden für die Prüfung der ausreichenden Garantien die BCR inzidenter herangezogen. Diese Prozedur hat über Jahre innerhalb der Mitgliedstaaten der EU zu Verzögerungen und Meinungsdifferenzen geführt. Mittlerweile haben 21 EU-Mitgliedstaaten die sog. „mutual recognition procedure“ vereinbart. Mit dieser Prozedur soll die Prüfung der BCR durch die Datenschutzbehörden beschleunigt werden. Kommt die prüfende und führende Datenschutzaufsichtsbehörde eines Landes zu dem Ergebnis, dass die vorgelegten BCR die Anforderungen, die sich aus dem Workingpaper der Art. 29-Gruppe ergeben, erfüllt sind, teilt sie dies den anderen Aufsichtsbehörden mit, die diese Entscheidung als hinreichende Basis für ihre eigene Entscheidung und die Erlaubnis für die Datenübermittlung nach jeweiligem nationalem Recht darauf stützen1.
41
Die EU-Datenschutzrichtlinie 95/46 sah vor, dass sie bis 24.10.1998 in den Mitgliedstaaten umzusetzen war. Das führte zu einer Diskussion in der Zeit von 1995 bis 1998, welche Anforderungen für die Datenübermittlung in Drittstaaten erforderlich sind, um ein angemessenes Schutzniveau bzw. ausreichende Garantien sicherzustellen. Die Diskussion begann in einigen Konzernen sehr frühzeitig; schon 1997 war die damalige Daimler Chrysler AG damit beschäftigt sog. Codes of Conduct zu erarbeiten, um ein Beispiel für ausreichende Garantien und die Datenübermittlung für einen global tätigen Konzern datenschutzrechtlich zulässig zu organisieren. Der Begriff CoC war damals in Ableitung des Begriffes in Art. 27 EU-Richtlinie aufgegriffen worden, da zu dem Zeitpunkt der Begriff verbindliche Unternehmensregeln als datenschutzrechtliche Vorschrift noch nicht vorhanden war; er wurde durch die BDSG-Novelle 2001 eingeführt.
42
Ausgangspunkt der damaligen Überlegungen war es, auf der Basis einer Analyse international existierender Datenschutzgesetze, der Richtlinien und Konventionen zum Datenschutz international und in Europa eine Verhaltensregulierung zu entwickeln, die unter dem Aspekt „ausreichende Garantien“ ein angemessenes Schutzniveau für einen global aktiven Konzern schafft. Hierzu gehörten neben der rechtlichen Analyse auch organisatorische Konzeptionsüberlegungen, wie beispielsweise Einrichtung einer Infrastruktur von Datenschutzbetreuern im internationalen Bereich, einer Rechtsdurchsetzungsinfrastruktur, einer Awareness- und Sensibilisierungsoffensive, Schulung der erforderlichen Kenntnisse in Datenschutz und Datensicherheit, die Vermittlung und Einbettung die1 S. Büllesbach in Büllesbach/Gijrath/Poullet/Prins (Eds), Concise European ITLaw, second Edition 2010, Art. 26, S. 122 (insbesondere S. 123) bis 125.
724
Bllesbach
§ 45
VII. Verbindliche Unternehmensregelungen
ser Gesamtkonzepte in eine Strategie und Kulturoffensive für ein Unternehmen, das sowohl Kunden als auch Mitarbeiter davon überzeugt, dass ein angemessenes Datenschutzniveau aufgebaut und gewollt ist. So wurden frühzeitig Konzeptionen entwickelt zur Schaffung von Vertrauen als konzeptionelle Voraussetzung für die Entwicklung einer Informationsgesellschaft sowie als strategischen Faktor im Wettbewerb. Notwendig war es Zielgruppen zu bilden, die ausgewählt mit Daten- 43 schutzfragen vertraut zu machen waren. Selbstverständlich musste zwischen den verschiedenen Aspekten und den Erfordernissen für die verschiedenen Zielgruppen differenziert werden. Zu diesen Zielgruppen zählten Management, Sekretariate, Projektentwickler, Personaldatenverarbeiter, im Informations- und Kommunikationstechnologie-Umfeld Tätige, z.B. Systementwickler, Administratoren, Bedienerservice, Beschäftigte im medizinischen und sozialen Sektor, Forscher, Entwickler, Ingenieure, auch Mitarbeiter in dem Feld Verkehrsinformatik und Verkehrstelematik, Beschäftigte in Abteilungen mit sensiblen Daten, wie Finanzabteilung, Einkauf etc., Betriebsräte und Konzernbetriebsräte, Auszubildende, Service-Einrichtungen, wie Financial-Services und Versicherungsbereiche. Trainingsfelder differenziert nach den Bedürfnissen der genannten 44 Zielgruppen waren zunächst zu entwickeln, Basiswissen in Datenschutzrechtsfragen und Sensibilität waren aufzubauen, Datenschutz-Compliance herzustellen, interne Regulierungen für bestimmte Problemstellungen, z.B. Betriebsvereinbarungen, Direktiven und Guidelines sowie Arbeitsinstruktionen und Manuale waren zu erarbeiten. Für eine wachsende Zahl von Mitarbeitern in global agierenden Gesell- 45 schaften war es notwendig und intensiver geworden, auch internationalen Datenschutz einschließlich bereichsspezifischer Datenschutzfragen und Binding Corporate Rules zu schulen. Die Vermittlung und Kommunikation dieser Informationen erfolgte 46 durch Personaltraining, Selbsttraining und dazu ergänzend der Erarbeitung von Flyern, Broschüren, traditionelle und moderne Medien1. In der Zeit der Entwicklung der BCR in einzelnen Konzernen und der rechtspolitischen Diskussion über den Stellenwert von verbindlichen Unternehmensregeln beteiligte sich auch die Art. 29-Gruppe an der Thematik durch Arbeitsunterlagen zur Erarbeitung, Entwicklung von verbindlichen Unternehmensregeln und deren inhaltlicher Gestaltung. Im Einzelnen handelt es sich hier um die Arbeitsunterlagen (Workingpaper)
1 S. Tagungsband, „The 23rd International Conference of Data Protection Commissioners“, Privacy-Human Right, Paris, Sept. 24–26, 2001, Büllesbach, The creation of confidence requires a concept, S. 215 ff., 222 bis 227. Bllesbach
725
§ 45
Selbstregulierung im Datenschutz
– Workingpaper 12, Übermittlung personenbezogener Daten an Drittländer: Anwendung von Art. 25 und 26 der Datenschutzrichtlinie der EU vom 24.7.1998; – Workingpaper 74, Arbeitsdokument: Übermittlung personenbezogener Daten an Drittländer: Anwendung von Art. 26 Abs. 2 der EU-Datenschutzrichtlinie auf verbindliche, unternehmensinterne Vorschriften für den internationalen Datentransfer vom 3.7.2003; – Workingpaper 101, Entschließung der Art. 29-Datenschutzgruppe zum Thema Rechtsdurchsetzung vom 25.11.2004; – Workingpaper 102, Muster-Checkliste, Antrag auf Genehmigung verbindlicher Unternehmensregelungen vom 25.11.2004; – Workingpaper 107, Arbeitsdokument „Festlegung eines Kooperationsverfahrens zwecks Abgabe gemeinsamer Stellungnahmen zur Angemessenheit der verbindlich festgelegten unternehmensinternen Datenschutzgarantien“ vom 14.4.2005; – Workingpaper 108, Arbeitsdokument „Muster-Checkliste für Anträge auf Genehmigungen verbindlicher unternehmensinterner Datenschutzregelungen vom 14.4.2005“; – Workingpaper 114, Arbeitspapier über eine gemeinsame Auslegung des Art. 26 Abs. 1 der Richtlinie 95/46/EG vom 24. Oktober 1995, angenommen am 25.11.2005; – Workingpaper 133, Recommendation 1/2007 on the Standard Application for Approval of Binding Corporate Rules for the Transfer of Personal Data vom 10.1.2007; – Workingpaper 153, Arbeitsdokument mit einer Übersicht über die Bestandteile und Grundsätze verbindlicher unternehmensinterner Datenschutzregelungen (BCR) angenommen am 24.7.2008; – Workingpapier 154, Arbeitsdokument „Rahmen für verbindliche und unternehmensinterne Datenschutzregelungen (BCR)“ angenommen am 24.7.2008; – Workingpaper 155, REV.01, Arbeitsdokument zu häufig gestellten Fragen über verbindliche unternehmensinterne Datenschutzregelungen (BCR), überarbeitet und angenommen am 1.10.2008.
726
Bllesbach
§ 45
VII. Verbindliche Unternehmensregelungen
3. Modell einer Infrastruktur für Verbindlichkeit einer Datenschutzstrategie in einem global tätigen Unternehmen Datenschutzstrategie
Compliance und Wettbewerbsvorteil
Interne Richtlinien
Infrastruktur
– Rechtsanalyse – BCR, Richtlinien – Policies – Überprüfung – Fortschreibung
– Org. Führung – Lenkung – Beratung – Kommunikation – Koordination
Rechtsdurchsetzung
– Schulung – Beratung – Prüfung – Beanstandung – Sanktionen
Integriertes Datenschutz- und Datensicherheitskonzept
Dieses Modell zeigt eine strategische Ausrichtung und Zielorientierung 47 für eine Datenschutzstrategie, die schließlich in Datenschutz-Compliance mündet und sich daraus einen Wettbewerbsvorteil erarbeitet. Das Modell besteht aus drei Säulen, der Regulierungssäule, die sich zusammensetzt aus der Analyse von Recht, der Entwicklung von Binding Corporate Rules, sonstigen Richtlinien, Policies, der Überprüfung dieser Regulierungen und schließlich der Fortschreibung. Die 2. Säule enthält die Organisation und Etablierung einer datenschutz- 48 rechtlichen Infrastruktur. Sie umfasst die organisatorische Führung und Lenkung, die Beratung von Mitarbeitern und Datenschutzkoordinatoren, die Kommunikation in einem gesamten Unternehmen und schließlich die Koordinierung innerhalb dieser Infrastruktur. Die 3. Säule bildet die konzernweite Rechtsdurchsetzung ab. Die Durch- 49 setzung erfolgt durch umfangreiche Schulungen, Problem- und Fallberatungen, Prüfungen der Infrastruktur und der Einhaltung der Gesetze und der internen Richtlinien, ggf. Beanstandungen und Sanktionen. Die personelle Infrastruktur ist dadurch gekennzeichnet, dass die dezen- 50 tral agierenden Datenschutzkoordinatoren auf der Basis der Richtlinien in der Infrastruktur arbeiten und gleichzeitig dafür zu sorgen haben, dass sowohl die Gesetze und Richtlinien als auch die Infrastruktur beachtet und durchgesetzt werden.
Bllesbach
727
§ 45
Selbstregulierung im Datenschutz
51
Basis für diese 3-Säulen-Struktur ist ein gelebtes und integriertes Datenschutz- und Datensicherheitskonzept für ein Gesamtunternehmen.
52
Werden alle vorgesehenen Anforderungen erfüllt, funktionieren die Arbeitsformen, Methoden und Weisungen, kann ein Unternehmen davon ausgehen, dass es organisatorisch alles vorbereitet hat, um die Verbindlichkeit von Unternehmensregeln, wie sie auch in den Workingpapers, insbesondere 133 und 154 verlangt werden, erfüllt hat, somit also ausreichende Garantien für die Gewährleistung eines angemessenen Datenschutzniveaus bereithält1.
VIII. Der Entwurf der Datenschutz-Grundverordnung vom 25.1.2012 53
Die Mitteilung der Kommission an das europäische Parlament, den Rat, den europäischen Wirtschafts- und Sozialausschuss und den Ausschuss der Regionen zum „Schutz der Privatsphäre in einer vernetzten Welt (Ein europäischer Rechtsrahmen für das 21. Jahrhundert)“ beabsichtigt, eine neue Entwicklung im europäischen Datenschutzrecht zu etablieren. Die Mitteilung (KOM (2012) 9) enthält einen Entwurf für eine DatenschutzGrundverordnung und einen Vorschlag (KOM (2012) 10) für eine Richtlinie des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Aufdeckung, Untersuchung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr. Es ist hier nicht der Ort, um grundsätzlich den Entwurf der Datenschutz-Grundverordnung zu erörtern, vielmehr sei hier nur sehr skizzenhaft und kursorisch auf die Regelung zum internationalen Datenaustausch innerhalb der Datenschutz-Grundverordnung eingegangen. Der Vorschlag für die Verordnung des europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz-Grundverordnung) (KOM (2012) 11/4) legt in Kap. 5 eine umfangreiche Regelung zur Übermittlung personenbezogener Daten in Drittländer oder internationalen Organisationen vor.
54
Im Einzelnen enthält Art. 40 allgemeine Grundsätze und Bedingungen, die darauf hinzielen, personenbezogene Daten nur dann in Drittländer oder internationale Organisation übermitteln zu lassen, wenn sie die in diesem Kapitel festgelegten Bedingungen erfüllen.
1 S. insgesamt zu dem Thema Transnationalität und Datenschutz Büllesbach, Transnationalität und Datenschutz, Die Verbindlichkeit von Unternehmensregelungen, 1. Aufl. 2008, Frankfurter Studien zum Datenschutz, Bd. 34, Hrsg. Simitis.
728
Bllesbach
VIII. Der Entwurf der Datenschutz-Grundverordnung vom 25.1.2012
§ 45
Art. 41 stützt sich auf den bisherigen Art. 25 EU-Richtlinie, der Kriterien 55 für die Angemessenheit, der Bedingungen und Verfahren für den Erlass eines Angemessenheitsbeschlusses der Kommission festlegt. Art. 42 präzisiert auf der Basis des Art. 26 EU-Richtlinie geeignete Garan- 56 tien. Dies gilt insbesondere dann, wenn die Kommission keinen Angemessenheitsbeschluss erlassen hat. Ausreichende Garantien sind nach wie vor insbesondere Standarddatenschutzklauseln, verbindliche unternehmensinterne Vorschriften und Vertragsklauseln. Neu ist insbesondere, dass nunmehr im Entwurf der Datenschutz-Grundverordnung ausdrücklich als Garantie verbindliche unternehmensinterne Datenschutzregelungen aufgenommen wurden, wie sie schon seit 2001 in § 4c Abs. 2 Satz 1 BDSG enthalten sind. Art. 43 regelt erstmalig Bedingungen für den Datentransfer auf der 57 Grundlage verbindlicher unternehmensinterner Vorschriften. Hiernach kann eine Aufsichtsbehörde entsprechend des in Art. 58 dargestellten Kohärenzverfahrens verbindliche unternehmensinterne Vorschriften genehmigen, wenn sie rechtsverbindlich sind für alle Mitglieder der Unternehmensgruppe, der für die Verarbeitung Verantwortlichen oder des Auftragsdatenverarbeiters sowie für deren Beschäftigte gelten und von diesen Mitgliedern angewendet werden, wenn den betroffenen Personen ausdrücklich durchsetzbare Rechte übertragen worden sind und schließlich die in Abs. 2 festgelegten Anforderungen erfüllt werden. Art. 43 Abs. 2 stellt in den Buchstaben a)–k) fest, welche Mindestinforma- 58 tionen in verbindlichen unternehmensinternen Vorschriften enthalten sind. Im Wesentlichen enthält dieser Abs. 2 Informationen, die schon in grundlegend ausgearbeiteten verbindlichen Unternehmensregeln von Konzernen angewandt und im Rahmen bisheriger Genehmigungen als ausreichende Garantien angenommen wurden. Die Grundregel-Strukturen der Art. 25, 26 der EU-Richtlinie 95/46 wurden beibehalten, so regelt Art. 44 auf der Basis des Art. 26 Abs. 1 EU-Richtlinie Ausnahmen, wenn weder ein Angemessenheitsbeschluss nach Art. 41 vorliegt, noch geeignete Garantien nach Art. 42 bestehen. In diesen Fällen ist eine Übermittlung oder eine Kategorie von Übermittlungen personenbezogener Daten in ein Drittland oder an eine internationale Organisation nur zulässig, wenn eine der Ausnahmen, geregelt in Art. 44 Abs. 1a)–h), vorliegt. Neu ist in diesem Ausnahmekatalog die Regelung für Auftragsdatenverarbeitung im Buchstaben h). Weitere Besonderheiten zur Auftragsdatenverarbeitung sind in den Abs. 3, 4, 6 und 7 geregelt. Abs. 7 enthält schließlich eine Ermächtigung für die Kommission, delegierte Rechtsakte nach Maßgabe von Art. 86 zu erlassen, um „wichtige Gründe des öffentlichen Interesses“ zu präzisieren. Art. 45 schließlich regelt die internationale Zusammenarbeit zwischen 59 Kommission und Aufsichtsbehörden in Bezug auf den Schutz personenbezogener Daten in Drittländern und internationalen Organisationen. Bllesbach
729
§ 45
Selbstregulierung im Datenschutz
IX. Ausblick 60
In welcher Fassung der jetzige Entwurf zur Datenschutz-Grundverordnung schließlich als eine verbindliche Datenschutzverordnung, geltend für alle EU-Mitgliedstaaten, in Kraft treten kann, hängt davon ab wie die weit über 3000 Änderungsanträge verarbeitet und geregelt werden können.
61
Die Ziele der Datenschutz-Grundverordnung nämlich, das Vertrauen der EU-Bürger in einen funktionierenden Datenschutz zu stärken, die digitale Wirtschaft im Binnenmarkt zu fördern, dem Bürger Kontrollen über seine eigenen Daten zu ermöglichen und Sicherheit für Wirtschaft und Staat in rechtlicher und praktischer Hinsicht zu gewährleisten, sind nicht verzichtbar.
62
Anlagen: 1. Beispiel zur Formulierung von Grundsätzen für die Verarbeitung personenbezogener Daten 2. Beispiel für eine Regelung zum Datenschutzmanagement, zu Zuständigkeiten und Verantwortlichkeiten
63
Grundstze fr die Verarbeitung personenbezogener Daten 1. Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten erfolgt fair (Grundsatz der Fairness) und auf rechtmßige Weise. Die Persçnlichkeitsrechte der Betroffenen werden gewahrt. 2. Die Betroffenen mssen ber den Umgang mit ihren personenbezogenen Daten in geeigneter Art und Weise leicht zugnglich informiert werden, z.B. durch Einstellung der verbindlichen Unternehmensregeln ins Internet. 3. Die Betroffenen sind ber folgende Punkte (Grundsatz der Transparenz) ausreichend zu informieren: a) Identitt des fr die Verarbeitung Verantwortlichen sowie dessen Kontaktadresse. b) Den beabsichtigten Umfang und Zweck der Datenerhebung, Verarbeitung und/oder Nutzung. Aus der Information sollte hervorgehen, welche Daten warum und zu welchem Zweck wie lange gespeichert und/ oder verarbeitet/genutzt werden. c) Weitergabe personenbezogener Daten an Dritte, an wen und in welchem Umfang sowie zu welchem Zweck diese Weitergabe erfolgt. d) ber die Art und Weise der Datenverarbeitung und/oder Nutzung, insbesondere auch dann, wenn die Verarbeitung oder Nutzung im Ausland erfolgen soll. e) ber ihre gesetzlichen Rechte.
730
Bllesbach
§ 45
IX. Ausblick
f) Unabhngig vom gewhlten Medium sollten diese Informationen den Betroffenen auf eine eindeutige und leicht verstndliche Weise gegeben werden. 4. Personenbezogene Daten drfen nur verarbeitet werden, wenn dies rechtlich zulssig ist bzw. wenn der Betroffene eingewilligt hat (Grundsatz der Rechtmßigkeit). 5. Personenbezogene Daten drfen nur fr diejenigen Zwecke verarbeitet werden, fr die sie ursprnglich erhoben wurden und auf die sich die rechtliche Zulssigkeit oder Einwilligung erstreckt (Grundsatz der Zweckbindung). 6. Personenbezogene Daten sollen richtig und wenn nçtig auf dem aktuellen Stand gespeichert sein. Es sind angemessene Maßnahmen dafr zu treffen, dass nicht zutreffende oder unvollstndige Daten gelçscht oder berichtigt werden (Grundsatz der Datenqualitt). 7. Zugriff auf personenbezogene Daten drfen nur solche Mitarbeiter haben, in deren Ttigkeitsbereich der Umgang mit diesen personenbezogenen Daten fllt; die Zugriffsberechtigung ist nach Art und Umfang des jeweiligen Ttigkeitsfeldes zu begrenzen. 8. Daten, die fr die Geschftszwecke, fr die sie ursprnglich erhoben und gespeichert wurden, nicht mehr bençtigt werden, sind gegebenenfalls unter Beachtung gesetzlich vorgeschriebener Aufbewahrungspflichten zu lçschen. 9. Widerspricht ein Betroffener der Nutzung seiner personenbezogenen Daten zu Marketingzwecken, drfen die Daten fr diese Zwecke nicht verwendet werden. Fr Zwecke der Markt- oder Meinungsforschung erhobene oder gespeicherte personenbezogene Daten drfen nur fr diese Zwecke verarbeitet oder genutzt werden. 10. Die Datenverarbeitung hat sich an dem Ziel auszurichten, nur die erforderlichen personenbezogenen Daten, d.h. so wenig wie mçglich, zu erheben, verarbeiten oder zu nutzen (Grundsatz der Datensparsamkeit). Mçglichkeiten der Anonymisierung und Pseudonymisierung sind zu nutzen, soweit dies mçglich ist und der Aufwand in einem angemessenen Verhltnis zu dem angestrebten Schutzzweck steht (Grundsatz der Datenvermeidung). Statistische Auswertungen oder Untersuchungen, die auf der Basis anonymisierter oder pseudonymisierter Daten erfolgen, sind nicht datenschutzrelevant soweit die Daten nicht mehr individualisierbar sind. 11. Entscheidungen, die fr den Betroffenen eine negative rechtliche Folge nach sich ziehen oder ihn erheblich beeintrchtigen, drfen nicht ausschließlich auf eine automatisierte Verarbeitung personenbezogener Daten gesttzt werden, die der Bewertung einzelner Persçnlichkeitsmerkmale wie z.B. der Kreditwrdigkeit dient. Die Informationstechnik darf grundstzlich nur als Hilfsmittel fr eine Entscheidung herangezogen werden, ohne dabei deren einzige Grundlage zu bilden. Sofern im Einzel-
Bllesbach
731
§ 45
Selbstregulierung im Datenschutz
fall die sachliche Notwendigkeit bestehen sollte, automatisierte Entscheidungen zu treffen, muss der Betroffene die Mçglichkeit einer Stellungnahme haben, wenn nicht eine derartige Entscheidung durch ein Gesetz zugelassen ist, das Garantien zur Wahrung der berechtigten Interessen der betroffenen Personen festlegt. 12. Bei Datenverarbeitungsvorhaben, aus denen sich besondere Risiken fr Persçnlichkeitsrechte der Betroffenen ergeben kçnnten, ist der Beauftragte fr den Datenschutz vor Beginn der Verarbeitung zu beteiligen. Dies gilt insbesondere fr die besonderen Arten von personenbezogenen Daten. 13. Die Verarbeitung personenbezogener Daten (besondere Arten) ber rassische und ethnische Herkunft, ber politische Meinungen, ber religiçse oder philosophische berzeugungen, ber Gewerkschaftszugehçrigkeiten oder ber Gesundheit oder das Sexualleben des Betroffenen ist grundstzlich untersagt, sofern sich die Rechtmßigkeit der Verarbeitung nicht aus einer gesetzlichen Erlaubnis oder einem gesetzlichen Erfordernis ergibt. Eine Verarbeitung besonderer Arten personenbezogener Daten ist ferner zulssig fr die Geltendmachung, Ausbung oder Verteidigung rechtlicher Ansprche auch im Rahmen eines Rechtsstreits, wenn kein Grund zu der Annahme besteht, dass schutzwrdige Interessen des Betroffenen an dem Ausschluss der Verarbeitung oder Nutzung berwiegt. Ansonsten muss der Betroffenen ausdrcklich in die Verarbeitung dieser Daten eingewilligt haben. 64
Datenschutzmanagement, Zustndigkeiten und Verantwortlichkeiten 1. Die Gesellschaften der [Konzern] sind als fr die Datenverarbeitung Verantwortlichen verpflichtet, den Betroffenen gegenber sicherzustellen, dass die Anforderungen des Datenschutzes beachtet werden. 2. Der Datenschutzbeauftragte bzw. Datenschutzkoordinator der jeweiligen Konzerngesellschaft ist unverzglich ber Verstçße (auch schon bei Verdacht auf Verstoß) gegen Datenschutzbestimmungen und dieser verbindlichen Unternehmensregeln zu informieren. Bei Vorfllen mit Relevanz fr mehr als eine Konzerngesellschaft ist auch der Konzernbeauftragte fr den Datenschutz zu informieren. Die Datenschutzbeauftragten der Konzerngesellschaften informieren den Konzerndatenschutzbeauftragten ferner, wenn die fr ein Unternehmen geltenden Gesetze sich wesentlich nachteilig ndern. 3. Der Konzerndatenschutzbeauftragte koordiniert die Zusammenarbeit und Abstimmung zu allen wichtigen Fragen des Datenschutzes einschließlich eines Datenschutz-Auditplanes. Als Abstimmungsgremium dient der Datenschutzkoordinierungskreis der von dem Konzerndatenschutzbeauftragten geleitet wird. 4. Es obliegt dem Konzerndatenschutzbeauftragten, die Datenschutzpolitik des Konzerns zu entwickeln und fortzuschreiben. Diesbezglich stimmt er sich mit den Datenschutzbeauftragten der Konzerngesellschaften bzw.
732
Bllesbach
§ 45
IX. Ausblick
den Datenschutzkoordinatoren und mit dem Konzernvorstand, der fr den Datenschutz verantwortlich ist, ab. 5. Die berwachung der Einhaltung der nationalen und internationalen Datenschutzvorschriften und der verbindlichen Unternehmensregeln obliegt dem Datenschutzbeauftragten der jeweiligen Konzerngesellschaft, den Koordinatoren und in der Gesamtverantwortung dem Konzerndatenschutzbeauftragten. Diesbezglich sind die Bereiche der jeweiligen Unternehmen verpflichtet, den zustndigen Datenschutzbeauftragten bzw. Datenschutzkoordinatoren ber datenschutzrelevante Vorhaben in Kenntnis zu setzen. Sofern keine gesetzlichen Beschrnkungen bestehen, sind die zustndigen Datenschutzbeauftragten bzw. Datenschutzkoordinatoren befugt, vor Ort alle Verarbeitungsverfahren, bei denen personenbezogene Daten zum Einsatz kommen, zu berprfen.
Bllesbach
733
§ 46 Verbindliche Konzernregelungen für Auftragsdatenverarbeiter (Processor BCR) Rz. I. BCR für Auftragsdatenverarbeiter: Hintergrund und Bedarf . . . . .
1
II. Funktion von PBCR . . . . . . . . . . . 7 1. PBCR als „ausreichende Datenschutzgarantien“ i.S.v. § 4c Abs. 2 Satz 1 BDSG . . . . . . . . . . . . 7 2. Zusätzliche Anforderungen aufgrund von § 11 BDSG . . . . . . . . . . 9 a) Entsprechende Geltung von § 11 BDSG bei Auftragsverarbeitung in Drittstaaten . . . . . 9 b) Vertragspartner des Auftragsverarbeitungsvertrags . . . . . . . . 10 III. Voraussetzungen der Anwendung von PBCR . . . . . . . . . . . . . . . 11 1. Zwei-Schritte-Verfahren: Koordinierte Anerkennung von PBCR im EWR und Datenexportgenehmigungen . . . . . . . . . . . . . . . . . . . . 11 2. Zusätzliche Anforderungen für Datentransfers aus Deutschland gemäß § 11 BDSG . . . . . . . . . . . . . 19 IV. Praktische Schwierigkeiten bei der vertraglichen Umsetzung . . . . 20 1. Besonderheiten des Controllerto-Processor-Verhältnisses . . . . . . 20
Rz. a) Verantwortlichkeit und Weisungen des Controllers . . . . . . . b) Verhältnis und Kontakt zum Betroffenen . . . . . . . . . . . . . . . . c) Verhältnis der PBCR zum Auftragsdatenverarbeitungsvertrag . . . . . . . . . . . . . . . . . . . . 2. Ausgewählte Regelung in PBCR . a) Unterschiede zum Instrument der Standardvertragsklauseln. . b) Grundüberlegungen zum Aufbau der PBCR. . . . . . . . . . . . . . . c) Verbindlichkeit der PBCR . . . . d) Haftung . . . . . . . . . . . . . . . . . . . e) Beschwerdesystem . . . . . . . . . . f) Trainingskonzept . . . . . . . . . . . g) Auditsystem . . . . . . . . . . . . . . .
22 26 29 34 34 40 44 47 51 55 58
V. Aktuelle Entwicklungen durch NSA und DSGVO . . . . . . . . . . . . . 63 1. Auswirkungen der NSA-Affäre auf die PBCR-Anerkennung und Genehmigung von Datenexporten in die USA . . . . . . . . . . . . . . . . 63 2. Aktueller Stand der Datenschutzgrundverordnung . . . . . . . . 68
I. BCR für Auftragsdatenverarbeiter: Hintergrund und Bedarf 1
Die Auslagerung von Arbeiten der Erhebung, Nutzung oder Verarbeitung personenbezogener Daten im Wege der Auftragsdatenverarbeitung i.S.v. § 11 BDSG an spezialisierte Dienstleister spielt in der Praxis eine ganz erhebliche Rolle1. Die Tendenz zum Outsourcing von Datenverarbeitungsdienstleistungen erwächst im Wesentlichen daraus, dass sich Unternehmen auf ihr Kerngeschäft konzentrieren wollen und daher oft nicht in der Lage oder willens sind, eigenes spezialisiertes Personal für IT-Dienstleistungen vorzuhalten. Jenseits „klassischer“ IT-Dienstleistungen wie Wartung und Pflege von Hard- und Software oder Speicherung/Hosting von Daten gilt dies auch für zahlreiche andere Standard-Dienstleistungen, die in der Regel als Auftragsdatenverarbeitung anzusehen sind, etwa die Versendung von Werbeschreiben durch spezialisierte „Lettershops“, die Kun1 Zu Auftragsdatenverarbeitungsverträgen s. Habel, § 35; zur Abgrenzung zur Funktionsübertragung s. Roth-Neuschild, § 44.
734
Conrad/Filip
§ 46
I. BCR fr Auftragsdatenverarbeiter: Hintergrund und Bedarf
denbetreuung durch Call-Center usw. Stetig wachsende Bedeutung haben daneben vor allem datenverarbeitungstechnische Unterstützungsleistungen aller Art, etwa im Bereich der Lohn- und Gehaltsabrechnung, der Finanzbuchhaltung, der Datenerfassung (z.B. durch Einscannen) oder -konvertierung, der Datenträgervernichtung usw. Schließlich sind die am Markt nahezu explosionsartig zunehmenden Angebote des sog. Cloud Computing1 zu nennen, bei dem es sich um einen Sammelbegriff für verschiedene Dienstleistungen handelt, die häufig oder gar meist als Fälle von Auftragsdatenverarbeitung einzuordnen sind2. Zahlreiche spezialisierte Unternehmen bieten solche und andere Auf- 2 tragsdatenverarbeitungsdienste an. Gerade das Phänomen des Cloud Computing hat die Tendenz zur Auslagerung von Prozessen, bei denen personenbezogene Daten genutzt oder verarbeitet werden, massiv verstärkt. Einen erheblichen Anteil machen hierbei z.B. Software-as-a-Service-Pakete aus, die von großen (nicht selten US-amerikanischen) IT-Konzernen einer potentiell unbegrenzten Zahl von (Unternehmens-)Kunden am Markt angeboten werden. Hierbei werden Tendenzen erkennbar, weite Teile klassischer Unternehmens-Software und der damit verarbeiteten personenbezogenen Daten „in die Cloud“ auszulagern – von der Bearbeitung von Textdokumenten über die Termin- und Adressverwaltung bis hin zu Kommunikationssoftware oder vertriebs- und kundendatenbezogenen Anwendungen wie z.B. CRM-Systemen. Bei alledem ist häufig gewollt, dass die Auftragsverarbeitungsdienste 3 nicht von einem einzelnen Unternehmen (im Sinne einer einzigen Gesellschaft oder juristischen Person), sondern von mehreren rechtlich selbständigen Unternehmen erbracht werden sollen, die demselben Konzern bzw. derselben Unternehmensgruppe angehören. Große IT-Unternehmensgruppen verstehen sich häufig als „funktionelle Einheit“, die ihre Dienstleistungen durch verschiedene Mitglieder der Gruppe erbringen, von denen nicht selten ein Teil außerhalb des Europäischen Wirtschaftsraums ansässig ist. Gewollt ist in solchen Fällen oft, dass die personenbezogenen Daten im Zuge der Auftragsabwicklung zwischen den einzelnen Konzernmitgliedern (inner- wie außerhalb des EWR) zirkulieren sollen oder dass mehrere Unternehmen, die dem (IT-)Dienstleistungskonzern angehören, jedenfalls gleichermaßen Zugriff auf die Daten nehmen können; letzteres ist beispielsweise bei softwarebezogenen Fernwartungsund Unterstützungsleistungen in sog. Follow-the-Sun-Modellen der Fall,
1 Zu den Anforderungen an Cloud Computing aus Sicht der Datenschutzbehörden vgl. das Working Paper (WP) 196 der Artikel-29-Datenschutzgruppe (abrufbar unter http://ec.europa.eu/justice/data-protection/article-29/documentation/ opinion-recommendation/index_en.htm) sowie die „Orientierungshilfe Cloud Computing“ der deutschen Datenschutzaufsichtsbehörden (abrufbar unter http://www.lda.bayern.de/lda/datenschutzaufsicht/lda_daten/ Orientierungshilfe_CloudComputing.pdf). 2 Petri in Simitis, BDSG, § 11 Rz. 30. Conrad/Filip
735
§ 46
Verbindliche Konzernregelungen
bei denen die Leistungen je nach Uhrzeit durch verschiedene Unternehmen erbracht werden, die häufig in unterschiedlichen Ländern rund um den Globus ansässig sind. 4
Aus der gesetzlichen Definition der sog. nicht-öffentlichen Stellen in § 2 Abs. 4 Satz 1 BDSG1 ergibt sich, dass juristische Personen, Gesellschaften und andere privatrechtlich organisierte Personenvereinigungen in datenschutzrechtlicher Hinsicht als voneinander zu unterscheidende „Stellen“ anzusehen sind. Jede dieser Stellen ist somit ein eigenständiger Normadressat des Datenschutzrechts2. Dies gilt auch dann, wenn die einzelnen Gesellschaften, juristischen Personen usw. demselben Konzern bzw. derselben Unternehmensgruppe angehören3. Sofern ein Konzern, der Cloud-Computing- oder andere Auftragsverarbeitungsdienste erbringt, dies durch mehrere Gruppenmitglieder (gruppenangehörige Gesellschaften bzw. juristische Personen) tut, ist somit jedes der Gruppenmitglieder ein eigenständiger Auftragsdatenverarbeiter. Bei derartigen „Auftragsverarbeiter-Konzernen“ müsste damit an sich mit jedem der Gruppenmitglieder ein gesonderter schriftlicher Auftrag bzw. Unter-Auftrag nach Maßgabe von § 11 Abs. 2 Satz 2 BDSG abgeschlossen werden. Damit würde in derartigen Fällen u.U. eine große Anzahl einzelner Aufträge bzw. Unteraufträge notwendig, was zu einem erheblichen Verwaltungsaufwand führte. Dieser datenschutzrechtliche Befund steht zudem in einem Spannungsverhältnis zu einem weit verbreiteten Selbstverständnis von (IT-)Konzernen, die sich häufig als „einheitlichen Anbieter“ verstehen, der seine Leistungen lediglich durch mehrere Untereinheiten erbringe4.
5
Zusätzliche Anforderungen entstehen, sofern die Auftragsverarbeitung zumindest zum Teil bei Konzernmitgliedern in sog. unsicheren Drittstaaten5 stattfinden soll. Denn in einen unsicheren Drittstaat dürfen personenbezogene Daten aus dem Inland – sofern keine der Ausnahmen nach § 4c Abs. 1 BDSG einschlägig ist – gemäß § 4c Abs. 2 Satz 1 BDSG nur transferiert werden, sofern der Transfer durch die Aufsichtsbehörde
1 „Nicht-öffentliche Stellen sind natürliche und juristische Personen, Gesellschaften und andere Personenvereinigungen des privaten Rechts, soweit sie nicht unter die Absätze 1 bis 3 fallen.“ 2 Simitis in Simitis, BDSG, § 2 Rz. 142. 3 Vgl. Gola/Schomerus, BDSG, § 2 Rz. 21; Simitis in Simitis, BDSG, § 2 Rz. 142 und 146 ff. 4 Allerdings ist diese verbreitete Sichtweise von Konzernen als Einheit jedenfalls nicht der Ansatz des geltenden EU-Datenschutzrechts; häufig wird dies unter dem Schlagwort zusammengefasst, wonach das EU-Datenschutzrecht „kein Konzernprivileg“ kenne. 5 Mit „unsicheren Drittstaaten“ sollen Staaten bezeichnet werden, die nicht zum Europäischen Wirtschaftsraum gehören („Drittstaaten“), und für die auch keine Entscheidung der Europäischen Kommission gemäß Art. 25 Abs. 6 RL 95/46/EG vorliegt, mit der das Bestehen eines angemessenen Datenschutzniveaus für dieses Land festgestellt worden wäre.
736
Conrad/Filip
§ 46
I. BCR fr Auftragsdatenverarbeiter: Hintergrund und Bedarf
genehmigt wird, was voraussetzt, dass die datenexportierende verantwortliche Stelle ausreichende Garantien hinsichtlich des Schutzes des Persönlichkeitsrechts und der Ausübung der damit verbundenen Rechte1 vorweist2. Somit müssen bei jedem der in einem unsicheren Drittstaat ansässigen Konzernunternehmen des „Auftragsverarbeiter-Konzerns“ ausreichende Datenschutzgarantien implementiert werden, z.B. indem mit jedem dieser Konzernunternehmen jeweils ein Vertrag unter Verwendung der EU-Standardvertragsklauseln zur Auftragsdatenverarbeitung3 abgeschlossen wird4. Auch aus diesem Erfordernis erwächst somit je nach Lage des Falles häufig ein erheblicher Verwaltungsaufwand. Eine andere Möglichkeit zur Erbringung ausreichender Datenschutzgarantien bestünde grundsätzlich darin, dass jedes der Gruppenmitglieder eine Safe-Harbor-Zertifizierung besitzt; dies kommt allerdings nur für Stellen in den USA in Betracht5. Unternehmen und Unternehmensverbände, aber auch die Datenschutz- 6 behörden der EU-Mitgliedstaaten sind vor diesem Hintergrund seit geraumer Zeit bemüht, für das weit verbreitete Phänomen der „Arbeitsteilung“ innerhalb derartiger „Auftragsverarbeiter-Konzerne“ Lösungen zu entwickeln, die gleichermaßen praktikabel wie auch mit dem EU-Datenschutzrecht vereinbar sind. Der vorliegende Beitrag nimmt die in diesen Zusammenhang zu stellenden sog. Binding Corporate Rules for Processors (Processor Binding Corporate Rules/PBCR/Verbindliche unternehmensinterne Regelungen zum Datenschutz für Auftragsdatenverarbeiter)
1 Im Folgenden soll zur sprachlichen Vereinfachung von „ausreichenden Datenschutzgarantien“ gesprochen werden. 2 Zur Rechtsnatur von BCR werden – nicht zuletzt auch unter den deutschen Datenschutzbehörden – unterschiedliche Auffassungen vertreten; einige Aufsichtsbehörden sehen BCR als Möglichkeit zur Herstellung eines angemessenen Datenschutzniveaus beim Datenempfänger i.S.v. § 4b Abs. 2 und 3 BDSG an, andere wiederum ordnen BCR als Fall „ausreichender Datenschutzgarantien“ i.S.v. § 4c Abs. 2 Satz 1 BDSG ein; zu Einzelheiten vgl. Filip, ZD 2013, 51 (52 ff.); im vorliegenden Beitrag soll die Einordnung unter § 4c Abs. 2 Satz 1 BDSG zu Grunde gelegt werden, wobei auf die sich hieraus als Unterschied zur anderen Auffassung ergebenden Konsequenzen weiter unten eingegangen werden wird. 3 Beschluss der Kommission v. 5.2.2010, Nr. 2010/87/EU v. 5.2.2010 – K(2010) 593 über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern nach der Richtlinie 95/46/EG des Europäischen Parlaments und des Rats. 4 Die Frage, ob der im EWR ansässige Auftraggeber solche Standardverträge mit den einzelnen Mitgliedern des Auftragsverarbeiter-Konzerns selbst abschließen müsste („Direktvertrag“), oder ob dies (auch) der Haupt-Auftragnehmer im Wege der Vergebung von Unteraufträgen im eigenen Namen (mit Einwilligung des Auftraggebers) tun kann, hängt davon ab, ob der Haupt-Auftragnehmer in einem Drittstaat ohne angemessenes Datenschutzniveau oder aber in einem EU-/EWRStaat bzw. einem Drittstaat mit angemessenen Datenschutzniveau ansässig ist, vgl. Filip, ZD 2013, 51, 58 unter Verweis auf WP 176, Nr. I.3. 5 Zur NSA-Affäre und ihrer Relevanz für den Nachweis ausreichender Datenschutzgarantien durch Safe Harbour und BCR s. unten Rz. 63 ff. Conrad/Filip
737
§ 46
Verbindliche Konzernregelungen
in den Blick1. Hierbei handelt es sich um ein Instrument, das die Artikel29-Gruppe der Datenschutzbehörden der EU-Mitgliedstaaten mit Wirkung zum 1.1.2013 zur Verfügung gestellt hat2. Zwischenzeitlich hat die Artikel-29-Gruppe in zwei Arbeitspapieren3 die inhaltlichen Anforderungen an PBCR erläutert sowie in einem weiteren Arbeitspapier4 ein Formular für die Einreichung von Anträgen zur Anerkennung von PBCR bei den Datenschutzaufsichtsbehörden zur Verfügung gestellt.
II. Funktion von PBCR 1. PBCR als „ausreichende Datenschutzgarantien“ i.S.v. § 4c Abs. 2 Satz 1 BDSG 7
PBCR sind als Instrument vorgesehen, mit Hilfe dessen Unternehmensgruppen, die Auftragsdatenverarbeitung für gruppenfremde Stellen (Auftraggeber) betreiben, personenbezogene Daten an Gruppenmitglieder in Drittstaaten ohne angemessenes Datenschutzniveau transferieren können. PBCR dienen hierbei dazu, die für solche Drittstaatstransfers erforderlichen „ausreichende Datenschutzgarantien“ i.S.v. Art. 26 Abs. 2 der EU-Datenschutzrichtlinie bzw. – nach deutschem Recht – von § 4c Abs. 2 Satz 1 BDSG zu erbringen5. Die Artikel-29-Gruppe hat ausdrücklich erklärt, dass mit dem neuen Instrument der PBCR dem entsprechenden, spezifischen Bedarf im „Outsourcing-Business“ entgegengekommen werden soll6. Es handelt sich somit um ein Instrument zur Erleichterung der Auftragsverarbeitung personenbezogener Daten, die aus dem Europäischen Wirtschaftsraum stammen, durch Unternehmensgruppen, die ihre Auftragsverarbeitungsdienste durch mehrere zur Gruppe gehörende Unternehmen und zumindest zum Teil in unsicheren Drittstaaten erbringen.
8
Demgemäß sind PBCR ein datenschutzrechtliches Instrument, das der sog. zweiten Stufe des Datenumgangs zuzuordnen ist. Mit „zweiter Stufe“ bezeichnet man die spezifischen Anforderungen an Transfers personenbezogener Daten in Drittstaaten; diese Anforderungen sind in den
1 Allgemein zu Selbstregulierungsmechanismen im Datenschutz und zu den „Controller-BCR“ s. Büllesbach, § 45. 2 Pressemitteilung der Art.-29-Gruppe v. 21.12.2012, abrufbar unter http://ec.euro pa.eu/justice/data-protection/article-29/press-material/press-release/art29_press_ material/20121221_pr_bcrs_en.pdf. 3 WP 195, 204. Einzelheiten siehe unten Rz. 20 ff. 4 WP 195a. 5 WP 204, Nr. 1.1. und 1.3.; ein Teil der deutschen Datenschutzbehörden ordnet BCR nicht unter § 4c Abs. 2 Satz 1 BDSG ein, sondern als Möglichkeit zur Erbringung angemessenen Datenschutzniveau beim Empfänger i.S.v. § 4b Abs. 2 und 3 BDSG; zu den Konsequenzen dieser unterschiedlichen rechtlichen Einordnung vgl. Filip, ZD 2013, 51 (52 ff.) sowie die Ausführungen weiter unten. 6 WP 204, Nr. 1.3.
738
Conrad/Filip
§ 46
II. Funktion von PBCR
§ 4b Abs. 2 bis 6, § 4c BDSG geregelt1. Hiervon zu unterscheiden sind die Anforderungen, die für Erhebungen, Nutzungen und Verarbeitungen personenbezogener Daten im Inland oder anderweitig im Europäischen Wirtschaftsraum (EWR) gelten, z.B. für Datenübermittlungen oder für die Einschaltung von Auftragsdatenverarbeitern innerhalb des EWR2 – sog. erste datenschutzrechtliche Stufe3. Bei Transfers personenbezogener Daten aus dem Inland in einen Drittstaat müssen kumulativ die Anforderungen beider Stufen erfüllt werden4. Dies wird seit jeher auch von den deutschen Datenschutzaufsichtsbehörden betont5 und wurde zuletzt in einem Beschluss vom 11./12.9.2013 nochmals bekräftigt6. Hierbei ist zu beachten, dass Datentransfers aus dem Inland zum Zwecke der Auftragsverarbeitung in einen Drittstaat gemäß einem Umkehrschluss aus § 3 Abs. 8 Satz 3 BDSG i.V.m. § 3 Abs. 4 Satz 2 Nr. 3 BDSG kraft Gesetzes als „Übermittlung“ gelten; dennoch liegt in solchen Fällen der Sache nach Auftragsdatenverarbeitung vor, so dass hier zusätzlich zu den Anforderungen an Datenübermittlungen (§§ 4, 28 ff. BDSG = „erste datenschutzrechtliche Stufe“, sowie § 4b Abs. 2 bis 6, § 4c BDSG = „zweite datenschutzrechtliche Stufe“) jedenfalls nach einhelliger Ansicht der Datenschutzaufsichtsbehörden auch die Anforderungen des § 11 BDSG – zumindest entsprechend – zu erfüllen sind7. 2. Zusätzliche Anforderungen aufgrund von § 11 BDSG a) Entsprechende Geltung von § 11 BDSG bei Auftragsverarbeitung in Drittstaaten Aus dem oben Gesagten ergibt sich, dass bei Datentransfers zu Zwecken 9 der Auftragsverarbeitung in Drittstaaten die für Auftragsverarbeitung geltenden Anforderungen gemäß § 11 BDSG – insbesondere der Abschluss eines schriftlichen Auftrags mit den nach § 11 Abs. 2 Satz 2 BDSG erfor1 Vgl. Gola/Schomerus, BDSG, § 4b Rz. 6. 2 Die Einschaltung eines Auftragsverarbeiters innerhalb des EWR stellt keine „Übermittlung“ i.S.v. § 3 Abs. 4 Satz 2 Nr. 3 BDSG dar, da ein solcher Auftragsdatenverarbeiter gemäß § 3 Abs. 8 Satz 3 BDSG gegenüber dem Auftraggeber nicht „Dritter“ ist. 3 Gola/Schomerus, BDSG, § 4b Rz. 6. 4 Gola/Schomerus, BDSG, § 4b Rz. 6 und § 4c Rz. 3; Simitis in Simitis, BDSG, § 4c Rz. 6. 5 Gola/Schomerus, BDSG, § 4b Rz. 6. 6 Abrufbar unter http://www.bfdi.bund.de/SharedDocs/Publikationen/Entschlies sungssammlung/DuesseldorferKreis/12092013DatenuebermittlungInDrittstaa ten.html?nn=409242. 7 Hessische Landesregierung, 19. Bericht über die Tätigkeit der für den Datenschutz im nicht-öffentlichen Bereich in Hessen zuständigen Aufsichtsbehörden, Nr. 11; vgl. auch Arbeitsgruppe „Internationaler Datenverkehr“ des „Düsseldorfer Kreises“, Papier „Abgleich der Vorgaben des neuen § 11 BDSG mit denen der neuen und alten EU Standardvertragsklauseln/Auftragsdatenverarbeitung“, abrufbar unter http://www.lda.bayern.de/lda/datenschutzaufsicht/lda_daten/Ab gleich_Standardvertragsklauseln-11.pdf. Conrad/Filip
739
§ 46
Verbindliche Konzernregelungen
derlichen Inhalten – zumindest entsprechende Geltung besitzen. Auch die Artikel-29-Gruppe betont, dass der jeweilige Auftraggeber, der sich eines „Auftragsverarbeiter-Konzerns“ bedient, welcher PBCR implementiert hat, dennoch noch einen schriftlichen Auftrag gemäß Art. 17 der RL 95/46/EG abschließen muss1. Die durch die PBCR beabsichtigte entscheidende Vereinfachung besteht indessen darin, dass der Auftraggeber nicht mit jedem einzelnen Mitglied des „Auftragsverarbeiter-Konzerns“, der PBCR implementiert hat, einen gesonderten Auftrag abschließen muss2, sondern vielmehr ein einziger Auftrag mit einem einzelnen der Gruppenmitglieder ausreicht; die anschließenden Transfers der (im Auftrag verarbeiteten) Daten an die anderen Mitglieder der Gruppe basieren alleine auf den PBCR3. Die PBCR müssen allerdings beim Abschluss des Auftrags mit dem jeweiligen Auftraggeber dem Auftrag zwingend als Anlage beigefügt werden, und der Auftrag muss auf die PBCR explizit Bezug nehmen4. Auf diese Weise werden Auftrag und PBCR miteinander verschränkt, so dass die in den PBCR geregelten Pflichten aller Gruppenmitglieder rechtliche Verbindlichkeit im Verhältnis zum jeweiligen Auftraggeber erhalten5. b) Vertragspartner des Auftragsverarbeitungsvertrags 10
Dabei stellt sich auch die Frage, ob es im Belieben der Auftragsverarbeiter-Unternehmensgruppe (oder vielleicht sogar des Auftraggebers) steht zu entscheiden, welches der gruppenangehörigen Unternehmen den Auftrag i.S.v. Art. 17 der RL 95/46/EG mit dem einzelnen Auftraggeber abschließt. Die Frage wird in den Arbeitspapieren der Art.-29-Gruppe nicht beantwortet. Es spricht jedoch einiges dafür, dass dies ein Unternehmen sein muss, das in die Datenverarbeitung für den jeweiligen Auftraggeber involviert ist, d.h. im konkreten Einzelfall zu Zwecken der Auftragsverarbeitung tatsächlich tätig wird. Man könnte ferner auf den Gedanken kommen zu fordern, dass dasjenige Konzernunternehmen den Auftrag abschließen müsse, das die Daten „als erstes aus der Gruppe“ vom Auftraggeber erhält und daher als Haupt-Auftragnehmer anzusehen sei; es ist jedoch fraglich, ob stets zweifelsfrei festgestellt werden kann, welches Unternehmen des „Auftragsverarbeiter-Konzerns“ die Daten zuerst erhält. Selbst wenn dies im Einzelfall festgestellt werden könnte, wird u.U. fraglich sein, ob das Unternehmen, das die Daten „als erstes“ erhalten hat, bezogen auf die Verarbeitung der Daten eines bestimmten Auftrag1 WP 204, Nr. 2.1.; WP 195, Nr. II und I.1.4. (dort als „Dienstgütevereinbarung“ bezeichnet). 2 Bzw. dass keine einzelnen Unteraufträge durch einen Haupt-Auftragnehmer an die einzelnen Konzerngesellschaften des „Auftragsverarbeiter-Konzerns“ vergeben werden müssen. 3 WP 204, Nr. 2.1., vierter Absatz („eine für alle Mitglieder der Gruppe geltende Verpflichtung anstelle mehrerer Verträge“) und Nr. 2.2.1., letzter Absatz. 4 WP 204, Nr. 2.1.; WP 195, Nr. II. 5 WP 204, Nr. 2.3.3.2., erster Absatz.
740
Conrad/Filip
§ 46
III. Voraussetzungen der Anwendung von PBCR
gebers tatsächlich eine irgendwie herausgehobene Rolle im Vergleich zu den anderen Konzernmitgliedern hat; dies kann zwar in Einzelfällen so sein, ist jedoch keineswegs zwingend. Da die PBCR noch vergleichsweise neu sind, und Unternehmen wie Aufsichtsbehörden bislang wenig Erfahrung mit PBCR sammeln konnten, bleibt abzuwarten, was die ersten Praxiserfahrungen im Anerkennungsverfahren von PBCR und die weitere Diskussion zu diesem Thema ergeben werden.
III. Voraussetzungen der Anwendung von PBCR 1. Zwei-Schritte-Verfahren: Koordinierte Anerkennung von PBCR im EWR und Datenexportgenehmigungen Die Artikel-29-Gruppe konnte bei der Einführung des PBCR auf das be- 11 reits seit Jahren bekannte und von diversen Konzernen1 eingesetzte Instrument der „BCR für Controller“2 zurückgreifen. Controller-BCR dienen – wie PBCR – dazu, ausreichende Datenschutzgarantien i.S.v. Art. 26 Abs. 2 der RL 95/46/EG (bzw. für das deutsche Recht: gemäß § 4c Abs. 2 BDSG) für Datentransfers in unsichere Drittstaaten innerhalb eines Konzerns bzw. einer Unternehmensgruppe zu erbringen3. Im Unterschied zu PBCR decken Controller-BCR jedoch Fälle ab, bei denen die Daten durch Stellen transferiert werden, die hierbei als „verantwortliche Stellen“ (§ 3 Abs. 7 BDSG) agieren. Mithin haben Controller-BCR und PBCR eindeutig voneinander zu unterscheidende Anwendungsbereiche. Die Artikel29-Gruppe hat jedoch anlässlich der Einführung von PBCR ausdrücklich auf das Instrument der Controller-BCR4 Bezug genommen und nicht zuletzt deren Praxiserfolg als Argument für die Einführung von PBCR als neues Instrument angeführt5. Die Artikel-29-Gruppe hat erklärt, dass das Verfahren zur Einführung 12 von PBCR dasselbe sein wird wie das für Controller-BCR etablierte koordinierte Anerkennungsverfahren6. Damit ist das im Arbeitspapier 107 dargestellte und später insbesondere durch die sog. gegenseitige Anerken1 S. Liste der von den Datenschutzbehörden anerkannten BCR unter http://ec.euro pa.eu/justice/data-protection/dokument/international-transfers/binding-corpora te-rules/bcr_cooperation/index_en.htm. 2 Auch als „Controller-BCR“ oder „BCR für verantwortliche Stellen“ bezeichnet; vor dem 1.1.2013 wurden solche Controller-BCR jedoch meist schlicht mit dem Begriff BCR bezeichnet. Künftig sollte man zur Vermeidung von Verwechslungen stets spezifizieren, ob von Controller-BCR oder aber von PBCR die Rede ist. S. dazu auch Büllesbach, § 45. 3 Einzelheiten zu Controller-BCR sind auf der Website der Artikel-29-Gruppe veröffentlicht unter http://ec.europa.eu/justice/data-protection/document/interna tional-transfers/binding-corporate-rules/index_en.htm. 4 Soweit im nachfolgenden Text lediglich der Begriff „BCR“ verwendet wird, werden damit Controller-BCR bezeichnet. 5 WP 204, Nr. 1.2. 6 WP 204, Nr. 2.1., letzter Absatz. Conrad/Filip
741
§ 46
Verbindliche Konzernregelungen
nung (mutual recognition)1 fortentwickelte Verfahren gemeint2. Die von der Artikel-29-Gruppe erarbeiteten Dokumente zu den inhaltlichen Anforderungen an Controller-BCR3 sind hingegen nicht vollständig auf PBCR übertragbar, da aufgrund der Verschiedenheit der Anwendungsbereiche von Controller-BCR und PBCR naturgemäß z.T. unterschiedliche inhaltliche Anforderungen bestehen. Zwar sind einige der Anforderungen – u.a. diejenigen zur Herstellung der rechtlichen und praktischen Verbindlichkeit in der Unternehmensgruppe – weitestgehend identisch; insgesamt gilt jedoch, dass für PBCR die eigens hierfür entwickelten Arbeitspapiere (WP) 195 und 204 sowie das Antragsformular gemäß dem WP 195a der Artikel-29-Gruppe anzuwenden sind. 13
Die Anwendung von PBCR auf konkrete Datentransfers setzt zwei Schritte voraus4. In einem ersten Schritt müssen die PBCR von allen zuständigen Datenschutzaufsichtsbehörden im EWR als „ausreichende Datenschutzgarantien“ anerkannt worden sein. Dies erfolgt im o.g. koordinierten Anerkennungsverfahren („Schritt 1“). Sobald dies erreicht ist, ist zu bedenken, dass ein Teil der Datenschutzaufsichtsbehörden im EWR sowie in Deutschland für Datenexporte auf der Grundlage von BCR (und PBCR) eine ausdrückliche Genehmigung – d.h. einen Genehmigungsbescheid – der für den jeweiligen Transfer zuständigen Aufsichtsbehörde für erforderlich halten5. Eine Übersicht dazu, welche Aufsichtsbehörden Genehmigungsbescheide als erforderlich ansehen, ist auf der Website der Artikel-29-Gruppe veröffentlicht6.
14
Für die Praxis besteht daher eine maßgebliche Unterscheidung danach, aus welchem EWR-Staat bzw. Bundesland personenbezogene Daten auf der Grundlage der PBCR an den Auftragsverarbeiter-Konzern exportiert werden sollen. Im Einzelnen stellt sich dies wie folgt dar:
1 Die Fortentwicklung durch die sog. Gegenseitige Anerkennung (mutual recognition) ist in WP 107 noch nicht berücksichtigt; Einzelheiten zur Gegenseitigen Anerkennung, an der inzwischen 21 EWR-Staaten teilnehmen, unter http://ec. europa.eu/justice/data-protection/document/international-transfers/binding-cor porate-rules/mutual_recognition/index_en.htm. 2 Zum Verfahren der Anerkennung von Controller-BCR unter den Aufsichtsbehörden der EWR-Staaten vgl. auch Filip, ZD 2013, 51 ff. 3 WP 74, 108, 153, 154 und 155. 4 Auch bei Controller-BCR sind zwei Schritte zu absolvieren, vgl. Filip, ZD 2013, 51 (53 f.). 5 Dass einige der deutschen Aufsichtsbehörden Genehmigungen für die einzelnen Transfers nicht für erforderlich halten, beruht darauf, dass sie BCR als Möglichkeit der Gewährleistung eines „angemessenen Datenschutzniveaus“ i.S.v. § 4b Abs. 2 und 3 BDSG ansehen, während die anderen Aufsichtsbehörden BCR als Fall „ausreichender Datenschutzgarantien“ i.S.v. § 4c Abs. 2 BDSG einordnen; Einzelheiten bei Filip, ZD 2013, 51 (52 ff.). 6 Abrufbar unter http://ec.europa.eu/justice/data-protection/document/internatio nal-transfers/files/table_nat_admin_req_en.pdf.
742
Conrad/Filip
§ 46
III. Voraussetzungen der Anwendung von PBCR
Für Datenexporte aus denjenigen Bundesländern, deren Aufsichtsbehör- 15 den BCR und PBCR nicht als Instrument zur Herstellung „ausreichender Datenschutzgarantien“ i.S.v. § 4c Abs. 2 Satz 1 BDSG einordnen, sondern (bereits) als Mittel zur Herstellung eines angemessenen Datenschutzniveaus beim Datenempfänger i.S.v. § 4b Abs. 2 und 3 BDSG, sind mit der aufsichtsbehördlichen Anerkennung der BCR im EWR-weiten koordinierten Anerkennungsverfahren („Schritt 1“) alle verfahrensmäßigen Anforderungen erfüllt. D.h., für die Datenexporte aus dem jeweiligen Bundesland müssen nicht noch zusätzlich Genehmigungsbescheide der Datenschutzaufsichtsbehörde dieses Bundeslandes eingeholt werden. Für diese Datenexporte entfällt mithin „Schritt 2“. Selbstverständlich sind die Datenexporte jedoch auch in diesen Fällen nur zulässig, wenn auch die datenschutzrechtlichen Anforderungen der „ersten datenschutzrechtlichen Stufe“1 erfüllt sind, d.h. insbesondere nur soweit die Datenexporte auf eine Rechtsgrundlage i.S.v. §§ 4 Abs. 1, 28 ff. BDSG2 gestellt werden können. Die betreffenden Datenexporteure (d.h. die Auftraggeber, die die Daten an den Auftragsverarbeiter-Konzern übermitteln möchten) in diesen Bundesländern müssen letzteres – mangels der Notwendigkeit der Einholung eines Genehmigungsbescheids – in Eigenverantwortung überprüfen. Hingegen dürfen Datenexporteure aus denjenigen Mitgliedsstaaten und 16 Bundesländern3, deren Aufsichtsbehörden für Datenexporte auf der Grundlage von BCR und PBCR Genehmigungsbescheide als erforderlich ansehen4, personenbezogene Daten an den „Auftragsverarbeiter-Konzern“, dessen PBCR aufsichtsbehördlich anerkannt worden sind, erst exportieren, nachdem sie von der zuständigen Datenschutzaufsichtsbehörde einen entsprechenden Genehmigungsbescheid erhalten haben. In einem zweiten Schritt muss daher, sofern ein Datenexport aus einem dieser Mitgliedstaaten bzw. – was Datenexporte aus Deutschland angeht – Bundesländer5 vorgesehen ist, die entsprechende Genehmigung bei der insoweit zuständigen Aufsichtsbehörde beantragt werden6. Ein fun1 Vgl. Nr. II.1. 2 Bzw., soweit einschlägig, gemäß einer gegenüber dem BDSG nach § 1 Abs. 3 BDSG vorrangigen Rechtsgrundlage. 3 Sowie Datenexporteure, die der Zuständigkeit des BfDI unterfallen, da auch der BfDI BCR (und PBCR) als Fall des § 4c Abs. 2 Satz 1 BDSG einordnet. 4 In Deutschland sind dies diejenigen Aufsichtsbehörden, die BCR und PBCR als Fall „ausreichender Datenschutzgarantien“ i.S.v. § 4c Abs. 2 BDSG (d.h. nicht bereits als Gewährleistung eines „angemessenen Datenschutzniveaus“ i.S.v. § 4b Abs. 2 und 3 BDSG) einordnen; vgl. die Übersicht unter http://ec.euro pa.eu/justice/data-protection/document/international-transfers/files/table_nat_ admin_req_en.pdf. 5 Sowie für Datentransfers, die der Zuständigkeit des BfDI unterliegen, vgl. die o.g. Übersicht. 6 Dieser hier so genannte zweite Schritt entfällt naturgemäß bei Datenexporten aus dem Zuständigkeitsbereich der Aufsichtsbehörden derjenigen Mitgliedstaaten und Bundesländer, die keine Datenexportgenehmigungen für erforderlich halten. Conrad/Filip
743
§ 46
Verbindliche Konzernregelungen
damentaler Unterschied zu Controller-BCR besteht nun darin, dass nicht der „Auftragsverarbeiter-Konzern“, dessen PBCR von den Aufsichtsbehörden anerkannt worden sind („Schritt 1“), derartige Genehmigungen für konkrete Datenexporte auf der Grundlage der PBCR beantragen muss, vielmehr ist dies Aufgabe des jeweiligen Auftraggebers, der sich zum Zweck einer (auch in unsicheren Drittstaaten vorgesehenen) Auftragsverarbeitung eines solchen „Auftragsverarbeiter-Konzerns“ bedienen möchte1. Denn nur eine „verantwortliche Stelle“ i.S.v. § 3 Abs. 7 BDSG und somit in Fällen der Auftragsdatenverarbeitung nur der Auftraggeber (vgl. § 11 Abs. 1 Satz 1 BDSG) ist tauglicher Adressat einer Datenexportgenehmigung i.S.v. § 4c Abs. 2 Satz 1 BDSG, da die in § 4c Abs. 2 Satz 1 BDSG vorausgesetzte „Übermittlung“ nur einer verantwortlichen Stelle zugerechnet werden kann, nicht jedoch einem Auftragsverarbeiter. 17
Bei der Beantragung der Genehmigung muss der jeweilige Auftraggeber der zuständigen Datenschutzbehörde die PBCR vorlegen, um nachzuweisen, dass ausreichende Datenschutzgarantien für die von ihm geplanten Datenexporte vorliegen. Zusätzlich muss er auch den Datenverarbeitungsauftrag i.S.v. Art. 17 der RL 95/46/EG vorlegen2. Denn nur bei Vorlage sowohl des Auftrags als auch der PBCR ist die für den jeweiligen Datenexport zuständige Aufsichtsbehörde in der Lage zu beurteilen, ob insgesamt ausreichende Datenschutzgarantien für die vorgesehenen Datenexporte vorliegen3. Diese Beurteilung muss die Aufsichtsbehörde aber zwingend vornehmen, da Gegenstand der Datenexportgenehmigung gemäß § 4c Abs. 2 Satz 1 BDSG nach dem eindeutigen Gesetzeswortlaut die Datenübermittlung als Gesamtvorgang ist und somit selbstverständlich auch der Auftragsverarbeitungsvertrag, weil die „Datenübermittlung als Ganzes“ nicht allein durch die Regelungen der PBCR, sondern in Teilen auch durch den Auftragsverarbeitungsvertrag geregelt wird.
18
Hingegen sei es, so die Artikel-29-Gruppe, im EWR-weiten koordinierten Anerkennungsverfahren („Schritt 1“) noch nicht erforderlich, neben dem Entwurf der PBCR bereits den vollständigen vorgesehenen Auftrag i.S.v. Art. 17 der RL 95/46/EG vorzulegen; jedoch solle der AuftragsverarbeiterKonzern im Anerkennungsverfahren grundsätzlich eine Zusammenfassung des vorgesehenen Auftragstextes sowie entsprechende Auszüge vorlegen, um zu untermauern, dass und wie der jeweilige Auftraggeber die PBCR durchsetzen kann4. Hierzu sei die Anmerkung erlaubt, dass durch1 WP 204, 2.1., letzter Absatz. Somit ist zumindest theoretisch denkbar, dass die PBCR von den Aufsichtsbehörden im EWR als verbindlich anerkannt wurden („Schritt 1“), ohne dass sie jemals in der Praxis für konkrete Datentransfers zum Einsatz gebracht werden, weil kein Auftraggeber aus dem EWR die Leistungen dieses Auftragsverarbeiter-Konzerns in Anspruch nimmt. 2 Die PBCR müssen einen Anhang zu dem Auftrag bilden, WP 204, Nr. 2.1., zweiter Absatz. Im Auftrag muss auf diesen Anhang ausdrücklich Bezug genommen werden, WP 204, Nr. 2.3.3.2. 3 Vgl. WP 204, Nr. 2.1., letzter Absatz. 4 WP 204, Nr. 2.3.3.2.
744
Conrad/Filip
§ 46
IV. Praktische Schwierigkeiten bei der vertraglichen Umsetzung
aus denkbar ist, dass unterschiedliche Auftraggeber auch unterschiedliche Vertragstexte für die von ihnen an den Auftragsverarbeiter-Konzern zu erteilenden Aufträge einsetzen möchten, so dass fraglich erscheinen mag, ob bereits im Anerkennungsverfahren insoweit bereits tragfähige Erkenntnisse möglich sind bzw. ob zu diesem Zeitpunkt solche Vertragstexte überhaupt schon vorliegen. Diese Frage ist indessen in den einschlägigen Arbeitspapieren nicht weiter ausgeführt; insoweit muss daher auf die weitere Diskussion und die künftigen praktischen Erfahrungen verwiesen werden. 2. Zusätzliche Anforderungen für Datentransfers aus Deutschland gemäß § 11 BDSG Für Datenexporte aus Deutschland resultiert ein weiteres Problem da- 19 raus, dass das deutsche Datenschutzrecht in § 11 BDSG detaillierte zwingende Anforderungen an jede Auftragsdatenverarbeitung stellt, insbesondere an den Inhalt des Auftrags (§ 11 Abs. 2 Satz 2 BDSG). Da es sich hierbei um Anforderungen des nationalen Datenschutzrechts handelt, die zudem die sog. erste Stufe des Datenumgangs betreffen, sind diese Anforderungen in den Vorgaben der Arbeitspapiere der Artikel-29-Gruppe naturgemäß nicht berücksichtigt. Jeder dem deutschen Datenschutzrecht unterliegende Auftraggeber muss somit auch dann, wenn er sich eines Auftragsverarbeiter-Konzerns mit PBCR bedient, die Anforderungen nach § 11 BDSG erfüllen. Es stellt sich die Frage, wie dies in der Praxis umsetzbar ist. Zu erwarten ist, dass die deutschen Aufsichtsbehörden fordern werden, dass die Anforderungen aus § 11 BDSG in den Auftragsverarbeitungsvertrag zu integrieren sind, den der jeweilige Auftraggeber mit einem der Mitglieder des Auftragsverarbeiter-Konzerns abschließen muss1. Sollte sich dies in der Praxis bestätigen, wäre es wünschenswert, wenn die deutschen Aufsichtsbehörden Unternehmen, die an PBCR interessiert sind, frühzeitig auf diesen Umstand hinweisen, der jedenfalls von deutschen Auftraggebern erfüllt werden muss – selbst wenn die Verantwortung insoweit nicht beim Auftragsverarbeiter-Konzern liegt, sondern beim jeweiligen Auftraggeber.
IV. Praktische Schwierigkeiten bei der vertraglichen Umsetzung 1. Besonderheiten des Controller-to-Processor-Verhältnisses Die Artikel-29-Gruppe hat mit WP 195 (Bestandteile und Grundsätze), 20 WP 195a (Antragsformular) und WP 204 (Erläuterungen) grundlegende Orientierungshilfen für den Inhalt und die Beantragung vor der Genehmigung von PBCR zur Verfügung gestellt2. Etwas verwirrend ist, dass im
1 Vgl. Nr. II.2. 2 S. dazu oben I. am Ende und II. Conrad/Filip
745
§ 46
Verbindliche Konzernregelungen
WP 195 (unter Einführung) die Vereinbarung zwischen dem Controller und einem Processor (aus dem Processor-Konzern) als „Dienstevereinbarung“ bezeichnet wird, jedoch im selben WP (unter II.) als „Dienstgütevereinbarung“. Auch in WP 204 werden beide Begriffe verwendet. Es dürfte aber wohl mit beiden Begriffen derselbe Vertrag – der Auftragsdatenverarbeitungsvertrag (nach deutschem Recht entsprechend § 11 BDSG) – gemeint sein. Die englische Fassung der Working Paper ist auch nicht klarer. Dort wird der Begriff „Service Level Agreement“1 verwendet – ein Begriff, der im IT-Bereich üblicherweise in einem anderen Kontext verwendet wird (nämlich im Zusammenhang mit Fehlerklassen und Reaktions- und Beseitigungszeiten). 21
WP 195 orientiert sich stark an den Arbeitspapieren der Artikel-29-Gruppe zu Controller-BCR. Controller-BCR und PBCR haben jedoch zumindest drei wesentliche Unterschiede, die in den unterschiedlichen Verhältnissen des Datenimporteurs einerseits zum Datenexporteur (Controller) und andererseits zum Betroffenen begründet sind. Die Unterschiede bestehen im Wesentlichen in Bezug auf: – die Verantwortlichkeit für die Zulässigkeit der Datenverarbeitung und die Weisungen, – das Verhältnis und den Kontakt zum Betroffenen, – die Umsetzung der erforderlichen Kongruenz der Regelungen der 2. Stufe der Datenverarbeitung (angemessenes Datenschutzniveau im internationalen Datentransfer) im Verhältnis zur 1. Stufe (Erlaubnis zum Datentransfer nach nationalem Recht). Dazu im Einzelnen: a) Verantwortlichkeit und Weisungen des Controllers
22
Bei Controller-BCR handeln die konzernangehörigen Datenexporteure, die die Daten an konzernangehörige Unternehmen in unsichere Drittstaaten transferieren, hierbei als „Controller“, d.h. der Datenexport erfolgt zu eigenen Geschäftszwecken des (in der EU bzw. im EWR ansässigen) exportierenden Unternehmens. Der Datenexport erfolgt entweder an einen (in einem unsicheren Drittstaat ansässigen und jeweils als „Datenimporteur“ bezeichneten) Controller oder aber Processor, der zu derselben Unternehmensgruppe gehört2. Dabei sind die Controller-BCR da1 S. etwa WP 204, Ziffer 2.1 (2. Absatz): „Therefore, BCR for Processors shall be annexed to the Processor contract (referred to in this paper as the Service Level Agreement) which is required by Art. 17 of EU Directive 95/46 and contains notably the instructions of the Controller signed between the external Controller and the Processor.“ 2 Aus den WP zu den Controller-BCR (z.B. WP 154 Nr. 11 – „Relationship with processors that are members oft he group“) ergibt sich, dass Controller-BCR auch für Datentransfers an gruppeninterne (d.h. an die Controller-BCR gebundene) Auftragsverarbeiter (Processors) Wirkung entfalten. Die Controller-BCR dienen
746
Conrad/Filip
§ 46
IV. Praktische Schwierigkeiten bei der vertraglichen Umsetzung
rauf zugeschnitten, dass auch alle Datenimporteure (unabhängig davon, ob sie die Daten als Controller, d.h. zu eigenen Zwecken, oder aber als Processor, d.h. für Auftragsverarbeitungszwecke erhalten) infolge ihrer Bindung an die Controller-BCR zumindest prinzipiell auch die Anforderungen erfüllen müssen, die für ein Agieren als Controller gelten – d.h. für Fälle, in denen der Datenimporteur insoweit (jeweils!) selbst für die Zulässigkeit der Datenverarbeitung und -nutzung verantwortlich ist bzw. wäre. Mit anderen Worten werden seitens der Artikel-29-Gruppe1 Vorgaben an alle an Controller-BCR beteiligten Gesellschaften gemacht, die die Qualität der Datenverarbeitung und die Einhaltung der Datenschutzprinzipien betreffen. Die Controller-BCR gehen zwar von dem Konzept aus, dass zumindest ein oder einige Mitglieder der Unternehmensgruppe die Daten als Controller verarbeiten. Gleichzeitig halten die ControllerBCR aber offen bzw. schließen nicht aus, dass Mitglieder dieser Unternehmensgruppe die Daten als Processor verarbeiten. Dagegen verarbeiten bei PBCR die Unternehmensgruppe (genauer die 23 konzern- bzw. gruppenangehörigen Unternehmen, die Mitglieder der PBCR sind) die Daten ausschließlich im Auftrag des konzern- bzw. gruppenfremden Controllers. Wie bei Controller-BCR (und im Einklang mit der Begrifflichkeit der Standardvertragsklauseln) werden bei PBCR nur diejenigen (Konzern-)Gesellschaften als „Datenimporteure“ bezeichnet, die in unsicheren Drittstaaten ansässig sind (genauer gesagt: die die Daten zur Verarbeitung in einem unsicheren Drittstaat erhalten)2. Bei Auftragsdatenverarbeitung ist für die Zulässigkeit der Datenverarbeitung (einschließlich Einhaltung von Erforderlichkeit, Verhältnismäßigkeit, Datenvermeidung und Datensparsamkeit) allein der Controller verantwortlich3. Der bzw. die Auftragsdatenverarbeiter müssen jedoch entsprechende Weisungen des Controllers einhalten. Damit schlagen letztlich die datenschutzrechtlichen Anforderungen und Grundsätze auch auf die Auftragsverarbeitung durch den Processor-Konzern durch, so dass sich auch für solche Transfers dazu, die Anforderungen der „zweiten Stufe“ zu erfüllen. Allerdings müssen die datenexportierenden gruppenangehörigen Controller mit solchen gruppeninternen Processors zusätzlich einen Vertrag gem. Art. 17 der RL 95/46/EG abschließen (für deutsche datenexportierende Controller somit ein Auftragsdatenverarbeitungsvertrag gem. § 11 BDSG. 1 S. zu Controller-BCR insbesondere WP 153 (Instrumentarium zur Überprüfung der Frage, ob alle Bedingungen erfüllt sind), WP 155 (häufig gestellte Fragen), WP 154 (Beispiel für BCR). 2 Vgl. etwa WP 195, Nr. 4.1; WP 204, Nr. 1.3 letzter Absatz (hier, z.T. aber etwas ungenau als „Datenimporteure in Ländern außerhalb der EU“ bezeichnet). Daher ist es ur in den Fällen, in denen sich alle PBCR-Mitgliedsunternehmen außerhalb der EU befinden, zutreffend, den Processor-Konzern bzw. alle PBCRMitgliedsunternehmen als „Datenimporteur(e)“ zu bezeichnen. Das WP 204 verwendet für den Processor-Konzern z.T. den Begriff „Unternehmensgruppe“ (etwa in Nr. 2.1 zweiter und vierter Absatz; in der Überschrift von Nr. 2.2.1), z.T. etwas unpräzise den Begriff „Unternehmen“ (etwa in Nr. 1.3, letzter Absatz „Unterauftragsverarbeiter, die Teil desselben Unternehmens sind“). 3 S. nach deutschem Recht § 11 Abs. 1 BDSG. Conrad/Filip
747
§ 46
Verbindliche Konzernregelungen
für die Unternehmen, die zum Processor-Konzern gehören, hieraus gewisse Verpflichtungen ergeben. Die Artikel-29-Gruppe hat aufgezeigt, in welcher Weise sich die Datenschutzgrundsätze wie Transparenz und Fairness, Beschränkung der Zweckbestimmung, Datenqualität, Sicherheit etc. auf den Processor-Konzern auswirken, so dass in den PBCR entsprechende Pflichten der zum Processor-Konzern gehörenden Unternehmen festzulegen sind (siehe WP 195, 6.1)1. 24
Soweit von den Aufsichtsbehörden für ausreichend angesehen wird, dass diese in den PBCR vorzunehmende Verpflichtung auf die Datenschutzgrundsätze verhältnismäßig abstrakt ausgestaltet ist, ergeben sich möglicherweise wenige Konflikte mit den mit einzelnen Kunden des Auftragsdatenverarbeiters ausgehandelten Verträgen. Denn auch die Weisungen des Controllers (Kunden) müssen den Grundsätzen des europäischen Datenschutzrechts genügen. Zudem ist es bei Auftragsdatenverarbeitung nicht unüblich, dass der Processor den Auftragsdatenverarbeitungstext vorschlägt (somit auch Beschreibung von Art und Umfang der Datenverarbeitung und der technischen und organisatorischen Maßnahmen). In vielen Fällen – vor allem im Massengeschäft oder wenn der Controller ein KMU ist – beschränken sich die Weisungen des Controllers darauf, dass er den Vertragsvorschlag des Auftagsdatenverarbeiters annimmt, ohne individuelle Weisungen hinsichtlich Art und Umfang der Auftragsdatenverarbeitung oder der technischen und organisatorischen Maßnahmen (einschließlich etwa der Herausgabe der Daten) zu erteilen bzw. diese Punkte zu vereinbaren.
25
Das kann aber im Einzelfall anders sein. Insbesondere weil die Mitgliedstaaten Art. 17 der Richtlinie 95/46/EG im Detail unterschiedlich umgesetzt haben und selbst bei PBCR nach Ansicht der Artikel-29-Gruppe die Auftragsdatenverarbeitungsverträge dem jeweiligen nationalen Recht am Sitz des Controllers genügen müssen2, kann sich im Detail eine Inkonsistenz zwischen den Regelungen der PBCR und des Auftragsdatenverarbeitungsvertrags ergeben, zumindest was die Begrifflichkeiten betrifft3. b) Verhältnis und Kontakt zum Betroffenen
26
Controller-BCR wurden sowohl im Hinblick auf (personenbezogene) Kunden- und Lieferantendaten, als auch im Hinblick auf Beschäftigtendaten, die im Konzern verarbeitet werden, anerkannt4. Üblicherweise hat bei Controller-BCR zumindest eine Gesellschaft aus dem Konzern, welcher die Controller-BCR einsetzt, unmittelbaren Kontakt zum Betrof1 2 3 4
WP 195, 6.1. WP 204, 2.1 am Ende (S. 7). S. auch unten Rz. 29 ff. S. etwa Controller-BCR von ebay (abrufbar unter www.ebayprivacycenter.com) oder Liste der Unternehmen, die das Genehmigungsverfahren schon durchlaufen haben: http://ec.europa.eu/justice/data-protection/document/international-trans fers/binding-corporate-rules/bcr_cooperation/index_en.htm).
748
Conrad/Filip
§ 46
IV. Praktische Schwierigkeiten bei der vertraglichen Umsetzung
fenen – sei es als Arbeitgeber oder (etwa wenn es sich bei den Kunden um Verbraucher handelt) als Lieferant oder Kunden. Bei Auftragsdatenverarbeitung ist im Prinzip nicht vorgesehen, dass der 27 Auftragsdatenverarbeiter direkt mit den Betroffenen Kontakt hat. Vielmehr ist der Controller der einzige Ansprechpartner des Auftragsdatenverarbeiters. Im Regelfall sind die Geschäftsprozesse des Auftragsdatenverarbeiters auf ein B2B-Verhältnis ausgelegt und nicht dazu geeignet, dass der Auftragsdatenverarbeiter mit einer Vielzahl von natürlichen Personen (gleichsam B2C) Kontakt hat1. WP 195 (1.3 und 2.3) sieht jedoch vor, dass der Processor insbesondere 28 bei den Drittbegünstigtenrechten der Betroffenen und bei Beschwerden der Betroffenen unter bestimmten Umständen in direktem Kontakt mit den Betroffenen steht. Im Einzelfall kann es mit praktischen Schwierigkeiten verbunden sein, wie die Betroffenen davon erfahren sollen, dass für sie z.B. ein bestimmter Dienstleister des Arbeitgebers (im Rahmen der Verarbeitung von Beschäftigtendaten im Auftrag) zuständig sein soll, wobei dies wohl eher ein Problem des Controllers sein dürfte2. WP 195 (Ziff. II., 3. Spiegelstrich) verlangt, dass im Auftragsdatenverarbeitungsvertrag („Dienstgütevereinbarung“) die Verpflichtung des Controllers geregelt wird, dass er die Betroffenen über Auftragsdatenverarbeiter außerhalb der EU und über die PBCR in Kenntnis setzen muss. Zudem muss der Controller den Betroffenen auf Verlangen eine Kopie der PBCR und der „Dienstevereinbarung“ (gemeint ist wohl der Auftragsdatenverarbeitungsvertrag) verfügbar machen, allerdings ohne Offenlegung sensibler und vertraulicher Geschäftsinformationen. Controller und Processor sollten sicherstellen, dass diese Offenlegungspflichten in der – üblichen (meist beidseitigen) – Geheimhaltungsregelung des Hauptvertrags berücksichtigt wird. c) Verhältnis der PBCR zum Auftragsdatenverarbeitungsvertrag Der dritte entscheidende Unterschied zwischen Controller-BCR und 29 PBCR, der eng mit der oben unter a) dargestellten unterschiedlichen Verantwortlichkeit zusammenhängt, besteht darin, dass bei Controller-BCR die in der EU bzw. im EWR ansässigen Datenexporteure in jedem Falle „verantwortliche Stellen“ (Controller) im Hinblick auf den Datentransfer an die in unsicheren Drittstaaten ansässigen gruppenangehörigen Datenempfänger sind. Ein darüber hinausgehendes Vertragsverhältnis mit einem (weiteren) Controller außerhalb der Gruppe gibt es vielfach gar nicht bzw. wäre jedenfalls insoweit grds. irrelevant. Daher gibt es auch
1 S. zum Beschwerdesystem auch unten 2. e). 2 Dieselbe Situation gibt es auch beim Standardvertragsklauseln Controller-toProcessor (KOM-Beschluss 2010/87/EU). Dort sieht Klausel 4 lit. h ebenfalls eine Information des Betroffenen durch den Datenexporteur vor. Conrad/Filip
749
§ 46
Verbindliche Konzernregelungen
kein Erfordernis, dass sich Controller-BCR in irgendein Vertragsverhältnis mit einem gruppenfremden Controller einfügen müssten. 30
Bei PBCR gibt die Artikel-29-Gruppe vor, dass die PBCR in die „Dienstgütevereinbarung“ (Auftragsdatenverarbeitungsvertrag des Datenexporteurs) einzufügen ist, etwa als Anlagen zum Auftragsdatenverarbeitungsvertrag1. Daraus ergibt sich die Notwendigkeit, dass die PBCR synchronisiert sein müssen mit dem (zivilrechtlichen) „Hauptvertrag“ zwischen Controller (Kunde) und Processor sowie mit dem Auftragsdatenverarbeitungsvertrag, der regelmäßig eine Anlage zum Hauptvertrag ist. Die Artikel-29-Gruppe stellt sich vor, dass die PBCR ein Anhang zum Auftragsdatenverarbeitungsvertrag sind. Damit ergeben sich drei vertragliche Ebenen (Hauptvertrag, dazu Anlage Auftragsdatenverarbeitungsvertrag, wiederum dazu Anhang PBCR), die nach dem jeweiligen nationalen Recht wirksam auszugestalten sind. Soweit für das Vertragsverhältnis mit dem Controller deutsches Recht zur Anwendungen kommen soll, ergeben sich aufgrund AGB-Rechts besonders strenge Anforderungen z.B. an die Transparenz der Regelung. Durch die Bezugnahme auf die PBCR werden die Inhalte der PBCR Inhalt des Vertrags mit dem Controller. Da – zumindest nach deutschem AGB-Recht – einseitige Leistungsänderungsrechte weitgehend unwirksam sind, muss sich der Processor-Konzern stark festlegen. Ein Modifikation der PBCR bzw. der zugrundeliegenden Prozesse ist zwar in WP 195 (Ziff. I., 5.1) vorgesehen, u.U. sogar ohne dass das Anerkennungsverfahren erneut durchlaufen werden muss. Die Einbeziehung in den Vertrag mit dem Controller führt jedoch dazu, dass bei Änderung der PBCR grds. eine Vertragsänderung mit dem Controller erforderlich ist.
31
Diejenigen Processor-Konzerne, die hoffen, durch PBCR würde die internationale Umsetzung von Auftragsdatenverarbeitungsverträgen erleichtert, weil die Aufsichtsbehörden den Muster-Dienstgütevertrag quasi „mit-anerkennen“ würden, täuschen sich. WP 204 (Ziff. 2.1) stellt insbesondere klar, dass auch bei erfolgter Anerkennung von PBCR der Controller (und ggf. der Processor) – zusätzlich – die Anforderungen umzusetzen hat, die das nationale Datenschutzrecht an die Auftragsdatenverarbeitung stellt. In manchen Mitgliedstaaten müssen z.B. Auftragsdatenverarbeiter bzw. Auftragsdatenverarbeitungsverfahren bei der Behörde registriert werden.
32
Es wäre für die Unternehmen zwar sicherlich wünschenswert und eine große Erleichterung, wenn das Verfahren der Anerkennung der PBCR nicht nur die zweite Stufe (Drittlandaspekt) umfassen würde, sondern auch eine Bescheinigung der Rechtsmäßigkeit der ersten Stufe wäre. Das ist schon deshalb naheliegend, weil der Auftragsdatenverarbeitungsvertrag ohnehin für das Anerkennungsverfahren – zumindest in Auszügen – 1 WP 204, Ziffer 2.1 (2. Absatz): „… BCR for Processors shall be annexed to the Processor contract (referred to in this paper as the Service Level Agreement) which is required by Art. 17 of EU Directive 95/46 …“.
750
Conrad/Filip
§ 46
IV. Praktische Schwierigkeiten bei der vertraglichen Umsetzung
vorgelegt werden muss1. Da allerdings die Anforderungen der nationalen Rechtsordnungen an die „erste Stufe“ des Datenumgangs zahlreiche und z.T. erhebliche Unterschiede aufweisen können (vgl. für Deutschland die detaillierten Anforderungen gemäß § 11 BDSG, von denen sich – soweit ersichtlich – bei weitem nicht alle auch in den Rechtsordnungen aller anderen Mitgliedstaaten finden), ist dies jedoch de lege lata wohl keine Option. Angesichts der bestehenden Unterschiede zwischen den mitgliedstaatlichen Rechtsordnungen liegt im Hinblick auf die Anforderungen der ersten Stufe kein gemeinsamer rechtlicher Maßstab vor, der jedoch gerade die Prämisse für eine sinnvolle Koordinierung wäre. Der Entwurf der Datenschutzgrundverordnung2 (Kompromissfassung des 33 LIBE-Ausschusses vom 21.10.2013) sieht in Art. 39 vor, dass die Aufsichtsbehörden – zu „reasonable fees“ – die Rechtmäßigkeit (Compliance) der Aufragsdatenverarbeitung zertifizieren. Allerdings ist diese Zertifizierungsmöglichkeit nicht in das BCR-Anerkennungsverfahren (siehe Art. 43, Art. 52 Abs. 1 lit. i) integriert, was jedoch wünschenswert wäre. Evtl. beabsichtigt die EU-Kommission, diesen Aspekt durch delegierten Rechtsakt (siehe Art. 43 Abs. 3) zu spezifizieren. Die Zertifizierung der Compliance der ersten Stufe geht jedoch über eine reine Konkretisierung der Regelungen von Art. 43 hinaus und müsste eigentlich im Text der Grundverordnung geregelt werden. 2. Ausgewählte Regelung in PBCR a) Unterschiede zum Instrument der Standardvertragsklauseln Die oben in 1. a) bis c) dargestellten grundlegenden Unterschiede führen 34 im Ergebnis dazu, dass manche Vorgaben in WP 195 auf die Auftragsdatenverarbeitungssituation nicht recht passen wollen, zumindest aber schwer umsetzbar sind. Im Folgenden werden einzelne ausgewählte Beispiele solcher praktischen Umsetzungsschwierigkeiten dargestellt. Ein Hauptunterschied zwischen Standardvertragsklauseln und PBCR ist, 35 dass Standardvertragsklauseln relativ pauschal sind und wenig Raum für flexible und individuelle Lösungen bieten, bei ihnen jedoch – und das ist der Vorteil gegenüber BCR – regelmäßig keine Vorgaben hinsichtlich der Umsetzung bei den Vertragsparteien (Datenimporteur und Datenexporteur) gemacht werden3. PBCR setzen voraus, dass es im Konzern eine Datenschutzmanagement- 36 Struktur gibt, die europäischen Datenschutzprinzipien genügt, bzw. dass diese Struktur geschaffen wird. Die Vorgaben an das Datenschutzmana-
1 S. WP 204, Ziff. 2.3.3.2, vorletzter Absatz. 2 S. zur Datenschutzgrundverordnung auch unten Rz. 68 ff. sowie Conrad/Schneider, § 69. 3 WP 204, S. 5. Conrad/Filip
751
§ 46
Verbindliche Konzernregelungen
gement in den an PBCR beteiligten Konzernunternehmen umfassen u.a. die Einrichtung – eines konzerninternen Stabs an Datenschutzbeauftragten oder sonstigen ähnlich befähigten Mitarbeitern, – eines geeigneten internationalen Schulungsprogramms für die relevanten Grundsätze des europäischen Datenschutzrechts, – eines geeignetes Auditsystem, dass sowohl konzerninterne Auditoren umfasst als auch Audits durch den Controller oder Aufsichtsbehörden, – eines geeigneten konzerninternen Beschwerdesystems, an das sich auch Betroffene direkt wenden können, was – wie erwähnt – für Auftragsdatenverarbeitung grds. systemfremd ist, – geeigneter Maßnahmen zur Erfüllung der in WP 195 vorgesehenen Informationspflichten (etwa bei Modifikation/Aktualisierung der PBCR bzw. der betroffenen Datenverarbeitungsvorgänge und Gesellschaften) – der Umsetzung von technischen und organisatorischen Datenschutzgrundsätzen, ohne dass insoweit ausreichend auf den Auftragsdatenverarbeitungsvertrag Bezug genommen wird. 37
Bei der Umsetzung dieser Vorgaben haben diejenigen Konzerne einen Vorteil, deren Muttergesellschaften ihren Sitz in der EU haben. Denn in solchen Konzern ist die Einrichtung eines zentralen und einheitlichen Datenschutzmanagementsystems, das europäischen Datenschutzvorgaben genügt, im Regelfall leichter möglich.
38
Ist dagegen lediglich die EU-Hauptniederlassung oder evtl. nur eine Landesgesellschaft des Konzerns oder gar keine einzige konzernangehörige Gesellschaft1 in der EU ansässig, ergibt sich sehr viele Abstimmungsbedarf mit der EU-ausländischen Konzernzentrale. Insbesondere ist es nicht selbstverständlich, dass z.B. mittelständische Konzerne außerhalb Europas Mitarbeiter haben, die mit dem europäischen Datenschutzrecht vertraut sind.
39
Ein weiterer Unterschied zwischen Standardvertragsklauseln und BCR ist, dass Standardvertragsklauseln nicht auf Unternehmen einer Gruppe festgelegt sind. Bei BCR gilt grds. dass das Instrument nur innerhalb einer Unternehmensgruppe eingesetzt werden kann. Allerdings eröffnet die Artikel-29-Gruppe in WP 195 (Ziff. I., 6.1 lit. vii) eine relativ leichte Möglichkeit, externe Unterauftragsdatenverarbeiter einzubeziehen, sofern der Controller eingewilligt hat und u.a. ein ausreichender Schutz entsprechend der Vorgaben der RL 95/46/EG an Autragsdatenverarbeitung geboten wird. Diese Möglichkeit ist nicht selbstverständlich, denn 1 Auch letztere Fallgestaltung ist denkbar, vgl. WP 205, Nr. 2.3.3.1, vierter Absatz („beispielsweise weil der Auftragsverarbeiter keine Niederlassung in der EU hat“) und WP 195, Nr. 1.5 („Sofern kein Mitglied des an die BCR gebundenen Auftragsverarbeiters in der EU niedergelassen ist …“).
752
Conrad/Filip
§ 46
IV. Praktische Schwierigkeiten bei der vertraglichen Umsetzung
ggf. hat nicht nur das Konzernunternehmen (aus dem Processor-Konzern), das den externen Subdienstleister beauftragt, seinen Sitz außerhalb der EU, sondern auch der externe Subdienstleister. Solche Kettenauslagerungen sind mit den Standardvertragsklauseln nur schwer umsetzbar. Das Bedürfnis zur Einbindung von externen Subdienstleistern besteht zweifellos, denn auch Auftragsdatenverarbeiter lassen z.B. ihre Hardware von Dritten warten. Ob die Artikel-29-Gruppe davon ausgeht, das dasjenige Unternehmen aus dem Processor-Konzern, das mit dem Controller in einem unmittelbaren Vertragsverhältnis steht, den externen Subdienstleister beauftragen muss oder ob auch jeder andere Subprocessor innerhalb des Processor-Konzerns den externen Dienstleister (der dann eigentlich Sub-Subdienstleister ist) beauftragten kann, ist nicht ganz klar. Letzteres müsste eigentlich der Fall sein. Denn in vielen Konzernen werden Kundenverträge mit der jeweiligen Landesgesellschaft geschlossen und es wäre unpraktikabel, wenn der externe Dienstleister mit jeder relevanten EU-Landesgesellschaft aus dem Processor-Konzern einen Vertrag schließen müsste. b) Grundüberlegungen zum Aufbau der PBCR WP 195 hat in seinem Hauptteil (in tabellarischer Form) folgende Glie- 40 derung, aus der sich bereits die Kernbestandteile von PBCR ergeben: 1. Bindung im Innenverhältnis 1.1 Pflicht zur Einhaltung der BCR 1.2 Erläuterung, wie die Verbindlichkeit der BCR gegenüber den Mitarbeitern der Unternehmensgruppe und den Beschäftigten garantiert wird. Außenverhältnis 1.3 Drittbegünstigung für Betroffene einschließlich der Möglichkeit der Beschwerde bei den zuständigen Datenschutzbehörden und der gerichtlichen Klage (wahlweise am Gerichtstand des Auftragverarbeiters des EU-Datenexporteurs/der EU-Hauptniederlassung des Auftragsverarbeiters/des Mitglieds, das in der EU für den Datenschutz zuständig ist/des für die Verarbeitung Verantwortlichen in der EU, sofern diese Fälle nicht anwendbar sind, Gerichtsstand am Aufenthaltsort der betroffenen Person. 1.4 Verantwortung gegenüber dem für die Verarbeitung Verantwortlichen 1.5 Das Unternehmen akzeptiert die Pflicht zur Leistung von Schadensersatz und zur Abhilfe bei Verstößen gegen die BCR. 1.6 Das Unternehmen verfügt über ausreichende Mittel. 1.7 Die Beweislast trägt das Unternehmen, nicht die betroffene Person.
Conrad/Filip
753
§ 46
Verbindliche Konzernregelungen
1.8 Die BCR sind für die betroffenen Personen leicht zugänglich. Gleiches gilt für Informationen über die Rechte der Betroffenen als Drittbegünstigte. 2. Wirksamkeit 2.1 Geeignete Schulungsprogramme 2.2 Beschwerdeverfahren 2.3 BCR-Audit 2.4 Einrichtung eines Stabs von Datenschutzbeauftragten oder sonstigen befähigten Mitarbeitern, die Beschwerden bearbeiten, die Vorschriften überwachen und für deren Einhaltung sorgen. 3. Kooperationspflicht 3.1 Pflicht zur Zusammenarbeit mit den Datenschutzbehörden 3.2 Pflicht zur Zusammenarbeit mit dem für die Verarbeitung Verantwortlichen 4. Beschreibung der Datenverarbeitung und des Datenverkehrs 4.1 Beschreibung der Übermittlungsvorgänge, die unter die BCR fallen und des materiellen Anwendungsbereichs der BCR 4.2 Erklärung zum räumlichen Geltungsbereich der BCR (Art der Daten, Art der betroffenen Personen, Länder) 5. System für die Meldung und Erfassung von Änderungen 5.1 Verfahren zur Aktualisierung der BCR 6. Datenschutzgarantien 6.1 Beschreibung der Datenschutzgrundsätze, einschließlich der Vorschriften für die Datenübermittlung und die Weiterübermittlung aus der EU in Drittländern 6.2 Liste der Unternehmen, die an die BCR gebunden sind 6.3 Transparenzgebot in Fällen, in denen das einzelstaatliche Recht der Einhaltung der BCR durch die Unternehmensgruppe entgegensteht 6.4 Erklärung zum Verhältnis zwischen nationalen Rechtsvorschriften und BCR Im Ergebnis kommen schematisch gesehen zwei Varianten in Betracht: 41
Die erste Variante wäre im Prinzip ein klassischer vertraglicher Aufbau, der beginnen würde mit Präambel, Definitionen, Scopes, Pflichten, Haftung, Schlussbestimmungen. Der Vorteil dieses klassischen Aufbaus ist die bessere Übersichtlichkeit, die Regelung vom Abstrakten zum Speziellen und für die Juristen die größere Vertrautheit mit dieser Art des Aufbaus.
754
Conrad/Filip
§ 46
IV. Praktische Schwierigkeiten bei der vertraglichen Umsetzung
Die zweite Variante wäre ein Aufbau, wie er sich aus dem WP 195 ergibt 42 und den Vorgaben, die die Artikel-29-Gruppe macht. Danach wäre der Aufbau wie folgt: Binding Nature, Effectiveness, Cooperation, Material and Geographical Scope, Update, Security Measures. Der Vorteil eines Aufbaus, der sich am WP 195 orientiert, ist, dass sich die Datenschutzaufsichtsbehörden im Anerkennungsverfahren unmittelbar an den Vorgaben des WP 195 orientieren und checklistenartig den PBCR-Entwurf dahingehend abklopfen können. Gerade angesichts dessen, dass die Processor-BCR noch vergleichsweise neu sind, empfiehlt sich zumindest derzeit ein Aufbau anhand des WP 195. Selbst wenn ein Grundaufbau gewählt wird, der sich in der Abfolge an WP 195 orientiert, wird regelmäßig zweckmäßig oder gar erforderlich sei, vor Regelung der Einzelpunkte aus dem WP 195 einen Definitionenkatalog und gegebenenfalls auch eine Präambel einzubauen. Wird der „klassische“ Vertragsaufbau gewählt, empfiehlt es sich, beim 43 Antrag auf Anerkennung der PBCR der Behörde eine tabellarische Übersicht an die Hand zu geben, welcher Punkt aus WP 195 in welchen Klauseln des PBCR-Entwurfs abgehandelt wird. c) Verbindlichkeit der PBCR Bei Verbindlichkeit unterscheidet die Artikel-29-Gruppe zwischen der 44 Einhaltung der PBCR-Regelungen durch den Processor-Konzern und der rechtlichen Durchsetzbarkeit der PBCR (durch Controller und Betroffene)1. WP 195 (Ziff. I. 1.2 lit i) sieht mehrere Möglichkeiten vor, wie die Verbindlichkeit für die beteiligten Konzernunternehmen erreicht werden kann (Vereinbarungen innerhalb der Unternehmensgruppe, einseitige Erklärungen von Konzernunternehmen, interne Regelungen, Unternehmensgrundsätze oder andere Maßnahmen). Üblich sind zwei Möglichkeiten, mit welchen PBCR umgesetzt werden können: – als (multilateraler) Vertrag zwischen Konzernunternehmen oder – als konzerninterne Richtlinie (Policy) bzw. als Kodex. Die zweite Alternative ist möglicherweise sprachlich leichter umzuset- 45 zen, allerdings ist die rechtliche Bindungswirkung dieser Lösung nicht in allen Fällen hinreichend klar gewährleistet. Nach deutschem Recht ist es zwar wettbewerbswidrig (§ 5 Abs. 1 Nr. 6 UWG), wenn ein Unternehmen einen Verhaltenskodex nicht einhält, auf den sich das Unternehmen verbindlich verpflichtet hat, sofern das Unternehmen auf diese Bindung hingewiesen hat. Dies alleine dürfte jedoch den Anforderungen der Artikel-29-Gruppe an die Verbindlichkeit noch nicht genügen. Denn die „Verbindlichkeit“ von PBCR und BCR muss zwingend auch die rechtliche Durchsetzbarkeit der BCR bzw. PBCR bzw. jedenfalls bestimmter darin zu gewährender Betroffenenrechte durch die Betroffenen (sog. Dritt1 WP 204 Ziff. 2.3.1. Conrad/Filip
755
§ 46
Verbindliche Konzernregelungen
begünstigung) umfassen1. Die Möglichkeit der Betroffenen, ihre Rechte gegenüber der Unternehmensgruppe durchzusetzen, ist eine unverzichtbare Voraussetzung dafür, dass im konkreten Fall BCR oder PBCR von den Aufsichtsbehörden als Mittel zur Herstellung angemessener Datenschutzgarantien bzw. eines angemessenen Datenschutzniveaus anerkannt werden können. Vor diesem Hintergrund weist die Artikel29-Gruppe darauf hin, dass in manchen Mitgliedstaaten nur Verträge als in diesem Sinne hinreichend „verbindlich“ angesehen werden2. Daher empfiehlt es sich nachdrücklich (und wird wohl von den Aufsichtsbehörden nicht anders akzeptiert), dass der Processor-Konzern neben dem Verhaltenskodex einen (kurzen) z.B. multilateralen, konzerninternen Vertrag vorsieht, in dem alle beteiligten Konzerngesellschaften die Verbindlichkeit des PBCR-Kodex schriftlich erklären. 46
Im Antrag auf Anerkennung der PBCR muss auch erläutert werden, wie die Verbindlichkeit der PBCR gegenüber „den Beschäftigten“ garantiert werden soll (durch individuelle Vereinbarung mit Sanktionen, durch Klausel im Arbeitsvertrag mit Sanktionen oder durch interne Unternehmensgrundsätze oder tarifvertragliche Vereinbarungen jeweils mit Sanktionen)3. Nicht erwähnt werden Betriebsvereinbarungen, was die wohl üblichste und evtl. einfachste Möglichkeit der kollektiven VerbindlichMachung sein dürfte (soweit ein Betriebsrat, was jedenfalls in Drittländern nicht ohne weiteres der Fall ist). Soweit kollektivarbeitsrechtliche Mittel ausscheiden, stellt sich für den Processor-Konzern möglicherweise das Problem, dass nicht ganz klar ist, ob mit „den Beschäftigten“ alle Beschäftigten des beteiligten Unternehmens gemeint sind oder nur die Beschäftigten, die konkret in die Auftragsdatenverarbeitung eingebunden sind. Des Weiteren stellt sich das Problem, dass ggf. – je nachdem welche Flexibilität das nationale Arbeitsrecht vorsieht – individuelle Arbeitsverträge geändert werden müssen. Ob eine allgemeine Verpflichtung auf das Datengeheimnis ausreicht (was in Deutschland gemäß § 5 BDSG ohnehin verpflichtend ist) ist nicht ganz klar, dürfte aber zu verneinen sein, da die einschlägigen Arbeitspapiere der Artikel-29-Gruppe ausdrücklich fordern, dass die Verbindlichkeit der PBCR (bzw. BCR) als solcher für die Beschäftigten nachgewiesen werden muss. Mit der Verpflichtung auf das Datengeheimnis ist dieser Nachweis jedoch noch nicht erbracht, da aus dieser Verpflichtung noch nicht hervorgeht, warum für die Beschäftigten ein Verstoß gegen die PBCR (bzw. BCR) – die ja keine Gesetzesqualität haben – zu einem „unbefugten“ Datenumgang i.S.v. § 5 BDSG führt. Vielmehr muss der Konzern, gewissermaßen um zu definieren, dass auch bei einem Verstoß des Beschäftigten gegen die PBCR (bzw. BCR) ein „unbefugter“ Datenumgang vorliegt, belegen, dass die PBCR (bzw. BCR) mit ihren spezifischen Inhalten gegenüber seinen Beschäftigten rechtsver-
1 WP 74, Nr. 3.3.2; WP 204, Nr. 2.3.3; WP 195 Nr. 1.3. 2 WP 204, Ziff. 2.3.1 Fn. 12. 3 WP 195 Ziff. I, 1.2 lit. ii).
756
Conrad/Filip
§ 46
IV. Praktische Schwierigkeiten bei der vertraglichen Umsetzung
bindlich zur Geltung gebracht wurden (z.B. durch entsprechende Klauseln in den Arbeitsverträgen einschl. Sanktionsandrohung usw.1). d) Haftung Teilweise sind die Regelungen in WP 195 abstrakt, teilweise – wie er- 47 wähnt – stark orientiert an den Controller-BCR, die eine andere Verantwortungsverteilung zwischen den beteiligten Datenverarbeitern haben. Es ist also erforderlich, die abstrakten Vorgaben des WP 195 mit Hilfe der in WP 204 beschriebenen Ratio auf den konkreten Sachverhalt anzupassen. Die Anpassung ist etwa im Hinblick auf folgende Bereiche empfehlenswert, um nicht dem Processor bzw. dem Processor-Konzern Haftungsrisiken und Pflichten aufzuerlegen, die nach Datenschutzrecht an sich nicht erforderlich wären. Das gilt insbesondere für den Anwendungsbereich (Scope). Im Konzern des Auftragsdatenverarbeiters werden regelmäßig Daten von 48 Kunden auch außerhalb der EU verarbeitet. Fraglich und für den Processor im Regelfall kaum zu klären ist, inwieweit Beschäftigtendaten oder Endkundendaten solcher Kunden dem EU-Datenschutzrecht unterliegen. Nach dem Grundsatz in WP 195 (1.3 Abs. 4) haftet der Controller grundsätzlich alleine gegenüber den Betroffenen, nur ein Regress gegen den PBCR-Verwender ist möglich. Eine Ausnahme besteht (WP 195, 1.3 Abs. 1), wenn die verantwortliche Stelle Controller nicht mehr existiert, etwa insolvent ist (Ausfallhaftung). Davon wiederum gibt es jedoch eine Rückausnahme (WP 195, 1.3 Abs. 1 49 am Ende), falls es einen Rechtsnachfolger des ausgefallenen Controllers gibt, der von Rechts wegen oder kraft Vertrag die Verantwortung für den Controller übernimmt oder übernommen hat. Dann haftet dieser. Die Haftung und damit der Anwendungsbereich der BCR wird dadurch in Zukunft tendenziell ausgeweitet werden, dass die Datenschutzgrundverordnung (Stand Verabschiedung im LIBE-Ausschuss vom 21.10.2013) den Anwendungsbereich des EU-Datenschutzrechts ausweiten will auch auf EU-Bürger außerhalb der EU. Dies dürfte die Frage, wann die BCR Anwendung finden sollen und wann nicht, unzumutbar erschweren. Speziell bei den Drittbegünstigtenrechten und bei der Haftung wird ins- 50 besondere die EU-Hauptniederlassung bzw. das in der EU befindliche Konzernunternehmen am Herkunftsort der Datenübermittlung stark in die Pflicht genommen2. Aus Perspektive des europäischen Datenschutzrechts ist dies zwecks leichterer Durchsetzbarkeit der europäischen Vorgaben folgerichtig. Ist kein Konzernunternehmen in der EU niedergelassen (was aber in der Praxis selten vorkommen dürfte)3, muss die 1 S. Rz. 40, dort 1.2. 2 S. WP 195 Ziff. I, 1.3 und 1.5. Zur Beweislast s. dort 1.7. 3 S. WP 204, Ziff. 2.3.1 am Ende. Conrad/Filip
757
§ 46
Verbindliche Konzernregelungen
Hauptniederlassung außerhalb der EU die Haftung übernehmen. WP 195 regelt nur die Außenhaftung, aber nicht den ggf. konzerninternen Regress. Trotzdem ist fraglich, ob die (verschuldensunabhängige) Haftung der EU-Gesellschaft z.B. gesellschaftsrechtlich unproblematisch umsetzbar ist. Denn auch aus Sicht des Gesellschaftsrechts ist der Konzern nicht eine Einheit. Denkbar ist beispielsweise, dass an dem in der EU befindlichen Konzernunternehmen Minderheitsgesellschafter beteiligt sind, deren Rechte berücksichtigt werden müssen. Als Pendant zur Haftungspflicht müssten eigentlich im Innenverhältnis korrespondierende Kontroll- und Überwachungsrechte der haftenden EU-Gesellschaft des Processor-Konzerns geregelt werden, was jedoch schwierig umsetzbar sein dürfte, wenn die Konzernmutter ihren Sitz außerhalb der EU hat. e) Beschwerdesystem 51
Praktische Schwierigkeiten ergeben sich entsprechend in der Umsetzung der Vorgaben an das Beschwerdesystem (Complaint Management)1. Das Beschwerdemanagement gegenüber den Betroffenen hat grundsätzlich die verantwortliche Stelle, also der Controller, vorzunehmen (WP 195, 2.2 Abs. 2 und Abs. 3). Allerdings hat auch der Processor bzw. der Processor-Konzern eine Pflicht, als Ansprechpartner den Betroffenen zur Verfügung zu stehen (WP 195, 2.2 Abs. 1).
52
Während in einem Controller-to-Controller-Verhältnis weitgehend unproblematisch ist, dass die Kontaktdaten des ersten Controllers (des Controllers, der die Daten als erster zu eigenen Geschäftszwecken erhält) allen Betroffenen mitgeteilt werden (etwa auf einer Website), ist dies in einem Controller-to-Processor-Verhältnis nicht ohne weiteres möglich. Ein Beispiel wäre ein Konzern, der sich auf Lohn- und Gehaltsabrechnungen spezialisiert hat und wegen Zurverfügungstellung eines internationalen 24×7-Callcenters durch mehrere Konzerngesellschaften auf die Beschäftigtendaten des Kunden (Auftraggebers der Datenverarbeitung) zugreifen will.
53
In solchen Fällen erscheint es fraglich, wie der Arbeitgeber seine Beschäftigten darüber informieren soll, wann und in welchen Fällen sie sich bei einem externen Dienstleister melden sollen. Denkbar wäre, dass der Processor-Konzern die Kontaktmöglichkeit in seine Produkte integriert, also etwa als Information im Hilfemenü seiner Software oder bei Hardware als Aufdruck auf der Hardware.
54
Es verbleibt aber die Schwierigkeit, wie der Processor bzw. der ProcessorKonzern identifiziert, ob ein Individuum, das sich bei ihm meldet und datenschutzrechtlich beschwert, tatsächlich einem konkreten Kunden zugeordnet werden kann. Letzten Endes ist es erforderlich, dass der Pro-
1 Vgl. WP 195, 2.2.
758
Conrad/Filip
§ 46
IV. Praktische Schwierigkeiten bei der vertraglichen Umsetzung
cessor abfragt, welchem Controller dieser Betroffene zugeordnet werden kann. Es ist also zumutbar und auch erforderlich, dass der Processor diese Information beim Betroffenen abfragt. f) Trainingskonzept Das Schulungsprogramm wird in WP 195 (Ziff. I. 2.1) nur sehr kurz be- 55 handelt. Geschult werden müssen die Mitarbeiter aus dem ProcessorKonzern, die ständig oder regelmäßig Zugang zu „Personaldaten1 haben, die solche Daten erheben oder Systeme zur Verarbeitung solcher Daten entwickeln“. Der Anwendungsbereich des Trainingskonzepts scheint also sehr weit zu sein. Nach dieser Vorgabe müssten gleichsam alle Beschäftigten in den beteiligten BCR-Unternehmen geschult werden, was unangemessen ist. Sinnvoll wäre, den Anwendungsbereich auf die Mitarbeiter zu beschränken, bei denen ein Zugriff auf Daten, die im Auftrag verarbeitet werden und Gegenstand der PBCR sind, nicht ausgeschlossen werden kann. Die wesentlichen Eckpunkte sind eine Konkretisierung von Wer, Wie 56 und Was zu schulen ist. Grundsätzlich sind folgende Schulungsmethoden bzw. -medien denkbar: – Workshops (mit bis zu 20 Teilnehmern), – größere Schulungsveranstaltungen (bei mehr als 20 Teilnehmern eher Frontalvortrag), – E-Learning-Plattformen, – Selbststudium anhand von spezifischen Schulungshandbüchern, – Web/Video-Konferenzen. Inhaltlich wird sich die Unterscheidung von Basisschulung und Vertie- 57 fungsveranstaltung empfehlen (letztere evtl. differenziert nach Gruppen von Beschäftigten). Zumindest bei der Basis-Schulung müssten die wesentlichen Inhalte des Verbotsprinzips, das Auftragsdatenverarbeitungskonzept (siehe Art. 17 der RL 95/46/EG) und das PBCR-Konzept (einschließlich der Verbindlich-Machung) sowie die Datenschutzgrundsätze aus WP 195 Ziff. I, 6.1 und die Betroffenenrechte vermittelt werden. g) Auditsystem Diejenigen Unternehmen, die bereits Erfahrung mit der Auditierung von 58 Aufragsdatenverarbeitern haben, tun sich leichter damit, ein BCR-Auditsystem zu entwerfen und zu implementieren. In Deutschland haben in Zusammenhang mit der Diskussion um ein Datenschutzauditgesetz
1 Gemeint sind wohl „personenbezogene Daten“, evtl. Übersetzungsfehler. Conrad/Filip
759
§ 46
Verbindliche Konzernregelungen
manche Aufsichtsbehörden veröffentlicht1, wie sie sich ein solches Datenschutzauditverfahren vorstellen. Auch solche Dokumente können Hilfestellung bieten. 59
Es kann sich empfehlen, das Auditsystem (wie das Trainingskonzept) in eine Anlage zu den BCR auszulagern. Empfehlenswert kann folgender Aufbau bzw. Inhalt der Anlage Auditsystem sein (siehe auch WP 195, Ziff. I. 2.3): – Allgemeine Grundsätze für das Auditsystem einschließlich Verantwortlichkeit für die Entscheidung über den Auditplan bzw. das Auditprogramm und Qualifikation der Auditoren (Fachkunde und Sicherstellung der Zuverlässigkeit der Auditoren, insbesondere Schutz vor Interessenkollisionen). – Auditverfahren (Ablauf, Verfahrensschritte). – Umfang des/der Audits und Berichtswesen: Zu Erleichterung der Auditierung wäre denkbar, einen Musterauditbericht zu entwerfen, der sich an der konkreten Auftragsdatenverarbeitungssituation orientiert.
60
Es kann sich anbieten, beim Auditverfahren zwischen regelmäßigen (anlassunabhängigen) Routineaudits und anlassabhängigen Audits zu unterscheiden. Typische Verfahrensschritte sind z.B., welche Dokumente werden wann angefordert, wann wird die Geschäftsleitung der zu auditierenden Unternehmen/Unternehmensteile eingebunden, wie ist das Vorgehen bei Behinderung der Auditoren.
61
Gegenstand der Auditierung und entsprechend des Auditberichts wäre u.a. die Einhaltung der Regelungen des Auftragsdatenverarbeitungsvertrags zu Art und Umfang der Auftragsdatenverabeitung einschließlich der auftragsspezifischen technischen und organisatorischen Maßnahmen (u.a. Mandantentrennung zwischen verschiedenen Kunden eines Auftragsdatenverarbeiters). Die allgemeinen technischen und organisatorischen Maßnahmen an den beteiligten Standorten des Processors (Processor-Konzerns) stehen an sich nicht im Fokus, werden aber häufig in das Auditsystem integriert, weil diese Maßnahmen vergleichsweise einfach zu erfassen sind.
62
Darüber hinaus ist Gegenstand des Audits die Umsetzung der PBCR-Regelungen, etwa die Umsetzung der Verbindlich-Machung gegenüber den beteiligten Gesellschaften und Beschäftigten (siehe auch oben c), die Umsetzung des Trainingskonzepts oder die Einhaltung der Vorgaben gegenüber externen Subdienstleistern.
1 S. Regierungsentwurf eines Bundesdatenschutzauditgesetzes v. 7.9.2007, weitere Informationen abrufbar etwa beim ULD, https://www.datenschutzzentrum.de/ audit/.
760
Conrad/Filip
§ 46
V. Aktuelle Entwicklungen durch NSA und DSGVO
V. Aktuelle Entwicklungen durch NSA und DSGVO 1. Auswirkungen der NSA-Affäre auf die PBCR-Anerkennung und Genehmigung von Datenexporten in die USA Derzeit ist noch nicht belastbar abzuschätzen, welche Auswirkungen die 63 Veröffentlichung von Unterlagen durch den früheren US-Geheimdienstmitarbeiter Edward Snowden betreffend u.a. das sog. PRISM-Programm und weitere Sachverhalte auf die Übermittlung personenbezogener Daten insbesondere in die USA haben werden. Die deutschen Datenschutzaufsichtsbehörden haben jedenfalls in einer Pressemitteilung vom 24.7.2013 die Bundesregierung zur Aufklärung der Vorwürfe aufgefordert und haben angekündigt, vor einer Klärung des Sachverhalts keine neuen Genehmigungen für die Übermittlung personenbezogener Daten in die USA zu erteilen bzw. die Aussetzung derartiger Datenübermittlungen auf der Grundlage des Safe-Harbor-Abkommens und der EU-Standardvertragsklauseln zu prüfen1. Zudem hat auch die Europäische Kommission vor dem Hintergrund dieser Vorwürfe am 19.7.2013 Zweifel am Safe-Harbor-Abkommen geäußert und eine kritische Überprüfung des Abkommens bis spätestens Ende 2013 in Aussicht gestellt2. Für Unternehmen sind die Konsequenzen dieser Diskussionslage derzeit 64 nur schwer zu überblicken. Was Übermittlungen personenbezogener Daten unter Verwendung von Binding Corporate Rules betrifft, so ist dieses Instrument zwar in der o.g. Pressemitteilung der Datenschutzkonferenz nicht ausdrücklich erwähnt. Dennoch ist davon auszugehen, dass die Äußerungen der Datenschutzbehörden auch für Binding Corporate Rules – und letztlich damit auch für Processor Binding Corporate Rules – entsprechend gelten. Was Controller-BCR und PBCR betrifft, wäre damit zum einen denkbar, 65 dass sich die Berichte über „PRISM“ und andere Datenzugriffe durch USBehörden bereits auf das EWR-weite Verfahren zur koordinierten aufsichtsbehördlichen Anerkennung von BCR bzw. PBCR (d.h. auf den „ersten Schritt“ der Herbeiführung der Anwendung von BCR bzw. PBCR auf konkrete Datenexporte) auswirken könnten dahingehend, dass die Datenschutzaufsichtsbehörden das EWR-weite koordinierte (P)BCR-Anerkennungsverfahren aussetzen könnten. Bislang ist jedoch eine solche Reaktion der Aufsichtsbehörden nicht bekannt. Aus Sicht der Autoren können Auswirkungen auf „Schritt 1“ bei der gegenwärtigen Diskussi-
1 Pressemitteilung der Konferenz der Datenschutzbeauftragten des Bundes und der Länder v. 24.7.2013, abrufbar unter http://www.bfdi.bund.de/DE/Home/ homepage_Kurzmeldungen2013/PMDerDSK_SafeHarbor.html?nn=408908. 2 Pressemitteilung der EU-Justizkommissarin und Kommissions-Vizepräsidentin Viviane Reding v. 19.7.2013 anlässlich des informellen Justizministerrats in Vilnius, abrufbar unter http://europa.eu/rapid/press-release_MEMO-13-710_en. htm. Conrad/Filip
761
§ 46
Verbindliche Konzernregelungen
onslage zwar nicht völlig ausgeschlossen werden, jedoch wären solche Auswirkungen überaus fragwürdig, denn BCR bzw. PBCR betreffen nicht lediglich Übermittlungen personenbezogener Daten in die USA, sondern können grundsätzlich für Übermittlungen in jeglichen sog. unsicheren Drittstaat verwendet werden. 66
Alternativ wäre eine Auswirkung lediglich auf den „zweiten Schritt“ denkbar, d.h. dass die Aufsichtsbehörden zwar weiterhin wie gewohnt BCR bzw. PBCR im etablierten EWR-weiten koordinierten Verfahren prüfen und anerkennen, jedoch anschließend – speziell was Exporte in die USA betrifft – wegen der „PRISM“-Problematik u.U. keine Datenexportgenehmigungen gemäß § 4c Abs. 2 Satz 1 BDSG erteilen1. Eine solche Reaktion zumindest von manchen Aufsichtsbehörden kann derzeit nicht ausgeschlossen werden2. Dies käme naturgemäß nur für solche Datenschutzaufsichtsbehörden in Betracht, die für Datenexporte auf der Grundlage von BCR und PBCR von der Notwendigkeit einer gesonderten Genehmigung gem. § 4c Abs. 2 Satz 1 BDSG ausgehen, d.h. nicht für solche Aufsichtsbehörden, die PBCR und BCR bereits unter § 4b Abs. 2 und Abs. 3 BDSG einordnen und somit keine gesonderten Genehmigungsbescheide erteilen. Für die letztgenannten Aufsichtsbehörden wäre aber – als wirkungsgleiche Maßnahme – denkbar, u.U. derartige (genehmigungsfreie) Datenexporte durch Verwaltungsakt zu unterbinden.
67
Insgesamt ist wohl davon auszugehen, dass die Meinungsbildung unter den Datenschutzaufsichtsbehörden zu diesem Problemkomplex noch nicht abgeschlossen sein dürfte. Jedoch ist der o.g. Pressemitteilung der deutschen Aufsichtsbehörden zu entnehmen, dass die Behörden derzeit Übermittlungen personenbezogener Daten insbesondere in die USA einer kritischen Bewertung unterziehen. Es ist zu hoffen, dass die Aufsichtsbehörden in nächster Zeit konkretere Äußerungen tätigen, um insoweit die Rechtsunsicherheit für Unternehmen zu reduzieren. Den Unternehmen kann bis auf Weiteres – unabhängig von den Rechtsinstrumenten, die sie zur Legitimation solcher Übermittlungen einsetzen – lediglich empfohlen werden, die weiteren Äußerungen von Datenschutzbehörden laufend zu verfolgen. Auch eine direkte Nachfrage bei der jeweiligen zuständigen Aufsichtsbehörde kann sich empfehlen. 2. Aktueller Stand der Datenschutzgrundverordnung
68
Sowohl im Kommissionsentwurf vom 25.1.2012 als auch in der vom LIBE-Ausschusses des Europäischen Parlaments am 21.10.2013 verab-
1 Ggf. zumindest betreffend Übermittlungen in die USA. 2 Nach einem Bericht der Haufe Online-Redaktion v. 13.9.2013 geht der hessische Landesdatenschutzbeauftragte davon aus, dass Unternehmen, die ihre Daten in den USA speichern, eine sichere Verschlüsselung wählen sollten. Unklar ist, ob die hessische Aufsichtsbehörde unverschlüsselte Datenexporte in die USA untersagen würde.
762
Conrad/Filip
§ 46
V. Aktuelle Entwicklungen durch NSA und DSGVO
schiedeten Kompromissfassung1 sind BCR ausdrücklich als eine Möglichkeit für den zulässigen Transfer personenbezogener Daten in unsichere Drittstaaten vorgesehen2. Die folgenden Ausführungen beziehen sich auf die Kompromissfassung vom 21.10.2013 (kurz DSGVO-E). Eine Definition von BCR findet sich in Art. 4 Abs. 17 DSGVO-E. Die De- 69 finition umfasst ausdrücklich sowohl Controller-BCR als auch PBCR. Allerdings fällt auf, dass in Art. 43 Abs. 1 lit. (a) der Kompromissfassung vom 21.10.2013, anders als im Kommissionsentwurf an dieser Stelle, nur noch von der Unternehmensgruppe eines Controllers die Rede ist – nicht mehr auch von Unternehmensgruppen eines Processors. Damit enthält die Kompromissfassung vom 21.10.2013, soweit ersichtlich, in Art. 43 Abs. 1 lit. (a) eine Inkonsistenz zur Definition gemäß Art. 4 Abs. 17. Denn die letztgenannte Norm weist auch in der Kompromissfassung noch denselben Wortlaut wie im Kommissionsentwurf auf und erwähnt somit (neben Controller-BCR) auch weiterhin ausdrücklich PBCR. Nähere Hintergründe dieser Änderung in Art. 43 Abs. 1 lit. (a) in der Kompromissfassung vom 21.10.2013 gegenüber dem Kommissionsentwurf sind nicht bekannt. Daher soll und kann an dieser Stelle nicht gemutmaßt werden, ob die Änderung möglicherweise als Anhaltspunkt für eine etwaige Intention zur Abkehr von PBCR als Rechtsinstrument zu deuten wäre. Die nachfolgenden Ausführungen erfolgen jedenfalls insoweit unter der Prämisse, dass PBCR als datenschutzrechtliches Instrument auch nach Inkrafttreten der DSVGO zur Verfügung stehen werden. Die inhaltlichen Anforderungen an BCR sind schwerpunktmäßig in 70 Art. 43 Abs. 1 und 2 DSGVO-E geregelt und bilden einen Rahmen, der nicht den Detailgrad der Empfehlungen der Artikel-29-Gruppe erreicht. Dies dürfte aber so gewollt sein, denn die genauere Ausgestaltung und Präzisierung der Vorgaben soll durch delegierte Rechtsakte erfolgen, vgl. Art. 43 Abs. 3 DSGVO-E und Erwägungsgrund 129. Eine weitere Neuerung der Kompromissfassung vom 21.10.2013 gegen- 71 über dem Kommissionsentwurf vom 25.1.2012 ist der neue Art. 43 Abs. 1a DSGVO-E. Danach sollen bei BCR, die Beschäftigtendaten betreffen („with regard to employment data“), die Mitarbeitervertretung (im nicht-öffentlichen Bereich im Regelfall der Betriebsrat, soweit vorhanden) informiert werden, und die Mitarbeitervertretung soll im Einklang mit dem jeweiligen mitgliedstaatlichen Mitarbeitervertretungs- bzw. Betriebsverfassungsrecht in den Entwurf der BCR eingebunden werden („be involved in the drawing-up“). Diese Regelung wirft viele Fragen auf. 1 Grundlage der nachfolgenden Ausführungen ist die vom Innenausschuss des Europäischen Parlaments am 21.10.2013 beschlossene Textfassung, abrufbar in vorläufiger konsolidierter Fassung unter www.janalbrecht.eu/fileadmin/material/ Dokumente/DPR-Regulation-inofficial-consolidated-LIBE.pdf. Zu diesem Kompromissvorschlag im Einzelnen s. Conrad/Schneider, § 69. 2 Vgl. Art. 42 Abs. 2 lit. a, Art. 43 DSGVO-E, siehe auch Erwägungsgrund 83 und 85. Conrad/Filip
763
§ 46
Verbindliche Konzernregelungen
Zum einen ist der Begriff „emplyoment data“, soweit ersichtlich, in der DSGVO-E nicht definiert (siehe Definitionenkatalog in Art. 4 DSGVO-E. Art. 82 DSGVO-E spricht von „data in the employment context“, was möglicherweise weiter ist. 72
Zumindest in Deutschland ist in der Praxis häufig umstritten, ob im Rahmen der Beteiligungsrechte des Betriebsrats der Gesamt- oder Konzernbetriebsrat zuständig ist oder der lokale Betriebsrat1. Art. 43 Abs. 1a DSGVO-E lässt das offen („representatives of the employees“), so dass Streit vorprogrammiert ist, ob evtl. neben dem Konzern-/Gesamtbetriebsrat auch der lokale Betriebsrat zu beteiligen ist.
73
Unklar ist auch, ob die Verpflichtung zur Einbindung der Mitarbeitervertretung als Mitbestimmungsrecht (siehe § 87 BetrVG) auszulegen ist oder – eher wie bei § 90 BetrVG – als Anspruch auf frühzeitige Information und Berücksichtigung der Vorschläge und Bedenken des Betriebsrats bei der Planung.
74
Art. 43 Abs. 1a DSGVO-E differenziert nicht danach, ob das Erfordernis zur Einbindung der Mitarbeitervertretung sowohl für Controller-BCR als auch für PBCR gelten soll. Führt ein Konzern Controller-BCR ein, um die Beschäftigtendaten der Konzernunternehmen z.B. zentral im Konzern zu verwalten, dann dürfte die Regelung des Art. 43 Abs. 1a DSGVO-E eher der Klarstellung dienen. Denn zumindest nach deutschem BetrVG dürfte die Einbindung des Betriebsrats ohnehin erforderlich sein2. Bei PBCR ist dagegen fraglich, wie der Betriebsrat in den Entwurf der PBCR eingebunden werden soll. PBCR betreffen z.B. Fälle, in denen ein Controller seine Beschäftigtendaten an einen externen Dienstleister (Processor) auslagert und der Konzern des Processor PBCR erstellt, um z.B. Wartung und Support durch verschiedene Konzernunternehmen erbringen zu lassen. Wie der Betriebsrat in der Erstellung von PBCR eines fremden Konzerns eingebunden werden soll ist, ist fraglich – zumal in den meisten Fällen die PBCR bereits in Kraft sind, bevor der Arbeitgeber (= Kunde des Processors) seine Daten auslagert.
75
Vergleicht man, die Anforderungen der Artikel-29-Gruppe an PBCR (WP 195, 195a und 204) mit den Regelungen in Art. 43 Abs. 1 und Abs. 2 DSGVO-E, so sind die zu erwartenden Änderungen eher gering.
76
Eine Neuerung ist, dass Art. 43 Abs. 2 lit. d DSGVO-E die Verpflichtung enthält, bei der Schaffung von BCR neben der Zweckbindung auch die Datenschutzgrundsätze „data minimisation“, „data protection by design 1 Vgl. § 50 BetrVG. 2 S. etwa § 90 BetrVG als allgemeine Pflicht zur frühzeitigen Information des Betriebsrats bei Planung/Einführung z.B. von technischen Verfahren, Arbeitsverfahren und Arbeitsläufen. Ist die Änderung der Personaldatenverarbeitung im Konzern mit technischen Überwachungseinrichtungen (was bei Software-gestützten Prozessen häufig der Fall ist), kommt auch § 87 Abs. 1 Nr. 6 BetrVG in Betracht.
764
Conrad/Filip
§ 46
V. Aktuelle Entwicklungen durch NSA und DSGVO
und by default“ zu berücksichtigen1, „limited retention periods“ festzulegen, die „legal basis for processing“ anzugeben sowie spezielle Regelungen in Bezug auf „sensitive personal data“ zu schaffen. Diese Punkte fanden sich bislang formal nicht bzw. nicht in dieser Form in den Vorgaben der Artikel-29-Gruppe und passen wohl eher zu Controller-BCR als zu PBCR. Denn bei PBCR gibt an sich der Controller vor, inwieweit diese Grundätze umzusetzen sind. Insbesondere ist der Controller für die Zulässigkeit der Datenverarbeitung und somit für die Erlaubnistatbestände (Rechtsgrundlagen) verantwortlich – nicht der Processor. Somit ist unklar, ob es bei PBCR genügt, die genannten Grundsätze abstrakt zu wiederholen, oder ob die Aufsichtsbehörden bei Anerkennung der PBCR eine konkrete Umsetzung und Nachweis der effektiven Umsetzung verlangen – was an sich bei Auftragsdatenverarbeitung (Controller-toProcessor-Verhältnis) systemfremd ist2. Bei Controller-BCR macht die Pflicht zur Angabe der Erlaubnisnorm grds. Sinn, denn die BCR betreffen nur die Zulässigkeit der 2. Stufe der Datenauslagerung (Drittlandaspekt) und nicht die erste Stufe3. Allerdings dienen Controller-BCR üblicherweise dazu, eine Vielzahl bzw. typisierte Bündel von Datenübermittlungsvorgängen auf eine einheitliche rechtliche Basis zu stellen. Daher dürfte es auch bei Controller-BCR alles andere als trivial sein, für jeden Einzelfall, der von den BCR umfasst ist, die konkrete Erlaubnisnorm anzugeben. Art. 43 Abs. 2 lit. e DSGVO-E enthält die Klarstellung, dass zur Sicher- 77 stellung der Rechte des Betroffenen auch gehört, dass diese nicht „subject to a measure based on profiling“ gemacht werden dürfen, soweit die Maßnahme nicht nach Art. 20 DSGVO-E zulässig ist. Wie diese Vorgabe konkret umzusetzen ist, bleibt abzuwarten, insbesondere, weil der aktuelle Entwurf der DSGVO die konsistente Einbettung des „profiling“ in den Kontext Pseudonym, Tracking und Identifizierungstechniken vermissen lässt4. Art 43 Abs. 2 lit. h. DSGVO-E enthält die Verpflichtung des Daten- 78 schutzbeauftragten5, die Umsetzung und Einhaltung der BCR zu überwachen („monitoring“). Dies ist folgerichtig und deckt sich mit dem Leitbild des betrieblichen Datenschutzbeauftragten in § 4g BDSG. Dage-
1 Diese beiden Grundsätze sind zumindest von der Terminologie her vergleichsweise neu mit dem Kommissionsentwurf vom 25.1.2013 eingeführt worden. Data minimisation (vgl. auch Art. 5 lit. c DSGVO-E) entspricht wohl weitgehend dem Gebot der Datenvermeidung und Datensparsamkeit (§ 3a BDSG) hat aber im Entwurf der Datenschutzgrundverordnung einen höheren Rang. Data protection by design und by default entspricht dem stärker technikorientierten Datenschutzansatz der Datenschutzgrundverordnung. 2 S. dazu oben Rz. 23. 3 S. oben Rz. 8. 4 S. Conrad/Schneider, § 69. 5 Vgl. zur Stellung des Datenschutzbeauftragten Art. 35 DSGVO-E. Conrad/Filip
765
§ 46
Verbindliche Konzernregelungen
gen verlangt die Artikel-29-Gruppe1, insoweit evtl. missverständlich, eine „Selbstverpflichtung des Unternehmens, einen Mitarbeiterstab zu bilden (z.B. ein Netz von Datenschutzbeauftragten), der mit Unterstützung der Unternehmensspitze die Einhaltung der Vorschriften überwacht und gewährleistet“2. Die Pflicht zur Gewährleistung der Compliance geht über die Überwachungspflicht hinaus und ist u.U. nicht mit der Stellung des Datenschutzbeauftragten kompatibel. Denn soweit ein Datenschutzbeauftragter (oder ein Netz von Datenschutzbeauftragten) für die Umsetzung von Datenschutzvorschriften verantwortlich ist, kann der Datenschutzbeauftragte diese Umsetzung nicht frei von Interessenkollisionen überwachen. An dieser Stelle ist die Regelung der DSGVO-E konsequenter, denn der betriebliche Datenschutzbeauftragte hat die Aufgabe, auf die Einhaltung des Datenschutzes hinzuwirken. Eine Verpflichtung zur Umsetzung trifft den Datenschutzbeauftragten als Kontrollinstanz der verantwortlichen Stelle gerade nicht, vgl. auch Art. 38 Abs. 1 DSGVO-E, der immer nur von „monitor“ spricht nicht von „ensuring“. 79
Hinsichtlich der formellen Schritte zur Anerkennung von BCR dürfte der Entwurf der DSGVO evtl. keine größeren Änderungen mit sich bringen. Allerdings sieht Art. 43 Abs. 3 DSGVO-E eine Befugnis der EU-Kommission vor, durch delegierte Rechtsakte das Format, das Verfahren sowie die Kriterien und Anforderungen an BCR näher zu spezifizieren, einschließlich der Kriterien für die Anerkennung von BCR und für die Transparenz gegenüber dem Betroffenen. Zuständig für die Anerkennung der BCR ist nach Art. 52 Abs. 1 lit. i DSGVO-E zunächst die jeweilige nationale Datenschutzaufsichtsbehörde3. Eine Abstimmung nationaler Aufsichtsbehörden untereinander sieht Art. 56 DSGVO-E u.a. in den Fällen vor, in denen voraussichtlich Personen in mehreren Mitgliedsstaaten von Verarbeitungsvorgängen betroffen sind, was bei grenzüberschreitenden BCR grundsätzlich der Fall sein dürfte. Die sog. „lead authority“ ist nach Art. 54a Abs. 1 DSGVO-E die Aufsichtsbehörde, in der „Controller“ bzw. „Processor“ (je nachdem ob Controller-BCR oder PBCR) seine Hauptniederlassung hat.
80
Auf europäischer Ebene sieht Art. 58 Abs. 2 lit. f DSGVO-E im Rahmen des sog. Kohärenzverfahrens einen Einbezug des „European Data Protection Board“4 und der EU-Kommission vor. Wie diese Einbeziehung („the supervisory authority shall communicate the draft measure“) genau aussehen soll – lediglich Vorlagepflicht oder Zustimmungserfordernis? – ergibt sich aus dem Text des Entwurfs nicht. Hier bleibt abzuwarten, ob das weitere Gesetzgebungsverfahren mehr Klarheit bringen wird. 1 WP 195 Ziff. I, 2.4. 2 Hervorhebung durch die Autoren. 3 Art. 4 Abs. 19 DSGVO-E definiert „supervisory authority“ als nationale Aufsichtsbehörde. 4 Das „European Data Protection Board“ besteht aus je einem Vertreter der Aufsichtsbehörden der Mitgliedsstaaten, vgl. Art. 64 DSGVO-E.
766
Conrad/Filip
§ 47 Verträge zur Weitergabe von Beschäftigtendaten im Konzern Rz.
Rz.
I. Beschäftigtendatenflüsse im Konzern . . . . . . . . . . . . . . . . . . . . .
1
II. Der Bedarf an Datenschutzverträgen . . . . . . . . . . . . . . . . . . . .
b) Gesetzliche Erlaubnisvorschriften . . . . . . . . . . . . . . . . 12 c) Auftragsdatenverarbeitung . . . 13
2
III. Grundlagen des Konzerndatenschutzes . . . . . . . . . . . . . . . . 3 1. Fehlendes Konzernprivileg . . . . . . 3 a) Folgen für die Zulässigkeit von Datenweitergaben innerhalb von Konzernen . . . . . . . . . 4 b) Konzernprivileg de lege ferenda . . . . . . . . . . . . . . . . . . . . 7 2. Rechtsgrundlagen für Datenweitergaben im Konzern. . . . . . . . 9 a) Einwilligung der Beschäftigten . . . . . . . . . . . . . . . . . . . . . 11
IV. Verträge als Rechtfertigung für Datenweitergaben . . . . . . . . . . . . . 1. Auftragsdatenverarbeitungen im Konzern . . . . . . . . . . . . . . . . . . a) Der Begriff der Auftragsdatenverarbeitung . . . . . . . . . . . b) „Auftragsdatenverarbeitungen“ außerhalb des EWR . . . . . 2. (Individual-)Mitarbeitervereinbarungen . . . . . . . . . . . . . . . . . . 3. Betriebsvereinbarungen . . . . . . . . 4. Unternehmensverträge zu Funktionsübertragungen . . . . . . . . . . . . 5. Verträge über Datenübermittlungen ins Ausland . . . . . . . . . . . . . . .
14 15 16 21 23 29 33 38
I. Beschäftigtendatenflüsse im Konzern Die Weitergabe von Beschäftigtendaten zwischen verschiedenen kon- 1 zernangehörigen Gesellschaften ist eine Alltäglichkeit. In einigen Fällen beruht das auf einem Bedürfnis der Konzernmutter, zu Zwecken der übergreifenden Steuerung des Gesamtunternehmens auf solche Daten zuzugreifen. Manche Unternehmen sind auch in Matrix-Strukturen organisiert, d.h. durch die einzelnen Konzernunternehmen hindurch besteht eine horizontale Organisations- bzw. Leitungsebene, so dass ein Arbeitnehmer mehrere Fachvorgesetzte haben kann. Die Fachvorgesetzten und teilweise auch die Personalvorgesetzten sind hierbei oft auf unterschiedliche Konzernunternehmen verteilt, so dass Datenweitergaben zur Administration des Arbeitsverhältnisses in solchen Strukturen notwendig sind. Manche Datentransfers sind der Organisation als Konzern auch quasi immanent. Das gilt z.B. für Datentransfers, die eine Administration und Ausführung der Arbeitsleistung über Unternehmensgrenzen hinweg ermöglichen sollen, wie z.B. im Fall eines konzernweiten Kommunikationsverzeichnisses, in dem die Namen, Telefonnummern, E-Mail-Adressen und sonstigen Kontaktdaten aller Beschäftigten enthalten sind. In anderen Fällen benötigen andere Konzernunternehmen die Daten, weil Aufgabenteilungen im Sinne sog. „Shared-Services“ realisiert sind, etwa durch eine konzernweite Zentralisierung der IT, der Personalverwaltung oder anderer Unterstützungsprozesse.
Moos
767
§ 47
Vertrge zur Weitergabe von Beschftigtendaten
II. Der Bedarf an Datenschutzverträgen 2
Nach Maßgabe des im Datenschutzrecht verankerten Datenverarbeitungsverbots mit Erlaubnisvorbehalt (§ 4 Abs. 1 BDSG) ist die Weitergabe von Beschäftigtendaten an andere verbundene Gesellschaften regelmäßig zulässig, wenn eine gesetzliche Erlaubnisvorschrift diese Datenweitergabe gestattet oder der Beschäftigte wirksam eingewilligt hat. Wie im Einzelnen nachfolgend noch aufgezeigt wird, ist im Einzelfall jedoch leider höchst zweifelhaft, ob und wenn ja welche Erlaubnisvorschrift eine Datenweitergabe unter welchen Voraussetzungen gestattet und ob und unter welchen Bedingungen ein Beschäftigter wirksam in die Übertragung seiner Daten an andere Konzerngesellschaften einwilligen kann. Die daraus resultierende rechtliche Unsicherheit müssen Unternehmen bei der konzernübergreifenden Datenverarbeitung jedoch tunlichst vermeiden: IT-Systeme, die entsprechende „verteilte“ Verarbeitungen ermöglichen bzw. unterstützen, wie z.B. Personalverwaltungssysteme, Unified Communications-Systeme aber z.B. auch konzernweite Whistleblowing-Systeme werden in der Regel in langfristigen und aufwendigen Projekten eingeführt und sie können und sollen nicht ad hoc durch singuläre Lösungen einzelner Gesellschaften abgelöst werden, falls sich im Nachhinein die unternehmensübergreifende Datenverwendung als unzulässig herausstellen sollte. Eine in der Praxis häufig genutzte Möglichkeit, die datenschutzrechtliche Bewertung in dem Sinne positiv zu „beeinflussen“, dass die Datenweitergaben mit größerer Sicherheit als zulässig bewertet werden, besteht in dem Abschluss von Verträgen zwischen den am Datenaustausch beteiligten Unternehmen. Ansatzpunkt für die Wirkung solcher Vertragsklauseln bieten – neben den gesetzlich ausdrücklich vorgeschriebenen Fällen z.B. des § 11 BDSG – in der Regel die im Rahmen von §§ 28 oder 32 BDSG anzustellenden Interessenabwägungen.
III. Grundlagen des Konzerndatenschutzes 1. Fehlendes Konzernprivileg 3
Datenweitergaben innerhalb von Konzernen unterliegen dem grundsätzlichen Datenverarbeitungsverbot mit Erlaubnisvorbehalt und sind damit nicht in irgendeiner Weise gegenüber einer Datenweitergabe zwischen anderen Stellen privilegiert. Das deutsche Datenschutzrecht kennt also kein sog. Konzernprivileg1. Schon bei der Verabschiedung des ersten BDSG hatte sich der Gesetzgeber – trotz entsprechender Forderungen aus der Wirtschaft – gegen ein solches Konzernprivileg entschieden2. Auch im Rahmen der letzten Novellierungen des BDSG im Jahr 2009 wurden
1 Buchner in Taeger/Gabel, BDSG, § 3 Rz. 53 und § 27 Rz. 6; Gabel in Taeger/Gabel, BDSG, § 11 Rz. 22; Gola/Schomerus, BDSG, § 27 Rz. 4; Weichert in Däubler/Klebe/Wedde/Weichert, BDSG, § 3 Rz. 59. 2 Vgl. Schild/Tinnefeld, DuD 2011, 629 (630).
768
Moos
§ 47
III. Grundlagen des Konzerndatenschutzes
zwar entsprechende Forderungen aus Wirtschaftskreisen vorgetragen, sie sind aber vom Gesetzgeber unbeachtet gelassen worden1. a) Folgen für die Zulässigkeit von Datenweitergaben innerhalb von Konzernen Das Fehlen eines Konzernprivilegs besagt, dass Datenweitergaben zwi- 4 schen konzernverbundenen Unternehmen dem Grundsatz des Datenverarbeitungsverbots mit Erlaubnisvorbehalt unterfallen und auch kein spezieller Erlaubnistatbestand für solche konzerninternen Datenweitergaben existiert. Datenweitergaben innerhalb von Konzernen sind folglich nicht allein deshalb datenschutzrechtlich zulässig, weil die daran beteiligten Unternehmen gesellschaftsrechtlich miteinander verbunden sind, z.B. als Mutter-, Tochter- oder Schwestergesellschaft. Während sich die Konzerne selbst zumeist als globale wirtschaftliche Einheiten verstehen und dementsprechend agieren, ist für das Datenschutzrecht also nicht der gesamte Konzern, sondern vielmehr das jeweils einzelne Unternehmen als juristische Person maßgeblich2. Das BDSG behandelt jedes rechtlich selbständige Unternehmen innerhalb eines Konzerns – ungeachtet seiner wirtschaftlichen Zugehörigkeit oder Einbindung in einen Konzern – als eigenständige Stelle i.S.v. § 3 Abs. 7 BDSG3. Es ist dabei ohne Belang, ob es sich um einen Unterordnungs-, Gleichordnungs- oder faktischen Konzern handelt4. Damit sind auch hundertprozentige Tochtergesellschaften aus datenschutzrechtlicher Sicht kein Teil der Muttergesellschaft, auch wenn konzernintern die Geschäfts- und Produktionsbereiche von der Muttergesellschaft gesteuert werden sollten5. Teil der verantwortlichen Stelle i.S.v. § 3 Abs. 7 BDSG sind lediglich unselbständige Unternehmensteile, wie z.B. einzelne Abteilungen, unselbständige Niederlassungen und Zweigstellen6. Im Falle von Datenweitergaben an einen Empfänger, der die Daten für ei- 5 gene Zwecke nutzt, gelten andere Konzernunternehmen dementsprechend – genau wie nicht-verbundene Unternehmen – als Dritte i.S.v. § 3 Abs. 8 Satz 2 BDSG7. Die Negierung eines Konzernprivilegs dient dazu, die notwendige Transparenz sicherzustellen; und zwar für die Betroffe-
1 RP Darmstadt, Arbeitsbericht „Konzerninterner Datentransfer“, S. 1. 2 Gola/Schomerus, BDSG, § 27 Rz. 4; Buchner in Taeger/Gabel, BDSG, § 3 Rz. 53 und § 27 Rz. 6. 3 Buchner in Taeger/Gabel, BDSG, § 3 Rz. 53. 4 Conrad, ITRB 2005, 164 (165). 5 Weichert in Däubler/Klebe/Wedde/Weichert, BDSG, § 3 Rz. 59. 6 Buchner in Taeger/Gabel, BDSG, § 3 Rz. 53; Gabel in Taeger/Gabel, BDSG, § 11 Rz. 24; Weichert in Däubler/Klebe/Wedde/Weichert, BDSG, § 3 Rz. 59; Scheja, Kundendatenbank, S. 70; Grützmacher, ITRB 2007, 183 (184). 7 Simitis in Simitis, BDSG, § 2 Rz. 142; Dammann in Simitis, BDSG, § 3 Rz. 232. Moos
769
§ 47
Vertrge zur Weitergabe von Beschftigtendaten
nen zur Wahrnehmung ihrer Rechte sowie für die Aufsichtsbehörden zur Durchführung von Kontrollen1. 6
Das Fehlen eines Konzernprivilegs besagt freilich nicht, dass ein Datenaustausch innerhalb solcher Unternehmensverbünde generell unzulässig wäre. Datenweitergaben zwischen Konzernunternehmen sind zulässig, wenn die hierfür im BDSG – bzw. etwaigen Spezialgesetzen – normierten Zulässigkeitsvoraussetzungen erfüllt sind2. Der (personenbezogene) Datenverkehr zwischen einzelnen Konzernunternehmen wird damit aus datenschutzrechtlicher Sicht so beurteilt, wie auch der Datenverkehr mit außerhalb des Konzerns stehenden Dritten3. Die gesellschaftsrechtlichen und wirtschaftlichen Zusammenhänge im Unternehmenskonzern bleiben damit in der rein juristischen Betrachtungsweise des BDSG grundsätzlich unberücksichtigt und auch gesellschaftsrechtliche Beherrschungsverträge haben keine unmittelbare Bedeutung für den Datenschutz4. Sie können freilich im Rahmen der Einzelfallbewertung einer Datenübermittlung – etwa im Rahmen einer hiernach anzustellenden Interessenabwägung – eine Rolle spielen. b) Konzernprivileg de lege ferenda
7
Auch der am 25.1.2012 von der Europäischen Kommission präsentierte Entwurf einer Datenschutzgrundverordnung5 (DSGVO-E) enthält ebenso wenig wie die bisher geltende EG-Datenschutzrichtlinie (RL 95/46/EG) ein Konzernprivileg6. Art. 26 Abs. 5, 86 DSGVO-E sollen die Kommission insoweit lediglich dazu ermächtigen, Durchführungsvorschriften zu erlassen, die den Datenfluss im Konzern erleichtern sollen. Art. 82 DSGVO-E erlaubt den Mitgliedstaaten überdies, weiterhin eigene Regelungen für den Beschäftigtendatenschutz zu treffen. Ob hierdurch zukünftig die Schaffung eines Konzernprivilegs auf nationaler Ebene für Beschäftigtendaten ermöglicht wird, ist jedoch offen. Selbst dann ist nicht sicher, ob der nationale Gesetzgeber von dieser Möglichkeit Gebrauch machen wird, so wünschenswert dies auch erscheint.
8
Im mittlerweile nicht mehr weiter verfolgten Entwurf eines Beschäftigtendatenschutzgesetzes war eine entsprechende Regelung jedenfalls 1 Weichert in Däubler/Klebe/Wedde/Weichert, BDSG, § 3 Rz. 59. 2 Gola/Schomerus, BDSG, § 27 Rz. 4; Wedde in Däubler/Klebe/Wedde/Weichert, BDSG, § 32 Rz. 147; Simitis in Simitis, BDSG, § 2 Rz. 144. 3 Wedde in Däubler/Klebe/Wedde/Weichert, BDSG, § 32 Rz. 147; Dammann in Simitis, BDSG, § 3 Rz. 232; Taeger in Taeger/Gabel, BDSG, § 28 Rz. 127. 4 RP Darmstadt, Arbeitsbericht „Konzerninterner Datentransfer“, S. 5; Gola/ Schomerus, BDSG, § 27 Rz. 3; Dammann in Simitis, BDSG, § 3 Rz. 232. 5 Europäische Kommission, Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum Schutz des freien Datenverkehrs (Datenschutz-Grundverordnung), KOM (2012) 11 endg. 6 Schulz, BB 2011, 2552 (2553); Thüsing, NZA 2011, 16 (19).
770
Moos
§ 47
III. Grundlagen des Konzerndatenschutzes
nicht enthalten. Nur in den Formulierungsvorschlägen zum Entwurf des Beschäftigtendatenschutzgesetzes vom 7.9.2011 waren Vorschläge für Konzernregelungen enthalten. Zum einen wurde darin vorgeschlagen, dass Auftragsdatenverarbeitungen auch bei anderen (verbundenen) Unternehmen in einem Staat außerhalb des EWR möglich sein sollen, für den die Kommission ein angemessenes Datenschutzniveau festgestellt hat (sog. „sichere Drittstaaten“). Zum anderen enthielten die Formulierungsvorschläge drei Varianten eines Konzernprivilegs, wonach Beschäftigtendaten zwischen verbundenen Unternehmen hätten übermittelt werden dürfen, soweit dies zur Wahrung eines sich aus der Konzernzugehörigkeit ergebenden berechtigten Interesses erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse des Beschäftigten an dem Ausschluss der Übermittlung überwiegt. Angesichts des Umstandes, dass die kurzfristig anberaumte Lesung des Entwurfs des Beschäftigtendatenschutzgesetzes im Februar 2013 aber wieder abgesetzt worden war, und dass das Gesetzgebungsverfahren entsprechend dem Diskontinuitätsgrundsatz in der neuen Legislaturperiode neu beginnen muss, ist die Normierung einer Konzernregelung zunächst wieder in weite Ferne gerückt. 2. Rechtsgrundlagen für Datenweitergaben im Konzern Für Datenweitergaben zwischen konzernverbundenen Unternehmen 9 kommen – je nach Fallgestaltung – grundsätzlich verschiedene datenschutzrechtliche Gestaltungen in Betracht. Zum einen können – im Rahmen der Anforderungen nach § 11 BDSG – Auftragsdatenverarbeitungsverhältnisse begründet werden, die dazu führen, dass es sich bei der Weitergabe von Daten auf Basis des jeweiligen Auftragsdatenverarbeitungsvertrages nicht um erlaubnispflichtige Übermittlungen handelt. Zum anderen können etwaige Datenübermittlungen gegebenenfalls über gesetzliche Erlaubnistatbestände, zu denen auch eine Betriebsvereinbarung zählt, gerechtfertigt werden. Eine Übermittlung von personenbezogenen Beschäftigtendaten zwischen 10 Konzernunternehmen i.S.v. § 3 Abs. 4 Satz 2 Nr. 3 BDSG unterliegt, wie andere Arten der Datenverarbeitung auch, dabei dem in § 4 Abs. 1 BDSG verankerten Grundsatz des Datenverarbeitungsverbots mit Erlaubnisvorbehalt. Eine Datenübermittlung von einer Konzerngesellschaft an eine andere, gleich welcher Rechtsform, ist damit nur dann gestattet, wenn eine gesetzliche Regelung dies erlaubt oder der Betroffene in den Datentransfer ausdrücklich eingewilligt hat1. a) Einwilligung der Beschäftigten Auch wenn grundsätzlich also eine Einwilligung der Beschäftigten nach 11 § 4a BDSG als datenschutzrechtliche Grundlage für eine konzerninterne 1 Taeger in Taeger/Gabel, BDSG, § 4 Rz. 53. Moos
771
§ 47
Vertrge zur Weitergabe von Beschftigtendaten
Datenübermittlung in Betracht kommt, sollte in der Praxis auf die Nutzung einer Einwilligung als Rechtfertigung konzerninterner Datentransfers möglichst verzichtet werden. Zum einen können Zweifel bestehen, ob die Einwilligung überhaupt wirksam ist, weil es aufgrund des Über-/ Unterordnungsverhältnisses zwischen Arbeitgeber und Arbeitnehmer an der notwendigen Freiwilligkeit fehlen kann1. Zum anderen ist es denkbar, dass die Einwilligungserklärung vom betroffenen Arbeitnehmer wirksam widerrufen werden könnte, was in Bezug auf den widerrufenden Mitarbeiter das Ende aller auf die Einwilligung gestützten Datenübermittlungen bedeuten müsste2. Ob dann aber eine Ausweichlösung parat steht, die auch ohne den Datentransfer funktioniert, erscheint äußerst fraglich. Hinzu kommt, dass pauschale Einwilligungen nicht möglich sind, sondern der Betroffene vor Abgabe der Einwilligungserklärung nach § 4a Abs. 1 BDSG u.a. über den genauen Zweck der Übermittlung sowie über die konkret zu übermittelnden Daten zu informieren ist, was aufgrund der Dynamik der Datenverarbeitungsrealitäten in einem Konzern Schwierigkeiten bereiten kann. Alles in allem macht dies die einwilligungsbasierte Verarbeitung von Beschäftigtendaten im Konzern unpraktikabel3 und sollte nur im Notfall oder zur zusätzlichen Absicherung bereits nach gesetzlichen Vorschriften zulässiger Datenverarbeitungen in Betracht gezogen werden. b) Gesetzliche Erlaubnisvorschriften 12
Ganz maßgeblich stützen sich Konzerne zur Rechtfertigung interner Weitergaben von Beschäftigtendaten deshalb auf gesetzliche Erlaubnisvorschriften, allen voran § 32 BDSG, der die Erhebung, Verarbeitung und Nutzung von Beschäftigtendaten für Zwecke des Beschäftigungsverhältnisses spezifisch regelt. Daneben können auch § 28 Abs. 1 Satz 1 Nr. 2 und 3 BDSG weiterhin als Erlaubnistatbestände angewendet werden4. Ferner ist es anerkannt, dass eine Betriebsvereinbarung aufgrund ihres normativen Charakters eine andere Rechtsvorschrift i.S.v. § 4 Abs. 1 BDSG darstellen kann, die die Erhebung und Verwendung personenbezogener Daten gestatten kann5. c) Auftragsdatenverarbeitung
13
Schließlich ist es möglich bzw. je nach Art der auszulagernden Tätigkeit geboten, bestimmte Datenweitergaben nicht als rechtfertigungsbedürftige „Übermittlungen“ auszugestalten, sondern als Auftragsdatenverarbeitungen nach § 11 BDSG. Die wirksame Begründung eines Auftragsdatenverarbeitungsverhältnisses setzt freilich voraus, dass mit dem 1 2 3 4 5
RP Darmstadt, Arbeitsbericht „Konzerninterner Datentransfer“, S. 10. Schmidl, DuD 2009, 364 (367). Kritisch auch Conrad, ITRB 2005, 164 (166). Dazu sogleich Rz. 33 ff. Gola/Schomerus, BDSG, § 4 Rz. 10.
772
Moos
§ 47
IV. Vertrge als Rechtfertigung fr Datenweitergaben
Auftragnehmer ein schriftlicher Vertrag abgeschlossen wird, der die von § 11 Abs. 2 Satz 2 BDSG geforderten Mindestinhalte umfasst.
IV. Verträge als Rechtfertigung für Datenweitergaben Der Umstand, dass es Rechtsvorschriften gibt, die ggf. Datenweitergaben 14 gestatten können, besagt nicht, dass es auf vertragliche Regelungen nicht mehr ankäme. Im Gegenteil: Im Rahmen der Zulässigkeitsprüfung nach § 32 Abs. 1 BDSG sind per se der Inhalt des Arbeitsvertrages und sonstiger Vereinbarungen mit dem betroffenen Beschäftigten in den Blick zu nehmen. Soweit die einschlägigen Erlaubnisvorschriften eine Abwägung der Interessen des Unternehmens an der Übermittlung der Daten mit dem Interesse des Beschäftigten am Ausschluss der Übermittlung erfordern, können auch vertragliche Regelungen mit dem Datenempfänger – also zwischen den Konzerngesellschaften – Wirkung entfalten. Auch die Betriebsvereinbarung ist letztlich ein Vertrag, bei dem der Umfang der darunter zugelassenen Datenweitergaben wiederum ganz maßgeblich vom Vertragsinhalt abhängt. Bei Auftragsdatenverarbeitungen dient der Vertrag sogar unmittelbar als „Rechtfertigungsinstrument“. 1. Auftragsdatenverarbeitungen im Konzern Eine Möglichkeit, einen Transfer personenbezogener Daten innerhalb ei- 15 nes Konzerns datenschutzkonform zu gestalten, stellt die Auftragsdatenverarbeitung i.S.v. § 11 BDSG dar. Liegt eine solche vor, findet keine Datenübermittlung i.S.v. § 3 Abs. 4 Satz 2 Nr. 3 BDSG statt, weil ein Auftragsdatenverarbeiter (innerhalb des EWR) gem. § 3 Abs. 8 Satz 2 BDSG kein „Dritter“ ist. Die Weitergabe der Daten ist in diesen Fällen nicht als Übermittlung einzustufen, so dass es keiner gesetzlichen Erlaubnis i.S.v. § 4 Abs. 1 BDSG für den im Rahmen des Auftragsdatenverarbeitungsverhältnisses erfolgenden Datentransfer bedarf. a) Der Begriff der Auftragsdatenverarbeitung Voraussetzung für die Möglichkeit, personenbezogene Daten von einem 16 Konzernunternehmen an ein anderes im Rahmen der Auftragsdatenverarbeitung zu übertragen, ist generell, dass sich die Datenübertragung im konkreten Fall überhaupt als Auftragsdatenverarbeitung abbilden lässt1. Im Detail ist hierbei umstritten, welche Datenweitergaben einer Auf- 17 tragsdatenverarbeitung zugänglich sind. Teilweise wird (noch) vertreten, dass eine Auftragsdatenverarbeitung u.a. dadurch gekennzeichnet sein müsse, dass sich die ausgelagerte Tätigkeit auf die reine Datenverarbeitung beschränkt2. Von diesem Erfordernis rückt eine im Vordringen be1 Gabel in Taeger/Gabel, BDSG, § 11 Rz. 22. 2 Petri in Simitis, BDSG, § 11 Rz. 22. Moos
773
§ 47
Vertrge zur Weitergabe von Beschftigtendaten
findliche Auffassung1 jedoch richtigerweise ab. Nach dieser Ansicht ist der Gegenstand der Tätigkeit nicht allein ausschlaggebend, und es soll maßgeblich darauf ankommen, dass der Dienstleister eine weisungsgebundene Tätigkeit ausführt und ein Vertrag nach § 11 BDSG geschlossen wird. Zur Abgrenzung zwischen einer Datenverarbeitung für eigene Zwecke und einer weisungsgebundenen, fremdnützigen, die einer Auftragsdatenverarbeitung zugänglich ist, werden typischerweise verschiedene Entscheidungskriterien angelegt. Ein Faktor kann sein, ob der Auftraggeber die Datenverarbeitung nach außen in eigener Verantwortung vertritt2 oder ob der Auftragnehmer eine eigenständige rechtliche Beziehung zu den Betroffenen besitzt3. Außerdem darf der Auftragsdatenverarbeiter selbst keine eigenen Entscheidungsbefugnisse – wie z.B. Erhebungs-, Verarbeitungs- und Nutzungsrechte – an den Daten haben4. Das Bestehen gesellschaftsrechtlicher Über- und Unterordnungsverhältnisse schließt die Wahl der Auftragsdatenverarbeitung im Konzern dabei nicht aus, solange gewährleistet ist, dass sich die beauftragte Gesellschaft an die ihr erteilten Weisungen hält5. 18
Die Grundanforderung an die Gestaltung konzerninterner Auftragsdatenverarbeitungsverträge besteht darin, den Katalog der 10 Mindestinhalte aufzunehmen, die im Sinne einer gesetzlich verankerten Checkliste6 festlegen, was „im Einzelnen“ in dem Auftragsdatenverarbeitungsvertrag festzulegen ist. Das sind: – der Gegenstand und die Dauer des Auftrags, – der Umfang, die Art und der Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten, die Art der Daten und der Kreis der Betroffenen, – die nach § 9 BDSG zu treffenden technischen und organisatorischen Maßnahmen, – die Berichtigung, Löschung und Sperrung von Daten, – die nach § 11 Abs. 4 BDSG bestehenden Pflichten des Auftragnehmers, insbesondere die von ihm vorzunehmenden Kontrollen, – die etwaige Berechtigung zur Begründung von Unterauftragsverhältnissen, – die Kontrollrechte des Auftraggebers und die entsprechenden Duldungs- und Mitwirkungspflichten des Auftragnehmers,
1 2 3 4
Plath in Plath, BDSG, § 11 Rz. 29; Gabel in Taeger/Gabel, BDSG, § 11 Rz. 22. RP Darmstadt, Arbeitsbericht „Konzerninterner Datentransfer“, S. 2. RP Darmstadt, Arbeitsbericht „Konzerninterner Datentransfer“, S. 2. RP Darmstadt, Arbeitsbericht „Konzerninterner Datentransfer“, S. 2; Petri in Simitis, BDSG, § 11 Rz. 20. 5 RP Darmstadt, Arbeitsbericht „Konzerninterner Datentransfer“, S. 3; Gabel in Taeger/Gabel, BDSG, § 11 Rz. 22. 6 Hoeren, DuD 2010, 688 (688).
774
Moos
§ 47
IV. Vertrge als Rechtfertigung fr Datenweitergaben
– mitzuteilende Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen Vorschriften zum Schutz personenbezogener Daten oder gegen die im Auftrag getroffenen Festlegungen, – der Umfang der Weisungsbefugnisse, die sich der Auftraggeber gegenüber dem Auftragnehmer vorbehält und – die Rückgabe überlassener Datenträger und die Löschung beim Auftragnehmer gespeicherter Daten nach Beendigung des Auftrags. Es handelt sich hierbei um eine nicht abschließende Auflistung, so dass 19 – je nach Schutzbedarf der Daten – auch weitere Festlegungen notwendig sein können. Die genannten 10 Punkte sind aber mindestens im Vertrag vorzusehen. Darüber hinaus ist es sinnvoll, in den Auftragsdatenverarbeitungsvertrag auch Regelungen aufzunehmen, die der besonderen Konzern-Situation Rechnung tragen. Sinnvoll ist es zum Beispiel, in die Regelung zu den Weisungsbefugnissen und der Weisungsgebundenheit des Auftragsdatenverarbeiters das Verhältnis zu etwaigen gesellschaftsrechtlichen Einwirkungsmöglichkeiten in dem Sinne zu regeln, dass die datenschutzrechtlichen Anforderungen gewahrt sind. In einem Konzernverbund mit zentralisierten IT- und Datenverarbeitungs- 20 funktionen steht das datenschutzrechtliche Weisungsrecht der auftraggebenden Unternehmen tendenziell in einem Spannungsverhältnis zu dem Bestreben einer einheitlichen, konzernweiten Handhabung. Es ist deshalb sinnvoll, den konzerngebundenen Auftraggebern kein vollumfassendes Weisungsrecht einzuräumen, sondern dem Konzernauftragsdatenverarbeiter – innerhalb eines definierten Rahmens – Entscheidungsspielräume, etwa bei Änderungen technisch-organisatorischer Maßnahmen, zuzugestehen. Auch Unterbeauftragungen werden typischerweise bei konzerninternen Auftragsdatenverarbeitungen weniger restriktiv gehandhabt als bei der Einschaltung externer Dienstleister. b) „Auftragsdatenverarbeitungen“ außerhalb des EWR Eine Auftragsdatenverarbeitung kommt nach dem Wortlaut des Gesetzes 21 (§ 3 Abs. 8 Satz 3 BDSG) jedoch nur in Betracht, wenn der Auftragsdatenverarbeiter seinen Sitz innerhalb des EWR hat; Empfänger außerhalb des EWR sind danach auch dann als „Dritte“ anzusehen, wenn sie die Daten ausschließlich als weisungsgebundene Dienstleister verarbeiten (also ansonsten die Anforderungen nach § 11 BDSG erfüllt sind). Zur datenschutzrechtlichen Rechtfertigung von Datenweitergaben an weisungsgebundene Dienstleister außerhalb des EWR werden zwei Lösungen diskutiert: die auch von den Datenschutzaufsichtbehörden vertretene Meinung nimmt eine Übermittlung von Daten i.S.v. § 3 Abs. 4 Nr. 3 BDSG an, die deshalb nach den allgemeinen Erlaubnistatbeständen gestattet sein muss1. Eine Zulässigkeit nach den allgemeinen Erlaubnistat1 Scholz/Lutz, CR 2011, 424 (427); Gola/Schomerus, § 11 BDSG Rz. 16. Moos
775
§ 47
Vertrge zur Weitergabe von Beschftigtendaten
beständen sei dann aber regelmäßig – etwa im Rahmen der Interessenabwägung nach § 28 BDSG – gegeben, wenn das Vertragsverhältnis mit dem Dienstleister (ggf. unter Einbeziehung der EU-Standardvertragsklauseln) analog § 11 BDSG ausgestaltet ist1. Nach einer anderen Ansicht sei in solchen Fällen § 11 BDSG entsprechend anzuwenden, so dass ein „Umweg“ über die gesetzlichen Erlaubnistatbestände entfiele, wenn bei dem Empfänger z.B. durch Bindung an die EU-Standardvertragsklauseln2 ausreichende Garantien bestehen3. 22
Häufig kommt man in der Praxis bei beiden vorgeschlagenen Lösungen zu demselben Ergebnis (also dass die Daten an den weisungsgebundenen Dienstleister trotz Belegenheit außerhalb des EWR auf Basis eines den Anforderungen des § 11 BDSG genügenden Vertrages weitergegeben werden dürfen). Besondere Relevanz erhält die Frage, welche der beiden Lösungen die Richtige ist, allerdings in dem Fall, in dem die einschlägige Erlaubnisvorschrift für die Datenübermittlung (wie sie die erste Ansicht verlangt) gar keine Interessenabwägung vorsieht und deshalb für eine „Vertragslösung“ in Anlehnung an § 11 BDSG eigentlich gar kein Raum ist. Das gilt vor allem für besondere Arten personenbezogener Daten i.S.v. § 3 Abs. 9 BDSG; also z.B. die im Konzernverbund besonders relevanten Angaben über Gewerkschaftszugehörigkeit oder über die Gesundheit der Beschäftigten: Im Rahmen von Auftragsdatenverarbeitungen lassen sich solche Daten weitergeben, ohne den erhöhten Vorgaben des § 28 Abs. 6–9 BDSG unterworfen zu sein4. Nimmt man aber eine „Übermittlung“ an, ist eine genauere Prüfung erforderlich, ob die jeweilige Erlaubnisvorschrift auch die Weitergabe solcher Datenarten gestattet5. Da hier eine gewisse Rechtsunsicherheit verbleibt, kann es sich anbieten, einen Transfer besonderer Arten personenbezogener Daten an eine Konzerngesellschaft in einem Drittland – auch wenn diese als weisungsgebundener Dienstleister fungiert – zusätzlich durch eine Betriebsvereinbarung6 abzusichern, soweit Beschäftigtendaten betroffen sind. 2. (Individual-)Mitarbeitervereinbarungen
23
Für den Fall, dass der Bereich der Auftragsdatenverarbeitung verlassen wird, weil der Empfänger nicht weisungsgebunden mit den Daten umgehen soll, liegt eine Übermittlung vor, die – wie oben erläutert – einer entsprechenden Rechtsgrundlage bedarf. Für Übermittlungen von Beschäftigtendaten im Konzern kommt § 32 Abs. 1 Satz 1 BDSG als Erlaub1 Gola/Schomerus, § 11 BDSG Rz. 16; Dammann in Simitis, BDSG, § 3 Rz. 246; Bayerisches Landesamt für Datenschutzaufsicht, Tätigkeitsbericht 2009/10 v. 14.3.2011, S. 73. 2 Dazu unten, Rz. 39 f. 3 Weber/Voigt, ZD 2011, 74 (77); Plath in Plath, BDSG, § 11 Rz. 14; von dem Bussche in Moos, Teil 5.III Rz. 20. 4 von dem Bussche in Moos, Teil 5.III Rz. 11. 5 S. hierzu unten, Rz. 35. 6 S. hierzu unten Rz. 29.
776
Moos
§ 47
IV. Vertrge als Rechtfertigung fr Datenweitergaben
nisvorschrift in Betracht, wenn sich das Arbeitsverhältnis seinem Inhalt nach auch auf eine Tätigkeit für andere Konzernunternehmen oder sogar auf den gesamten Konzern erstreckt und somit ein Konzernbezug des Arbeitsverhältnisses besteht1. Nach § 32 Abs. 1 Satz 1 BDSG dürfen personenbezogene Daten eines Be- 24 schäftigten für Zwecke des Beschäftigungsverhältnisses erhoben, verarbeitet (und damit auch i.S.v. § 3 Abs. 4 Satz 1 BDSG übermittelt) und genutzt werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach der Begründung für dessen Durchführung oder Beendigung erforderlich ist. § 32 BDSG knüpft an den Begriff des Beschäftigten an. Dieser wird vom Gesetz weit verstanden und bezieht sich nicht nur auf Arbeitnehmer (§ 3 Abs. 11 Nr. 1 BDSG), sondern schließt gleichzeitig auch Auszubildende (§ 3 Abs. 11 Nr. 2 BDSG) und Bewerber (§ 3 Abs. 11 Nr. 7 BDSG) mit ein. Gerechtfertigt sein können nach § 32 Abs. 1 Satz 1 BDSG damit Datenübermittlungen in allen Phasen eines Beschäftigungsverhältnisses. Entscheidend für eine gesetzliche Erlaubnis konzerninterner Datenüber- 25 mittlungen sind nach § 32 Abs. 1 Satz 1 BDSG somit sowohl der Bezug zum Beschäftigungsverhältnis als auch die Erforderlichkeit für diesen Zweck. Aus der Beschränkung des § 32 Abs. 1 Satz 1 BDSG auf die Zwecke des Beschäftigungsverhältnisses folgt, dass eine Übermittlung von Mitarbeiterdaten innerhalb eines Konzerns oder innerhalb verbundener Gesellschaften dann nicht mehr als erforderlich angesehen werden kann, wenn eine solche konzernweite Datenübermittlung nicht mehr dem eigentlichen Zweck der Begründung, Durchführung oder Beendigung des konkreten Beschäftigungsverhältnis mit dem Unternehmen dient, bei dem der betroffene Mitarbeiter angestellt ist2. Der Wortlaut „Durchführung des Beschäftigungsverhältnisses“ ist weit zu verstehen; darunter soll letztlich alles fallen, was der Zweckbestimmung des Arbeitsverhältnisses dient3. Geeignet für Zwecke des Beschäftigungsverhältnisses ist eine Maßnahme, wenn mit ihrer Hilfe der vom Arbeitgeber erstrebte Zweck der Entscheidung über die Begründung, Durchführung oder Beendigung eines Beschäftigungsverhältnisses tatsächlich gefördert werden kann4. Da es sich bei dem privatrechtlich strukturierten Beschäftigungsverhältnis um ein Dauerschuldverhältnis handelt, sind die Grenzen dynamisch5.
1 Gola/Schomerus, BDSG, § 32 Rz. 20; Seifert in Simitis, BDSG, § 32 Rz. 118; Bauer/Herzberg, NZA 2011, 713 (715); Nink/Müller, ZD 2012, 505 (506); Hilber, RDV 2005, 143 (147); Neufeld/Michels, KSzW 2012, 49 (57). 2 Zöll in Taeger/Gabel, BDSG, § 32 Rz. 28, 33; Wedde in Däubler/Klebe/Wedde/ Weichert, BDSG, § 32 Rz. 148. 3 Zöll in Taeger/Gabel, BDSG, § 32 Rz. 21; Thüsing, NZA 2009, 865 (867 f.); Wybitul, Handbuch Datenschutz im Unternehmen, Rz. 176. 4 Wybitul, Handbuch Datenschutz im Unternehmen, Rz. 176. 5 Seifert in Simitis, BDSG, § 32 Rz. 57. Moos
777
§ 47
Vertrge zur Weitergabe von Beschftigtendaten
26
Maßgeblich für die Beurteilung der Zulässigkeit ist jeweils der Inhalt des Beschäftigungsverhältnisses des betroffenen Arbeitnehmers. Sofern sein Beschäftigungsverhältnis einen bei dessen Begründung für den Betroffenen erkennbaren Konzernbezug aufweist, wenn also ein Tätigwerden des Arbeitnehmers auch in anderen Konzernunternehmen vorgesehen oder vorausgesetzt ist, dann ist die Zweckbestimmung des Arbeitsverhältnisses nach § 32 Abs. 1 Satz 1 BDSG erfüllt1. Hat beispielsweise ein Mitarbeiter bei seiner Einstellung die Bereitschaft erklärt, auch in anderen Konzernunternehmen eingesetzt zu werden, so liegt es in der Zweckbestimmung des Arbeitsverhältnisses, dass seine Daten z.B. in einem zentralen „Human-Resource-System“ der konzerninternen Personalplanung bzw. dem Personaleinsatz zur Verfügung stehen2. Ein solcher Konzernbezug kann auch dann vorliegen, wenn sich Mitarbeiter nicht durch vertragliche Regelung, aber dennoch rein faktisch zum unternehmensweiten Einsatz bereiterklärt haben3. Dies ist oftmals bei Führungskräften der Fall, da ihnen die Notwendigkeit konzerninterner Mobilität bewusst ist4.
27
Allerdings darf auch bei Vorliegen eines solchen Konzernbezugs nicht ohne weiteres von der Erforderlichkeit der Datenübermittlung für die Zwecke des Arbeitsvertrages ausgegangen werden, es ist vielmehr auch in solchen Fällen stets eine Abwägung im Einzelfall vorzunehmen5. Die Aufsichtsbehörden verlangen teilweise, dass in dem jeweiligen Arbeitsvertrag eine Regelung enthalten sein müsse, die den Konzernbezug für die Tätigkeit des Mitarbeiters festlegt6. Hierauf sollte möglichst bei der Gestaltung der Arbeitsverträge Rücksicht genommen werden. Es ist empfehlenswert eine Regelung aufzunehmen, die ggf. den Konzernbezug des Beschäftigungsverhältnisses zum Ausdruck bringt.
28
Besteht ein solcher Konzernbezug und ist die Datenübermittlung nach § 32 Abs. 1 Satz 1 BDSG gestattet, ist der Empfänger gleichwohl an den Verarbeitungsrahmen des § 32 Abs. 1 Satz 1 BDSG gebunden. Das die Daten empfangende Konzernunternehmen darf die betreffenden Mitarbeiterdaten aufgrund der Zweckbindung der Datenverarbeitung nicht in einer Weise nutzen, die dem datenübermittelnden Konzernteil selbst verwehrt gewesen wäre7. Teilweise verlangen die Datenschutzaufsichtsbehörden noch zusätzliche datenschutzrechtliche Absicherungen. So soll der Datenempfänger – ebenso wie der eigentliche Arbeitgeber – geeignete 1 RP Darmstadt, Arbeitsbericht „Konzerninterner Datentransfer“, S. 5 f. zu § 28 Abs. 1 Satz 1 Nr. 1 BDSG vor Einf. v. § 32 Abs. 1 Satz 1 BDSG im Rahmen der BDSG-Novelle 2009; Seifert in Simitis, BDSG, § 32 Rz. 118. 2 RP Darmstadt, Arbeitsbericht „Konzerninterner Datentransfer“, S. 5. 3 Vgl. RP Darmstadt, Arbeitsbericht „Konzerninterner Datentransfer“, S. 6. 4 RP Darmstadt, Arbeitsbericht „Konzerninterner Datentransfer“, S. 6. 5 RP Darmstadt, Arbeitsbericht „Konzerninterner Datentransfer“, S. 6. 6 RP Darmstadt, Arbeitsbericht „Konzerninterner Datentransfer“, S. 6. 7 Vgl. RP Darmstadt, Arbeitsbericht „Konzerninterner Datentransfer“, S. 6 f. zu § 28 Abs. 1 Satz 1 Nr. 1 BDSG vor Einführung von § 32 Abs. 1 Satz 1 BDSG im Rahmen der BDSG-Novelle 2009; Zöll in Taeger/Gabel, BDSG, § 32 Rz. 33.
778
Moos
§ 47
IV. Vertrge als Rechtfertigung fr Datenweitergaben
Maßnahmen zur Gewährleistung und Durchsetzbarkeit der Rechte der betroffenen Arbeitnehmer (z.B. Recht auf Auskunft, Berichtigung, Löschung und Sperrung von Daten), transparente Verarbeitungsabläufe sowie geeignete Datensicherungsmaßnahmen treffen müssen1. Letztlich wird man zwar nicht mehr verlangen können, als wozu der Datenempfänger in seiner Rolle als verantwortliche Stelle aufgrund der für ihn geltenden gesetzlichen Vorgaben verpflichtet wäre. Es kann aber hilfreich sein, derartige Verpflichtungen – die z.B. auch aus bei dem Konzernunternehmen geltenden Betriebsvereinbarungen folgen können – in einen gesonderten Vertrag mit dem die Daten empfangenden Unternehmen aufzunehmen2. 3. Betriebsvereinbarungen Neben den genannten Erlaubnisvorschriften aus § 28 und § 32 BDSG 29 kann sich eine gesetzliche Erlaubnis für die Übermittlung von Beschäftigtendaten im Konzern auch aus Konzern-, Gesamt- oder Betriebsvereinbarungen ergeben, bei denen es sich um eigenständige Rechtsgrundlagen i.S.v. § 4 Abs. 1 BDSG handelt3. Soweit entsprechend den Anforderungen der Datenschutzaufsichtsbehörden bestimmte Datenübermittlungen in einem Konzern nur aufgrund zusätzlicher Gewährleistungen, z.B. bezüglich der Verantwortungsübernahme durch das Beschäftigungsunternehmen, zulässig sein sollen, kann es ratsam sein, diese in Gestalt einer Betriebsvereinbarung festzuschreiben. Wichtig ist dabei jedoch, dass eine Betriebsvereinbarung nicht immer 30 und ohne weiteres jede Datenübermittlung rechtfertigt, die im Zusammenhang mit der Durchführung der Betriebsvereinbarung erfolgt. Die Funktion einer Erlaubnisvorschrift kommt ihr nur zu, wenn und soweit der zu gestattende Umgang mit den Daten (einschließlich der konzerninternen Übermittlungen) hinreichend genau in der Betriebsvereinbarung beschrieben sind. Die Aufsichtsbehörden legen hier teilweise einen recht strengen Maßstab an. So können nach Ansicht des Hamburgischen Beauftragten für den Datenschutz und die Informationsfreiheit Betriebsvereinbarungen nur dann als datenschutzrechtliche Erlaubnisvorschrift fungieren, wenn darin eine nähere Beschreibung der Verarbeitungsverfahren mit folgenden Mindestinhalten enthalten sei: – Gegenstand der Datenverarbeitung; – Zweckbindung; – Datenvermeidung und Datensparsamkeit; – Art und Umfang der verarbeiteten Daten; 1 Zöll in Taeger/Gabel, BDSG, § 32 Rz. 33. 2 Dazu sogleich Rz. 33 ff. 3 BAG v. 20.12.1995 – 7 ABR 8/95, NZA 1996, 945 (947); RP Darmstadt, Arbeitsbericht „Konzerninterner Datentransfer“, S. 11. Moos
779
§ 47
Vertrge zur Weitergabe von Beschftigtendaten
– Empfänger der Daten; – Rechte der Betroffenen; – Löschfristen; – Technische und organisatorische Maßnahmen wie beispielsweise das Berechtigungskonzept1. 31
Ob sämtliche dieser Festlegungen tatsächlich in einer Betriebsvereinbarung enthalten sein müssen, um sie als datenschutzrechtliche Erlaubnisvorschrift zu qualifizieren, kann bezweifelt werden. Vor allem Regelungen zu Datenvermeidung und Datensparsamkeit sowie zu Löschfristen erscheinen verzichtbar. Vom Grundsatz her ist den Aufsichtsbehörden aber darin zuzustimmen, dass die datenschutzrelevanten Verarbeitungsszenarien hinreichend beschrieben sein müssen. Generell muss klar werden, welche Datenverarbeitungen auf Basis der Betriebsvereinbarung erfolgen sollen. Sollen jedoch auch besondere Arten personenbezogener Daten (§ 3 Abs. 9 BDSG) übermittelt werden, wie es bei Beschäftigtendaten oft der Fall ist, empfiehlt sich eine ausdrückliche Regelung hierzu, da insofern Unsicherheit besteht, inwieweit die gesetzlichen Erlaubnistatbestände die Übermittlung solcher Daten in Drittländer (auch im Rahmen von „Auftragsdatenverarbeitungen“) gestatten2.
32
Wird also z.B. mit einer Betriebsvereinbarung ein konzernweites Whistleblowing-System eingeführt, welches es mit sich bringt, dass Meldungen über die Whistleblowing-Hotline in einer zentralen Compliance-Abteilung bearbeitet werden, müsste die Betriebsvereinbarung Einzelheiten dazu enthalten, welche Abteilung bei welchem Konzernunternehmen welche Daten genau erhält und wie und zu welchen Zwecken sie sie verwendet, damit die Betriebsvereinbarung als Erlaubnisvorschrift für entsprechende Datentransfers fungieren kann. 4. Unternehmensverträge zu Funktionsübertragungen
33
Wie bereits oben erwähnt, kommt eine Übermittlung von Beschäftigtendaten innerhalb eines Konzerns oftmals dann in Betracht, wenn das Beschäftigungsunternehmen bestimmte Funktionen auf ein anderes, konzernverbundenes Unternehmen übertragen hat, und das andere Unternehmen für die Ausfüllung der Funktion auf die Verwendung der personenbezogenen Daten angewiesen ist. Im Einzelnen ist stark umstritten, welche gesetzliche Erlaubnisvorschrift hierbei Maßstab für die Zulässigkeitsprüfung ist: Teilweise wird von einer abschließenden Geltung von § 32 BDSG ausgegangen, teilweise werden die Regelungen des § 28 Abs. 1 Satz 1 Nr. 2 BDSG (bei der Verfolgung von eigenen Geschäftszwecken), § 28 Abs. 2 Nr. 1 BDSG (bei der Verfolgung eines anderen 1 Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit, 22. Tätigkeitsbericht 2008/2009, S. 125. 2 S.o. Rz. 22.
780
Moos
§ 47
IV. Vertrge als Rechtfertigung fr Datenweitergaben
Zwecks) sowie § 28 Abs. 2 Nr. 2a BDSG (bei der Wahrung berechtigter Interessen eines Dritten, z.B. eines anderen Konzernunternehmens) für parallel anwendbar gehalten1. Nach der hier vertretenen Auffassung, sperrt § 32 BDSG die Anwendung des § 28 Abs. 1 Satz 1 Nr. 2 BDSG jedenfalls nicht. Teilweise wird aber die Zulässigkeit einer Konzerndatenübermittlung 34 nach § 28 Abs. 1 Satz 1 Nr. 2, § 28 Abs. 2 Nr. 1 sowie § 28 Abs. 2 Nr. 2a BDSG aufgrund des Umstandes, dass sich der Gesetzgeber grundsätzlich gegen ein Konzernprivileg entschieden hat, als eine nur in engen Grenzen zuzulassende Ausnahme betrachtet2, die durch eine zu weite Auslegung des berechtigten Interesses des Datenübermittlers bzw. des Datenempfängers nicht unterlaufen werden dürfe3. Diese Sichtweise erscheint zu streng: Richtig ist, dass wegen des fehlenden Konzernprivilegs keine geringeren Anforderungen als bei sonstigen Datenübermittlungen zu stellen sind; es darf deshalb nicht ohne Weiteres von der Erforderlichkeit der Datenübermittlung für die jeweiligen Zwecke ausgegangen werden. Zu weitgehend ist es aber, grundsätzlich anzunehmen, dass die schutzwürdigen Belange der Beschäftigten im Rahmen der Interessenabwägung nach § 28 Abs. 1 bzw. Abs. 2 BDSG regelmäßig die berechtigten Interessen der Datenübermittler bzw. der Dritten (z.B. der Konzernunternehmen, an die die betreffenden Mitarbeiterdaten übermittelt werden) überwiegen4. Besondere Relevanz erhält die Frage, welche Erlaubnisvorschrift (§ 28 35 oder 32 BDSG) einschlägig ist, im Falle einer Weitergabe besonderer Arten personenbezogener Daten i.S.v. § 3 Abs. 9 BDSG. Im Beschäftigungskontext geht es hier oft um Gesundheitsdaten (also z.B. aus Einstellungsoder Routineuntersuchungen oder auch Krankmeldungen). Eine Erhebung und Verwendung solcher Daten ist nach Art. 8 RL 95/46/EG nur in den dort in Abs. 2 abschließend aufgeführten Fällen zulässig. Im Anwendungsbereich des § 28 BDSG müssen jedenfalls die Voraussetzungen nach § 28 Abs. 6–9 BDSG vorliegen. Im Anwendungsbereich von § 32 BDSG lässt sich auch ein anderes Ergebnis vertreten: Art. 8 Abs. 2 lit. b RL 95/46/EG gewährt den Mitgliedstaaten die Möglichkeit, Ausnahmen von den Verarbeitungsrestriktionen für solche Daten im Rahmen von Arbeitsverhältnissen zuzulassen. Voraussetzung dafür ist aber, dass die entsprechenden einzelstaatlichen Rechtsvorschriften „angemessene Garantien“ zum Schutz solcher Daten vorsehen. Der Meinungsstand dazu, ob der deutsche Gesetzgeber von dieser Regelungsmöglichkeit durch Einführung von § 32 BDSG Gebrauch gemacht, ist unklar. Manche Literaturstimmen gehen davon aus, dass eine Verarbeitung besonderer Arten 1 Vgl. hierzu Nink/Müller, ZD 2012, 505 (506); Gola/Schomerus, BDSG, § 32 Rz. 31 ff. 2 RP Darmstadt, Arbeitsbericht „Konzerninterner Datentransfer“, S. 7; Schulz, BB 2011, 2552 (2553). 3 RP Darmstadt, Arbeitsbericht „Konzerninterner Datentransfer“, S. 7; Schulz, BB 2011, 2552 (2553). 4 So aber RP Darmstadt, Arbeitsbericht „Konzerninterner Datentransfer“, S. 7. Moos
781
§ 47
Vertrge zur Weitergabe von Beschftigtendaten
personenbezogener Daten auch für Zwecke des Beschäftigungsverhältnisses den Anforderungen des § 28 Abs. 6–9 BDSG genügen müsse1. Diese Ansicht ist jedoch zweifelhaft. Intention des Gesetzgebers bei der Einführung des § 32 BDSG war es ja gerade, die in der Rechtsprechung erarbeiteten allgemeinen Grundsätze des Datenschutzes im Beschäftigungsverhältnis in dieser Vorschrift festzuschreiben2. Der danach gewährte Schutzstandard muss als ausreichend zur Gewährung „angemessener Garantien“ i.S.v. Art. 8 Abs. 2 lit. b RL 95/46/EG angesehen werden. Im Ergebnis lässt sich deshalb vertreten, dass im Anwendungsbereich von § 32 auch besondere Arten personenbezogener Daten im Rahmen von Funktionsübertragungen an Konzernunternehmen übermittelt werden dürfen. Eine rechtliche Unsicherheit verbleibt freilich. 36
Die Interessenabwägung wird aber natürlich davon mit geprägt, ob ggf. wirksame Vorkehrungen gegen Persönlichkeitsrechtsbeeinträchtigungen durch den Datenempfänger getroffen sind. Eine von Aufsichtsbehörden anerkannte Methode, solchen im Rahmen der Interessenabwägung zu bewertenden Risiken zu begegnen, besteht darin, eine „Diversifizierung der Verantwortlichkeiten“ zu kompensieren, indem sichergestellt wird, dass der Arbeitgeber in jeder Hinsicht Ansprechpartner für den betroffenen Mitarbeiter bleibt und auch für die Erfüllung seines Rechts auf Auskunft (§ 34 BDSG), Löschung, Berichtigung und Sperrung (§ 35 BDSG) und Schadensersatz (§ 7 BDSG) einsteht – und zwar zusätzlich zu demjenigen Unternehmen, an das die Daten übermittelt worden sind3. Die Aufsichtsbehörden regen deshalb an, dass entsprechende Abreden zwischen den beteiligten Konzernunternehmen verbindlich getroffen werden4, z.B. im Rahmen einer gesonderten Datenschutzvereinbarung5. Angesicht der Unsicherheit, ob besondere Arten personenbezogener Daten nach § 3 Abs. 9 BDSG im Rahmen einer Funktionsübertragung auf der Basis von § 32 BDSG übermittelt werden dürfen, ist es empfehlenswert, in einer solchen Datenschutzvereinbarung auch besondere Schutzvorschriften für solche Daten vorzusehen. In Betracht kommt hier etwa eine Verpflichtung auf bestimmte, dem höheren Schutzniveau solcher Daten entsprechende technisch-organisatorische Schutzmaßnahmen beim Datenempfänger. Empfehlenswert kann es im Einzelfall auch sein, den schutzwürdigen Interessen der Arbeitnehmer zusätzlich dadurch Rechnung zu tragen, dass mit dem jeweils datenempfangenden Konzernunternehmen eine absolute Zweckbindung der Daten vereinbart wird, nach der die übermittelten Daten nur für die spezifisch genannten Zwecke verwendet werden dürfen6. 1 Riesenhuber in Wolff/Brink, BDSG, § 32 Rz. 107; Stamer/Kuhnke in Plath, BDSG, § 32 Rz. 11. 2 BT-Drucks. 16/13657, 21. 3 RP Darmstadt, Arbeitsbericht „Konzerninterner Datentransfer“, S. 8. 4 RP Darmstadt, Arbeitsbericht „Konzerninterner Datentransfer“, S. 8. 5 S. dazu ein Muster bei Schmidl, DuD 2009, 364 (369 f.). 6 Wedde in Däubler/Klebe/Wedde/Weichert, BDSG, § 32 Rz. 153.
782
Moos
§ 47
IV. Vertrge als Rechtfertigung fr Datenweitergaben
In der Praxis kann man sich bei der Erstellung eines solchen Vertrages 37 weitgehend an den Vorgaben für Auftragsdatenverarbeitungsverträge nach § 11 Abs. 2 BDSG orientieren. Es sind aber einige Besonderheiten aufgrund des Umstandes zu beachten, dass die Daten eben übermittelt und nicht an einen weisungsgebundenen Dienstleister übertragen werden. So wird regelmäßig die Vereinbarung eines Weisungsrechts bezüglich des Umgangs mit den Daten nicht in Betracht kommen. Das ist oftmals auch verzichtbar, weil der Datenempfänger selbst verantwortliche Stelle i.S.v. § 3 Abs. 7 BDSG ist und die Daten – im Rahmen des gesetzlich zugelassenen – gerade für die Verfolgung seiner eigenen Zwecke, deren Bestimmungshoheit er behalten möchte, verwenden können soll. 5. Verträge über Datenübermittlungen ins Ausland Findet eine Weitergabe personenbezogener Daten an ein anderes Kon- 38 zernunternehmen statt, welches in einem anderen EU-Mitgliedstaat bzw. einem Vertragsstaat des Europäischen Wirtschaftsraums (EWR) belegen ist, ergeben sich keine datenschutzrechtlichen Besonderheiten: Innerhalb des EWR gilt aufgrund der Harmonisierung durch die Richtlinie 95/46/EG ein einheitliches Datenschutzniveau, so dass solche Datenübermittlungen rein nationalen Datenübermittlungen gleich gestellt sind1. Für die Übermittlung personenbezogener Daten an ein Konzernunternehmen außerhalb des EWR sind zusätzlich zu den vorstehend genannten Anforderungen (sog. 1. Stufe) die Voraussetzungen der §§ 4b und 4c BDSG (sog. 2. Stufe) zu erfüllen. Auch insoweit stehen Vertragslösungen parat, die große praktische Be- 39 deutung besitzen. Gemäß § 4c Abs. 2 Satz 1 BDSG kann nämlich eine Übermittlung personenbezogener Daten an einen Empfänger, bei dem per se kein angemessenes Datenschutzniveau gewährleistet ist, ausnahmsweise dennoch erfolgen, wenn die verantwortliche Stelle ausreichende Garantien hinsichtlich des Schutzes des Persönlichkeitsrechts und der Ausübung der damit verbundenen Rechte vorweist. Solche Garantien können sich vor allem aus entsprechenden Vertragsklauseln ergeben. Zu diesem Zweck hat die EU-Kommission im Wege des in Art. 31 Abs. 2 Richtlinie 95/46/EG geregelten Ausschussverfahrens festgelegt, dass bestimmte Standardvertragsklauseln bei der Übermittlung personenbezogener Daten aus EU-Staaten in Drittländer ausreichende Garantien für den Schutz des Persönlichkeitsrechts und der damit verbundenen Rechte gem. Art. 26 Abs. 2 Richtlinie 95/46/EG bieten2. 1 Gabel in Taeger/Gabel, BDSG, § 4b Rz. 3; Wybitul, S. 154. 2 Art. 1 Abs. 1 und Art. 2 Abs. 1 Satz 1 der Entscheidung 2001/497/EG der Kommission v. 15.6.2001 hinsichtlich Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer nach der Richtlinie 95/46/EG, ABl. 2001 L 181, S. 19 (nachfolgend auch „Entscheidung 2001/497/EG“) geändert durch Art. 1 Ziff. 1 Entscheidung 2004/915/EG der Kommission v. 27.12.2004 zur Änderung der Entscheidung 2001/497/EG bezüglich der Einführung alternativer Standardvertragsklauseln für die Übermittlung personenbezogener Daten Moos
783
§ 47 40
Vertrge zur Weitergabe von Beschftigtendaten
Die EU-Kommission hat bisher gem. Art. 26 Abs. 4 Richtlinie 95/46/EG nach dem Verfahren des Art. 31 Richtlinie 95/46/EG die folgenden drei Standardverträge verabschiedet1: – Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer vom 15.6.2001 (sog. Standardvertrag I)2 – alternative Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer vom 27.12.2004 (sog. Standardvertrag II)3 – Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern vom 5.2.20104.
41
Die Entscheidung, welche der Standardvertragsklauseln zum Einsatz kommen müssen, wird durch die Rolle des Datenimporteurs und den Charakter der beabsichtigten Datenverarbeitung auf Seiten des Datenempfängers bestimmt. Die Standvertragsklauseln für die Übermittlung an Auftragsverarbeiter sind einschlägig, wenn die Datenübermittlung zum Zweck einer Datenverarbeitung erfolgt, die den Charakter einer Auftragsdatenverarbeitung i.S.v. § 11 BDSG hat. Soll der Datenempfänger im Drittland hingegen die Daten für eigene Zwecke verwenden dürfen, ohne an Weisungen des Datenexporteurs gebunden zu sein, so ist er neben dem Datenexporteur selbst verantwortliche Stelle und einer der beiden Standardverträge für „echte“ Übermittlungen (Standardvertrag I oder II) wäre einschlägig.
42
Nach Meinung der deutschen Datenschutzaufsichtsbehörden darf der Standardvertrag II aber im Falle einer Übermittlung von Beschäftigtendaten nicht in unveränderter Form verwendet werden, da er die Rechte der betroffenen Beschäftigen nicht hinreichend sichere5. Die Standard-
1 2
3
4 5
in Drittländer, ABl. 2004 L 385, S. 74; s. auch Erwägungsgründe 5 Satz 1 und 7 Satz 1 der Entscheidung 2001/497/EG. Die Entscheidungen der EU-Kommission zu allen Standardvertragsklauseln sind unter Rz. 12 aufgeführt. Zur Geschichte der Erarbeitung und Verhandlungen der Standardvertragsklauseln Kuner/Hladjk, RDV 2005, 193 (193 f.). Entscheidung 2001/497/EG der Kommission v. 15.6.2001 hinsichtlich Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer nach der Richtlinie 95/46/EG, ABl. 2001 L 181, S. 19 (nachfolgend „Entscheidung 2001/497/EG“). Entscheidung 2004/915/EG der Kommission v. 27.12.2004 zur Änderung der Entscheidung 2001/497/EG bezüglich der Einführung alternativer Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer, ABl. 2004 L 385, S. 74 (nachfolgend „Entscheidung 2004/915/EG“). Beschluss K(2010) 593 der Kommission v. 5.2.2010 über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern nach der Richtlinie 95/46/EG, ABl. 2010 L 39, S. 5. Beschluss der obersten Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich (Düsseldorfer Kreis) am 19./20.4.2007 (Internationaler Datenverkehr) i.V.m. Positionspapier der Aufsichtsbehörden in der AG „Internationaler Datenverkehr“ am 12./13.2.2007 v. 28.3.2007, Abschn. II.2 und 3; HillenbrandBeck, RDV 2007, 231 (234); ebenso Simitis/Simitis, § 4c BDSG Rz. 57; zum Ganzen ausführlich Schmidl, DuD 2008, 258 (258 f.).
784
Moos
§ 47
IV. Vertrge als Rechtfertigung fr Datenweitergaben
vertragsklauseln II eröffnen nämlich in Klausel I Buchst. d und III Buchst. b – im Unterschied zum Standardvertrag I – die Möglichkeit, das Auskunftsrecht der Betroffenen gegenüber dem Datenexporteur einzuschränken und eine ausschließliche Haftung des Datenimporteurs zu vereinbaren. Insoweit wird eine Unvereinbarkeit mit den Pflichten der übermittelnden Stelle als Arbeitgeber konstatiert. Der ausgemachte Widerspruch zwischen den Klauseln im Standardvertrag II und den Anforderungen an die Verarbeitung personenbezogener Arbeitnehmerdaten auf erster Stufe sei zugunsten der Vorgaben auf der ersten Stufe aufzulösen. Der Standardvertrag II müsse deshalb nach Ansicht der deutschen Datenschutzaufsichtsbehörden im Falle der Übermittlung von Beschäftigtendaten in Drittstaaten entsprechend angepasst werden. Die Frage der Haftung ist nach Auffassung der deutschen Datenschutzaufsichtsbehörden dahingehend zu lösen, dass der Standardvertrag II um eine Garantieerklärung des Datenexporteurs für Direktansprüche der betroffenen Arbeitnehmer ergänzt wird. Diese Erklärung kann auch in eine Betriebsvereinbarung aufgenommen werden. In diesem Fall bedarf es im Rahmen des Standardvertrags II keiner Unterwerfung des Datenimporteurs unter die Regelung der Betriebsvereinbarung, da der Datenexporteur für dieses Recht der Betroffenen allein einstehen muss1. Außerdem dürfen die Vertragsparteien von der möglichen Begrenzung des direkten Auskunftsrechts gegenüber dem Datenexporteur in Klausel I Buchst. d des Standardvertrags II keinen Gebrauch machen. Das sei in einer Fußnote zu Klausel I Buchst. d des Standardvertrags II kenntlich zu machen. Alternativ könne auch insoweit eine entsprechende Garantieerklärung abgegeben werden2. Ansonsten ist bei einer Änderung der Standardvertragsklauseln Vorsicht 43 geboten: Die Datenübermittlung in Drittländer auf Basis der Standardvertragsklauseln bedarf nämlich nur dann keiner Genehmigung der Aufsichtsbehörden nach § 4c Abs. 2 Satz 1 BDSG, wenn die Standardvertragsklauseln inhaltlich unverändert verwendet werden. Die Aufsichtsbehörden gestatten insoweit lediglich Ergänzungen zugunsten der Betroffenen, ohne dass das Genehmigungserfordernis wiederauflebt. Für den hier relevanten Fall der von den Aufsichtsbehörden als notwendig erachteten Anpassungen des Standardvertrags II im Falle der Verwendung für die Übermittlung von Beschäftigtendaten, wird das von den Aufsichtsbehörden freilich bejaht3. 1 LReg Hessen, Zweiundzwanzigster Bericht der Landesregierung über die Tätigkeit der für den Datenschutz im nicht-öffentlichen Bereich in Hessen zuständigen Aufsichtsbehörden, LT-Drucks. 18/1015, Abschn. 11 (S. 32). 2 LReg Hessen, Zweiundzwanzigster Bericht der Landesregierung über die Tätigkeit der für den Datenschutz im nicht-öffentlichen Bereich in Hessen zuständigen Aufsichtsbehörden, LT-Drucks. 18/1015, Abschn. 11 (S. 32). 3 Beschluss der obersten Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich (Düsseldorfer Kreis) am 19./20.4.2007 (Internationaler Datenverkehr) i.V.m. Positionspapier der Aufsichtsbehörden in der AG „Internationaler Datenverkehr“ am 12./13.2.2007 v. 28.3.2007, Abschn. II.2. Moos
785
§ 48 Verträge zum Datenhandel Rz. I. Das Erheben und Anbieten von Daten über Verbraucher als Geschäftsmodell . . . . . . . . . . . . . .
1
II. Die rechtlichen Rahmenbedingungen. . . . . . . . . . . . . . . . . . 4 1. Vertragstypologische Einordnung 4 2. Datenschutzrecht . . . . . . . . . . . . . 11 3. Wettbewerbsrechtliche Aspekte . 16 III. Die vertragliche Ausgestaltung im Einzelnen . . . . . . . . . . . . . . . . . 1. Rechtliche Anforderungen an den Vertragsgegenstand . . . . . . . . a) Wirksame Einwilligung der Verbraucher . . . . . . . . . . . . . aa) Datenschutzrechtliche Einwilligung . . . . . . . . . . . . bb) Wettbewerbsrechtliche Einwilligung . . . . . . . . . . . .
Rz.
18 19 19 19
2. 3. 4. 5. 6.
b) Nachweisbarkeit der Einwilligung . . . . . . . . . . . . . . . c) Stichproben . . . . . . . . . . . . . . . . d) Robinsonlisten . . . . . . . . . . . . . Sicherstellen der tatsächlichen Qualität der Datensätze . . . . . . . . Schlechtleistung . . . . . . . . . . . . . . „Nutzungsrechte“ an den Datensätzen . . . . . . . . . . . . . . . . . . Vergütungsmodelle . . . . . . . . . . . . Absicherung und Haftung. . . . . . . a) Regelungen zu Vertragsstrafen b) Haftungsregelungen . . . . . . . . .
29 33 34 35 39 40 42 47 47 48
IV. Fazit . . . . . . . . . . . . . . . . . . . . . . . . 51 V. Gliederungsvorschlag für einen Vertrag . . . . . . . . . . . . . . . . . . . . . . 52
23
I. Das Erheben und Anbieten von Daten über Verbraucher als Geschäftsmodell 1
Im Zeitalter der täglichen Nachrichtenmeldungen zum Thema Datenschutz ist das Schlagwort „Datenhandel“, gerne auch plakativer „Adresshandel“, überwiegend negativ besetzt1. Es wird in Verbindung gebracht mit überflüssigen Spam-E-Mails und unerwünschten Telefonanrufen – und natürlich mit Datenschutzrechtsverletzungen. Dabei gerät oft in den Hintergrund, dass die Erhebung von Verbraucherdaten und der Handel mit ihnen keineswegs nur von dubiosen Unternehmen betrieben wird, die von vornherein außerhalb der Legalität handeln. Vielmehr ist dieses Geschäft ein fester Bestandteil der Marketingbranche. Modernes Direktmarketing ohne Datenhandel ist kaum denkbar.
2
Der Datenhandel bewegt sich innerhalb eines engen rechtlichen Korsetts. Zwar gibt es auch gesetzliche Tatbestände, die es erlauben, personenbezogene Daten zu Werbezwecken zu erheben oder zumindest zu nutzen. Jedenfalls im Bereich des E-Mail- und Telefon-Marketings sorgen jedoch neben dem Datenschutzrecht die Anforderungen des § 7 UWG dafür, dass ohne die Einwilligung des Verbrauchers kaum noch etwas möglich ist. Insofern ist, wenn von Daten- oder Adresshandel die Rede ist, heute in der Regel das Permission-Marketing gemeint. Bei diesem 1 Schneider, Vortrag: Update „IT-Compliance und IT-Recht“-Adresshandel/Datenschutz, Handelsblatt Jahrestagung zur BDSG-Novelle 2009.
786
Feldmann/Hçppner
§ 48
II. Die rechtlichen Rahmenbedingungen
Geschäftsmodell geht es darum, Daten, die mit Einwilligung des betroffenen Verbrauchers für bestimmte (Werbe-)Nutzungszwecke erhoben wurden, an andere Unternehmen gegen Entgelt weiterzugeben, um dort für die Kontaktaufnahme mit den betreffenden Verbrauchern rechtmäßig genutzt werden zu können. Grundlage der Beschaffung der für das Permission-Marketing erforderli- 3 chen Verbraucherdaten ist regelmäßig ein Datenlieferungsvertrag zwischen einem Datenhändler und dem werbenden Unternehmen, der die rechtlichen Voraussetzungen für die rechtmäßige Lieferung und Nutzung der Daten abbildet. Der folgende Beitrag zeigt auf, worauf es bei der Gestaltung eines solchen Datenlieferungsvertrags vor allem ankommt und wie dieser für beide Vertragsparteien so rechtssicher wie möglich gestaltet werden kann.
II. Die rechtlichen Rahmenbedingungen 1. Vertragstypologische Einordnung Ausgangspunkt für die Überlegungen, welche Aspekte in einem Daten- 4 lieferungsvertrag zu regeln und wie die Klauseln auszurichten sind, ist die Einordnung des Vertrages in das besondere Schuldrecht des BGB. Das fällt beim Datenlieferungsvertrag schwer, zumal sich auch die Rechtsprechung hierzu noch nicht abschließend geäußert hat. Feststellen lässt sich bislang nur, dass der Datenlieferungsvertrag Merkmale eines Miet-, Pacht-, oder (oder auch „und“) Rechtskaufvertrags haben kann und all diese Vertragstypen von der Rechtsprechung bereits angenommen wurden1. Will man nicht den fruchtlosen Versuch unternehmen, absolut alle sich 5 stellenden Fragen im Vertrag ausdrücklich zu regeln und alle denkbaren Fehlentwicklungen und deren Folgen zu antizipieren, kann man sich der vertragstypologischen Einordnung des Vertrages leider nicht entziehen. Diese hat insbesondere für Leistungsstörungen bedeutende Folgen. Die vertragstypologische Einordnung des Datenlieferungsvertrags stellt 6 sich deshalb so schwierig dar, weil der Vertragsgegenstand, der zudem von Vertrag zu Vertrag sehr unterschiedlich sein kann, kaum mit den Leitbildern in Einklang zu bringen ist, die den Vertragstypen bei ihrer Entwicklung zugrunde gelegen haben. So sind Daten keine Sachen im Sinne des BGB. Gleichzeitig aber mag es zwar Daten geben, an denen, haben sie eine bestimmt Anordnung und Verknüpfung erfahren, absolute Rechte bestehen können (z.B. bei §§ 4, 87a ff. UrhG). Regelmäßig ist das aber nicht der Fall. Schon das macht es schwierig, von einem Kauf, einem Rechtskauf oder auch einer Miete oder Pacht auszugehen. Zudem werden dem Abnehmer zwar Daten über bestimmte Verbraucher überlas1 Vgl. Patzak/Beyerlein, MMR 2007, 687. Feldmann/Hçppner
787
§ 48
Vertrge zum Datenhandel
sen, diese sind für ihn allerdings nur ein Vehikel, um den dahinterstehenden Verbraucher zu erreichen und kein Wert an sich1. Überdies sind sie für den Abnehmer wertlos, wenn sie nicht die tatsächliche und rechtliche Qualität besitzen, die er benötigt, d.h. es muss zumindest tatsächlich möglich und rechtlich zulässig sein, die Adressen und Telefonnummern für die beabsichtigten Zwecke zu verarbeiten und zu nutzen. Insofern liegt der Schwerpunkt des Datenlieferungsvertrags – anders als dies die Rechtsprechung in der Vergangenheit gesehen hatte2 – weniger in der Überlassung der Daten selbst, als vielmehr in der „Überlassung“ der durch den Verbraucher eingeräumten Berechtigung, diese für die geplanten Zwecke einzusetzen, der zulässigen Inanspruchnahme der Einwilligung des Verbrauchers in die Verwendung seiner Daten für die geplanten Werbezwecke. Überlassen wird daher der Verzicht des Verbrauchers auf sein Verbotsrecht, dritten Personen zu untersagen, die ihn betreffenden Daten dafür zu verarbeiten und zu nutzen, ihn zu Werbezwecken zu kontaktieren. 7
Deshalb fällt eine – auf den ersten Blick naheliegende – Einordnung des Datenlieferungsvertrags als Kaufvertrag schwer, da der Kaufvertrag gerade von einer dauerhaften und umfassenden Überlassung eines greifbaren Vertragsgegenstands geprägt ist. Das OLG Düsseldorf hat folgerichtig in einer Entscheidung aus dem Jahr 2004 die Einordnung als Sachkauf ausdrücklich ausgeschlossen, weil es an der für die Anwendung von Kaufrecht notwendigen Verkörperung der Sache i.S.d. § 90 BGB fehle3. Nicht ausgeschlossen hat das OLG Düsseldorf hingegen die Einordnung als Rechtskauf. Tatsächlich gibt es auch solche Datenhandelsverträge, bei denen die Daten auf Dauer überlassen werden, wenngleich dies nicht der Regelfall ist4. Jedenfalls dann, wenn eine solche Überlassung auf Dauer stattfindet, ist eine Einordnung als Rechtskauf aber denkbar5.
8
Die genannte Entscheidung des OLG Düsseldorf legt nahe, den Datenlieferungsvertrag als Werkvertrag einzustufen, ohne dies ausdrücklich zu konstatieren6. Ein Werkvertrag i.S.d. §§ 631 ff. BGB liegt aber jedenfalls dann nicht vor, wenn der Adresshändler bereits über die zu überlassenden Daten verfügt und kein Werk erstellt wird.
9
Es ist auch vorgeschlagen worden, den Datenhandelsvertrag als Mietvertrag einzuordnen7. Dabei wird jedoch zum einen nicht hinreichend be1 2 3 4
Vgl. Patzak/Beyerlein, MMR 2007, 687 (688). Vgl. z.B. OLG Düsseldorf v. 30.7.2004 – 23-U 186/03, K&R 2004, 591. OLG Düsseldorf v. 30.7.2004 – 23-U 186/03, K&R 2004, 591 (592). Unabhängig davon, dass dies praktisch häufig nur wenig sinnvoll ist, da die meisten Daten nach gewisser Zeit veraltet sind. 5 Ellenberger in Palandt, BGB, § 90 Rz. 2. 6 OLG Düsseldorf v. 30.7.2004 – 23-U 186/03, K&R 2004, 591 (592); dazu Patzak/ Beyerlein, MMR 2007, 687 (688); vgl. auch Bahr, Adresshandel, Rz. 752. 7 U.a. BGH v. 18.11.1982 – VIII ZR 267/75, NJW 1976, 1886 (1887); Wuermeling, Direct Marketing & More, 127 (133).
788
Feldmann/Hçppner
§ 48
II. Die rechtlichen Rahmenbedingungen
rücksichtigt, dass sich ein Mietverhältnis nur auf die Überlassung von Sachen beziehen kann. Zum anderen gewährt der Mietvertrag nur den Gebrauch, nicht aber die Fruchtziehung. Auf diese kommt es dem Abnehmer von Verbraucherdaten aber gerade an1. Näher liegt daher die Einordnung als Pachtvertrag, insbesondere als Rechtspacht ggf. nach Art eines Lizenzvertrags, wenn auch Daten an sich kein Gegenstand einer echten Lizenz sein können). Das Recht zur Einbehaltung der Nutzungen des Vertragsgegenstands einzuräumen (Fruchtziehung) entspricht der Interessenlage beim Datenhandel am ehesten2, zumal die Überlassung der Daten regelmäßig zeitlich oder wenigstens auf eine bestimmte Nutzungshäufigkeit begrenzt wird. Eine eindeutige vertragstypologische Zuordnung des Datenlieferungsver- 10 trags ist demnach nicht möglich. Es wird sich in den allermeisten Fällen um einen typengemischten Vertrag handeln. Da die Zuordnung des Datenlieferungsvertrags zu einem bestimmten Vertragstyp in erster Linie dann relevant wird, wenn die Parteien bestimmte Aspekte nicht ausdrücklich oder nicht hinreichend geregelt haben, empfiehlt es sich in jedem Fall, zu den wesentlichen Punkten möglichst detaillierte Regelungen im Vertrag zu treffen. Der Darstellung einiger der wesentlichsten Regelungskomplexe dient dieser Beitrag. 2. Datenschutzrecht Gegenstand eines Datenlieferungsvertrags sind in aller Regel personen- 11 bezogene Daten von Verbrauchern. Die Berücksichtigung datenschutzrechtlicher Vorschriften spielt daher eine wesentliche Rolle bei der Gestaltung des Datenlieferungsvertrags. Dabei hält das BDSG zwar Ausnahmevorschriften für den Bereich des Datenhandels bereit, die jedoch nur in seltenen Fällen die Antwort auf die datenschutzrechtlichen Fragen sind. Die für den Datenhandel maßgeblichen Vorschriften im BDSG sind die 12 §§ 28 Abs. 3 und 29. Der Gesetzgeber geht, wenn es auch in der Norm nicht in der wünschenswerten Klarheit zum Ausdruck kommt, davon aus, dass der Datenhandel nur mit Einwilligung des Betroffenen zulässig sein soll. § 28 Abs. 3 Satz 2–5, die die Verwendung von Listendaten und die „transparente Werbung“ regeln (sog. Listenprivileg)3, enthalten zwar eine Reihe von Ausnahmen von diesem Grundsatz. Die Verwendung von sog. Listendaten sowie die Werbung für fremde Zwecke (und damit wohl auch für den Datenhandel)4 ist – unter den Voraussetzungen dieser Normen – also zulässig, solange der Betroffene ihr nicht widersprochen hat. 1 Vgl. Patzak/Beyerlein, MMR 2007, 687 (689). 2 Patzak/Beyerlein, MMR 2007, 687 (690). 3 Plath, BDSG, § 28 Rz. 110. Vgl. dazu auch Schneider, Vortrag: Update „IT-Compliance und IT-Recht“-Adresshandel/Datenschutz, Handelsblatt Jahrestagung. 4 Plath, BDSG, § 28 Rz. 106 f. Feldmann/Hçppner
789
§ 48
Vertrge zum Datenhandel
13
Diese Ausnahmetatbestände finden im modernen (Direkt)Marketing jedoch so gut wie nie Anwendung. Das liegt zunächst daran, dass das Listenprivileg die Nutzung und Übermittlung der Daten für Werbezwecke nur für eigene Werbezwecke und nicht für fremde erlaubt. Da Datenhändler die Daten aber stets für fremde Geschäftszwecke erheben und verarbeiten, ist davon auszugehen, dass das Listenprivileg im Bereich des Datenhandels überhaupt nicht greift1.
14
Darüber hinaus sind die Datenmerkmale, die Teil einer solcherart privilegierten „Liste“ sein dürfen, in § 28 Abs. 3 Satz 2 abschließend aufgezählt („numerus clausus“). Andere Daten dürfen für eine Verarbeitung und Nutzung im Rahmen des § 28 Abs. 3 BDSG nicht gespeichert werden. Telefonnummern und E-Mail-Adressen sind damit von § 28 Abs. 3 BDSG also gerade nicht erfasst. Zwar wird teilweise vertreten, dass die E-Mail-Adresse des Betroffenen noch unter den Begriff „Anschrift“ gefasst werden könne2. Das erscheint jedoch nicht nur vor dem Hintergrund des klaren Wortlauts zweifelhaft, sondern auch im Hinblick auf die Entstehungsgeschichte der Norm. Das aus Sicht des Gesetzgebers überhandnehmende Direktmarketing war im Jahr 2009 gerade einer der Anlässe für die Verschärfung der gesetzlichen Rahmenbedingungen3.
15
Insofern muss der Datenlieferungsvertrag jedenfalls dann, wenn die vertragsgegenständlichen Daten für das Direktmarketing in Form des Telefon- und E-Mail-Marketings verwendet werden sollen, sicherstellen, dass der Verbraucher eine wirksame datenschutzrechtliche Einwilligung i.S.d. §§ 28 Abs. 3a und b, 4a BDSG erklärt hat4. 3. Wettbewerbsrechtliche Aspekte
16
Neben der datenschutzrechtlichen Problematik stellen beim E-Mail- und Telefon-Direktmarketing die wettbewerbsrechtlichen Anforderungen des § 7 Abs. 2 Nr. 2 und 3 UWG das wesentliche rechtliche Hindernis dar. Sollen Telefon- und E-Mail-Marketing Gegenstand des Vertrages sein, kommt es für die Wirksamkeit der Einwilligung daher nicht nur auf die datenschutzrechtlichen Vorschriften an.
17
Nach § 7 Abs. 2 Nr. 2, Nr. 3 UWG benötigt ein Werbetreibender für die Kontaktaufnahme mit dem Verbraucher per Telefon, SMS (und anderen Messaging-Diensten) und E-Mail eine ausdrückliche Einwilligung. Eine Ausnahme bildet lediglich § 7 Abs. 3 UWG. Der durch diese Norm eröffnete Spielraum ist aber relativ gering und gerade im Bereich des Datenhandels in der Regel nicht einschlägig. Direktmarketingmaßnahmen per 1 Patzak/Beyerlein, MMR 2009, 525 (530). 2 Plath, BDSG, § 28 Rz. 119. 3 S. hierzu BT-Drucks. 16/12011 v. 18.2.2009, 31; so auch Bergmann/Möhrle/Herb, BDSG, § 28 Rz. 79; Gola/Klug, NJW 2009, 2577 (2579); Roßnagel, NJW 2009, 2716 (2717). 4 Zu den Anforderungen an die Einwilligung vgl. Rz. 18 ff.
790
Feldmann/Hçppner
§ 48
III. Die vertragliche Ausgestaltung im Einzelnen
Telefon oder E-Mail ohne wirksame Einwilligung stellen demzufolge einen Wettbewerbsverstoß dar und verletzen gleichzeitig auch den betroffenen Verbraucher in seinem allgemeinen Persönlichkeitsrecht1.
III. Die vertragliche Ausgestaltung im Einzelnen Da die vertragstypologische Einordnung von Datenlieferungsverträgen 18 im Streitfall nicht prognostizierbar ist und die Parteien vom Gericht keinerlei Branchenkenntnis erwarten dürfen, müssen Sie besonderen Wert darauf legen, die wirtschaftlich und rechtlich wesentlichen und daher typischerweise konfliktträchtigsten Punkte mit besonderer Sorgfalt und Detailliertheit festzulegen. 1. Rechtliche Anforderungen an den Vertragsgegenstand a) Wirksame Einwilligung der Verbraucher aa) Datenschutzrechtliche Einwilligung Der Gesetzgeber verlangt in § 4a BDSG, dass die Einwilligung in die Er- 19 hebung, Verarbeitung und Nutzung personenbezogener Daten freiwillig und auf der Grundlage zuvor erteilter Informationen über die Zwecke der vorgesehenen Datenverarbeitung erfolgt. Die Einwilligung ist grundsätzlich schriftlich abzugeben. § 28 Abs. 3a und b schaffen über § 4a BDSG hinausgehend spezifische Einwilligungsmöglichkeiten, aber auch -voraussetzungen für die Zwecke des Adressdatenhandels. Die Rechtsprechung wendet auf vorformulierte Einwilligungserklärun- 20 gen das AGB-Recht der §§ 305 ff. BGB an2. Rechtlich spannend ist hierbei nach wie vor vor allem der für die „Informiertheit“ der Einwilligungserklärung erforderliche Detaillierungsgrad der zu erteilenden Informationen. Nach der „Payback“-Entscheidung des BGH3 mag man davon ausgehen, dass es bei Einwilligungserklärungen für Werbezwecke ausreicht, die zu verarbeitenden Daten, die Zwecke („Werbung“, „Marktforschung“) und die potentiellen Empfänger der Daten zu bezeichnen. Abschließend geklärt erscheint das aber nicht. Denn weder in der PaybackEntscheidung noch in der nachfolgenden „Happy Digits“-Entscheidung4 prüfte der BGH die Frage wirklich, zumal sich die Detaillierungstiefe sogar in den einander sehr ähnelnden Einwilligungserklärungen der genannten Urteile nicht unerheblich unterscheiden. So verwies der „Happy Digits“-Einwilligungstext vor allem auf ein externes, erst nach Vertrags1 Vgl. OLG Stuttgart v. 11.3.1988 – 5 W 13/88, NJW 1988, 2615. Gewerbetreibende können in ihrem Recht am eingerichteten und ausgeübten Gewerbebetrieb beeinträchtigt sein, vgl. BGH v. 20.5.1009 – I ZR 218/07, NJW 2009, 2958. 2 Zul. BGH v. 25.10.2012 – I ZR 169/10, GRUR 2013, 531 – Einwilligung in Werbeanrufe II. 3 BGH v. 16.7.2008 – VIII ZR 348/06, GRUR 2008, 1010 – Payback. 4 BGH v. 11.11.2009 – VIII ZR 12/08, NJW 2010, 864 – Happy Digits. Feldmann/Hçppner
791
§ 48
Vertrge zum Datenhandel
schluss übermitteltes Dokument (was den BGH eigentlich im Einklang mit den zweiten Teil seines Urteils hätte dazu bewegen können, die Klausel für unwirksam zu erachten) und benannte die „Partnerunternehmen“ als Datenempfänger nicht konkret. Davon unabhängig gilt aber: Ist das Ziel der datenschutzrechtlichen Einwilligungserklärung die Nutzung der Daten (auch) für die Werbung per E-Mail oder Telefon, so sollte man sich für den Detaillierungsgrad der Einwilligung ohnehin an den strengen Urteilen zur Einwilligung nach § 7 Abs. 2 Nr. 2, 3 UWG orientieren1. 21
Nach § 28 Abs. 3a Satz 4, § 4a Abs. 1 Satz 4 BDSG kann die Einwilligungserklärung zwar zusammen mit anderen Erklärungen erteilt werden und daher – sofern dort adäquat hervorgehoben – auch in AGB enthalten sein. Für die Zwecke einer späteren Werbung per E-Mail oder Telefon genügt dies aber nach der Payback-Entscheidung des BGH nicht2. Zudem ist nach der vorgenannten Entscheidung aus datenschutzrechtlicher Perspektive zwar auch eine Opt-out-Gestaltung der datenschutzrechtlichen Einwilligung möglich3. Da jedoch – den praktischen Gegebenheiten entsprechend – meist mit einem Einwilligungstext gearbeitet wird und nur eine Erklärungshandlung vorgesehen ist, wird, wenn eine Verwendung der Daten des Verbrauchers auch für Telefon- und E-Mail-Marketingzwecke geplant ist, stets eine Opt-in-Gestaltung zu wählen sein. Nicht zuletzt aus diesen Gründen biete es sich an, die datenschutzrechtliche Einwilligung bei der Gestaltung der entsprechende Prozesse insgesamt den Anforderungen für die wirksamen Einwilligung nach § 7 Abs. 3 Nr. 2, 3 UWG zu unterwerfen.
22
Wenn die datenschutzrechtliche Einwilligung auf elektronischem Wege erklärt und – das wird die Regel sein – nicht schriftlich bestätigt werden soll, ist die Einwilligungserklärung nach § 28 Abs. 3a zu protokollieren. § 28a Abs. 3a BDSG orientiert sich insofern an § 13 Abs. 2 TMG und § 94 TKG. Eine Patentlösung für die Protokollierung, die auch bereits durch eine gerichtliche Entscheidung bestätigt worden wäre, gibt es indes nicht. Es genügt in jedem Fall nicht, einfach nur den Inhalt der Einwilligungserklärung vorzuhalten4. Es bietet sich als Minimallösung eine vertragliche Regelung an, nach der vom Datenhändler die Hinterlegung eines Screenshots der Seite, auf der die Einwilligungshandlung (in der Regel Klick einer entsprechenden Checkbox) erfolgen soll, in Verbindung mit den IP-Timestamps5 der Abgaben der Erklärung hinterlegt wird. Die 1 2 3 4 5
S. hierzu unten Rz. 23 ff. BGH v. 16.7.2008 – VIII ZR 348/06, GRUR 2008, 1010 – Payback. BGH v. 16.7.2008 – VIII ZR 348/06, GRUR 2008, 1010 Rz. 18 – Payback. Vgl. Taeger/Gabel, BDSG, § 13 TMG Rz. 26 m.w.N. Durch einen „elektronischen Zeitstempel“ wird ein bestimmtes Ereignis einem eindeutigen Zeitpunkt zugeordnet. Hier würde die Information „Gerät mit der IP-Adresse [IP-Adresse] hat [Datum und genaue Uhrzeit] [Aktion] veranlasst“ lauten. Der Beweiswert eines solchen Timestamp ist zwar sehr beschränkt – ansonsten müssten die Anforderungen des § 9 SigG erfüllt werden –, er ermöglicht dem Datenhändler aber zumindest den schlüssigen Vortrag.
792
Feldmann/Hçppner
§ 48
III. Die vertragliche Ausgestaltung im Einzelnen
Speicherung der IP-Adresse ist aus Sicht der Autoren in diesem Zusammenhang auch aus datenschutzrechtlicher Sicht zulässig, dies jedenfalls dann, wenn der IP-Timestamp selbst zum Gegenstand der Einwilligung gemacht wird. Aber auch, wenn die skizzierte Protokollierungslösung für sich betrachtet genügen mag, muss der Empfänger der Einwilligungserklärung einen Schritt weiter gehen. Denn neben der Protokollierung fordert die Norm auch die Möglichkeit des jederzeitigen Abrufs des Inhalts der Einwilligungserklärung1. Das mag bei Telemediendiensten, die nach Registrierung einen „persönlichen Bereich“ für den Nutzer vorsehen, keine Schwierigkeit darstellen. Bei der Datenerhebung zu Werbezwecken wird die Konstellation aber meist nicht gegeben sein. Zwar soll es ausreichen, wenn der Verbraucher den Inhalt der Einwilligungserklärung bei der verantwortlichen Stelle abrufen und per E-Mail erhalten kann2. Wenn der Verbraucher indes von seinem Abrufrecht und dem vorgesehenen Verfahren nichts erfährt, wird der Schutzzweck der Norm, gerade im Vergleich zum Regelfall der schriftlichen Bestätigung, nicht erreicht. Aus der Sicht der Autoren ist es daher erforderlich, den Verbraucher über Abrufrecht und -verfahren aktiv zu informieren. Am naheliegendsten dürfte es sein, diese Anforderung über die Bestätigungs-E-Mail im Zuge des DoubleOpt-in-Verfahrens3 zu erfüllen. bb) Wettbewerbsrechtliche Einwilligung Die Hürden für die Wirksamkeit der wettbewerbsrechtlichen Einwilli- 23 gung sind sowohl durch den Wortlaut von § 7 Abs. 2 Nr. 2 und Nr. 3 UWG – es wird eine „ausdrückliche Einwilligung“ verlangt – als auch vor allem durch deren Auslegung durch die Gerichte noch höher als die datenschutzrechtlichen. Die Rechtsprechung zur wettbewerbsrechtlichen Einwilligung ist streng, vor allem jedoch uneinheitlich und teilweise auch widersprüchlich. Ein Ende dieser Entwicklung ist nicht abzusehen. Begleitet wird die Rechtsprechung durch eine Gesetzgebung, die, insbesondere auch aufgrund europarechtlicher Implikationen, in den letzten Jahren noch weiter verschärft wurde. Diese Entwicklungen sind nicht nur für die Gestaltung von Einwilligungserklärungen, sondern auch für die Bewertung des Vertragsgegenstandes (Lieferung von Daten mit der Berechtigung, diese rechtmäßig zu nutzen) und damit die Vertragsgestaltung erheblich.
1 Teilweise wird davon ausgegangen, das Protokoll müsse abrufbar sein (vgl. Simitis, BDSG, 7. Aufl. 2011, § 28 Rz. 222). Der Wortlaut von § 28 Abs. 3a BDSG wie auch § 13 Abs. 2 TMG und § 94 TKG beziehen sich aber eindeutig auf den Inhalt der Einwilligung. 2 Taeger/Gabel, BDSG, § 28 BDSG Rz. 172, § 13 TMG Rz. 26, jeweils m.w.N. 3 Zum Double-Opt-in-Verfahren s. unten Rz. 29 ff. Feldmann/Hçppner
793
§ 48
Vertrge zum Datenhandel
24
Seit der „Telefonwerbung VI“-Entscheidung des BGH aus dem Jahr 20001 verlangte die Rechtsprechung weit überwiegend einen engen inhaltlichen Bezug zwischen der Einwilligung selbst und dem Gegenstand der Einwilligung, wenn die Einwilligung in bzw. als AGB (wie in aller Regel der Fall) erteilt wird.
25
Es spricht inzwischen jedoch einiges dafür, dass der BGH die beschriebene enge inhaltliche Verzahnung nicht mehr fordert, weil er sich in der Folgezeit mehrfach mit Klauseln ohne inhaltliche Verzahnung intensiv auseinandergesetzt hat, ohne den fehlenden Zusammenhang zu thematisieren2. Bislang fehlt es jedoch noch an einer höchstrichterlichen Klarstellung. Viele Instanzgerichte halten daher an der Grundtendenz der Telefonwerbung VI-Entscheidung fest. Das daraus resultierende rechtliche Risiko wird sich nicht vermeiden lassen, wenn die Einwilligungsklausel in einem wirtschaftlich sinnvollen Umfang Werbung ermöglichen soll.
26
Eine Generaleinwilligung des Verbrauchers, also eine solche, die nicht auf den Gegenstand der geplanten Werbung Bezug nimmt, sei nicht ausreichend3. Es müssten im Zusammenhang mit der Einwilligung die Bereiche bzw. Produkte4 angegeben werden, für die geworben werden soll, zumindest aber die Produktgattungen5.
27
Die Rechtsprechung verlangt für die Rechtmäßigkeit der Übermittlung der Daten überdies, dass bereits bei der Erhebung der Einwilligung transparent mitgeteilt wird, an wen der Datensatz schließlich übermittelt werden soll6. Eine rein abstrakte Beschreibung der Branche, der das Empfängerunternehmen angehört, genügt danach nicht. Vielmehr sei das Unternehmen konkret zu bezeichnen. Eine „auf Vorrat“ eingeholte Einwilligung in Werbemaßnahmen von noch nicht namentlich bekannten Unternehmen sei daher unwirksam7.
28
Auch die zunächst harmlos klingende Pflicht zur Produktbenennung führt zur Unwirksamkeit vieler Einwilligungsklauseln. So ist etwa eine Einwilligung zugunsten „interessanter telefonischer Angebote (…) aus dem Abonnentenbereich“ von der Rechtsprechung gleich in mehrfacher Weise als nicht hinreichend transparent angesehen worden. Der Begriff „Bereich“ sei viel zu undeutlich und lasse nicht erkennen, ob er nur die 1 BGH v. 27.1.2000 – I ZR 241/97, GRUR 2000, 818 – Telefonwerbung VI. 2 Vgl. etwa BGH v. 16.7.2008 – VIII ZR 348/06, GRUR 2008, 1010 Rz. 18 – Payback; vor allem aber BGH v. 25.10.2012 – I ZR 169/10, GRUR 2013, 531 – Einwilligung in Werbeanrufe II. 3 Vgl. etwa Köhler in Köhler/Bornkamm, UWG, § 7 Rz. 149c. 4 S. jedoch Rz. 27 u. 28. 5 KG v. 29.10.2012 – 5 W 107/12. 6 Vgl. BGH v. 18.7.2012 – VIII ZR 337/11, NJW 2013, 291. 7 Jankowski, GRUR 2010, 495 (500); Ohly in Piper/Ohly/Sosnitza, UWG, § 7 Rz. 54; Koch in Ullmann, jurisPK-UWG, § 7 UWG Rz. 233; Seichter, jurisPRWettbR 7/2009 Anm. 5. Vgl. zu diesem Komplex auch OLG Hamburg v. 29.7.2009 – 5 U 226/08, VuR 2010, 104.
794
Feldmann/Hçppner
§ 48
III. Die vertragliche Ausgestaltung im Einzelnen
Werbung für den Abschluss von Abonnementverträgen durch den Verbraucher oder auch den Absatz von damit in irgendeiner Weise zusammenhängenden Waren oder Dienstleistungen umfasst1. Eine weitere Frage ist die einer begrenzten Gültigkeitsdauer einer erteilten Einwilligung. Eine Reihe von Gerichten geht von einem – so wird man die Urteile wohl verstehen müssen – „Erlöschen“ von Einwilligungen durch Zeitablauf aus2. Nach Meinung des LG Berlin ist danach die erstmalige „Nutzung“ der Einwilligung durch den Werbetreibenden nach 1 1/2 Jahren bereits unzulässig3. Nach Auffassung der Autoren ist diesen Urteilen jedoch nicht zuzustimmen4. Geht man davon aus, dass die Einwilligung wenn schon keine Willenserklärung im vertraglichen Sinne, dann doch jedenfalls eine rechtsgeschäftsähnliche Handlung ist, gibt es für ein „Erlöschen“ keinen rechtlich-dogmatischen Begründungsansatz. Die Einwilligung endet ihrer Natur nach mit dem Widerruf, der jederzeit möglich ist, und nicht mit einem Auslaufen aus Altersgründen. Die von einem Erlöschen ausgehenden Gerichte begründen ihre Entscheidungen dementsprechend auch nicht, sondern präsentieren lediglich die These des Erlöschens. Wendet man § 133 BGB (entsprechend) an, so müsste aus Sicht des objektiven Empfängerhorizonts der – hoffentlich – klare ausdrückliche Erklärungsinhalt verbunden sein mit einer nicht ausgesprochenen – sich aus einer Auslegung der Erklärung ergebenden oder konkludenten? – Befristung. Dafür gibt es für den Erklärungsempfänger jedoch regelmäßig keine Anhaltspunkte. Mangels objektiver Anhaltspunkte wäre es für den Erklärungsempfänge im Übrigen auch unmöglich zu entscheiden, wann denn nun das Erlöschen eintritt5. Dies müsste sich jedoch aus der jeweiligen Einwilligungserklärung von Anfang an ergeben. Die Entscheidungen der Berliner und Münchner Landgerichte erscheinen so letztlich willkürlich. b) Nachweisbarkeit der Einwilligung Der Nachweis der Einwilligungserklärungen gelingt noch am sichersten, 29 wenn die gelieferten Datensätze im Double-Opt-in-Verfahren erhoben wurden. Wesen des Double-Opt-in ist nämlich, dass der Verbraucher nicht nur eine Einwilligungserklärung abgibt („Opt-in“), sondern diese 1 BGH v. 14.4.2011 – I ZR 38/10, K&R 2011, 400. Das OLG Köln hatte als Vorinstanz zudem noch den Begriff „interessant“ als auslegungsbedürftig und damit intransparent angesehen. 2 LG Berlin v. 2.7.2004 – 15 O 653/03, K&R 2004, 49; LG München I v. 8.4.2010 – 17 HK O 138/10, CR 2011, 83; LG Berlin v. 9.12.2011 – 15 O 343/11, WRP 2012, 610; zustimmend, wenn auch ohne Begründung, Köhler in Köhler/Bornkamm, UWG, § 7 Rz. 148. 3 Vgl. die in der vorangehenden Fußnote genannten Urteile. 4 Wie hier auch OLG Stuttgart v. 22.3.2007 – 2 U 159/06, juris (in ausdrücklichem Widerspruch zur Vorinstanz); in dieser Frage wohl auch OLG Hamburg v. 4.3.2009 – 5 U 260/08, WRP 2009, 1282. 5 Vgl. Heidrich/Forgó/Feldmann/Jaschinski, Heise Online-Recht, Stand 2011, Kapitel B. IV.6. Feldmann/Hçppner
795
§ 48
Vertrge zum Datenhandel
danach noch einmal bestätigt. Auf welche Art und Weise die Bestätigung erfolgt, hängt davon ab, wie die Adresse erhoben und die Einwilligung erteilt wurde – häufig erfolgt sie per E-Mail1. Wenn ein Double-Opt-InVerfahren durchgeführt wurde, besteht, so die Rechtsprechung, eine widerlegliche Vermutung2, dass der Erklärende die entsprechende Einwilligung tatsächlich abgegeben hat. 30
Noch unklar ist allerdings, welche Dokumentationsobliegenheiten im Einzelnen für das werbende Unternehmen (und damit für den Empfänger der Daten) bestehen. Der BGH verlangt, dass der Werbende die konkrete Einverständniserklärung des einzelnen Verbrauchers vollständig dokumentiert, d.h. zumindest speichert und zum Ausdruck bereithält3. Das bedeutet dass der oben beschriebene IP-Timestamp nicht ausreicht. Vielmehr muss zumindest der gesamte Ablauf (Inhalt der Erklärung, IP-Timestamp, Bestätigungs-E-Mail, Klicken des Unique-Link in der E-Mail) protokolliert werden.
31
Für die Telefonwerbung muss zudem sichergestellt werden, dass der Inhaber der E-Mail-Adresse, über die die Einwilligungsbestätigung abgewickelt wird, auch der Inhaber einer angegebenen Telefonnummer ist. Die Beweiswirkung des Double-Opt-in-Verfahrens kann eingeschränkt sein, wenn die angerufene Person bestreitet, Inhaber der E-Mail-Adresse zu sein, mit der das Verfahren durchgeführt wurde4. Insofern ist bei Telefonwerbung aus rechtlicher Sicht zu empfehlen, sich die Einwilligung des Verbrauchers auch telefonisch, etwa durch einen Rückruf an die von dem Verbraucher angegebene Telefonnummer (nach vorheriger Einwilligung des Verbrauchers in diesen Rückruf) und Mitteilung eines Codes, den der Verbraucher auf einer Website eingeben muss, bestätigen zu lassen. Ist ein solches Verfahren nicht möglich, ist das „normale“ DoubleOpt-in-Bestätigungsverfahren mit E-Mails aber immer noch aussagekräftiger als ein einfaches Opt-in. Bestreitet nämlich der Verbraucher nicht, die E-Mail erhalten und den Bestätigungslink geklickt zu haben, muss sich daraus zumindest eine sekundäre Darlegungslast des Verbrauchers ergeben, tatsächlich nicht Inhaber der fraglichen Telefonnummer zu sein.
32
Es kann in einem Datenlieferungsvertrag daher nach alledem auch für den Abnehmer der Daten sowohl in Bezug auf die Wirksamkeit der Ein1 Vgl. auch Patzak/Beyerlein, MMR 2009, 525; zur Möglichkeit, ohne Einwilligung des Kunden zu werben, s. Frey/Plath, BB 2009, 1762. 2 S. jedoch Rz. 31. 3 BGH v. 10.2.2011 – I ZR 164/09, MMR 2011, 662; LG Berlin v. 23.1.2007 – 15 O 346/06; AG Düsseldorf v. 14.7.2009 – 48 C 1911/09; AG Berlin v. 11.6.2008 – 21 C 43/08. Das Double-Opt-In-Verfahren ist bislang nur vom OLG München (v. 27.9.2012 – 29 U 1682/12) in Frage gestellt worden. Hier wurde bereits die Bestätigungsmail als unzulässige Werbung angesehen. Dies ist aber mit der BGHRechtsprechung nur schwer vereinbar, so dass zu hoffen bleibt, dass diese Entscheidung ein Einzelfall bleiben wird. 4 BGH v. 10.2.2011 – I ZR 164/09, MMR 2011, 662.
796
Feldmann/Hçppner
§ 48
III. Die vertragliche Ausgestaltung im Einzelnen
willigung der Verbraucher als auch deren Nachweisbarkeit letztlich nur darum gehen, rechtliche Risiken zu verringern, indem der Datenhändler verpflichtet wird, bekannte Angriffsflächen zu vermeiden und den Abnehmer bei rechtlicher Unwirksamkeit der eingeholten Einwilligungen von Schäden freizustellen. Für den Datenhändler liegt das Interesse auf der anderen Seite darin, dem Abnehmer zumindest die Verantwortung für die Zulässigkeit der Kontaktaufnahme mit dem Verbraucher aufzuerlegen, indem der Abnehmer vertraglich bestätigt, die verwendeten Einwilligungserklärungen zu kennen und die Daten auf eigenes Risiko zu nutzen. c) Stichproben Aus Sicht des Abnehmers der Daten ist es ratsam, im Vertrag ein Recht 33 zur Durchführung von Stichproben zu regeln. Nach der Auffassung mancher Gerichte trifft den Abnehmer nämlich die Darlegungs- und Beweislast für das Nichtvorliegen der erforderlichen Einwilligung im Verfahren über einen etwaigen Schadensersatzanspruch gegen den Datenhändler. Es reiche nicht, wenn der Abnehmer pauschal behauptet, für die übermittelten Daten lägen keine Einwilligungen vor1. Vielmehr müsse er im Einzelnen darlegen, wann er welche Datensätze benutzte und welche Person wann und in welcher Form mit welcher Begründung das fehlende Einverständnis artikulierte2. d) Robinsonlisten Der Vertrag sollte im Zusammenhang mit der Einwilligungsthematik 34 aus der Sicht des Abnehmers der Daten nach Möglichkeit auch eine Regelung enthalten, nach der der Datenhändler vor und nach der Lieferung der Daten Abgleiche mit den sog. Robinsonlisten vornehmen und dort gelistete Daten aussondern bzw. über sie informieren muss. 2. Sicherstellen der tatsächlichen Qualität der Datensätze Unabhängig von der rechtlichen Qualität der Datensätze, die insbesonde- 35 re die Einwilligungsthematik betrifft, müssen Verträge über Datenlieferungen stets auch Regelungen über die tatsächliche Beschaffenheit der Daten enthalten, d.h. Regelungen zur Qualität der Datensätze. Kriterien hierfür sind unter anderen die Erreichbarkeit der Verbraucher und die Aktualität und Genauigkeit der Datensätze. Im Interesse der Vertragsparteien ist es auch hier ratsam, eine möglichst umfassende Regelung zu finden, um spätere Unsicherheiten zu vermeiden.
1 OLG Düsseldorf v. 17.2.2010 – 10 O 386/08; OLG Frankfurt v. 3.12.2009 – 16 U 30/09. 2 OLG Düsseldorf v. 17.2.2010 – 10 O 386/08. Feldmann/Hçppner
797
§ 48
Vertrge zum Datenhandel
36
Mindesterreichbarkeitsquoten. Üblich sind Mindesterreichbarkeitsquoten um die 95 %, sowohl in Bezug auf Telefonnummern, als auch in Bezug auf E-Mails. Zugleich muss in diesem Zusammenhang vereinbart werden, nach wessen Aufzeichnungen sich die Erreichbarkeitsquote richtet.
37
Für den Abnehmer sind je nach geplantem Einsatz der zu liefernden Daten häufig die folgenden Merkmale relevant und vertraglich festzulegen: – Zielgruppenkriterien: Welche Merkmale weist die Zielgruppe für die geplante Werbung auf (Alter, Interessen, regionale Herkunft etc.) und verfügt der Datenhändler über Daten, die nach den Kriterien ausgewählt und zusammengestellt werden können? – Die Quelle der Daten: Wer hat sie erstmals erhoben und in welchem Zusammenhang? – Das Alter der Daten: Sind die Daten noch „frisch“, d.h. aktuell und noch nicht viele Werbemaßnahmen „verbraucht“? – Exklusivität: Kann der Abnehmer die Daten – zumindest für einen bestimmten Zeitraum – exklusiv nutzen?
38
Ebenfalls aus Sicht des Abnehmers auszuschließen ist die Lieferung von Dubletten. Bei der Erhebung der Verbraucherdaten speziell für den Abnehmer, kann darüber hinaus der Vergütungsanspruch von der Qualität der Leads abhängig gemacht werden. Stellt sich innerhalb einer bestimmten Frist (bspw. sechs Monate) heraus, dass die Leads mit einer nicht nur unerheblichen Fehlerquote behaftet sind, können entsprechende Sekundärrechte vereinbart werden. 3. Schlechtleistung
39
Im Zusammenhang mit der rechtlichen und der tatsächlichen Beschaffenheit der Daten ist zu regeln, welche Rechte dem Abnehmer im Fall einer Schlechtleistung (nachfolgend der Einfachheit halber „Mangel“) zustehen und welche Partei welche Verantwortlichkeiten und Risiken übernimmt. Bei der Formulierung der entsprechenden Klauseln kommt es in erster Linie darauf an, eine interessengerechte Risikoverteilung zwischen den Vertragsparteien zu finden. Aufgrund der oben beschriebenen Unklarheit bei der vertragstypologischen Einordnung des Datenlieferungsvertrags ist es auch in Bezug auf die Mängelrechte ratsam, diese und sonstige Verantwortlichkeiten möglichst umfassend und ausdrücklich zu regeln, um spätere Diskussionen um die Auslegung von Vertrag und Gesetz zu vermeiden. Zudem sollte im Sinne einer Auffangklausel geregelt werden, welches Mängelgewährleistungsrecht (Kauf- oder Pacht-/ Mietvertragsrecht) in Zweifelsfällen anzuwenden ist, um möglichst viele Unsicherheiten auszuschließen.
798
Feldmann/Hçppner
§ 48
III. Die vertragliche Ausgestaltung im Einzelnen
4. „Nutzungsrechte“ an den Datensätzen Wesentlicher Bestandteil des Datenlieferungsvertrages ist das Einräumen 40 des Rechts, die überlassenen Adressen auch zu Werbezwecken nutzen zu dürfen. Dabei ist gemeinhin von „Nutzungsrechten“ an den Daten die Rede1. Wenn auch rechtlich unzutreffend, soll im Folgenden der Terminus „Nutzungsrecht“ verwendet werden, da er in tatsächlicher Hinsicht durchaus passt. Die Definition der benötigten Nutzungsrechte sollte in räumlicher, zeit- 41 licher und sachlicher Hinsicht erfolgen. Dabei ist zu identifizieren, welche Rechte an den Daten benötigt werden bzw. festzulegen, zu welchem Zweck die Daten verwendet werden sollen. In sachlicher Hinsicht ist möglichst eindeutig zu definieren, für welchen Zweck die überlassenen Daten eingesetzt werden und ob der Abnehmer die Daten exklusiv oder gemeinsam mit anderen nutzen können soll. In zeitlicher Hinsicht ist in erster Linie zu differenzieren, ob die Überlassung auf Dauer erfolgen soll (bei einem Adresskaufvertrag) oder ob die Überlassung nur für einen begrenzten Zeitraum oder für eine bestimmte Nutzungshäufigkeit erfolgt, was der Regelfall sein dürfte. Zeitraum und/oder Nutzungshäufigkeit sind dann eindeutig festzulegen. 5. Vergütungsmodelle Ein wesentlicher Regelungskomplex im Datenlieferungsvertrag ist das 42 anzuwendende Vergütungsmodell. Am einfachsten ist sicherlich das Modell, dass für alle gelieferten Daten ein bestimmter Preis zu zahlen ist, oft festgelegt in der Form des sog. Tausenderkontaktpreises (TKP). In der Praxis ist es hiermit aber regelmäßig nicht getan. Auf der einen Seite liegt es regelmäßig im Interesse des Abnehmers, nur tatsächlich mit dem gewünschten Mehrwert nutzbare oder sogar nur tatsächlich genutzte Daten zu vergüten. Auf der anderen Seite zieht es aber auch der Datenhändler nicht immer vor, einfach pro geliefertem Datensatz vergütet zu werden. Denn das reine „Massengeschäft“ bringt ihm im Zweifel keinen guten Preis pro Datensatz. Eine Vergütung soll häufig nur für solche Daten aus der gelieferten Da- 43 tenmenge geschuldet sein, die beim Abnehmer nicht schon aus eigenen Beständen vorhanden sind oder von anderen Datenhändler bezogen wurden, also nur für Daten, die einen Mehrwert für den Abnehmer besitzen. Hierfür sind Datenabgleiche vorzunehmen, die datenschutzrechtlich kritisch, weil auch von den Einwilligungen der Verbraucher nicht umfasst, sind. Aus diesem Grund müssen für die Abgleiche Verfahren angewandt werden, die ohne personenbezogene Daten genutzt werden (was technisch durchaus möglich ist).
1 Vgl. Bahr, Adresshandel, Rz. 875 ff. Feldmann/Hçppner
799
§ 48
Vertrge zum Datenhandel
44
In anderen Fällen soll es eine Vergütung nur für die Daten aus der gelieferten Datenmenge geben, die vom Abnehmer auch tatsächlich eingesetzt werden. Dabei wird dann vereinbart, dass der Abnehmer nicht genutzte Daten wieder „zurückgibt“, was in der Regel durch Rückübermittlung einer Datei mit den Daten geschieht, die nicht genutzt wurden, was für den Datenhändler die Frage aufwirft, wie er die Angaben des Abnehmers prüfen soll. Unter anderem zu diesem Zweck wird der Datenhändler in seine Datenbanken auch Datensätze einpflegen und diese mitliefern, die keine „echten“ Verbraucher betreffen, sondern lediglich Kontrollzwecken dienen und E-Mail-Adressen und Telefonnummern enthalten, die, wenn genutzt, vom Datenhändler selbst erfasst werden (sog. „Fake-Adressen“).
45
Ein ähnliches Modell für das Telefonmarketing liegt vor, wenn nur Datensätze vergütet werden sollen, mit denen Verbraucher tatsächlich erreicht wurden. „Erreicht“ kann dabei bedeuten, dass das Telefonat nur angenommen wurde oder aber auch dass ein Werbegespräch für eine bestimmte Dauer zustande gekommen sein muss.
46
Bei den soeben1 dargestellten Vergütungsmodellen läuft der Datenhändler naturgemäß Gefahr, „unter die Räder zu kommen“. Denn weder kann er wissen, wie viele der gelieferten Datensätze einen „Mehrwert“ für den Abnehmer aufweisen, noch, wie viele Datensätze tatsächlich (erfolgreich) genutzt werden. Der Erlös aus dem Geschäft wird so unvorhersehbar. Zudem kann er sich kaum sicher sein, dass die Angaben des Abnehmers auch zutreffen. Aus diesem Grund einigen sich die Vertragsparteien häufig auf eine Mindestvergütung, die sog. Mindestabrechnungsquote. Dabei wird das vom Abnehmer gewünschte nutzungs- bzw. erfolgsabhängige Modell zugrunde gelegt, jedoch vereinbart, dass ein bestimmter Teil der gelieferten Daten davon unabhängig in jedem Fall zu vergüten ist. 6. Absicherung und Haftung a) Regelungen zu Vertragsstrafen
47
Um das Einhalten der Verpflichtungen des Datenhändlers im Rahmen der Adressgenerierung „wehrhaft“ zu machen, empfiehlt es sich jedenfalls aus der Sicht des Abnehmers, eine Vertragsstrafe zu vereinbaren. AGB-rechtlich stellt sich, jedenfalls bei vorformulierten Vertragsbedingungen, dabei stets die Frage nach der angemessenen Höhe der Vertragsstrafe. Eine Vertragsstrafe ist nach der Rechtsprechung noch angemessen, solange sie nicht „jedes vernünftige Verhältnis zum möglichen Schaden übersteig[t]“2 bzw. solange sie nicht „außer Verhältnis zum Gewicht des Vertragsverstoßes und zu dessen Folgen für den Vertragspartner steh[t]“3.
1 S. Rz. 43 bis 45. 2 BGH v. 18.11.1982 – VII ZR 305/81, NJW 1983, 385. 3 BGH v. 3.4.1998 – V ZR 6/97, NJW 1998, 2600.
800
Feldmann/Hçppner
§ 48
III. Die vertragliche Ausgestaltung im Einzelnen
Im Bereich des Datenhandels wird man davon ausgehen können, dass Vertragsstrafen um die 15 000 Euro noch angemessen und nicht unverhältnismäßig sind, bedenkt man, dass die Verfahrenskosten aus einstweiligen Verfügungs- und Hauptsacheverfahren (gar über mehr als eine Instanz) insbesondere in Wettbewerbsstreitsachen diesen Betrag durchaus übersteigen können und mögliche Bußgelder der Bundesnetzagentur um ein Vielfaches über diesem Betrag liegen können1. b) Haftungsregelungen Daneben sollte ein „wasserfester“ Datenlieferungsvertrag Haftungs- 48 regelungen enthalten, die die Risikozuweisung zwischen beiden Parteien ausdifferenzieren. Dabei ist folgendes zu berücksichtigen: Der Abnehmer der Daten haftet bei der Verwendung der Datensätze 49 nicht nur gegenüber Verbrauchern, sondern auch gegenüber Wettbewerbern, ebenso wie Verbraucher- oder Wettbewerbszentralen Ansprüche gegen ihn geltend machen können. Daneben drohen unter Umständen Bußgelder durch die Bundesnetzagentur. Diese Risiken realisieren sich in aller Regel deswegen, weil der Abnehmer der Daten nicht in der Lage ist, eine rechtswirksame Einwilligung der Verbraucher nachzuweisen, was letztlich auf ein Versäumnis des Lieferanten zurückzuführen ist, weswegen dieser meist auch das vertragliche Risiko zu tragen hat. Für Ansprüche, die auf ein Versäumnis des Datenhändlers zurückzuführen sind, wird daher eine entsprechende Freistellungsverpflichtung vereinbart, auf deren Grundlage der Abnehmer die Möglichkeit hat, dem Datenhändler bei gerichtlicher Inanspruchnahme den Streit zu verkünden. Dabei ist jedoch nicht zu bestreiten, dass die von den Gerichten vorge- 50 gebenen Voraussetzungen für eine wirksame Einwilligung nahezu unmöglich komplett erfüllt werden können. Eine weitreichende Freistellungsverpflichtung birgt daher ein sehr hohes Haftungsrisiko für den Datenhändler. Angemessen wäre daher – schließlich bewegt sich auch der Abnehmer bewusst in einem schwierigen rechtlichen Umfeld – eine betragsmäßige Begrenzung dieses Risikos pro Haftungsfall. Als Gegenpol – Datenhändler werden selten hochkapitalisiert sein – kann die (beschränkte) Freistellungsverpflichtung zugunsten des Abnehmers mit einer Bankbürgschaft oder einem ähnlichen Sicherungsmittel abgesichert werden.
1 A.A. OLG Celle v. 28.11.2012 – 9 U 77/12, NJW-RR 2013, 887. Das Gericht stellt hier auf die Höhe der Vergütung für den einzelnen Datensatz ab, die in der Regel unter einem Euro liegt. Das ist indes vor dem Hintergrund der Rechtsprechung des BGH, der auf die zu sichernden tatsächlichen Risiken abstellt, aber kaum haltbar und kann jedenfalls für die Vertragsgestaltung kein sinnvoller Maßstab sein. Feldmann/Hçppner
801
§ 48
Vertrge zum Datenhandel
IV. Fazit 51
Datenlieferungsverträge bewegen sich in einem engen, in erster Linie datenschutz- und wettbewerbsrechtlichen gesetzlichen Korsett. Zusätzlich sind sie aufgrund der Eigenart ihres Vertragsgegenstands – dem Verzicht des Verbrauchers auf sein Recht, die Verwendung seiner Adressdaten für Werbung zu verbieten – vertragsdogmatisch schwierig einzuordnen. An die vertragliche Ausgestaltung sind daher erhöhte Anforderungen zu stellen. Es ist mangels anerkannter und einfach zu handhabender Maßstäbe (DIN, ISO etc.) eminent wichtig, vor allem die rechtliche und tatsächliche Qualität der zu liefernden Daten sowie das Vergütungsmodell detailliert und präzise zu regeln.
V. Gliederungsvorschlag für einen Vertrag 52
1. Gegenstand des Vertrags Erluterung des Vertragsgegenstands, Zweck der Datenlieferung. 2. Durchfhrung des Vertrags, vollstndige Lieferung Regelungen zur Durchfhrung der Lieferungen, Akzeptanz und zu weiteren Durchfhrungsaspekten des Vertrags. 3. Beauftragung von Unterauftragnehmern Regelungen zur Beauftragung von Unterauftragnehmern durch den Lieferanten. 4. Datenqualitt in rechtlicher Hinsicht: Einwilligung, Nachweis, Prfung der Leistung Regelungen zu Anforderungen an Verbrauchereinwilligungen, zur Nachweisbarkeit und zu Prfrechten des Abnehmers. 5. Datenqualitt in tatschlicher Hinsicht Regelungen zur Erreichbarkeit der Verbraucher, zum Alter und zur Qualitt der gelieferten Daten, Verwendbarkeit der berlassenen Daten. 6. Gewhrleistungsregelungen Regelungen zu den Mngelrechten des Abnehmers, wenn die Daten nicht die gewnschte rechtliche oder tatschliche Qualitt haben. 7. Abrechnung und Vergtung Regelungen zur Abrechnung und zum Vergtungsmodell. 8. Zahlung Regelungen zu Zahlungsmodalitten.
802
Feldmann/Hçppner
§ 48
V. Gliederungsvorschlag fr einen Vertrag
9. Haftung und Vertragsstrafe Haftungsregelungen entsprechend einer angemessenen Risikoverteilung, gegebenenfalls Regelungen zu einer angemessenen Vertragsstrafe. 10. Laufzeit und Beendigung Regelungen zu Laufzeit, Kndigung und Rcktritt. 11. Aufrechnung und Zurckbehaltungsrecht Gegebenenfalls: Regelungen zu Aufrechnung und Zurckbehaltungsrecht, Ausschluss 12. Vertraulichkeitsregelung Gegebenenfalls: Regelungen zur Einhaltung von Vertraulichkeit zwischen den Parteien, entweder nur auf den Vertrag bezogen oder umfassend. 13. Schlussbestimmungen Regelungen zum anwendbaren Recht, Schriftlichkeit, Gerichtsstand, Unwirksamkeit einzelner Klauseln
Feldmann/Hçppner
803
§ 49 Inkassoverträge und die Überlassung von Daten an Inkassodienste Rz. I. Überblick . . . . . . . . . . . . . . . . . . . .
1
II. Vertragstypologie . . . . . . . . . . . . . 1. Dienst-, Kauf- und Kreditvertrag . 2. Dauerschuldverhältnis . . . . . . . . .
4 5 7
III. Vertragsstruktur . . . . . . . . . . . . . .
8
IV. Ausgewählte vertragliche Regelungsbereiche des Inkassovertrages . . . . . . . . . . . . . . . . . . . . . 1. Leistungen des Inkassodienstleisters . . . . . . . . . . . . . . . . . . . . . . 2. Pflichten des Auftraggebers, insbesondere Mitwirkungspflichten . 3. Vergütung. . . . . . . . . . . . . . . . . . . . 4. Gewährleistung . . . . . . . . . . . . . . . 5. Haftung . . . . . . . . . . . . . . . . . . . . . 6. Beginn der Inkassotätigkeit, Laufzeit und Vertragsabwicklung
9 10 13 15 18 19 20
V. Datenschutzrechtliche Aspekte des Inkasso. . . . . . . . . . . . . . . . . . . 23
Rz. 1. Auftragsverarbeitung, Funktionsübertragung . . . . . . . . . . . . . . . . . . 2. Legitimation der Datenverarbeitung bei Funktionsübertragung . . a) Keine Rechtfertigung nach § 28 Abs. 1 Satz 1 Nr. 1 BDSG . b) Erlaubnis gemäß § 28 Abs. 1 Nr. 2 BDSG? . . . . . . . . . . . . . . . 3. §§ 28a, 29 BDSG . . . . . . . . . . . . . . VI. Branchentypische Besonderheiten . . . . . . . . . . . . . . . . . . . . . . . 1. Telekommunikation . . . . . . . . . . . 2. § 203 StGB . . . . . . . . . . . . . . . . . . . a) In der Literatur diskutierte Lösungsansätze . . . . . . . . . . . . . b) Übertragung der Grundsätze der EuGH-Entscheidung zur Übermittlung von Verkehrsdaten . . . . . . . . . . . . . . . . . . . . .
24 26 27 28 29 30 31 32 33
34
I. Überblick 1
Das Inkasso von Forderungen durch Dienstleister ist weit verbreitet. Insbesondere Industrien, deren Endkundengeschäft auf großen Mengen von Geschäftstransaktionen beruht (u.a. Handel, Telekommunikation oder Versicherungen) bedienen sich dieser Form der Auslagerung eines Geschäftsprozesses. Die Abwicklung der Auslagerungsprozesse sowie die eigentliche Inkassotätigkeit sind standardisiert und hochmoderne und -effiziente Lösungen der Informationstechnologie ermöglichen eine Kostenoptimierung. Für die Auftraggeber, die Forderungsgläubiger, ermöglichen Inkassodienste neben der Auslagerung des Debitorenmanagements als solchem regelmäßig eine Steigerung des Cash-Flow, wenn ihnen nicht ohnehin – je nach Gestaltung – primär eine kurz- bzw. mittelfristige Finanzierungsfunktion zukommt.
2
Um diese Effekte zu gewährleisten, sind zivilrechtlich verschiedene Lösungsansätze verfügbar, die je nach Interessenlage und Gestaltung durch die Parteien differenziert die Einziehung der Forderung durch den Inkassodienstleister ermöglichen und in ihrer Bandbreite am Markt genutzt werden. Diese Modelle unterscheiden sich darin, welche Rechtsposition
804
Pohle
§ 49
II. Vertragstypologie
der Inkassodienstleister an der einzuziehenden Forderung erhält. Im Einzelnen handelt es sich um folgende Gestaltungen1: – Vertreterlösung: Geltendmachung der Gläubigerforderung durch den Inkassodienstleister im Namen und auf Rechnung des Gläubigers. – Einzugsermächtigung: Einzug der Forderung des Gläubigers durch den Inkassodienstleister im eigenen Namen auf Rechnung des Gläubigers aufgrund einer entsprechenden Einzugsbefugnis des Gläubigers zugunsten des Inkassounternehmens (§ 185 Abs. 1 BGB). – (Treuhänderische) Inkassozession: Beitreibung der Forderung durch den Inkassodienstleister im eigenen Namen und auf eigene Rechnung aufgrund einer fiduziarischen Forderungsabtretung durch den Gläubiger zum Zweck der Forderungsbeitreibung. – Unechtes Factoring: Abtretung der Forderung an den Dienstleister erfüllungshalber mit dem Recht des Rückgriffs beim Gläubiger für den Fall, dass die Forderung nicht beizutreiben ist. – Echtes Factoring: Forderungskauf vom und Abtretung der Forderung durch den Gläubiger mit Übernahme des Risikos der Forderungserfüllung (Delkrederisiko) durch den Dienstleister. Die Ausgestaltung eines Inkassodienstes beruht maßgeblich auf dem ver- 3 traglich zu regelnden (Innen-)Verhältnis zwischen Gläubiger und Inkassodienstleister. Unabhängig von den übrigen Regelungen, die ein Vertrag zur Auslagerung eines Geschäftsprozesses regelmäßig beinhaltet, sind in einen Inkassovertrag darüber hinaus komplexe Regelungen einzuarbeiten, um die gerichtsfeste Geltendmachung der beizutreibenden Forderung unter Mitwirkung des Gläubigers und darüber hinaus die – je nach Inkassomodell differenzierten – kommerziellen Interessen der Parteien zu regeln.
II. Vertragstypologie Die bereitstehenden Lösungen zur Umsetzung eines Forderungsinkassos 4 bedingen zwangsläufig eine differenzierte rechtliche Betrachtung und Qualifikation des von Gläubiger und Inkassodienstleister abzuschließenden schuldrechtlichen Vertrags. Die vertragstypologische Einordnung ist nicht nur mit Blick auf anwendbare spezielle Gewährleistungsreglungen von Interesse, sondern auch zur Bestimmung des gesetzlichen Leitbildes im Rahmen der AGB-Prüfung nach §§ 307 ff. BGB. Denn Inkassodienstleitungen selbst werden nicht selten von Dienstleistern auf Grundlage ihrer allgemeinen Geschäftsbedingungen angeboten und kontrahiert. Hinsichtlich der vertragstypologischen Einordnung lassen sich folgende Qualifikationen vornehmen: 1 Vgl. die Übersicht bei Neumann, CR 2012, 235 m.w.N.; Grüneberg in Palandt, BGB, § 398 Rz. 29 ff.; Roth in MünchKommBGB, § 398 Rz. 40 ff., 164 ff. Pohle
805
§ 49
Inkassovertrge
1. Dienst-, Kauf- und Kreditvertrag 5
Inkassoverträge jenseits des Factoring, mithin alle Gestaltungen, bei denen der Gläubiger formell oder jedenfalls wirtschaftlich Forderungsinhaber bleibt, sind rechtlich als Geschäftsbesorgungsverträge mit Dienstleistungscharakter gem. §§ 675, 611 BGB einzuordnen1. Dies gilt für folgende Gestaltungen: Vertreterlösung, Einziehungsermächtigung sowie Inkassozession. Eine kaufvertragliche Qualifikation scheidet aus, weil die Forderung nicht, bzw. im Fall der Inkassoabtretung nicht endgültig, und nicht gegen Zahlung einer Vergütung auf den Inkassodienstleister übergeht. Eine werkvertragliche Qualifikation des Vertragsverhältnisses scheitert daran, dass der Inkassodienstleister für den Gläubiger erkennbar nicht dafür einstehen will, dass Durchsetzung und Beitreibung der Forderung gelingen. Hinzu kommt, dass weitere vertragliche Regelungen wie Nachbesserungs- und Selbsteintrittsrecht ebenso wenig zu der vom Inkassodienstleister entfalteten Tätigkeit passen, wie das Erfordernis der Abnahme gem. § 640 BGB. Hieran ändert aus den genannten Gründen nichts, wenn sich die Inkassodienstleister als Teil ihrer Vergütung Erfolgsprämien einräumen lassen.
6
Wird die beizutreibende Forderung an den Inkassodienstleister abgetreten und im Gegenzug für die Abtretung der Forderung von Seiten des Inkassodienstleisters ein Entgelt an den Gläubiger gezahlt, mithin in Fällen des echten und unechten Factoring, ist die Rechtslage differenziert zu betrachten. Dies gilt unabhängig davon, dass in jedem Fall des Factoring das Risiko des Bestands der abgetretenen Forderungen (Veritätsrisiko) beim Forderungsverkäufer verbleibt. Entscheidend für die zivilrechtliche Qualifikation ist beim echten Factoring die dauerhafte Übernahme des Risikos der Einbringlichkeit der Forderung (Delkredererisiko) durch den Inkassodienstleister. Entsprechend hat der BGH das echte Factoring als Forderungskauf gemäß § 453 BGB qualifiziert mit der Begründung, dass hier ein Vermögensgegenstand dauerhaft gegen Zahlung eines entsprechenden Entgeltes übertragen wird2. Gleichwohl beinhaltet ein solcher Vertrag in aller Regel auch eine Dienstleistungskomponente in Gestalt des Outsourcing der Debitorenbuchhaltung bzw. des Forderungseinzugs, die für sich rechtlich als Geschäftsbesorgungsvertrag mit Dienstleistungscharakter gem. §§ 675, 611 BGB einzuordnen ist, mit der Folge, dass vertreten wird, ein echtes Factoring als typengemischten Vertrag anzusehen3. Das unechte Factoring hingegen wird als jedenfalls darlehensähn-
1 Vgl. BGH v. 29.4.2004 – III ZR 279/03, NJW-RR 2004, 989; Heermann in MünchKommBGB, § 675 Rz. 104. 2 Vgl. BGH v. 19.9.1977 – VIII ZR 169/71, BGHZ 69, 254 = NJW 1977, 2207; Graf von Westphalen in Graf von Westphalen/Thüsing, Factoring, Rz. 3 m.w.N.; Roth in MünchKommBGB, § 398 Rz. 164. 3 Vgl. Graf von Westphalen/Thüsing, Factoring, Rz. 3 m.w.N.; Roth in MünchKommBGB, § 398 Rz. 164.
806
Pohle
§ 49
III. Vertragsstruktur
liches Kreditgeschäft gewertet1, teils aufgrund der auch hier regelmäßig hinzutretenden Elemente der Geschäftsbesorgung (Outsourcingelemente) als typengemischter Vertrag2. Hier erschöpft sich die Tätigkeit des Inkassodienstleisters als Forderungserwerber neben der Übernahme des Einziehungsvorgangs und begleitender administrativer Tätigkeiten in der eines Darlehensgebers, der bedingt durch die fehlende Übernahme des Delkredererisikos letztlich dem Gläubiger (vorübergehend) liquide Mittel zur Verfügung stellt, bis Letztere entweder durch die Zahlung des Schuldners auf die erfüllungshalber abgetretene Forderung oder die Rückerstattung der gewährten liquiden Mittel durch den Gläubiger erstattet werden3. 2. Dauerschuldverhältnis Aufgrund ihrer rechtlichen Qualifikation als solcher, wesentlich aber 7 aufgrund ihrer Auslagerungselemente, haben Inkassoverträge einen immanenten Laufzeitcharakter und sind entsprechend insgesamt als Dauerschuldverhältnisse zu qualifizieren. Dies gilt zwanglos für diejenigen Inkassoverträge, die als Geschäftsbesorgungsverträge mit Dienstleistungscharakter (§§ 675, 611 BGB) einzuordnen sind (Vertreterlösung; Einziehungsermächtigung, fiduziarische Inkassoabtretung). Dies gilt aber auch für Factoringverträge, weil sie zum einen auch dauerhaft zu erbringende Auslagerungselemente (Outsourcing der Debitorenbuchhaltung, Forderungseinzug) enthalten. Zum anderen steht beim echten Factoring nach den vertraglichen Gestaltungen jeweils der fortlaufende Ankauf von Forderungspaketen im Vordergrund und, im Fall des unechten Factoring, die fortlaufende Kreditgewährung4.
III. Vertragsstruktur Unabhängig von ihrer rechtlichen Qualifikation als Geschäftsbesor- 8 gungsvertrag mit Dienstleistungscharakter (§§ 675, 611 BGB), Kauf- oder Kreditvertrag (§ 433 BGB bzw. §§ 305, 607 BGB) werden Inkassoverträge aus unterschiedlichen Gründen als Rahmenverträge mit zugeordneten Einzelverträgen strukturiert. In den Fällen, in denen das Vertragsverhältnis einen reinen Geschäftsversorgungsvertrag mit Dienstleistungscharakter (§§ 675, 611 BGB) darstellt, hat eine rahmenvertragliche Struktur regelmäßig ihren Grund in den unterschiedlichen Leistungsbestandtei1 Vgl. BGH v. 3.5.1972 – VIII ZR 170/71, NJW 1972, 1715; Grüneberg in Palandt, BGB, § 398 Rz. 40. 2 Vgl. Roth in MünchKommBGB, § 398 Rz. 164; Graf von Westphalen/Thüsing, Factoring, Rz. 4, 8. 3 Vgl. BGH v. 3.5.1972 – VIII ZR 149/80, NJW 1982, 164 (165 f.); Graf von Westphalen/Thüsing, Factoring, Rz. 4; Roth in MünchKommBGB, § 398 Rz. 164. 4 So ausdrücklich: Graf von Westphalen/Thüsing, Factoring, Rz. 2; vgl. auch Roth in MünchKommBGB, § 398 Rz. 167. Pohle
807
§ 49
Inkassovertrge
len, wie außergerichtliche, gerichtliche und/oder nachgerichtliche Beitreibungsmaßnahmen, die vom Gläubiger in Einzelverträgen beauftragt werden und je nach vertraglicher Ausgestaltung nach dem Willen der Parteien ein eigenständiges rechtliches Schicksal in Begründung, Abwicklung und Beendigung haben können und sollen. Der übergeordnete Rahmenvertrag enthält dann die allgemeinen, für alle Leistungsbestandteile geltenden Regelungen. Anders liegen die Gründe für eine rahmenvertragliche Gestaltung im Bereich des Factoring. Hier wird der Rahmenvertrag in der Regel zur Begründung der Geschäftsbeziehung als solcher, deren grundlegender rechtlichen Gestaltung einschließlich einer Globalzession der zu übernehmenden Forderungen geschlossen1. Hinzu treten Einzelverträge, die die schuldrechtlichen Grundlagen für die einzelnen Forderungsübernahmen als solche sind, und diese im Einzelnen genau bestimmen.
IV. Ausgewählte vertragliche Regelungsbereiche des Inkassovertrages 9
Inkassoverträge haben regelmäßig typische Inhalte, die sich aufgrund des Auslagerungscharakters des Vertragsverhältnisses ebenso ergeben, wie aufgrund der Notwendigkeit der gerichtsfesten Gestaltung des Forderungseinzuges. Im Einzelnen handelt es sich um folgende grundlegenden Gestaltungsnotwendigkeiten. 1. Leistungen des Inkassodienstleisters
10
Inkassoverträge enthalten regelmäßig detaillierte Regelung zum Leistungsversprechen des Inkassodienstleisters, seien sie grundlegend leistungsbestimmenden oder prozessbeschreibenden Inhalts. Grundlegend ist zu vereinbaren, auf welchen Umfang sich die Beitreibungsmaßnahmen erstrecken, d.h. außergerichtliche und/oder gerichtliche und/oder nachgerichtliche. Hiervon ausgehend ist und wird regelmäßig festgelegt, ob und in welchem Umfang der Dienstleister zu Beitreibungsmaßnahmen verpflichtet ist, d.h. ob eine bestimmte feste Mahnschwelle („ab dem 1. Cent“) vereinbart wird, nach deren Überschreitung der Inkassodienstleister tätig werden muss, oder ob seine Tätigkeit insgesamt allgemein unter Beachtung der einschlägigen gesetzlichen Vorschriften innerhalb der Inkassogestattung des Dienstleisters und im Übrigen nach seinem pflichtgemäßen Ermessen hinsichtlich der Entfaltung rechtlich und wirtschaftlich vertretbarer Beitreibungsmaßnahmen zu erfolgen hat. Auch ist regelmäßig im Interesse beider Parteien zu spezifizieren, wie der Dienstleister seine Tätigkeit entfaltet, d.h. welche konkreten Maßnahmen die Inkassotätigkeit umfasst (u.a. schriftliches Mahnwesen, Telefoninkasso, Außendienstinkasso usw.), bzw. sollte der Ablauf des Inkassoverfahrens jedenfalls bei außergerichtlichem Inkasso im Einzelnen 1 Vgl. Graf von Westphalen/Thüsing, Factoring, Rz. 2.
808
Pohle
§ 49
IV. Ausgewhlte vertragliche Regelungsbereiche des Inkassovertrages
festgelegt werden. Entsprechendes gilt hinsichtlich des Übergangs zum gerichtlichen Beitreibungsprozess, sofern beauftragt. Hinzutreten sollten Inhalte zu weiteren Einzelheiten wie Vorgaben zur Vereinbarung von Raten-, Stundungs- und Vergleichsvereinbarungen. Wesentlich sind zudem Bestimmungen zur Debitorenkontoführung und 11 Verrechnung eingezogener Zahlungen. Solche Regelungen betreffen nicht nur die Festlegung, was und unter welchen Voraussetzungen als Zahlung des Schuldners gilt (Zahlungseingänge, Aufrechnungen, Gutschriften), sondern auch die Verrechnung von Zahlungen gegenüber dem Schuldner im Verhältnis der Parteien des Inkassovertrages im Spannungsfeld der Haupt- bzw. Nebenforderungen des Gläubigers, sowie der Inkassovergütungen und Fremdkosten des Inkassodienstleisters. Schließlich sind aus Sicht beider Parteien Regelungen zum Berichtswesen und entsprechende Leistungspflichten des Inkassodienstleister empfehlenswert. Das betrifft u.a. die wesentlichen Stufen des Mahnverfahrens wie erreichte Mahnstufen, beigetriebene Beträge je Forderung sowie Hinweise auf wesentliche Ereignisse (Betrugsverdacht, Insolvenz, eidesstattliche Versicherung o.ä.). In den Fällen des Factoring tritt die Vereinbarung einer Übernahmever- 12 pflichtung von Forderungen durch den Dienstleister hinzu, abhängig von regelmäßig vereinbarten Ankaufslimits. Bis zu dessen Erreichen wird zudem beim echten Factoring das Delkrederisiko hinsichtlich des Schuldners vorbehaltlich entsprechend positiver Bonitätsprüfungen übernommen1. 2. Pflichten des Auftraggebers, insbesondere Mitwirkungspflichten In Inkassoverträgen finden sich in der Regel umfängliche Regelungen zu 13 Pflichten, insbesondere Mitwirkungspflichten des auftraggebenden Gläubigers. Wesentlich ist zunächst die Definition derjenigen Forderungen, die inkassofähig sind, in aller Regel beschränkt auf solche, die unbestritten und von keiner Gegenleistung abhängig sind, und bei denen der Gläubiger sein (Wohn-)Sitz in Deutschland hat. Beim Factoring tritt zudem noch eine Andienungspflicht hinsichtlich der von dem jeweiligen Vertrag erfassten Forderungen hinzu2. Hieran anknüpfend sind – unabhängig davon, dass je nach Gestaltung des Inkassovorgangs die gesetzlichen Vorschriften insbesondere § 404 BGB hinzutreten können – Regelungen vorzusehen, die die notwendigen Voraussetzungen einer gerichtsfesten Geltendmachung der Forderung festschreiben. Dies betrifft nicht nur diejenigen Urkunden, Unterlagen, Nachweise und sonstigen Informationen, die einen schlüssigen Nachweis der beizutreibenden Forderung ermöglichen, sondern auch etwaig zu erteilende Vollmachten oder Einziehungsermächtigungen zugunsten des Inkassodienstleisters. Dabei werden re1 Vgl. Graf von Westphalen/Thüsing, Factoring, Rz. 2, 6, 11. 2 Vgl. Graf von Westphalen/Thüsing, Factoring, Rz. 2 m.w.N. Pohle
809
§ 49
Inkassovertrge
gelmäßig auch vertragliche Regelungen vorzusehen sein, auf welchem Wege und in welcher Form, d.h. physisch oder per elektronischen Datenaustauschs, die entsprechenden Urkunden, Unterlagen, Nachweise und Informationen (insbesondere Stamm- und Forderungsdaten) zur Verfügung zu stellen sind. 14
Daneben enthalten Inkassoverträge normalerweise Bestimmungen zu Mitwirkungspflichten des Gläubigers dahingehend, dass er sich ab Forderungsübergabe an den Dienstleister jeder eigenen Mahntätigkeit ebenso zu enthalten, wie er Zahlungseingänge unmittelbar bei sich bzw. vom ihm erteilte Gutschriften unverzüglich dem Dienstleister anzuzeigen hat. Auch hier finden sich nicht selten ausdrückliche Regelungen, in welcher Form und auf welchem Wege, z.B. im elektronischen Datenaustausch, dies zu geschehen hat. 3. Vergütung
15
Auch die Vergütungsregelungen in Inkassoverträgen sind differenziert auszugestalten, zumal diese regelmäßig neben der eigentlichen Vergütung des Inkassodienstleisters auch die Handhabung von Fremdkosten beinhalten.
16
Hinsichtlich der eigentlichen Vergütung des Inkassodienstleisters sind jedenfalls jenseits des echten Factoring Erfolgsprovisionen verbreitet. Diese Erfolgsprovisionen variieren der Höhe nach danach, ob es sich um „junge“ oder „alte“ Forderungen handelt gemessen an dem Zeitraum zwischen Rechnungsdatum und Übergabedatum an den Inkassodienstleister oder ob eine Forderungsrealisierung unter bestimmten erschwerten Bedingungen erfolgt (Forderungsüberwachung nach gerichtlicher Feststellung, eidesstattliche Versicherung oder Insolvenz). Daneben werden häufig erfolgsunabhängige Beitreibungsgebühren namentlich im außergerichtlichen Mahnverfahren wie im Überwachungsverfahren nach gerichtlicher Feststellung der Forderung vereinbart. Erfolgsprovisionen wie Bearbeitungsgebühren bemessen sich dabei häufig auf Grundlage eines Prozentsatzes der beizutreibenden Forderung. Darüber hinaus behalten sich Inkassodienstleister regelmäßig das Recht vor, mit den Schuldnern eigenständige Vereinbarungen über Vergütungsregelungen zu treffen, mit der Folge, dass hier alternativ respektive kumulativ weitergehende Vergütungsansprüche entstehen. Neben die eigentlichen Vergütungsvereinbarungen treten Regelungen zur Geltendmachung von Fremdkosten (Adressrecherchen; Bonitätsanfragen, Rücklastschriften usw.), die Kosten des gerichtlichen Mahnverfahrens oder von Zwangsvollstreckungsmaßnahmen. Hinsichtlich der Kosten externer Rechtsanwälte im Rahmen des gerichtlichen Beitreibungsverfahrens finden sich Hinweise auf deren gesonderte Abrechnung durch die beauftragten Rechtsanwälte. Letztlich regeln Inkassoverträge regelmäßig die Frage, ob und inwieweit der Gläubiger jenseits der verauslagten Fremdkosten Vergütungszahlungen an den Dienstleister leisten muss. So kann der Inkassodienstleister seine Ver810
Pohle
§ 49
IV. Ausgewhlte vertragliche Regelungsbereiche des Inkassovertrages
gütungsansprüche gegenüber dem Gläubiger bis zu dem Zeitpunkt stunden, zu dem deckende Zahlungen des Schuldners eintreffen. Eine solche Vereinbarung ist in erster Linie eine kommerzielle Frage, die Gestaltungen sind hier sehr unterschiedlich. Im Fall des Factoring liegt die Regelung der Vergütungsfrage relativ ein- 17 facher. Hier kehrt der Dienstleister regelmäßig einen Betrag zwischen 80 % und 95 % der übernommenen Forderung vor deren Fälligkeit an den Gläubiger aus. Ferner berechnet er eine vom Gesamtumsatz des Gläubigers abhängige Gebühr. Zudem erhält er beim echten Factoring eine Delkredereprovision von 0,2 % bis zu 1,2 % der jeweiligen Forderung1. Dies alles kann in mehr oder minder differenzierten Regelungen vertraglich vereinbart werden. 4. Gewährleistung Regelungen zu Gewährleistungsfragen finden sich in Inkassoverträgen 18 jenseits des Factoring selten. Beim unechten wie beim echten Factoring sind diese Regelungen jedoch sinnvoll bzw. mit Blick auf die gesetzlichen Regelungen unerlässlich. Entsprechend der Gestaltung des jeweiligen Finanzierungsmodells stellen vertragliche Regelungen auf Grundlage der gesetzlichen Regelungen klar, dass der Gläubiger beim echten Factoring das Risiko der Einbringlichkeit der Forderung (Delkredererisiko) nicht trägt, während dieses Risiko im Fall des unechten Factoring bei ihm verbleibt. Im letztgenannten Fall sehen die vertraglichen Regelungen konkrete Regelungen zur Rückerstattung der zugeführten liquiden Mittel für den Fall vor, dass die Forderung nicht zu realisieren ist. In dem einen wie dem anderen Fall stellen die vertraglichen Kautelen zudem klar, dass der Gläubiger und Forderungsverkäufer für den Bestand der abgetretenen Forderungen ggf. im Sinne einer Garantie einzustehen hat (Veritätsrisiko)2. In dem einen wie dem anderen Fall wird dem Gläubiger und Forderungsverkäufer jedoch sinnvollerweise die Möglichkeit eingeräumt, durch das Nachschieben „neuer Forderungen“ einen Nachbesserungsversuch zu unternehmen. 5. Haftung Inkassoverträge enthalten regelmäßig die allgemein üblichen haftungs- 19 begrenzenden Regelungen. Hier sind die AGB-rechtlichen Vorgaben zu beachten, wenn sich die Haftungsklausel im Einzelfall als vorformulierte Vertragsbedingung im Sinne des § 305 BGB darstellt3. Aber auch jenseits der rechtlich gebotenen AGB-festen Gestaltung hat sich im Markt herausgebildet, dass der Dienstleister regelmäßig für Vorsatz und grob fahr1 Vgl. Graf von Westphalen/Thüsing, Factoring, Rz. 1 m.w.N. 2 Vgl. Feick in Beck’sches Formularbuch, Factoring-Vertrag, § 11 Haftung, Anm. 18, 19. 3 Vgl. statt vieler Grüneberg in Palandt, BGB, § 307 Rz. 35 ff.; 42 ff. m.w.N. Pohle
811
§ 49
Inkassovertrge
lässige Pflichtverletzungen unbegrenzt haftet. Auch im Bereich der fahrlässigen Pflichtverletzung wird bei der Klauselgestaltung nicht selten auf die AGB-rechtlichen Grenzen hinsichtlich der grundsätzlich unbegrenzten Haftung für die Verletzung von verkehrswesentlichen Pflichten zurückgegriffen. Ob und inwieweit hieran anknüpfende Haftungsbegrenzungen der Höhe nach jenseits der individualvertraglichen Vereinbarung in AGB wirksam zu gestalten sind, ist mit Blick auf das Angemessenheitserfordernis der Rechtsprechung naturgemäß mit nicht unerheblichen Rechtsunsicherheiten verbunden1. Zudem wird inkassospezifisch regelmäßig ein Haftungsausschluss zu Gunsten der Dienstleister hinsichtlich der Verjährung der beizutreibenden Forderungen vereinbart. Dies ist AGB-rechtlich nicht zu beanstanden, zumal es sich nach dem Inhalt des Inkassovertrages und seiner Leistungspflichten bei der Überwachung von Verjährungsfristen in aller Regel nicht um eine vertragliche Leistungspflicht des Dienstleisters handelt. 6. Beginn der Inkassotätigkeit, Laufzeit und Vertragsabwicklung 20
Sinnvoll ist die Vereinbarung von Regelungen zum Beginn der Inkassotätigkeit. Hintergrund ist, dass die Etablierung der entsprechenden Prozesse nebst Übernahme des Datenbestandes vom Auftraggeber oder von einem dritten Dienstleister entsprechende Tätigkeiten und Prozesse beim Inkassodienstleister erforderlich machen. Kommt es dem Kunden besonders auf die Einhaltung eines Termins an, sollte eine Vertragsstrafe in Ergänzung der gesetzlichen Rechte vereinbart werden.
21
Inkassoverträge enthalten in der Regel Laufzeitregelungen. Hier sind kurzfristige ordentliche Kündigungsmöglichkeiten ebenso verbreitet, wie vertragliche Mindestlaufzeiten von bis zu 36 Monaten. Auftraggeber sind eher an kurzen Laufzeiten interessiert, um unter anderem das Qualitätsversprechen des Inkassodienstleisters überwachen zu können. Andererseits sind Inkassodienstleister grundsätzlich an angemessen langen vertraglichen Mindestlaufzeiten unter Ausschluss des Rechts der ordentlichen Kündigung interessiert, diese zudem verbunden mit einem Exklusivitätsversprechen des Auftraggebers dahingehend, sämtliche Inkassotätigkeiten während der Vertragslaufzeit über den Dienstleister abzuwickeln. Der kommerzielle Hintergrund dieser regelmäßig mangels Marktrelevanz kartellrechtlich unbedenklichen Klauselgestaltung liegt auf der Hand und beeinflusst andere kommerzielle Parameter wie die Vergütungsvereinbarung.
22
Schließlich sind Regelungen zur Abwicklung des Vertrags im Beendigungsfall vorzusehen. Dies betrifft insbesondere die Rückgabe von inkassowesentlichen Daten wie Daten zum aktuellen Stand des jeweiligen Inkassoverfahrens. Hinzu kommen neben Herausgabeverpflichtungen hinsichtlich überlassener Urkunden, Unterlagen, Nachweise und sons1 Vgl. zuletzt BGH v. 18.7.2012 – VIII ZR 337/11, NJW 2013, 291 (295) m.w.N.
812
Pohle
§ 49
V. Datenschutzrechtliche Aspekte des Inkasso
tiger verkörperter Informationen Regelungen zur Unterstützung der technischen Migration auf einen dritten Dienstleister, der die Inkassotätigkeit übernehmen soll.
V. Datenschutzrechtliche Aspekte des Inkasso Im Zuge des Forderungseinzugs werden naturgemäß personenbezogene 23 Daten an den Inkassodienstleister übermittelt. Dies gilt ohne Weiteres für den Forderungseinzug gegenüber Privatkunden, jedoch regelmäßig auch gegenüber Geschäftskunden. Denn auch hier werden personenbezogene Daten wie Namen, Telefonnummer und/oder E-Mail-Adressen der Ansprechpartner beim Schuldner vor Ort übermittelt, um das Inkasso zu ermöglichen. Es stellt sich so die Frage, ob und unter welchen Voraussetzungen die Weitergabe personenbezogener Daten vom Gläubiger an das Inkassounternehmen sowie die Weiterverarbeitung dieser Daten dort rechtlich zulässig sind. Ausgangspunkt ist § 4 Abs. 1 BDSG, wonach die Erhebung, Verarbeitung und Nutzung personenbezogener Daten nur zulässig ist, soweit das BDSG oder eine andere Rechtsvorschrift dies erlaubt oder der Betroffene einwilligt. 1. Auftragsverarbeitung, Funktionsübertragung Eine Datenverarbeitung durch Übermittlung gem. §§ 4 Abs. 1, 3 Abs. 4 24 Nr. 3 BDSG von personenbezogenen Daten vom Gläubiger an den Inkassodienstleister liegt gem. § 3 Abs. 8 BDSG nicht vor, wenn der Inkassodienstleister als Auftragsdatenverarbeiter des Gläubigers im Sinne des § 11 BDSG tätig wird. Entscheidendes Kriterium ist, ob der Auftragnehmer weisungsgebunden, d.h. ohne einen eigenen Wertungs- und Entscheidungsspielraum hinsichtlich der Datenverarbeitung, für den Auftraggeber tätig wird. Hieran fehlt es, wenn der Auftragnehmer den Auftrag eigenverantwortlich durchführen soll oder die Daten ihm für eigene Geschäftszwecke überlassen werden1. Entsprechend ist die Übertragung des Inkasso- und Forderungsmanagements auf Dritte, insbesondere in Gestalt des Factoring, regelmäßig als Funktionsübertragung zu begreifen mit der Folge, dass eine Auftragsdatenverarbeitung im Sinne der privilegierenden Regelungen des § 3 Abs. 8 BDSG nicht vorliegt2. Entscheidend ist jedoch die Einzelfallbetrachtung. Hiervon ausgehend wird im Fall der Gestaltung des Inkassovorgangs als 25 Factoring eine Auftragsdatenverarbeitung allein deshalb schwer zu begründen sein, weil der Inkassodienstleister die Forderung im eigenen Na1 Vgl. Gabel in Taeger/Gabel, BDSG, § 11 Rz. 12 m.w.N.; Petri in Simitis, BDSG, § 11 Rz. 20 ff.; kritisch Spoerr in Wolff/Brink, Datenschutzrecht, § 11 Rz. 45, 48 f. 2 Vgl. Petri in Simitis, BDSG, § 11 Rz. 28, 34; vgl. auch Gabel in Taeger/Gabel, BDSG, § 11 Rz. 19. Pohle
813
§ 49
Inkassovertrge
men geltend macht. Er handelt mithin rechtlich formal eigenverantwortlich und im Fall des echten Factoring auch auf eigenes wirtschaftliches Risiko. Anders kann es in den Fällen liegen, in denen der Gläubiger Forderungsinhaber bleibt bzw. die Forderungsabtretung nur treuhänderisch im Rahmen des Inkassovorgangs erfolgt. Handelt der Inkassodienstleister im Rahmen des Forderungseinzugs ausschließlich weisungsgebunden und ohne jedes eigene Ermessen, kann ein Fall der Auftragsdatenverarbeitung anzunehmen sein, und die Vorgaben des § 11 Abs. 2 BDSG sind zu beachten. Problematisch bleibt, dass der Inkassodienstleister den Inkassovorgang in diesen Fällen (auch) im eigenen geschäftlichen Interesse der Erzielung seiner Vergütung wahrnimmt. Hier handelt er jedoch nicht anders als jeder andere (Outsourcing-)Dienstleister; sein geschäftliches Eigeninteresse bezieht sich allein auf sein Vertragserfüllungsinteresse, was der Annahme einer Auftragsdatenverarbeitung nicht entgegensteht1. Dennoch wird die Begründung einer Auftragsdatenverarbeitung in der Praxis die Ausnahme sein. Bei üblicher Vertragsgestaltung lassen sich die Inkassodienstleister das Recht einräumen, den Inkassovorgang insgesamt nach pflichtgemäßem Ermessen vorzunehmen. Die Durchführung des Inkassovorganges selbst mit seinen einzelnen Verfahrensschritten und -alternativen ist in aller Regel vertraglich und tatsächlich nicht derart ausgestaltet, als dass man den Inkassodienstleister als strikt weisungsgebunden hinsichtlich der Inkassotätigkeit und der damit verbundenen Datenverarbeitung betrachten könnte. Dies gilt insbesondere dann, wenn der Inkassodienstleister nach pflichtgemäßem Ermessen Stundungs-, Erlass- bzw. Vergleichsvereinbarungen anregen oder treffen kann. Hier liegt eine Funktionsübertragung vor2. 2. Legitimation der Datenverarbeitung bei Funktionsübertragung 26
Liegt eine Funktionsübertragung vor, ist zu fragen, wie die Übermittlung von personenbezogenen Daten vom Gläubiger an den Inkassodienstleister und die dort erfolgende Weiterverarbeitung der Daten gem. § 4 Abs. 1 BDSG datenschutzrechtlich zu rechtfertigen ist. Sofern es die Übermittlung der Daten vom Gläubiger an den Dienstleister betrifft, ist die Datenübermittlung nach § 28 Abs. 1 BDSG zulässig. a) Keine Rechtfertigung nach § 28 Abs. 1 Satz 1 Nr. 1 BDSG
27
§ 28 Abs. 1 Satz 1 Nr. 1 BDSG ist jedoch nicht einschlägig. Beim Inkasso von Geschäftskundenforderungen werden regelmäßig personenbezogene Daten von betroffenen Dritten, wie Mitarbeitern etc. übermittelt werden, was mangels Identität mit dem Vertragspartner nicht aus § 28 Abs. 1 Satz 1 Nr. 1 BDSG gerechtfertigt werden kann3. Aber auch im Segment des Inkasso gegenüber Privatkunden erscheint zweifelhaft, ob die Aus1 Vgl. Spoerr in Wolff/Brink, Datenschutzrecht, § 11 Rz. 45, 48 f. 2 Vgl. statt vieler Gabel in Taeger/Gabel, BDSG, § 11 Rz. 12 m.w.N. 3 Vgl. Simitis in Simitis, BDSG, § 28 Rz. 63 ff.
814
Pohle
§ 49
V. Datenschutzrechtliche Aspekte des Inkasso
lagerung des Forderungseinzugs unter die Zweckbestimmung des Vertragsverhältnisses zwischen Gläubiger und Schuldner subsumiert werden kann1, dies deshalb, weil die jeweilige Auslagerungsmaßnahme zur Durchführung des Vertragsverhältnisses für den Gläubiger nützlich oder wünschenswert, jedoch nicht im Sinne des Gesetzes erforderlich ist. b) Erlaubnis gemäß § 28 Abs. 1 Nr. 2 BDSG? Es bleibt die Rechtfertigung über § 28 Abs. 1 Nr. 2 BDSG. Das Tatbe- 28 standsmerkmal des berechtigten Interesses ist weit auszulegen, so dass jedes von der Rechtsordnung nicht missbilligte wirtschaftliche, rechtliche oder ideelle Interesse ausreicht2. Als solches ist das Interesse des Gläubigers an einer schnellen, effizienten und liquiditätsfördernden Forderungsabwicklung anzuerkennen. Es bleibt die Frage, ob im Einzelfall das Merkmal der Erforderlichkeit gegeben ist, was sich, anders als im Kontext des § 28 Abs. 1 Satz 1 BDSG durchaus mit der kosteneffizienten Prozessabwicklung und Liquiditätsförderung durch professionelles Drittinkasso rechtfertigen lässt. Entscheidend ist, ob schutzwürdige Interessen der Betroffenen der Übermittlung an den Dienstleister entgegenstehen. Zu beachten ist, dass für sensitive Daten im Sinne des § 3 Abs. 9 BDSG gem. § 28 Abs. 6 bis Abs. 9 BDSG besondere Regelungen gelten, die einer Übermittlung sämtlicher Art von Daten an Inkassodienstleister ohne Einwilligung des Betroffenen entgegenstehen können3. Aber auch im Übrigen kann nicht aus dem Umstand, dass es sich bei der Auslagerung von Inkassomaßnahmen auf Dritte um einen alltäglichen Vorgang im modernen Geschäftsverkehr handelt, ohne Weiteres der Schluss gezogen werden, dass schutzwürdige Interessen der Betroffenen dem nicht entgegenstünden. Es bedarf mithin einer am Einzelfall ausgerichteten summarischen Prüfung durch den Gläubiger als verantwortlicher Stelle. Hier wird und kann im Einzelfall auch über die Gewährleistung des Kataloges des § 11 Abs. 2 BDSG den schutzwürdigen Interessen der Betroffenen durch entsprechende vertragliche Vereinbarungen Genüge getan werden, so dass die Wertung im Rahmen des § 28 Abs. 1 Satz 1 Nr. 2 BDSG derart ausfällt, dass schutzwürdige Interessen der Betroffenen einer Datenübermittlung vom Gläubiger an das Inkassounternehmen nicht entgegenstehen4. Auch die Weiterverarbeitung der vom Gläubiger übermittelten personenbezogenen Daten durch den Dienstleister bedarf der datenschutzrechtlichen Rechtfertigung. Auch hier ist § 28 Abs. 1 Satz 1 Nr. 2 BDSG einschlägig. Der Inkassodienstleister verarbeitet im Fall des Factoring die 1 Vgl. Grützmacher, ITRB 2007, 183 (186). 2 Vgl. Taeger in Taeger/Gabel, § 28 Rz. 55; Simitis in Simitis, BDSG, § 28 Rz. 103 ff. 3 Vgl. Simitis in Simitis, BDSG, § 28 Rz. 132. 4 Zum Inkasso von Arzthonoraren: Wolff in Wolff/Brink, Datenschutzrecht, § 28 Rz. 40 m.w.N. S. auch Roth/Neuschild, § 44 Rz. 75 und 78 f. Pohle
815
§ 49
Inkassovertrge
ihm vom Gläubiger übermittelten Daten sicherlich für eigene Geschäftszwecke, jedoch auch im Übrigen zur Erfüllung des Inkassovertrages. Entsprechend den Parametern zum berechtigten Interesse und zur Erforderlichkeit des § 28 Abs. 1 Satz 1 Nr. 2 BDSG liegen diese Voraussetzungen in Person des Inkassodienstleisters als verantwortlicher Stelle vor. Ggf. unterstützt durch eine den Vorgaben des § 11 Abs. 2 BDSG entsprechenden Vereinbarungen zwischen Gläubiger und Dienstleister sollten im Regelfall auch die schutzwürdigen Interessen der betroffenen Schuldner oder deren Mitarbeiter im Ergebnis nicht überwiegen. 3. §§ 28a, 29 BDSG 29
Zu beachten sind bei Inkassodienstleistungen zudem §§ 28a, 29 BDSG wenn der Inkassodienstleister zugleich als Auskunftei tätig ist, wenngleich in der Praxis entsprechende Dienstleister meist nur konzernverbunden über eine Auskunftei verfügen, mithin formell betrachtet eine Übermittlung an eine Auskunftei nicht ohne Weiteres anzunehmen ist1.
VI. Branchentypische Besonderheiten 30
Wie bereits im Zusammenhang mit Daten gem. § 3 Abs. 9 BDSG angesprochen, sind bei der Übermittlung von Daten und Informationen von Gläubigern an Inkassodienstleister branchenspezifische Besonderheiten zu beachten. 1. Telekommunikation
31
Inkassovorgänge in der Telekommunikation sind von jeher tatsächlich und rechtlich komplexer Natur2. Hinzuweisen ist neben den Besonderheiten der Vertragsgestaltung zur Einziehung fremder Forderungen im eigenen Namen des Inkassodienstleisters jenseits von Vollmachtserteilung oder Einziehungsermächtigung3, auf die Regelung des § 97 Abs. 1 Satz 3 TKG. Diese gestattet nach der Rechtsprechung im Grundsatz die Übermittlung von Verkehrsdaten im Sinne des § 96 TKG nicht nur im Rahmen von Inkassovorgängen auf Grundlage von Vollmachtserteilung oder Einziehungsermächtigung, sondern auch im Fall des Factoring. Dies unter der Voraussetzung, dass die Datenübermittlung als solche erforderlich ist und darüber hinaus der Inkassodienstleister nach Weisung und der Kontrolle des Gläubigers handelt. Letzteres wiederum ist durch eine ver-
1 Vgl. zum Problemkreis Wolff in Wolff/Brink, Datenschutzrecht, § 28 Rz. 13. 2 Vgl. den Überblick bei Dittscheidt/Rudloff in Beck’scher TKG-Kommentar, § 45h Rz. 7 ff.; Schmitz/Eckhardt, CR 2007, 560 ff. 3 Vgl. BGH v. 16.11.2006 – III ZR 58/06, CR 2007, 85 ff.; OLG Koblenz v. 5.7.2004 – 2 U 42/05, CR 2007, 572 ff.
816
Pohle
§ 49
VI. Branchentypische Besonderheiten
tragliche Regelung darstellbar, die inhaltlich den Vorgaben des § 11 Abs. BDSG entsprechen sollte1. 2. § 203 StGB Jenseits des Anwendungsbereiches der § 28 Abs. 6 bis Abs. 9 BDSG beste- 32 hen erhebliche Hürden zur Auslagerung des Forderungsmanagements und -einzugs durch § 203 StGB. Betroffen sind jenseits des eng begrenzten Anwendungsbereichs gesetzlicher Privilegierungstatbestände2 namentlich Angehörige von Heilberufen, Rechtsanwälte, Steuerberater, Wirtschaftsprüfer sowie die private Versicherungswirtschaft in den Segmenten Kranken-, Unfall- und Lebensversicherung. Durch § 203 StGB ist die Auslagerung des Inkasso in den genannten Bereichen ohne Einwilligung der jeweils Betroffenen nach wie vor weitgehend rechtsunsicher. a) In der Literatur diskutierte Lösungsansätze Die Lösungsansätze der Literatur sind mannigfaltig, an einer höchst- 33 richterlichen Klärung oder gesetzgeberischen Klarstellung fehlt es. Technisch-organisatorische Lösungen wie Anonymisierung, Pseudonymisierung oder Verschlüsselung von Daten scheiden für Inkassodienste mangels Praktikabilität ebenso aus wie der rechtlich-organisatorische Lösungsansatz der Begründung von Doppelarbeitsverhältnissen im Standardgeschäft Inkasso3. Ein jenseits der einmütig als nicht praxistauglich erkannten Einwilligung der Betroffenen diskutierter rechtlicher Lösungsansatz konzentriert sich auf die Subsumption von Outsourcingdienstleistern bzw. ihren Mitarbeitern wie u.a. Inkassounternehmen unter den Gehilfenbegriff des § 203 Abs. 3 Satz 2 StGB. Um insoweit eine Gehilfeneigenschaft zu bejahen, wird neben einem unmittelbaren Zusammenhang zwischen der Tätigkeit des Geheimnisträgers einerseits und des Dienstleisters bzw. seiner Mitarbeiter andererseits eine organisatorische Einbindung des Dienstleisters bzw. seiner Mitarbeiter in den Betrieb des Geheimnisträgers dergestalt gefordert, dass diese den Weisungen und der Kontrolle des Geheimnisträgers unterliegen. Diesem Erfordernis kann durch die Begründung einer vertraglichen Vereinbarung orientiert an § 11 Abs. 2 BDSG genüge getan werden4. Ähnlich setzt eine andere Literaturmeinung an, die tatbestandliches Offenbaren i.S.d. § 203 StGB dann ausschließen will, wenn der (konzern-)interne Outsourcingdienstleister funktional eine Einheit mit dem Geheimnisträger bildet. Auch hier ist 1 Vgl. zum Ganzen EuGH v. 22.11.2012 – C-119/12, CR 2013, 25; BGH v. 7.2.2013 – III ZR 200/11, CR 2013, 160 ff.; vgl. auch BGH v. 16.2.2012 – III ZR 200/11, CR 2012, 255; Neumann, CR 2012, 235 ff.; Vander, K&R 2012, 577 ff. 2 Vgl. § 64 Abs. 2 StBerG, § 49b Abs. 4 BRAO. 3 Vgl. zu den verschiedenen Lösungsansätzen: Hartung, VersR 2012, 400 (405 ff.). 4 Vgl. Hartung, VersR 2012, 400 (408 ff.); Lensdorf/Mayer-Wegelin/Mantz, CR 2009, 62 (64 f.); Hoenike/Hülsdunk, MMR 2004, 788 (791); vgl. auch Conrad/ Fechtner, IT-Outsourcing durch Anwaltskanzleien, CR 2013, 137 (144 f.). Pohle
817
§ 49
Inkassovertrge
ein durchgängiges Weisungsrecht das entscheidende Kriterium für die Annahme der funktionalen Eingliederung. Dieses Weisungsrecht wiederum ist durch vertragliche Regelungen entsprechend § 11 Abs. 2 BDSG sicherzustellen1. b) Übertragung der Grundsätze der EuGH-Entscheidung zur Übermittlung von Verkehrsdaten 34
Diese Literaturmeinungen zur Gehilfenlösung bzw. funktionellen Eingliederung haben mittelbar durch die Entscheidung des EuGH zur Übermittlung von Verkehrsdaten im Telekommunikationsinkasso Stützung erfahren. Der EuGH hat im grundrechtlich und strafrechtlich geschützten Bereich des Fernmeldegeheimnisses klargestellt, dass eine Datenübermittlung durch eine ausreichende Weisung und Kontrolle des externen Dienstleisters über vertragliche Regelungen legitimiert werden kann und hat sich zur Begründung auf die europarechtlichen Grundlagen der Auftragsdatenverarbeitung bezogen. Damit ist der Schluss gerechtfertigt, dass eine hinreichende Weisung und Kontrolle auch im Geltungsbereich des grund- und strafrechtlich geschützten Bereichs privater und geschäftlicher Geheimnisse durch eine vertragliche Vereinbarung sichergestellt werden kann. Dann aber besteht kein erheblicher materieller Unterschied zwischen externen Outsourcing- bzw. Inkassodienstleistern einerseits und dem klassischen Gehilfen im Sinne des § 203 Abs. 3 Satz 2 StGB andererseits, der formell vertraglich in die Arbeitsorganisation des Geheimnisträgers eingebunden ist. Dies hat zur Folge, dass eine Qualifikation externer Dienstleister als Gehilfen i.S.d. § 203 Abs. 3 Satz 2 StGB ebenso gerechtfertigt ist, wie die Negierung des Tatbestandmerkmals des Offenbarens im Sinne des § 203 StGB bei entsprechend begründeter funktionaler Eingliederung des externen Dienstleisters in den Organisationsapparat des Geheimnisträgers. Letztlich wird aber auch unter Berücksichtigung der Entscheidung des EuGH Rechtssicherheit letztlich nur durch eine Klarstellung des Gesetzgebers zu erreichen sein, zumal mit einer kurz- bzw. mittelfristigen Klärung dieser Rechtsfrage durch die Rechtsprechung nicht zu rechnen ist. Hinzu kommt, dass darüber hinaus spezielle berufsrechtliche Regelungen wie § 64 Abs. 2 StBerG oder § 49b Abs. 4 BRAO einer Auslagerung des Forderungsmanagements ohne entsprechende klarstellende Änderung selbst dann im Wege stehen würden, wenn durch eine gesetzgeberische Aktivität die Rechtslage zu § 203 StGB gelöst wäre. Es bedarf mithin eines umfassenderen, ganzheitlichen Tätigwerden des Gesetzgebers.
1 Vgl. Bräutigam, CR 2011, 411 (414 ff.).
818
Pohle
§ 50 Vertragliche Regelungen und rechtliche Anforderungen bei Callcenter-Diensten
I. Callcenter in der Praxis . . . . . . . .
Rz.
Rz.
1
4. Kundenschützende Regelungen aus dem BDSG . . . . . . . . . . . . . . . . 39
II. Vertragstypologie und Leistungsbestandteile . . . . . . . . . . . . . . . . . . 3 1. Vertragstypologische Einordnung 3 2. Leistungsmerkmale . . . . . . . . . . . 6 3. Vergütungsmodelle . . . . . . . . . . . . 10 III. Erhebung, Verarbeitung und Nutzung von Anruferdaten im Callcenter . . . . . . . . . . . . . . . . . 1. Verantwortliche Stelle . . . . . . . . . a) Der Callcenter-Betreiber als Auftragsdatenverarbeiter . . . . . b) Der Callcenter-Betreiber als datenschutzrechtlich eigene verantwortliche Stelle . . . . . . . c) Offenlegung der Rufannahme durch Externe und Anrufereinwilligung . . . . . . . . . . . . . . . 2. Auftraggeber-Weisungen . . . . . . . 3. Technische und organisatorische Sicherheitsmaßnahmen . . . . . . . . IV. Weitere anruferschützende Regelungen im Zusammenhang mit Callcenter-Leistungen . . . . . . . . . 1. Verbot des sog. Cold-Calling . . . . 2. Verbot der Rufnummernunterdrückung . . . . . . . . . . . . . . . . . . . . 3. Verbot des heimlichen Abhörens und Mitschneidens von Telefonaten. . . . . . . . . . . . . . . . . . . . . . . .
11 11 13 17 21 25 28
33 33 37 38
V. Beschäftigtendatenschutz im Callcenter (Daten von Callcenter-Agenten) . . . . . . . . . . . . . . . 1. Zulässigkeit der Erhebung, Verarbeitung und Nutzung von Beschäftigtendaten . . . . . . . . . a) Erlaubnis bzw. Anordnung nach Bundesdatenschutzgesetz . . . . . . . . . . . . . . . . . . . . . b) Erlaubnis nach einer anderen Rechtsvorschrift . . . . . . . . . . . . c) Erlaubnis durch Einwilligung . 2. Informations- und Unterrichtungspflichten des Arbeitgebers . . 3. Rechte des Arbeitnehmers . . . . . . 4. Mitbestimmungsrechte des Betriebsrats . . . . . . . . . . . . . . . . . . 5. Ausgewählte Kontrollmaßnahmen . . . . . . . . . . . . . . . . . . . . . a) Offenes Monitoring (offenes Mithören). . . . . . . . . . . . . . . . . . b) Silent Monitoring (verdecktes Mithören). . . . . . . . . . . . . . . . . . c) Voice Recording . . . . . . . . . . . . d) Mystery Calls . . . . . . . . . . . . . . e) Auswertung von Rahmendaten . . . . . . . . . . . . . . . . . . . . .
40 42 42 45 46 48 49 50 55 56 57 59 64 65
VI. Fazit . . . . . . . . . . . . . . . . . . . . . . . . 66
I. Callcenter in der Praxis Der Trend, telefongebundene Dienste in vielfältigster Form anzubieten, 1 ist branchenübergreifend und betrifft zunehmend auch Berufsgeheimnisträger1. Auch Arztpraxen, Krankenhäuser und Rechtsanwaltskanzleien setzen externen Telefon-Service ein – um nur wenige Beispiele zu nennen. Callcenter-Leistungen werden in größeren Konzernen teilweise auf eine Konzerngesellschaft zentral ausgelagert. Bisweilen sind etwa bei 24/7-Support-Services von Software-Herstellern mehrere Gesellschaften eines internationalen Konzerns an den Hotline-Leistungen für Kunden beteiligt (abhängig etwa von der Uhrzeit des Anrufs bei der Hotline und/ 1 Zum IT-Outsourcing in Anwaltskanzleien vgl. Conrad/Fechtner, CR 2013, 137 ff. Antoine/Fechtner/Hausen
819
§ 50
Callcenter-Dienste
oder den Sprach-/Fachkenntnissen), die für die Bearbeitung der Kundenanfragen erforderlich sind. Es gibt Callcenter-Dienstleister, die sich auf Telefondienste in den Bereichen Marktforschung, Adressgewinnung, Kundenrückgewinnung, Beratung, Kundendienst und Verkauf spezialisiert haben. Im Leistungsportfolio sind häufig auch Terminvereinbarungen, Bestellabwicklungen sowie Beschwerdemanagement enthalten. CallcenterLeistungen umfassen informations- und kommunikationstechnische Unterstützung, die auf einen verbesserten Kundenkontakt bei gleichzeitiger Optimierung der Wirtschaftlichkeit abzielen1. Unterschieden werden Callcenter, die aktiv (potentielle) Kunden anrufen (Outbound-Telefonie), von Callcentern, die Anrufe entgegennehmen (Inbound-Telefonie)2. Weit verbreitet sind auch Mischformen von Inbound- und Outbound-Callcentern, bei denen man sich nicht nur auf die reaktive Bearbeitung von Kundenanfragen konzentriert, sondern auch aktiv Kontakt zu (potentiellen) Kunden aufnimmt. Daneben können Callcenter mit Hilfe der folgenden Kriterien klassifiziert werden: – Funktion bzw. Einsatzbereiche. – Technische Infrastruktur z.B. Zugriffsmöglichkeit/Schnittstellen zu IT-Systemen des Auftraggebers; evtl. auch Nutzung von webbasierten Kalendersystemen etc.; ermöglicht wird diese moderne Form von Callcentern durch Cloud Computing. – Organisatorische Rahmenbedingungen im Callcenter, etwa Einsatz von Freelancern, die Anrufe im Home-Office bzw. im Wege der Telearbeit bearbeiten. – Kommunikationskanäle (außer Telefongesprächen können z.B. Briefe, E-Mails bearbeitet werden). Werden auch andere Kommunikationsformen wie Briefpost, E-Mail und Telefax in das Aufgabenfeld integriert, spricht man von einem „Communication Center“3. – Größe: Kategorisierung in klein mit weniger als 50, mittel mit bis zu 150 und groß mit etwa 300 oder mehr Beschäftigten4. – Unselbständig, d.h. unternehmensintern (Inhouse Callcenter) oder extern: In der Praxis existieren auch hier Mischformen, bei denen Unternehmen ein eigenes Callcenter betreiben, ein gewisser Anteil aber zeit-, aufgaben- oder auslastungsabhängig an externe Dienstleister abgegeben wird (Outsourcing).
1 Böse/Flieger, Call Center – Mittelpunkt der Kundenkommunikation, S. 5; Wienecke/Koke, Call Center Praxis, S. 11. 2 Gola, Datenschutz im Call Center, S. 4. 3 Teilweise auch Contact Center, Customer Service Center oder Customer Access Center genannt. Der Fokus des vorliegenden Beitrags liegt auf den „Callcentern“, die sich auf telefongebundene Dienste konzentrieren. 4 Bittner/Schietinger/Weinkopf, S. 64. Taylor und Bain bestätigen diese Zahlen für Großbritannien: vgl. Taylor/Bain, S. 105.
820
Antoine/Fechtner/Hausen
§ 50
II. Vertragstypologie und Leistungsbestandteile
Nicht nur durch die regulierenden Eingriffe des Gesetzgebers im Hin- 2 blick auf Outbound-Marketingaktivitäten (sog. Kaltakquise, auch „Cold Calls“ genannt) steht die Callcenter-Branche vor rechtlichen Hürden. Rationalisierungspotentiale, die durch den Einsatz von Callcenter-Dienstleistungen realisiert werden können, stehen in einem Spannungsfeld zu rechtlichen Vorgaben. So wirft das Angebot von Callcenter-Dienstleistungen u.a. eine Vielzahl datenschutz-, berufs- und strafrechtlicher Fragen auf. Zu beachten ist etwa bei Callcenter-Leistungen für Berufsgeheimnisträger die Strafvorschrift des § 203 StGB1. Eine datenschutzrechtliche Erlaubnis stellt grundsätzliche keine strafrechtliche Rechtfertigung dar, so dass strafrechtliche Gesichtspunkte zu prüfen bleiben2. Versäumnisse durch Callcenter-Betreiber bei der Einhaltung rechtlicher Vorschriften können weitreichende Konsequenzen für den Auftraggeber und das Callcenter haben3. Zu allgemeinen datenschutz-, wettbewerbsund strafrechtlichen Aspekten im Callcenter s. im Folgenden4.
II. Vertragstypologie und Leistungsbestandteile 1. Vertragstypologische Einordnung Callcenter-Verträge sind gesetzlich nicht geregelt und werden in der IT- 3 rechtlichen Literatur selten als eigene vertragliche Kategorie behandelt5. Erwähnung finden Hotline-Leistungen als Bestandteil von z.B. Support-, Pflege- und Wartungsverträgen. Bei einem Vertrag zwischen Auftraggeber (etwa einer Bank oder einer Versicherung) und seinem Callcenter-Dienstleister handelt es sich um typengemischte Verträge, die grundsätzlich dem Recht des Vertragstyps zu unterstellen sind, in dessen Bereich der Schwerpunkt des Rechtsgeschäfts liegt6. Dabei kommt es auf die inhaltliche Ausgestaltung des Vertrages bzw. den tatsächlichen Inhalt der wechselseitigen Rechte und Pflichten an7. Dafür ist an die Leistungsbeschreibung des konkreten Vertrags anzuknüpfen.
1 Das hat zur Konsequenz, dass das Schutzniveau in besonders geregelten Bereichen nicht durch die Anwendung des BDSG absinkt, vgl. dazu auch Conrad/Witzel, § 14. 2 S. etwa unten Rz. 22. 3 Dies zeigte sich etwa 2010 bei einer großen deutschen Krankenkasse, die von einem ehemaligen Callcenter-Mitarbeiter mit gestohlenen Patientendaten erpresst worden war, vgl. http://www.aerztezeitung.de/praxis_wirtschaft/recht/article/ 588661/bkk-skandal-leichtfertigkeit-machte-datenklau-erst-moeglich.html. 4 Die nachfolgenden Ausführungen beziehen sich auf nicht-öffentliche Organisationen und schließen öffentliche Stellen sowie öffentlich-rechtliche Callcenter, die von Landeseinrichtungen betrieben werden, aus. 5 S. aber Vertragsmuster Hotline-Vertrag mit Erläuterungen von Roth-Neuschild in Redeker (Hrsg.), Handbuch der IT-Verträge, Kapitel 1.19, Rz. 4. 6 BGH v. 13.10.2006 – V ZR 289/05, NJW 2007, 213 (214), Rz. 7; BGH, BGHZ 180, 144 (150), Rz. 17. 7 BGH v. 24.6.1987 – IV a ZR 99/86, NJW 1987, 2808 = BGHZ 106, 341 (345). Antoine/Fechtner/Hausen
821
§ 50
Callcenter-Dienste
4
Für die vertragstypologische Einordnung hat dies zur Konsequenz, dass einzelne, unterschiedliche Leistungen auch unterschiedlichen Vertragstypen zuzuordnen sein können, dabei aber in einem zusammenhängenden Vertragswerk geregelt werden. Um die Vertragstypologie des Gesamtvertrages zu ermitteln, muss untersucht werden, in welchem Bereich der unterschiedlichen Einzelteile der Schwerpunkt der Leistungen liegt, was wiederum durch Auslegung zu ermitteln ist1. Jeder Teil des Vertrags ist nach dem Recht des auf ihn zutreffenden Vertragstyps zu beurteilen, soweit dies nicht im Widerspruch zum Gesamtvertrag steht2.
5
Werkvertragliche Komponenten beim Callcenter-Vertrag sind denkbar im Hinblick auf die Leistung „Entgegennahme von Anrufen“ (Erreichbarkeit und angemessene Besetzung des Callcenters zu festgelegten Zeiten), „Erhebung, Speicherung und Nutzung von Anruferangaben“ (z.B. Name, Telefonnummer, E-Mail-Adresse, Mandats- oder Kundenbezeichnung, Grund des Anrufs, Grund für einen Termin). Andere Leistungsbestandteile, wie „Vereinbarung von Terminen“, „Online-Kalenderabgleich und -eintrag“ sowie „Erteilung von Standardauskünften“ dürften dienstvertraglichen Charakter haben. Hinsichtlich der Bereitstellung von IT-Infrastruktur und Nutzungsfunktionen dürfte Miete einschlägig sein. 2. Leistungsmerkmale
6
Für den Callcenter-Vertrag existiert kein gesetzliches Leitbild. Schon deshalb sollten die zu erbringenden Leistungen in der Leistungsbeschreibung hinreichend präzise beschrieben werden.
7
Das Gesprächsmanagement-System in einem Callcenter besteht häufig aus folgenden Komponenten: – Frontend-System: Hierunter ist die im Callcenter befindliche Hardund Software zu verstehen, die das Computersystem umfasst, mit dem Termine koordiniert werden und Vermerke verfasst werden3. – Telefonanlage: Mit der Telefonanlage im Callcenter werden die äußeren Daten der Telekommunikationsvorgänge gespeichert, wie etwa Rufnummer des Gesprächspartners, Angaben zu Wartezeiten, Anzahl der Anrufe sowie Zeitpunkt und Dauer der einzelnen Telefonate. Die Datenerfassung mittels der Telefonanlage stellt grundsätzlich einen Umgang mit personenbezogenen Daten dar. – Sprach- und Emotionserkennung: Spracherkennung ermöglicht eine Datenerhebung in Bezug auf Gesprächsinhalte. Sobald Wörter und Sätze erkannt werden, wird ein Suchvorgang in den dafür vorgesehenen Informationsquellen durchgeführt. Dazu werden Methoden des „Text1 Grüneberg in Palandt, BGB, vor § 311 Rz. 26. 2 BGH v. 15.11.2006 – XII ZR 120/04, CR 2007, 75 ff. 3 Nicht eingeschlossen an dieser Stelle sind angeschlossene Datenbanken (CRMSysteme) und andere externe Quellen, die gesondert betrachtet werden müssen.
822
Antoine/Fechtner/Hausen
§ 50
II. Vertragstypologie und Leistungsbestandteile
Minings“ und des Zeichenkettenvergleichs („Keyword-Matching“) verwendet, um sodann mittels einer semantischen Analyse des Gesprächs den Gesprächsgegenstand zu erkennen und die passenden Informationen zu suchen. Abgesehen von der reinen Spracherkennung lässt sich mit einer weiteren Funktion auch die Emotionalität des Telefongesprächs messen, sog. Stress-Level-Indikator. Dieser berücksichtigt z.B. Stimmklang, Sprechgeschwindigkeit und Pausenverhalten. – Customer Relationship Management (CRM): Mit dem CRM-System werden Kundendaten systematisch gesammelt, um diese zu Marketingzwecken oder zur Marktforschung auszuwerten1. Den größten Bestandteil im System bildet die Kundendatenbank, die zusammen mit der Archivdatenbank das Data-Warehouse ausmacht, eine Art Lagerhaus für digitale Daten2. Durch Auswertung der Kundendaten lassen sich individuelle Kundenprofile erstellen und damit im Anschluss Rückschlüsse auf das Kundenverhalten, sogar Prognosen über zukünftige Verhaltensweisen treffen (Profilbildung)3. Gegenstand eines Callcenter-Vertrags sind häufig folgende Leistungen: – Entgegennahme von Anrufen (Erreichbarkeit und angemessene Besetzung des Call Centers zu festgelegten Zeiten), ggf. Erreichbarkeit außerhalb der üblichen Bürozeiten (evtl. 24/7), – Bereitstellung, ggf. Anpassung, z.B. einer webbasierten Terminverwaltungs-/Kalendersoftware, in die der Auftraggeber und das Callcenter gemeinsam Termine einbuchen, – ggf. Schnittstelle zum ERP- und/oder CRM-System des Auftraggebers, – Erhebung, Speicherung und Nutzung von Anruferangaben (z.B. Name, Telefonnummer, E-Mail-Adresse, Mandats- oder Kundenbezeichnung, Grund des Anrufs, Grund für einen Termin), – Vereinbarung von Terminen, Online-Kalenderabgleich und -eintrag, – Erteilung von Standardauskünften, etwa zu Geschäftsfeldern des Auftraggebers, – ggf. Mehrsprachigkeit der Callcenter-Agenten, – ggf. branchenspezifische oder sonstige Fachkenntnisse der CallcenterAgenten, evtl. auch Fachkenntnisse im Hinblick auf Produkte des Auftraggebers. Bereitstellung einer Sonderrufnummer, Rufumleitung und ggf. elektronische Ansage (Call Center), – Nachrichten an den Auftraggeber (z.B. per E-Mail),
1 von Lewinski, RDV 2003, 122 (123). 2 Möller, DuD 1998, 555 (556). 3 Weber, DuD 2003, 625 f. Antoine/Fechtner/Hausen
823
8
§ 50
Callcenter-Dienste
– ggf. Erteilung anruferspezifischer Auskünfte, Übermittlung von anruferspezifischen Unterlagen an den Anrufer bzw. an den Auftraggeber. 9
Abgesehen vom Callcenter-Betreiber kann ggf. auch ein SaaS-Dienstleister (z.B. als Subunternehmer des Callcenter-Betreibers) zum Einsatz kommen und Leistungen erbringen. 3. Vergütungsmodelle
10
Praxisrelevant sind unterschiedliche Vergütungsmodelle. Entweder zahlt der Auftraggeber einen pauschalen Betrag pro Monat dafür, dass das Callcenter zu festgelegten Zeiten (z.B. Mo-Fr 9–18 Uhr) erreichbar ist. Für Wochenend- und Feiertagserreichbarkeit oder Erreichbarkeit außerhalb der üblichen Bürozeiten werden regelmäßig deutliche Aufschläge verlangt, wobei – selbst bei Beschränkung des Einsatzes des Callcenters auf deutsche Endkunden – landesspezifische Unterschiede bei den Feiertagen zu berücksichtigen sind. Bei internationalen Callcentern kommen Unterschiede bei den Zeitzonen und entsprechend bei den Bürozeiten hinzu. Alternativ kann die Vergütung nach Aufwand berechnet werden. Bei „Hotline-Verträgen“ gibt es Geschäftsmodelle, bei denen der Anwender Hotline-Leistungen „on demand“ erhält1. Nicht selten lassen sich Auftraggeber die Leistungen des Callcenters durch die Endkunden mitfinanzieren, etwa indem das Callcenter nur über eine kostenpflichtige Mehrwertdienstnummer erreichbar ist, die gegenüber dem Endkunden über die Telefonrechnung abgerechnet wird2.
III. Erhebung, Verarbeitung und Nutzung von Anruferdaten im Callcenter 1. Verantwortliche Stelle 11
Je nachdem wie das Vertragsverhältnis zwischen dem Auftraggeber und dem Callcenter-Betreiber datenschutzrechtlich zu klassifizieren ist, ist für die datenschutzrechtliche Erlaubnis im Zusammenhang mit der Erhebung, Verarbeitung und Nutzung der Kundendaten auf den Auftraggeber oder den Callcenter-Betreiber abzustellen. Denkbar ist, dass die datenschutzrechtliche Verantwortlichkeit gespalten ist, je nachdem welche Leistung das Callcenter für den Auftraggeber als Kunden erbringt (Auftragsdatenverarbeitungs-Leistungen oder eigene Leistungen).
12
Keine gespaltene datenschutzrechtliche Verantwortlichkeit besteht für die Beschäftigtendaten der Callcenter-Agenten; hier ist ausschließlich der Callcenter-Betreiber als Arbeitgeber datenschutzrechtlich verantwortliche Stelle3. 1 Roth-Neuschild in Redeker, Handbuch der IT-Verträge, Kapitel 1.19, Rz. 4. 2 Roth-Neuschild in Redeker, Handbuch der IT-Verträge, Kapitel 1.19, Rz. 4. 3 Dazu im Einzelnen s. Rz. 40 ff.
824
Antoine/Fechtner/Hausen
III. Erhebung, Verarbeitung und Nutzung von Anruferdaten im Callcenter
§ 50
a) Der Callcenter-Betreiber als Auftragsdatenverarbeiter Erbringt ein Callcenter lediglich vom Auftraggeber im Einzelnen vor- 13 gegebene Serviceleistungen ohne eigenen Entscheidungsspielraum liegt eine Auftragsdatenverarbeitungssituation (§ 11 BDSG) vor1. Das Callcenter mittelt die Kommunikation der Kunden des Auftraggebers mit dem Auftraggeber als verantwortlicher Stelle. Als Beispiele sind zu nennen die telefonische Entgegennahme von Überweisungsaufträgen oder die Erteilung von Kontoauskünften2. Keine Auftragsdatenverarbeitung dürfte in der Regel vorliegen, wenn ein Callcenter im Auftrag des Kunden Kundenbefragungen durchführt und dabei Gestaltungsspielräume bei der Datenerhebung hat oder gleich die Befragung inklusive Auswertung eigenverantwortlich konzeptioniert und durchführt. In diesem Fall spricht man von Funktionsübertragung. Nicht Funktionsübertragung dürfte es sein, wenn der Auftraggeber zwar die (technische) Kundenunterstützung auslagert, dem Callcenter aber z.B. in Form von unbedingt zu beachtenden Gesprächsleitfäden strikte Vorgaben hinsichtlich der Auftragsdurchführung macht. Liegt eine Auftragsdatenverarbeitungssituation vor, so bedeutet das für 14 die Parteien nicht nur die Pflicht zum Abschluss eines schriftlichen Auftragsdatenverarbeitungsvertrages, der den Mindestinhalt nach § 11 Abs. 2 BDSG (10-Punkte-Katalog) aufweisen muss, sondern auch, dass sich die Zulässigkeit des Datenumgangs allein nach den für den Auftraggeber geltenden Vorschriften bemisst. Mit anderen Worten: Das Call-Center als „verlängerter Arm“ des Auftraggebers hat keine eigene Entscheidungsbefugnis hinsichtlich der im Auftrag erhobenen Daten und ist, soweit es sich an die Vorgaben und Weisungen des Auftraggebers hält, hinsichtlich der Kundendaten des Auftraggebers nicht eigene datenschutzrechtlich verantwortliche Stelle, vgl. § 11 Abs. 3 BDSG. Anderes gilt hinsichtlich der im Rahmen des Qualitätsmanagements erhobenen Daten über die Callcenter-Agenten3. Der Transfer der Kundendaten des Auftraggebers zum Callcenter und die 15 Nutzung durch das Callcenter im Rahmen der Auftragserfüllung stellt rechtssystematisch keine Übermittlung i.S.v. § 3 Abs. 4 BDSG dar und ist somit nicht (gesondert) erlaubnispflichtig4. Die Zulässigkeit der Datennutzung und -verarbeitung durch das Callcenter sowie die Zulässigkeit der Erhebung zusätzlicher personenbezogener Daten im Rahmen der Auftragsdatenverarbeitung bestimmt sich nach den für den Auftraggeber geltenden Datenschutzvorschriften. Ist z.B. ein Callcenter beauftragt, telefonisch Überweisungsanfragen von Kunden des Auftraggebers (etwa einer Bank) entgegenzunehmen, so ist die dafür erforderliche Datenerhebung und -verarbeitung von § 28 Abs. 1 Satz 1 Nr. 1 BDSG abgedeckt. 1 2 3 4
Grützmacher, ITRB 2007, 183 (185). Vgl. Petri in Simitis, BDSG, § 11 Rz. 29. S. dazu unten Rz. 40 ff. Achtung jedoch bei Daten, die § 203 StGB unterfallen, s. unten Rz. 21 ff. Antoine/Fechtner/Hausen
825
§ 50 16
Callcenter-Dienste
Sollen Kunden des Auftraggebers, die Verbraucher sind, telefonisch beworben werden, so ist dies dem Auftraggeber in der Regel nur bei Vorliegen einer (wegen § 7 Abs. 2 Nr. 2 UWG „ausdrücklichen“) Einwilligung des Kunden zulässig1. b) Der Callcenter-Betreiber als datenschutzrechtlich eigene verantwortliche Stelle
17
Wird das Callcenter nicht im Rahmen einer Auftragsdatenverarbeitung für den Auftraggeber tätig, sondern übernimmt einen funktionalen Bereich, der originär dem Auftraggeber zugeordnet ist, in eigener Verantwortung, so bedarf sowohl die Übermittlung der Stammdaten des Kunden des Auftraggebers an das Callcenter als auch die Hinzuspeicherung neuer Daten (z.B. über den Supportfall) zu den vom Auftraggeber erhaltenen Stammdaten einer datenschutzrechtlichen Erlaubnis2. Dies gilt z.B. im Fall des selbständigen technischen Supports für ein Produkt des Auftraggebers mit eigener Entscheidungskompetenz über die Reparatur oder den (kostenfreien) Ersatz von Produkten.
18
Hinsichtlich der Übermittlung von Kundendaten vom Auftraggeber an das Callcenter dürfte § 28 Abs. 1 Satz 1 Nr. 1 BDSG nur insoweit als Rechtsgrundlage heranzuziehen sein, als dem (End)-Kunden bekannt ist und es Vertragsinhalt des Vertrages mit dem Endkunden ist, dass z.B. der technische Support nicht durch den Auftraggeber selbst geleistet wird, sondern durch einen vom Auftraggeber beauftragten Dienstleister. Nach seinem Wortlaut findet § 28 Abs. 1 Satz 1 Nr. 1 BDSG fast ausschließlich auf Kundenverträge mit Verbrauchern (B2C) Anwendung3.
19
Die Erlaubnis zur Datenübermittlung auf § 28 Abs. 1 Satz 1 Nr. 2 BDSG zu stützen erscheint problematisch, da die anzustellende Interessenabwägung auch im Hinblick auf die bekannt gewordenen Datenskandale um den Missbrauch von Daten durch Callcenter-Mitarbeiter4 wohl eher zugunsten des Kunden ausfallen dürfte.
20
Die eigenverantwortliche (Hinzu-)Speicherung personenbezogener Daten über die Kunden des Auftraggebers im Rahmen der Erbringung eigenständiger Callcenter-Dienstleistungen kann unter Umständen auf § 28 Abs. 1 Satz 1 Nr. 1 BDSG gestützt werden, wenn der Kunde mit dem CallcenterBetreiber eine eigene vertragliche Beziehung eingeht5. Das dürfte jedoch in der Praxis in den meisten Fällen ausscheiden, weil in der Regel für den 1 S. dazu auch unten Rz. 33 ff. 2 Grützmacher, ITRB 2007, 183 (185). 3 § 28 Abs. 1 Satz 1 Nr. 1 BDSG setzt ein „Schuldverhältnis mit dem Betroffenen“ voraus. Datenschutzrechtlich „Betroffener“ i.S.v. § 3 Abs. 1 BDSG können aber nur natürliche Personen und damit mit Ausnahme von Einzelkaufleuten nur Verbraucher sein. 4 S. Rz. 2, dort Fn. 3. 5 Zur Einwilligung der Anrufer s. sogleich Rz. 21 ff.
826
Antoine/Fechtner/Hausen
III. Erhebung, Verarbeitung und Nutzung von Anruferdaten im Callcenter
§ 50
Anrufer nicht erkennbar ist, dass der Anrufer nicht dem Callcenter-Auftraggeber als ursprünglichem Vertragspartner verbunden ist, sondern einem externen Callcenter-Betreiber. Zumindest wird zu fordern sein, dass der Callcenter-Agent zu Beginn des Gesprächs deutlich macht, mit welchem Unternehmen der Kunde in Kontakt tritt und welchem Unternehmen der Kunde seine personenbezogenen Daten anvertraut. Je nachdem wie transparent die Rolle des Callcenters dem Kunden mitgeteilt wird, ist von § 28 Abs. 1 Satz 1 Nr. 1 BDSG auch die Rückübermittlung der neu erhobenen Kundendaten an den Auftraggeber gedeckt. c) Offenlegung der Rufannahme durch Externe und Anrufereinwilligung Bei Tätigwerden des Callcenters im Rahmen einer Auftragsdatenver- 21 arbeitung ist eine Offenlegung der Auftragstätigkeit gegenüber dem Anrufer durch den Callcenter-Agenten in aller Regel nicht erforderlich1. Der Auftragnehmer ist bei Einhaltung der Vorgaben des § 11 BDSG datenschutzrechtlich als Teil der verantwortlichen Stelle des Auftraggebers anzusehen. § 11 BDSG hilft aber nicht in Fällen, in denen mittels Callcenter Daten 22 erhoben und verarbeitet werden, die einem nach § 203 StGB geschützten Berufsgeheimnis unterfallen2. Der Einsatz von Callcenter-Dienstleistungen durch Berufsgeheimnisträger wie Ärzten oder Anwälten ist schwieriger rechtlich abzusichern, da Auftraggeber und Auftragnehmer zusätzliche Sicherungsmaßnahmen ergreifen müssen, die gewährleisten, dass keine dem Berufsgeheimnis unterfallenden Daten dem Callcenter-Agenten offenbart werden ohne die vorherige Einwilligung des betroffenen Patienten oder Mandanten (Schweigepflichtsentbindung). Dies betrifft sowohl die Weitergabe von § 203 StGB-Daten vom Auftraggeber an das Callcenter als auch die Erhebung von § 203 StGB-Daten durch den Callcenter-Agenten im Gespräch mit dem Betroffenen. Bei „Bestands“-Patienten ist denkbar, dass der Patient die Schweige- 23 pflichtsentbindung z.B. als Anlage zum Behandlungsvertrag unterzeichnet hat3. Eine solche Entbindung ist jedenfalls für neue Patienten naturgemäß nicht möglich, für die mangels vorherigen Kontakts noch keine Schweigepflichtsentbindung vorliegen kann. Am Beispiel eines Arztes, der zur Terminkoordinierung und -vergabe ein Callcenter einsetzen 1 S. oben Rz. 13 ff. 2 S. auch oben Rz. 1 ff.; zur Problematik bei § 203 StGB s. auch Conrad/Witzel, § 14. 3 Es ist nicht unüblich, dass Ärzte von ihren Patienten eine Entbindung von der Schweigepflicht einholen, damit die Abrechnung der ärztlichen Leistungen an ein Abrechnungsunternehmen outgesourct werden kann. Insoweit könnten die vorhandenen Formulare um den Service „Terminvergabe durch ein Callcenter“ erweitert werden, wobei der Text der Einwilligungserklärung sich unter Datenschutzaspekten ausdrücklich auf die im Rahmen einer Terminvergabe abgefragten Gesundheitsdaten (Beschwerden) beziehen müsste, vgl. § 4a Abs. 3 BDSG. Antoine/Fechtner/Hausen
827
§ 50
Callcenter-Dienste
möchte, sollen nachfolgend zwei denkbare Ansätze des Einholens einer Entbindung von der Schweigepflicht per Telefon erläutert werden. – Der Callcenter-Agent wird angewiesen, zu Beginn des Telefonats darauf hinzuweisen, dass der Anrufer nicht mit der Arztpraxis verbunden ist, sondern mit einem von der Arztpraxis beauftragten externen Callcenter. Anschließend wäre eine entsprechende Einwilligung des Anrufers in die Datenerhebung, -nutzung und -verarbeitung zu Terminkoordinierungs- und -vergabezwecken mittels Vorlesens des Einwilligungstextes und anschließender mündlicher Einwilligung des Anrufers einzuholen. Zu Nachweiszwecken sollte die Arztpraxis das Callcenter anweisen, die eingeholte Einwilligungserklärung aufzuzeichnen, wobei auch dies nur mit Einwilligung des Anrufers zulässig ist1. Dieses Vorgehen könnte aber auf Bedenken stoßen, sofern man annimmt, dass bereits die Tatsache, dass der Anrufer die Telefonnummer der Arztpraxis angewählt hat, ein dem § 203 StGB unterfallendes Privatgeheimnis darstellt. Ein Anvertrauen dieses Privatgeheimnisses gegenüber dem Berufsgeheimnisträger Arzt i.S.v. § 203 Abs. 1 StGB dürfte aber nur anzunehmen sein, sofern für den Anrufer nicht erkennbar ist, dass er nicht mit der Arztpraxis verbunden ist. Soll dieses Risiko ausgeschaltet werden, kommt eine Gestaltung wie nachfolgend skizziert in Frage. – Der Arzt schaltet unter der Telefonnummer der Praxis einen Ansagetext, der dem Anrufer mitteilt, dass die Terminvergabe durch einen externen Dienstleister des Arztes erfolgt. Wichtig ist, dass der Anrufer erst dann mit dem Dienstleister verbunden wird, wenn er sich nach entsprechender Information2 mit dieser Vorgehensweise einverstanden erklärt hat. Die Einwilligung könnte durch Druck einer zuvor festgelegten Taste auf der Telefontastatur eingeholt werden. Erst bei Erteilung der Einwilligung durch Tastendruck erfolgt die Weitervermittlung an das Callcenter. 24
Beide Vorgehensweisen stellen für Berufsgeheimnisträger einen nicht zu unterschätzenden Aufwand in der Realisierung dar, sind aber alternativlos, soweit der Gesetzgeber keine gesetzliche Ermächtigung zum Einsatz von Dienstleistern durch Berufsgeheimnisträger schafft. 2. Auftraggeber-Weisungen
25
Kennzeichnend für eine Auftragsdatenverarbeitung ist, dass dem Auftraggeber keine (wesentlichen) Entscheidungsbefugnisse hinsichtlich des ob und des wie der Datenverarbeitung zustehen, vgl. § 11 Abs. 3 Satz 1 BDSG. Dies bedeutet umgekehrt, dass der Auftraggeber dem CallcenterDienstleister entsprechend präzise Weisungen zum Datenumgang ertei1 S. dazu auch unten Rz. 38. 2 S. oben Rz. 22.
828
Antoine/Fechtner/Hausen
III. Erhebung, Verarbeitung und Nutzung von Anruferdaten im Callcenter
§ 50
len muss. Dem trägt auch § 11 BDSG Rechnung, indem im Auftragsdatenverarbeitungsvertrag zwingend Umfang, Art und Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten sowie Art der Daten und der Kreis der Betroffenen als „Mindestweisung“ festgelegt werden müssen, vgl. § 11 Abs. 2 Satz 2 Nr. 2 BDSG. Weiter verlangt § 11 Abs. 2 Satz 2 Nr. 9 BDSG eine Festlegung hinsichtlich des Umfangs der Weisungsbefugnisse, die sich der Auftraggeber gegenüber dem Auftragnehmer vorbehält. Hinsichtlich der Frage, welche Daten der Auftraggeber an das Callcenter 26 weitergibt, hat der Auftraggeber die Gebote der Datenvermeidung und Datensparsamkeit, § 3a BDSG, auch gegenüber dem Callcenter Dienstleister zu beachten. Ist es für die Auftragsdurchführung erforderlich, dass der Auftraggeber dem Callcenter über technische Schnittstellen direkten Zugriff auf Kunden- bzw. Anruferdaten gewährt1, so hat der Auftraggeber über entsprechendes Setzen der Zugriffsberechtigungen (abgestuftes, granulares Rollenkonzept) sicherzustellen, dass das Callcenter auf so wenig personenbezogene Daten wie möglich Zugriff erhält, vgl. § 3a BDSG. Weiter ist ggf. durch flankierende technische Sicherheitsmaßnahmen2 sicherzustellen, dass der Auftragnehmer die ihm überlassenen Daten nur zur Erfüllung des Auftrags nutzt und nicht zu eigenen Zwecken. Zur Erteilung von Weisungen gehört auch, dass der Auftraggeber sicher- 27 stellt, dass der Callcenter-Dienstleister keine über die Weisungen hinausgehenden Datenverarbeitungen vornimmt, etwa ohne vorherige Gestattung durch den Auftraggeber Emotions-/Sprachanalyse-Software3 einsetzt. Abgesehen davon, dass der Einsatz solcher Techniken generell, d.h. auch bei Einsatz durch den Auftraggeber selbst, kritisch zu beurteilen ist4, begründet der heimliche Einsatz durch den Dienstleister eine eigene datenschutzrechtliche Verantwortlichkeit und ggf. den Verlust der Privilegierung der Auftragsdatenverarbeitung5, vgl. § 11 Abs. 1 Satz 1 BDSG. 3. Technische und organisatorische Sicherheitsmaßnahmen § 11 Abs. 4 BDSG stellt klar, dass für den Auftraggeber § 5 BDSG auch 28 im Auftragsverhältnis gilt. D.h. das Callcenter ist verpflichtet, seine Beschäftigten, auch soweit diese zur Auftragserfüllung eingesetzt werden, auf das Datengeheimnis zu verpflichten und damit darüber aufzuklären, in welcher (weisungsgebundenen) Rolle sie für den Auftraggeber tätig
1 2 3 4
Etwa auf das CRM, s. oben Rz. 6 ff. S. dazu unten Rz. 28 ff. S. oben Rz. 6 f. Eine Gestattung dürfte sich wohl kaum aus § 28 Abs. 1 Satz 1 Nr. 1 BDSG ableiten lassen. 5 S. zur strafrechtlichen Komponente unten Rz. 38. Antoine/Fechtner/Hausen
829
§ 50
Callcenter-Dienste
werden. Dass dies wichtig ist, haben etliche Datenschutzvorfälle der vergangenen Jahre im Zusammenhang mit Callcentern gezeigt1, in denen es Beschäftigte des Callcenter-Betreibers waren, die unbefugt eine Datenkopie (auch Datenabzug genannt) der Auftraggeberdaten erstellt hatten. 29
Dieser Gefahr kann von technischer Seite am wirksamsten vorgebeugt werden, indem dem Auftragnehmer bereits nur die zur Auftragserfüllung erforderlichen Daten überlassen werden und sekundär der Auftragnehmer die Zugriffsrechte auf diese Daten strikt nach dem Need-to-knowPrinzip, besser nach dem Need-to-Access-Prinzip, beschränkt.
30
Bezogen auf das gebildete Beispiel der Terminkoordinierung und -vergabe2, könnte ein Zugriff auf Need-to-Access-Basis wie folgt aussehen: Der Callcenter-Agent sieht im Terminkalender, welche Termine noch frei sind und welche Termine bereits vergeben sind. Der Agent hat die notwendigen Zugriffsrechte, um einen neuen Termin (Aufnahme der Datenkategorien wie Name, Kontaktdaten, Grund des Arztbesuchs) im Kalender zu erfassen. Sobald die Erfassung abgeschlossen ist, hat der Agent grds. keinen Zugriff mehr auf die erfassten Patientendaten. Ihm wird nur noch angezeigt, dass der Termin vergeben ist. Dieser Zugriff wird in der Regel für die weitere Terminvergabe auch nicht erforderlich sein.
31
Wichtig ist auch, dass die vom Callcenter eingesetzte Software den Callcenter-Agenten keinen Export der Auftraggeberdaten erlaubt. Sofern der Auftraggeber regelmäßig einen Re-Import seiner Daten verlangt um diese ggf. weiterzuverarbeiten, sollte der u.U. auf Auftragnehmerseite erforderliche Export nur einer geringen Anzahl an Personen (nach Anmeldung und Authentifizierung gegenüber der Software) erlaubt und auch technisch möglich sein. Weiter sollte jeder Export von Daten protokolliert werden. Werden ungewöhnlich viele Daten auf einmal exportiert, sollte dies einen Alarm beim Vorgesetzten auslösen, so dass zeitnah überprüft werden kann, ob dem Export ein berechtigter oder unberechtigter Datenzugriff zugrunde lag.
32
Flankierende Maßnahmen, die es unredlichen Mitarbeitern erschweren, unberechtigt gezogene Datenkopien/-exporte außerhalb des Unternehmens zu verbringen, sind z.B. die Deaktivierung von USB-Ports an den Arbeitsplatzrechnern der Callcenter-Agenten sowie die Deaktivierung des Internetzugangs für solche Rechner, von denen auf die Auftraggeberdaten zugegriffen werden kann.
1 Statt vieler s. z.B. http://www.spiegel.de/netzwelt/netzpolitik/datenleck-bei-bkkgesundheit-groesste-deutsche-betriebskrankenkasse-wird-erpresst-a-677280.html. 2 S. Rz. 21 ff.
830
Antoine/Fechtner/Hausen
§ 50
IV. Weitere anruferschtzende Regelungen
IV. Weitere anruferschützende Regelungen im Zusammenhang mit Callcenter-Leistungen 1. Verbot des sog. Cold-Calling Mit dem Gesetz zur Bekämpfung unerlaubter Telefonwerbung und zur 33 Verbesserung des Verbraucherschutzes bei besonderen Vertriebsformen1 wurde im Herbst 2009 u.a. § 7 Abs. 2 Nr. 2 UWG so gefasst, dass Werbeanrufe gegenüber Verbrauchern (B2C-Bereich) nur noch mit deren vorheriger ausdrücklicher Einwilligung (Verbot des sog. Cold Calling) zulässig sind. Eine mutmaßliche Einwilligung ist seitdem nicht mehr ausreichend2. Ein Verstoß konnte mit einem Bußgeld von bis zu 50 000 Euro geahndet werden. Mit Inkrafttreten des Gesetzes gegen unseriöse Geschäftspraktiken am 9.10.20133 wurde der Bußgeldrahmen nunmehr auf 300 000 Euro angehoben4. Im B2B-Bereich konnte sich der Gesetzgeber nicht zu einem ausdrück- 34 lichen Opt-in in Werbeanrufe durchringen und erlaubt diese Direktmarketingmaßnahme am Arbeitsplatz bei Vorliegen einer mutmaßlichen Einwilligung, vgl. § 7 Abs. 2 Nr. 2 UWG. Eine mutmaßliche Einwilligung liegt vor, wenn es an einer ausdrücklichen oder konkludenten Einwilligungserklärung fehlt, die Wettbewerbshandlung aber dem objektiven Interesse oder dem wirklichen oder mutmaßlichen Willen des Adressaten entspricht5. Der BGH verlangt, dass der Anrufer auf Grund konkreter Umstände ein sachliches Interesse des Anzurufenden vermuten darf6. Für das Vorliegen der Voraussetzungen einer (mutmaßlichen) Einwilligung ist der Werbende beweisbelastet7. Callcenter-Betreibern bzw. dem Auftraggeber, der sich der Leistungen ei- 35 nes Callcenters im Wege einer Auftragsdatenverarbeitung bedient, ist anzuraten, das Vorliegen einer Einwilligungserklärung in Werbeanrufe bzw. Tatsachen, die auf ein mutmaßliches Interesse schließen lassen, hinreichend genau zu dokumentieren. Vor einem Werbeanruf sollte überprüft werden, ob erteilte Einwilligungen widerrufen worden sind oder der Anzurufende der Nutzung seiner Daten für Werbezwecke widersprochen hat, vgl. § 28 Abs. 4 BDSG8.
1 Gesetz v. 29.7.2009, BGBl. I, 2413. 2 Anders nach bisherigem Recht BGH, GRUR 2008, 923 Rz. 16 – Faxanfrage im Autohandel; OLG Frankfurt, GRUR 2005, 964 – telefonisches Versicherungsangebot. 3 Gesetz v. 1.10.2013, BGBl. I, 3714. 4 Vgl. § 20 Abs. 1 i.V.m. Abs. 2 UWG. 5 Ohly in Piper/Ohly/Sosnitza, UWG, § 7 Rz. 56. 6 BGH, GRUR 1991, 764 (765) – Telefonwerbung IV, bestätigt in BGH, GRUR 1995, 220 (221) – Telefonwerbung V. 7 BGH, GRUR 2000, 818 (819) – Telefonwerbung VI. 8 Köhler, NJW 2009, 2567 (2569). Antoine/Fechtner/Hausen
831
§ 50 36
Callcenter-Dienste
Inhaltlich muss aus der Einwilligung hervorgehen, welches Unternehmen für welche Produkte telefonisch werben darf1. Eine ausdrückliche Einwilligung liegt z.B. vor, wenn der Verbraucher durch Ankreuzen einer AGB-Klausel, die als Opt-in-Klausel ausgestaltet ist, Anrufen zu bestimmten Zwecken zugestimmt hat. Die Werbeeinwilligung muss dabei durch eine „eigenständige Zustimmungshandlung“ durch den Verbraucher erfolgen. Das Verknüpfen mit anderen Zwecken (z.B. Gewinnbenachrichtigung bei einem Gewinnspiel) ist unzulässig2. Ruft ein Verbraucher bei einem Unternehmen an und fragt aktiv Informationen an, so ist der Rückruf durch das Unternehmen bzw. das vom Unternehmen eingesetzte Callcenter zulässig, nicht aber Folgeanrufe. Dafür bedarf es einer ausdrücklichen Einwilligung3. Auch sog. Kontaktanrufe, d.h. Anrufe die dem Zweck dienen, eine Einwilligung in telefonische Werbung einzuholen, sind unzulässig und stellen ihrerseits eine nach § 7 Abs. 2 Nr. 2 UWG unzumutbare Belästigung dar. 2. Verbot der Rufnummernunterdrückung
37
Für alle Werbeanrufe einheitlich gilt seit Herbst 2009 das Verbot der Rufnummernunterdrückung, vgl. § 102 Abs. 2 TKG. Verstöße gegen das Verbot können mit einem Bußgeld von bis zu 100 000 Euro geahndet werden, vgl. § 149 Abs. 1 Nr. 17c i.V.m. Abs. 2 Satz 1 TKG. Das Verbot der Rufnummernunterdrückung wurde flankierend zum Verbot unerlaubter Werbeanrufe eingeführt, hilft aber gerade nicht gegen die schwarzen Schafe der Branche. Diese unterdrücken die Rufnummer weiter und erschweren es den Betroffenen, gegen unerlaubte Anrufe vorzugehen. Praktisch bedeutsam ist das Verbot der Rufnummernunterdrückung v.a. gegenüber solchen Unternehmen, die auf Basis einer vermeintlich wirksamen Werbeeinwilligung Werbeanrufe tätigen und die der Angerufene mittels der Rufnummer leichter zur Rechenschaft ziehen kann4. 3. Verbot des heimlichen Abhörens und Mitschneidens von Telefonaten
38
Bei Callcentern häufig anzutreffen ist die Aufzeichnung der geführten Gespräche zu „Qualitätssicherungszwecken“. So oder ähnlich wird der Wunsch zum Mitschnitt gegenüber dem Anrufer häufig begründet. Ebenfalls nicht unüblich ist das Mithören von Gesprächen durch den Vorgesetzten5. Beides erfordert die vorherige Einwilligung des Anrufenden, will sich der Callcenter-Betreiber nicht strafbar machen6. Eine Einwil1 2 3 4
Köhler in Hefermehl/Köhler/Bornkamm, UWG, § 7 Rz. 186. BGH v. 14.5.2011 – I ZR 38/10. Ohly in Piper/Ohly/Sosnitza, UWG, § 7 Rz. 50. Ein Beschwerdeformular kann bei der Bundesnetzagentur abgerufen werden oder online ausgefüllt werden: https://app.bundesnetzagentur.de/rnmportal/. 5 Zur arbeits- und betriebsverfassungsrechtlichen Zulässigkeit s. unten Rz. 40 ff. 6 § 201 Abs. 2 Nr. 1 StGB sanktioniert das unbefugte Abhören des nicht zu seiner Kenntnis bestimmten nichtöffentlich gesprochenen Wortes anderer Personen
832
Antoine/Fechtner/Hausen
§ 50
V. Beschftigtendatenschutz im Callcenter
ligung ist dabei nicht schon darin zu erblicken, dass der Anrufer zu Beginn des Gesprächs darauf hingewiesen wird, er könne der Aufzeichnung widersprechen (Opt-out). Diese Vorgehensweise erfüllt nicht die Anforderungen von § 4a BDSG an eine wirksame datenschutzrechtliche Einwilligung. Allein dieser Verstoß kann als Ordnungswidrigkeit i.S.d. § 43 Abs. 2 BDSG gem. Abs. 3 mit einer Geldbuße von bis zu 300 000 Euro geahndet werden kann. 4. Kundenschützende Regelungen aus dem BDSG Weitere Ansprüche von Kunden, die sich aus dem Bundesdatenschutz- 39 gesetz ergeben und die sie gegen das Callcenter als verantwortliche Stelle geltend machen können, können sein: – Recht auf Auskunft, § 34 BDSG – Recht auf Berichtigung, § 35 Abs. 1 Satz 1 BDSG – Recht auf Löschung, § 35 Abs. 2 BDSG – Recht auf Sperrung, § 35 Abs. 3 BDSG – Recht auf Widerspruch, § 35 Abs. 5 BDSG – Recht auf Schadensersatz, § 7 BDSG
V. Beschäftigtendatenschutz im Callcenter (Daten von Callcenter-Agenten) Abgesehen vom Umgang mit Kundendaten spielt auch der Umgang mit 40 Mitarbeiterdaten für die Betreiber von Callcentern eine zentrale Rolle1. Im Beschäftigungsverhältnis zwischen Callcenter und Mitarbeiter stehen die Persönlichkeitsrechte des einzelnen Arbeitnehmers und das Recht des Arbeitgebers auf Qualitätskontrolle und Überprüfung der Qualifizierung der Arbeitnehmer in einem besonderen Spannungsverhältnis: Im Arbeitsvertrag des Callcenter-Agenten stellt die vertragliche Hauptleistung des Agenten das Telefonieren, also seine Gesprächsleistung, dar2. Die Agenten erbringen daneben quasi kein gegenständliches „Arbeitsergebnis“, das vom Arbeitgeber überprüft werden kann. Die einzige Mögmithilfe eines Abhörgeräts, s. dazu auch Hoss, Callcenter aus der Perspektive des Datenschutzes, S. 181; Kargl in NK-StGB, § 201 Rz. 22 ff.; nach § 201 Abs. 1 Nr. 1 StGB ist mit Strafe bedroht das Aufnehmen des nichtöffentlich gesprochenen Worts einer anderen Person auf einem Tonträger. Im Übrigen sanktioniert § 201 Abs. 1 Satz 2 StGB das Gebrauchen oder Zugänglichmachen unbefugt hergestellter Gesprächsmitschnitte. Dieser Straftatbestand kann etwa einschlägig sein, wenn ein Callcenter-Betreiber seine Mitarbeiter mittels solcher unbefugt aufgezeichneter Telefonate evaluieren lässt. 1 Grundlegend zum Arbeitnehmerdatenschutz bei Callcentern s. Menzler-Trott/ Hahnel (Hrsg.), Call Center Evolution. S. dazu auch Moos, § 47. 2 Zum Leistungsinhalt oben Rz. 6 ff., s. auch Gola, Datenschutz und Multimedia am Arbeitsplatz. Antoine/Fechtner/Hausen
833
§ 50
Callcenter-Dienste
lichkeit des Callcenter-Betreibers die Qualifizierung der Beschäftigten und die Qualität seiner Dienstleistungen zu überwachen, ist somit deren Gesprächsleistung zu kontrollieren und zu analysieren1. Das Recht und Interesse des Arbeitgebers auf Qualitätssicherung rechtfertigt im speziellen Fall der Callcenter eine Überwachung der Gesprächsleistung der Beschäftigten. Diese muss sich allerdings im Rahmen der Verhältnismäßigkeit bewegen und darf das Persönlichkeitsrecht der Beschäftigten nur in angemessener Weise einschränken. Dabei ist die Erhebung, Verarbeitung und Nutzung der Beschäftigtendaten im Callcenter insbesondere an den sich aus dem Grundgesetz ergebenden Rechten, den Normen des BDSG und in kollektivrechtlicher Hinsicht am Betriebsverfassungsgesetz (BetrVG) zu messen. 41
Um grundsätzlich überhaupt Beschäftigtendaten erheben, verarbeiten und nutzen – also etwa zur Überwachung der Gesprächsleistung – zu dürfen, bedarf es auch im Beschäftigungsverhältnis eines Erlaubnistatbestands nach dem BDSG, einer anderen Rechtsvorschrift oder der Einwilligung des Betroffenen (§ 4 Abs. 1 BDSG). 1. Zulässigkeit der Erhebung, Verarbeitung und Nutzung von Beschäftigtendaten a) Erlaubnis bzw. Anordnung nach Bundesdatenschutzgesetz
42
Gemäß § 32 Abs. 1 Satz 1 BDSG ist die Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten im Beschäftigungsverhältnis nur dann gestattet, wenn dies zur Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung erforderlich ist bzw. der Aufdeckung einer Straftat nach begründetem Verdacht dient (§ 32 Abs. 1 Satz 2). Als Ausnahme zu § 27 Abs. 1 Satz 1 BDSG legt § 32 Abs. 2 BDSG fest, dass im Beschäftigungsverhältnis auch bei nicht-automatisierter Datenverarbeitung die Erforderlichkeitsgrenze des § 32 Abs. 1 Satz 1 BDSG gilt.
43
Insbesondere stehen sich hierbei das Interesse des Arbeitgebers, die Qualität der Arbeitsleistung und Qualifikation seiner Beschäftigten im Callcenter zu kontrollieren und zu optimieren, und das Interesse des Beschäftigten, durch seinen Arbeitgeber nicht umfassend überwacht zu werden (Persönlichkeitsrecht), gegenüber. Zwar hat der Arbeitgeber ein berechtigtes Interesse, das Verhalten und die Leistungen seiner Mitarbeiter zu kontrollieren. Wann genau aber die Erforderlichkeitsgrenze des § 32 Abs. 1 Satz 1 BDSG überschritten ist und damit eine Datenerhebung 1 Grobys, Die Überwachung vom Arbeitnehmern in Call Centern, S. 51 f.; Jordan/ Bissels/Löw, BB 2006, 2626 (2628); zu Telefonanlagen mit ACD-Funktion (Automatic-Call-Distribution, automatische Anrufverteilung) und damit zusammenhängenden Fragen der Auswertung des Anrufvolumens über längere Zeiträume s. auch Faust, DuD 2008, 812.
834
Antoine/Fechtner/Hausen
§ 50
V. Beschftigtendatenschutz im Callcenter
unzulässig ist, ist zumindest problematisch1. Maßgebend für die Rechtmäßigkeit der Datenerhebung, Verarbeitung und Nutzung ist, ob die daraus resultierenden Informationen im Rahmen der Zweckbestimmung aus objektiver Sicht vom Arbeitgeber benötigt werden. Gegenüber dem Erlaubnistatbestand des § 28 Abs. 1 BDSG hat § 32 44 BDSG als lex specialis Vorrang, solange der Datenumgang für Zwecke des Beschäftigungsverhältnisses erfolgt; ein Rückgriff auf § 28 Abs. 1 Satz 1 Nr. 2 BDSG neben § 32 BDSG ist daher ausgeschlossen2. Eine Datenerhebung ist damit nur dann zulässig, wenn sie erforderlich ist und den Grundsatz der Verhältnismäßigkeit wahrt (§ 32 Abs. 1 BDSG). b) Erlaubnis nach einer anderen Rechtsvorschrift Neben dem Erlaubnistatbestand des § 32 Abs. 1 BDSG kann sich die Zu- 45 lässigkeit der Datenerhebung, -verarbeitung und -nutzung auch aus anderen Rechtsvorschriften ergeben. Im arbeitsrechtlichen Verhältnis zwischen Arbeitgeber und Arbeitnehmer kommen dabei vor allem Betriebsund Dienstvereinbarungen bzw. Tarifverträge in Betracht, die andere Rechtsvorschriften i.S.d. § 4 Abs. 1 BDSG Anwendung sind3. Dabei gehen die Regelungen einer Dienst- bzw. Betriebsvereinbarung oder des Tarifvertrags den Vorschriften des BDSG vor4. Üblicherweise ist – soweit ein Betriebsrat vorhanden ist – eine Betriebsvereinbarung ein geeignetes Mittel, um „klare Verhältnisse“ innerhalb eines Betriebs zu schaffen und durch die Mitwirkung des Betriebsrats an dieser die Angemessenheit der Erhebung, Verarbeitung und Nutzung von Beschäftigtendaten zu gewährleisten. Aufgrund des besonderen Umfangs der Datenerhebung von Beschäftigtendaten im Callcenter ist auch hier eine Betriebsvereinbarung zu empfehlen. c) Erlaubnis durch Einwilligung Auch eine schriftliche Einwilligung des Callcenter-Agenten i.S.d. § 4a 46 BDSG kann gem. § 4 Abs. 1 BDSG die Erhebung, Nutzung und Verarbeitung personenbezogener Daten rechtfertigen5. Inwieweit aber eine Einwilligung des Arbeitnehmers im Arbeitsverhältnis wirksam ist, ist strittig6. Fraglich ist dabei vor allem, ob ein Arbeitnehmer im Arbeitsverhältnis oder bei dessen Begründung überhaupt „ohne Zwang“ und damit freiwillig eine Einwilligung erteilen kann, wie von § 4a Abs. 1 Satz 1 BDSG gefordert, da ihm angesichts der Schwierigkeit einen Job zu be1 Zu einzelnen Kontrollmaßnahmen und deren Bewertung s. unten Rz. 55 ff. 2 Statt vieler Seifert in Simitis, BDSG, § 32 Rz. 17 m.w.N.; a.A. etwa Thüsing, Arbeitnehmerdatenschutz und Compliance, Rz. 71 ff. 3 Sassenberg/Bamberg, DuD 2006, 226 ff. 4 Hoss, Callcenter aus der Perspektive des Datenschutzes, S. 120. 5 Zur Einwilligung des Kunden s. oben Rz. 16. 6 Zum Meinungsstand s. Hoss, Callcenter aus der Perspektive des Datenschutzes, S. 129 m.w.N. Antoine/Fechtner/Hausen
835
§ 50
Callcenter-Dienste
kommen oder zu behalten, häufig gar keine Wahl bleibt1. Dies ist grundsätzlich nur möglich, wenn der Arbeitnehmer bei Einwilligungsverweigerung keine negativen Konsequenzen zu befürchten hat, auch nicht wenn er diese später wieder zurücknimmt (sog. Koppelungsverbot2). Die Einwilligung kann im Arbeitsvertrag oder in einer gesonderten Zusatzvereinbarung ausformuliert sein. Soll sie im Arbeitsvertrag abgegeben werden, muss sie sich deutlich und für den Arbeitnehmer erkennbar vom sonstigen Text abheben3. Eine für den Arbeitnehmer aus dem Text heraus nicht erkennbare Einwilligungserklärung verstößt gegen das Transparenzgebot und ist damit unwirksam4. Der Arbeitnehmer muss der Einwilligungserklärung entnehmen können, auf welche Datenkategorien sich diese bezieht, welchem Zweck die Datenverarbeitung dient und wer Zugriff auf die erhobenen Daten hat. 47
Im besonderen Fall des Callcenters, in dem die Führung von Telefongesprächen die vertragliche Hauptleistung des Agenten darstellt und daher die Überwachung dieser erforderlich ist, ist bei Aufnahme des Beschäftigungsverhältnisses zu entscheiden, ob die Einwilligung in die zur Kontrolle erforderliche Datenerhebung, Nutzung und Verarbeitung erteilt wird oder der Arbeitsvertrag nicht abgeschlossen wird. Obwohl diese Zwangssituation ein erhebliches Machtungleichgewicht zwischen Arbeitnehmer und Arbeitgeber darstellt5, dürfte es zulässig sein, den Arbeitnehmer in die Entscheidungssituation zu bringen, da im Callcenter die Erhebung von Daten durch Kontrollmaßnahmen, die der Qualitätssicherung dienen, erforderlich ist. Der Arbeitnehmer muss aber erkennen können, wie weit seine Einwilligung dem Arbeitgeber zur Erfüllung seiner Leistungspflicht gegenüber den Kunden (Service) den betrieblich notwendigen Eingriff in sein Persönlichkeitsrecht gestattet. Daher darf die Einwilligung des Callcenter-Agenten nicht mehr gestatten, als betrieblich erforderlich (und verhältnismäßig) ist6. 2. Informations- und Unterrichtungspflichten des Arbeitgebers
48
Durch die Informations- und Unterrichtungspflichten des Arbeitgebers gegenüber dem Arbeitnehmer soll sichergestellt werden, dass das Recht des Arbeitnehmers auf informationelle Selbstbestimmung (Art. 2 Abs. 1 i.V.m. 1 Abs. 1 GG) unabhängig von der arbeitsrechtlichen Beziehung gewährleistet ist. Allgemeine Aufklärungspflichten bei der Erhebung personenbezogener Daten ergeben sich dabei aus § 4 Abs. 3 BDSG bzw. § 33 1 Wilke, Computer Fachwissen 6/2006, IKT-Einsatz in Unternehmen und Dienststellen, Monitoring – Abhören und Aufzeichnen im Call-Center, S. 7. 2 Dazu näher Simitis in Simitis, BDSG, § 4a Rz. 62 ff. 3 Wank in ErfK Arbeitsrecht, § 4a BDSG Rz. 2; Hoss, Callcenter aus der Perspektive des Datenschutzes, S. 128. 4 Wank in ErfK Arbeitsrecht, § 4a BDSG Rz. 2. 5 Gola, RDV 2005, 105 (107). 6 Gola, RDV 2005, 105 (107).
836
Antoine/Fechtner/Hausen
§ 50
V. Beschftigtendatenschutz im Callcenter
Abs. 1 BDSG. Bei unrechtmäßiger Kenntniserlangung gelten die Regelungen des § 42a BDSG. 3. Rechte des Arbeitnehmers Die Rechte des betroffenen Callcenter-Agenten, die sich aus dem Bundes- 49 datenschutzgesetz ergeben und die er gegen den Callcenter-Betreiber als verantwortliche Stelle geltend machen kann, entsprechen grundsätzlich denen eines vom personenbezogenen Datenumgang betroffenen Kunden1. 4. Mitbestimmungsrechte des Betriebsrats § 87 Abs. 1 Nr. 6 BetrVG räumt dem Betriebsrat ein Mitbestimmungs- 50 recht bei der Einführung und Anwendung von technischen Einrichtungen ein, die dazu bestimmt sind, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen. Technische Anlagen, mit denen Gespräche der Mitarbeiter abgehört, aufgezeichnet, überwacht oder Telefonrahmendaten ausgewertet werden, unterliegen bei ihrer Einführung dem Mitbestimmungsrecht des Betriebsrats2. Üblicherweise schließen Arbeitgeber und Betriebsrat dazu eine Betriebsvereinbarung. Eine Einwilligung des Callcenter-Agenten zur Erfassung der Gesprächsdaten lässt das Mitbestimmungsrecht nicht entfallen3. Die einzuholende Zustimmung des Betriebsrats ist Voraussetzung für die Rechtmäßigkeit der mit den technischen Einrichtungen durchgeführten Kontrollmaßnahmen. Wird keine technische Überwachungseinrichtung eingesetzt, etwa bei verdeckten Testanrufen (sog. Mystery Calls4), besteht kein Mitbestimmungsrecht des Betriebsrats nach § 87 Abs. 1 Nr. 6 BetrVG. § 87 Abs. 1 Nr. 1 BetrVG findet keine Anwendung, wenn die Überwa- 51 chungsmaßnahmen dazu dienen, festzustellen, ob die Callcenter-Agenten ihre Vertragsverpflichtungen einhalten, da dann lediglich das Arbeitsverhalten und nicht das Ordnungsverhalten kontrolliert wird5. Werden die erhobenen Daten – etwa Mitschnitte bzw. die Auswertung 52 mitgehörter Telefongespräche – für die Bewertung des Verhaltens oder der Leistungen der Arbeitnehmer nach verobjektivierten und einheitlichen Kriterien herangezogen, um diese Erkenntnisse miteinander vergleichen zu können, handelt es sich um sog. Beurteilungsgrundsätze i.S.d. § 94 Abs. 2 BetrVG6. In diesem Fall hat der Betriebsrat dann ein Mitbestimmungsrecht bei der Festlegung dieser Grundsätze. 1 2 3 4 5
Dazu oben Rz. 40 ff. Fitting, BetrVG, § 87 Rz. 244. Gola, RDV 2005, 105 (111). S. unten Rz. 64. Löwisch, DB 2009, 2782 (2786) m.w.N.; Richardi in Richardi, BetrVG, § 87 Rz. 175 f.; Gola, RDV 2005, 105 (111). 6 Ricken in Henssler/Willemsen/Kalb, Arbeitsrecht Kommentar, § 94 BetrVG Rz. 8. Antoine/Fechtner/Hausen
837
§ 50
Callcenter-Dienste
53
Gemäß § 80 Abs. 1 Nr. 1 BetrVG ist der Betriebsrat dazu verpflichtet, darüber zu wachen, dass zugunsten des Arbeitnehmers geltende Gesetze und sonstige Normen beachtet werden. Sowohl die sich für den Arbeitnehmer aus dem Grundgesetz ergebenden Rechte als auch das BDSG sind in diesem Zusammenhang zugunsten der Arbeitnehmer geltende und zu überwachende Gesetze i.S.d. § 80 Abs. 1 Nr. 1 BetrVG1. Daraus resultiert die Verpflichtung des Arbeitgebers, den Betriebsrat gem. § 80 Abs. 2 Satz 1 BetrVG über alle Formen der Verarbeitung personenbezogener Daten der Arbeitnehmer umfassend zu unterrichten2.
54
Gemäß § 75 Abs. 2 BetrVG ist der Betriebsrat zusammen mit dem Arbeitgeber verpflichtet, die freie Entfaltung der Persönlichkeit (Persönlichkeitsrecht) der einzelnen Arbeitnehmer zu schützen und zu fördern. Da jede Datenverarbeitung hinsichtlich Callcenter-Agenten deren Persönlichkeitsrechte tangiert, obliegt dem Betriebsrat zusammen mit dem Arbeitgeber die Verpflichtung, deren Schutz zu gewährleisten und unzulässige Eingriffe zu verhindern. 5. Ausgewählte Kontrollmaßnahmen
55
Die einzige Möglichkeit des Arbeitgebers, die Qualität seiner Dienstleistung zu kontrollieren, zu deren Erbringung er sich der Callcenter-Agenten bedient, besteht darin, deren Gesprächsleistung zu überwachen. Kontrollen sind daher zwar grundsätzlich zulässig, sie müssen sich jedoch im Rahmen der Verhältnismäßigkeit bewegen. Dies bedeutet, dass im Einzelfall das Interesse des Arbeitgebers gegenüber dem des Arbeitnehmers überwiegen muss und die Maßnahme nicht nur erforderlich, sondern auch das mildeste bzw. schonendste Mittel zur Zweckerreichung ist3. Unabhängig davon, ob die Kontrollen durch automatisierte oder nicht-automatisierte Vorgänge erfolgen, ist gem. § 32 Abs. 2 BDSG die Zulässigkeit an der Erforderlichkeitsgrenze des § 32 Abs. 1 Satz 1 BDSG zu messen4. 1 BAG v. 17.3.1987 – 1 ABR 59/85, DB 1987, 1491 (1492); Schrader in Henssler/ Willemsen/Kalb, Arbeitsrecht Kommentar, § 80 BetrVG Rz. 6, 10. 2 Löwisch, DB 2009, 2782 (2786). 3 BAG v. 30.8.1995 – 1 ABR 4/95, DB 1996, 333 (334). 4 Der Entwurf zum gescheiterten Beschäftigtendatenschutzgesetz (BT-Drucks. 17/4230) sah in § 32i Abs. 2 BDSG-E eine dedizierte Regelung für die Kontrolle der Arbeitsleistung von Callcenter-Agenten vor: „Ist die ausschließlich zu beruflichen oder dienstlichen Zwecken erbrachte telefonische Dienstleistung wesentlicher Inhalt der geschuldeten Arbeitsleistung, darf der Arbeitgeber Inhalte dieser Nutzung ohne Kenntnis des Beschäftigten im Einzelfall zu einer stichprobenartigen oder anlassbezogenen Leistungs- oder Verhaltenskontrolle erheben, verarbeiten und nutzen, wenn 1. der Beschäftigte in geeigneter Weise vorab darüber informiert worden ist, dass er in einem eingegrenzten Zeitraum mit einer Kontrolle zu rechnen hat, und 2. die Kommunikationspartner des Beschäftigten über die Möglichkeit der Erhebung, Verarbeitung und Nutzung informiert worden sind und darin eingewilligt haben. Der Arbeitgeber hat den Beschäftigten unverzüglich über die Erhebung, Verarbeitung und Nutzung der Inhaltsdaten nach
838
Antoine/Fechtner/Hausen
§ 50
V. Beschftigtendatenschutz im Callcenter
a) Offenes Monitoring (offenes Mithören) Beim offenen Monitoring weiß der Beschäftigte, dass seine Gespräche 56 vom Arbeitgeber mitgehört werden. Dies kann etwa durch Aufschalten des Arbeitgebers auf das Gespräch des Beschäftigten erfolgen, was diesem durch ein Audio-Signal mitgeteilt wird oder durch Beobachtung des Beschäftigten durch einen Supervisor (sog. Side-by-Side-Coaching)1. Das BAG2 hielt offenes Mithören im Callcenter für zulässig, da der Arbeitgeber ein berechtigtes Interesse an der Qualitätssicherung hat und auch daran, ob der Arbeitnehmer den Qualitätsanforderungen gerecht wird. Die Entscheidung betraf allerdings nur das offene Mithören bei neu eingestellten Beschäftigten in der Probezeit, die über diese Vorgehensweise informiert worden waren. Nach Ende der Probezeit ist aber nicht gewährleistet, dass der Arbeitnehmer sich von da an stets an die gestellten Anforderungen hält. Kontrollen, wie sich der Arbeitnehmer etwa in neuen Situationen verhält oder inwieweit er nach der Probezeit weiter den Qualitätsanforderungen oder Qualifikationen entspricht, sind insoweit erforderlich. Deshalb ist offenes Mithören auch nach der Probezeit möglich, soweit es verhältnismäßig ist. Dies ist der Fall, wenn die Kontrollen offen und nicht unbegrenzt und nur während festgelegten (kurzen) Zeiträumen stattfinden3. b) Silent Monitoring (verdecktes Mithören) Beim sog. „Silent Monitoring“ werden die mit dem anrufenden Kunden 57 geführten Gespräche des Arbeitnehmers verdeckt mitgehört – regelmäßig ohne dass der Beschäftigte dies bemerkt4. Das heimliche Mithören von Telefongesprächen stellt auch im Arbeitsverhältnis grundsätzlich einen Eingriff in das Persönlichkeitsrecht aus Art. 2 Abs. 1 i.V.m. 1 Abs. 1 GG des betroffenen Beschäftigten dar5, insbesondere in das Recht am gesprochenen Wort als Ausprägung dessen6. Das sog. Silent Monitoring stellt jedoch keine heimliche – wie im Fall des BAG7 –, sondern nur eine verdeckte Überwachung dar, da die Arbeitnehmer über die Möglichkeit des Abhörens im Vorhinein informiert werden8. Der Callcenter-Agent kann sich dadurch auf eine Überwachung einstellen; der Grundrechtseingriff ist daher weniger schwerwiegend als bei einer Überwachung ohne dessen
1 2 3 4 5 6 7 8
Satz 2 zu unterrichten.“ Für eine Bewertung der Regelung s. Byers, ZRP 2011, 175. In der Praxis ist das Audio-Signal verbreiteter, während Side-by-Side-Coaching hauptsächlich in der Anlernphase verwendet wird, da der Beschäftigte dabei in der Regel nicht authentisch ist. BAG v. 30.8.1995 – 1 ABR 4/95, DB 1996, 333. Hoss, Callcenter aus der Perspektive des Datenschutzes, S. 138. Jordan/Bissels/Löw, BB 2008, 2626 (2626). Vgl. etwa BAG v. 29.10.1997 – 5 AZR 508/96, NJW 1997, 1331 m.w.N. Dazu BVerfG v. 19.12.1991 – 1 BvR 382/85, NJW 1992, 815 (815). BAG v. 29.10.1997 – 5 AZR 508/96, NJW 1997, 1331. Jordan/Bissels/Löw, BB 2006, 2626 (2628). Antoine/Fechtner/Hausen
839
§ 50
Callcenter-Dienste
Kenntnis. Silent Monitoring ist erforderlich, da die zu überprüfenden Qualifikationen des Arbeitnehmers durch keine schonendere, aber gleich wirksame Maßnahme kontrolliert werden können1. Beim offenen Mithören ist nicht gewährleistet, dass der Callcenter-Agent sich nicht aufgrund der Überwachungssituation „verstellt“. 58
Um Silent Monitoring verhältnismäßig zu gestalten, sind bestimmte Anforderungen zu wahren. Umfassendes und dauerhaftes Mithören stellt aufgrund des ständigen Überwachungsdrucks für die betroffenen Callcenter-Agenten einen erheblichen Grundrechtseingriff dar und ist somit unzulässig2, die Überwachungsintensität muss also begrenzt werden. Die Arbeitnehmer müssen über die Möglichkeit, den Zweck und den Umfang einer verdeckten Überwachung aufgeklärt werden3. Das verdeckte Mithören ist außerdem zeitlich zu begrenzen und darf nicht dauerhaft durchgeführt werden. Die Überwachung ist auf Stichproben und bestimmte Überwachungszeiträume zu beschränken (die den Beschäftigten vorab mitzuteilen sind) und die Einhaltung angemessener Zeitabstände zwischen den Kontrollzeiträumen zu gewährleisten4. Daneben sollten die Callcenter-Agenten auch über mögliche Folgen eines verdeckten Mithörens aufgeklärt werden. Es kann etwa festgelegt werden, dass Maßnahmen nur nach vorheriger Erörterung mit dem betroffenen Beschäftigten zulässig sind5 oder das Silent Monitoring vor allem Schulungszwecken dient und bei geringen Verstößen keine arbeitsrechtlichen Sanktionen nach sich zieht. Solange die genannten Voraussetzungen eingehalten werden und keine unbegrenzte verdeckte Überwachung stattfindet, ist Silent Monitoring eine zulässige Kontrollmaßnahme, die keinen unverhältnismäßigen Eingriff in das Persönlichkeitsrecht des Arbeitnehmers darstellt. Eine Strafbarkeit wegen unbefugtem Abhören aus § 201 Abs. 1 Nr. 1 StGB kann durch eine gesetzliche Erlaubnis, allgemeine Rechtfertigungsgründe oder auch die Einwilligung des Betroffenen ausgeschlossen werden6. Nachdem etwa eine Qualitätsüberwachung das verdeckte Mithören erforderlich machen kann, kann ein allgemeiner Rechtfertigungsgrund vorliegen, der eine Strafbarkeit ausschließt. c) Voice Recording
59
Neben dem verdeckten oder offenen Mithören besteht die Möglichkeit, die (überwachten) Anrufe aufzuzeichnen (sog. Voice Recording). Wie auch das verdeckte Mithören stellt Voice Recording erst recht einen Ein1 Jordan/Bissels/Löw, BB 2006, 2626 (2627). 2 Etwa Jordan/Bissels/Löw, BB 2006, 2626 (2628). 3 Grobys, Die Überwachung von Arbeitnehmern in Call Centern, S. 79; Jordan/ Bissels/Löw, BB 2006, 2626 (2628 f.). 4 Grobys, Die Überwachung von Arbeitnehmern in Call Centern, S. 79. 5 Grobys, Die Überwachung von Arbeitnehmern in Call Centern, S. 79. 6 Hoss, Callcenter aus der Perspektive des Datenschutzes, S. 181; Kargl in NKStGB, § 201 Rz. 22 ff.; zur strafrechtlichen Problematik bei Berufsgeheimnisträgern, Rz. 21 ff.
840
Antoine/Fechtner/Hausen
§ 50
V. Beschftigtendatenschutz im Callcenter
griff in das Persönlichkeitsrecht bzw. das Recht am eigenen Wort des Callcenter-Agenten dar1. Ob das Aufzeichnen zu einem schwerwiegenderen Eingriff in das Persönlichkeitsrecht führt, ist streitig2. Das Aufzeichnen eines Telefonats ist ein geeignetes Mittel zur Qualitätssicherung, das den legitimen Interessen des Arbeitgebers entspricht, die Arbeitsqualität seiner Beschäftigten zu bewerten. Es ist allerdings die Möglichkeit gegeben, die aufgezeichneten Gespräche über längere Zeit hinweg immer wieder abzurufen und wiederholt abzuspielen. Zudem besteht die Gefahr, dass die Aufzeichnungen auch als Beweismittel gegen den Arbeitnehmer verwendet werden können. Sie können aber auch beispielsweise bei Streitigkeiten als Beweis für die vertragsgemäße Leistung verwendet werden. Auch ist es möglich, dass mehrere verschiedene Personen die Aufzeichnungen anhören und Bewertungen vornehmen. Daher stellt Voice Recording einen schwerwiegenderen Eingriff in das Persönlichkeitsrecht aus Art. 2 Abs. 1 i.V.m. 1 Abs. 1 GG dar. Es wird jedoch auch die nachvollziehbare Auffassung vertreten, dass die Aufzeichnung im Vergleich zum Mithören lediglich einen quantitativen, aber keinen qualitativen Unterschied macht und somit keinen weitergehenden Grundrechtseingriff darstellt3. Inwieweit eine Aufzeichnung der Telefongespräche aber erforderlich 60 i.S.d. § 32 Abs. 1 Satz 1 BDSG ist, insbesondere, da die zulässige Möglichkeit des offenen oder verdeckten Mithörens (soweit verhältnismäßig ausgestaltet) besteht, ist problematisch. Durch Mithören kann zwar die Arbeitsleistung und -qualität festgestellt werden, aber nur durch Aufzeichnungen können etwa dauerhaft spezielle Schulungen konzipiert werden oder Coaching-Maßnahmen für Mitarbeiter veranlasst werden, die sich auf deren individuelle Defizite und Stärken konzentrieren. Auch wenn man also davon ausgeht, dass die Aufzeichnung einen schwereren Grundrechtseingriff des Beschäftigten darstellt, ist das Voice Recording aufgrund seiner weitergehenden Nutzungsmöglichkeiten, die bloßes Mithören nicht bietet, erforderlich. Erfolgt die Aufnahme ohne Einwilligung des Arbeitnehmers bzw. ohne 61 Rechtfertigungsgrund, liegt ein Verstoß gegen § 201 Abs. 1 Nr. 1 StGB vor, der zu strafrechtlichen Konsequenzen führt. Die Einholung der Einwilligung des Callcenter-Agenten oder ein allgemeiner Rechtfertigungsgrund, ist bei der Aufzeichnung unerlässlich4. Zugleich muss diese Überwachungsmaßnahme dem Grundsatz der Ver- 62 hältnismäßigkeit entsprechen. Deshalb hat der Arbeitgeber durch wei1 Jordan/Bissels/Löw, BB 2006, 2626 (2629). 2 Dies bejahend Hoss, Callcenter aus der Perspektive des Datenschutzes, S. 141; dies verneinend Grobys, Die Überwachung von Arbeitnehmern in Call Centern, S. 102; Jordan/Bissels/Löw, BB 2006, 2626 (2629). 3 Jordan/Bissels/Löw, BB 2006, 2626 (2630). 4 Hoss, Callcenter aus der Perspektive des Datenschutzes, S. 182; ähnlich: Jordan/ Bissels/Löw, BB 2006, 2626 (2629 f.). Antoine/Fechtner/Hausen
841
§ 50
Callcenter-Dienste
tere Maßnahmen Sorge dafür zu tragen, dass die Aufzeichnungen sich als verhältnismäßig darstellen. Dies ist beispielsweise gewährleistet durch lediglich stichprobenartige Aufzeichnungen, begrenzte Speicherzeiten, Vorgaben an die Löschung und eine Begrenzung des Kreises der Zugriffsberechtigten1. Die Aufzeichnungen sollten nur der Qualitätskontrolle und nicht der Leistungs-/Verhaltenskontrolle dienen2. 63
Eine Ausnahme im Zusammenhang mit der Aufzeichnung liegt allerdings dann vor, wenn diese lediglich dazu dient, den Abschluss von Verträgen zu dokumentieren3. d) Mystery Calls
64
Eine alternative Kontrollmaßnahme besteht in verdeckten Testanrufen (sog. Mystery Calls) durch den Arbeitgeber oder einen von ihm beauftragten Dritten. Dadurch lassen sich Freundlichkeit, Professionalität und vor allem die Fachkenntnisse des Callcenter-Agenten überprüfen4. Da der Agent immer damit rechnen muss, dass sich sein Gesprächspartner (Kunde) an den Arbeitgeber wendet, um ggf. Beschwerden oder Fehlverhalten anzuzeigen5, wird sich auch aus Testanrufen wohl meist ein relativ fundiertes Bild der Servicequalität gewinnen lassen. Um allerdings zu vermeiden, dass sich bestimmte Eindrücke beim Arbeitgeber festigen, haben die betroffenen Arbeitnehmer einen Anspruch darauf, über durchgeführte Testanrufe nachträglich und zeitnah informiert zu werden und sogar ggf. dazu angehört zu werden6. Dadurch, dass durch den Testanrufer regelmäßig nur eine personenbezogene Bewertung abgegeben wird, besteht kein Eingriff in das Recht am gesprochenen Wort – der Adressat ist wie bei jedem Telefonat ausschließlich der Gesprächspartner7. Sich ein Bild vom Umgang mit Kunden und dem Fachwissen der einzelnen Agenten zu verschaffen, ist für den Arbeitgeber im Beschäftigungsverhältnis erforderlich und von seinem Recht auf Qualitätssicherung umfasst. Mystery Calls stellen deshalb einen verhältnismäßigen Eingriff in das Persönlichkeitsrecht des Arbeitnehmers dar und sind somit zulässig. Werden allerdings Mystery Calls aufgezeichnet, gelten die Grundsätze zum Voice Recording8.
1 Jordan/Bissels/Löw, BB 2006, 2626 (2630). 2 So im Ergebnis auch: Hoss, Callcenter aus der Perspektive des Datenschutzes, S. 131. 3 Dazu näher Hoss, Callcenter aus der Perspektive des Datenschutzes, S. 142. 4 So auch Hoss, Callcenter aus der Perspektive des Datenschutzes, S. 143; Grobys, Die Überwachung von Arbeitnehmern in Call Centern, S. 80 ff.; a.A. Jordan/Bissels/Löw, BB 2006, 2626 (2627). 5 Gola, RDV 2005, 105 (110). 6 Grobys, Die Überwachung von Arbeitnehmern in Call Centern, S. 82. 7 So auch Gola, RDV 2005, 105 (110); Hoss, Callcenter aus der Perspektive des Datenschutzes, S. 143. 8 S. Rz. 59.
842
Antoine/Fechtner/Hausen
§ 50
VI. Fazit
e) Auswertung von Rahmendaten Auch durch die Auswertung von sog. Rahmendaten also etwa Gesprächs- 65 dauer, Anzahl der angenommenen Gespräche, Nachbearbeitungszeiten oder Leerlaufzeiten lässt sich auf die Arbeitsqualität und Qualifikation der Beschäftigten schließen. Bei den Telefondaten handelt es sich gem. § 3 Abs. 1 BDSG um personenbezogene Daten, da beide Gesprächspartner identifizierbar sind1. Auch hier muss also der Datenumgang erforderlich gem. § 32 Abs. 1 Satz 1 BDSG und verhältnismäßig sein. Unzulässig sind dabei alle Maßnahmen, die eine lückenlose Telefondatenüberwachung zulassen und damit geeignet sind, ein komplettes Persönlichkeitsprofil des Beschäftigten zu erstellen. Dies stellt einen erheblichen Eingriff in die Persönlichkeitsrechte des Arbeitnehmers (die dem zusätzlichen Schutz des § 75 Abs. 2 BetrVG im Arbeitsverhältnis unterliegen) dar2. Sollen aus den Rahmendaten sog. Bedienplatzreports (Übersicht über durchschnittliche Dauer der Gespräche, Anzahl der beantworteten Anrufe etc.) erstellt werden, ist die Überwachungsbefugnis des Arbeitgebers zu bejahen, solange sie sich in angemessenem Maße bewegt – also keine Komplettüberwachung des Arbeitnehmers darstellt3. Eine weitere zulässige Nutzungsform wäre aufgrund ihrer Verhältnismäßigkeit etwa, dass die Telefondaten an nur zehn Tagen pro Monat mitarbeiterspezifisch ausgewertet werden4. Daneben ist denkbar, eine gruppenbezogene bzw. anonymisierte oder pseudonymisierte5 Auswertung vorzunehmen und somit weniger hohe datenschutzrechtliche Anforderungen erfüllen zu müssen. Auch die Auswertung von Rahmendaten ist somit zulässig, soweit sie zur Qualitätssicherung erforderlich und vor allem verhältnismäßig ist.
VI. Fazit Beim Einsatz von Callcentern zur Kommunikation gegenüber dem Kun- 66 den haben Unternehmen etliche datenschutzrechtliche Hürden zu meistern. Dies gilt besonders beim Outsourcing durch Berufsgeheimnisträger. Wichtig ist auch eine ausreichende Überwachung und Kontrolle des Dienstleisters, um Datenmissbrauch vorzubeugen. Aber auch auf Callcenter-Seite sind die Anforderungen an den inner- 67 betrieblichen Datenschutz zu beachten. Bezogen auf die Mitarbeiterkontrolle ist die Festlegung von Überwachungsintensität sowie Überwachungsinhalten und -zeiträumen schwierig zu treffen, damit nicht von 1 Etwa BAG v. 27.5.1986 – 1 ABR 48/84, DB 1986, 2080 (2081). 2 Gola/Wronka, Handbuch zum Arbeitnehmerdatenschutz, Rz. 664; Hoss, Callcenter aus der Perspektive des Datenschutzes, S. 145. 3 Vgl. BAG v. 30.8.1995 – 1 ABR 4/95, DB 1996, 333 (334 f.); Gola/Wronka, Handbuch zum Arbeitnehmerdatenschutz, Rz. 662 ff. 4 Grobys, Die Überwachung von Arbeitnehmern in Call Centern, S. 86. 5 Zu den Anforderungen an Anonymisierung und Pseudonymisierung s. etwa Dammann in Simitis, BDSG, § 3 Rz. 196 ff. Antoine/Fechtner/Hausen
843
§ 50
Callcenter-Dienste
einem unverhältnismäßig großen Überwachungsdruck für den einzelnen Arbeitnehmer ausgegangen werden kann. 68
Da die Anzahl der personenbezogenen Datenverarbeitungsprozesse sowohl auf der Kunden- als auch auf der Mitarbeiterseite stetig zunimmt, sollte der Schutz der Betroffenen vor unrechtmäßiger Erhebung und Verwendung der personenbezogenen Daten verstärkt im Fokus stehen. Callcenter-Betreiber sind gut beraten, schon vor dem Einsatz ihrer Datenverarbeitungsprozesse die datenschutzrechtliche Konformität zu verifizieren. Künftige gesetzliche Initiativen und Gerichtsentscheidungen können dabei bestehende Grauzonen und Spielräume verringern.
844
Antoine/Fechtner/Hausen
§ 51 Kundendaten und die Transition bei Outsourcing-Verträgen Rz. I. Einleitung . . . . . . . . . . . . . . . . . . .
1
II. Begriffsklärung Transition . . . . . . 8 1. Definition nach ITIL . . . . . . . . . . . 11 2. Verwendbarkeit der ITIL-Definition aus rechtlicher Sicht . . . . . . . 14 III. Kundendaten im klassischen RZ-Vertrag und in heutigen Auslagerungen . . . . . . . . . . . . . . . . 1. Klassische personenbezogene Daten . . . . . . . . . . . . . . . . . . . . . . . 2. Moderne Datenhaltung. . . . . . . . . 3. Schlussfolgerungen für das Outsourcing . . . . . . . . . . . . . . . . . . a) Unstrukturierte Daten . . . . . . . b) Zugang aufgrund Organisationsvorgaben, Bearbeitungsvorgaben und Berechtigungen . . . . c) Herausforderungen bei Daten in der Cloud. . . . . . . . . . . . . . . .
19 20 22 27 29 31 33
IV. Weisungsrechte des Kunden. . . . . 36 1. Weisungen zur nachträglichen Präzisierung des Vertragsgegenstands . . . . . . . . . . . . . . . . . . . . . . . 39 2. Einseitige Änderungsbefugnis bzgl. des Vertragsgegenstandes. . . 43
Rz. V. Rechte des Kunden an „seinen Daten“ . . . . . . . . . . . . . . . . . . . . . . 1. Reduzierte „Datenherrschaft“ . . . 2. Gesetzliche Abwehransprüche gegen in die Vertragserfüllung eingebundene Dritte? . . . . . . . . . . a) Urheberrechtliche Ansprüche . b) Ansprüche aufgrund Geheimnisschutzes . . . . . . . . . . . . . . . . c) Rechte aus der Auftragsdatenverarbeitung . . . . . . . . . . . d) Daten als Eigentum oder sonstiges Rechtsgut i.S.v. § 823 Abs. 1 BGB . . . . . . . . . . . . . . . . . VI. Herausgabeansprüche bei Vertragsbeendigung . . . . . . . . . . . . 1. Herausgabeansprüche nach § 667 BGB? . . . . . . . . . . . . . . . . . . . a) Praktische Grenzen der Herausgabeansprüche . . . . . . . . b) Vergütungsfragen . . . . . . . . . . . c) Umfang der Herausgabepflichten aus § 667 BGB . . . . . . . . . . . 2. Schlussbemerkung . . . . . . . . . . . .
47 48 52 53 54 56 57 61 63 66 67 69 78
I. Einleitung Drei Phasen in Outsourcing-Projekten sind besonders konfliktträchtig: 1 Die sog. Transition, die Vertragsbeendigung und sog. „Transformationen“. Nach der Erfahrung des Verfassers entstehen die meisten rechtlichen Streitigkeiten zwischen den Parteien während und aus Anlass der Transition. Die Anlässe und Auslöser hierfür sind vielfältig. Aber im Kern liegt dies an drei Gründen: Erstens erhält der Outsourcing-Anbieter in dieser Phase erstmals vollen 2 und unmittelbaren Zugang zu den Daten und Informationen, für deren Verarbeitung er die Verantwortung übernommen hat sowie zu den Kundensystemen, die er für diesen Zweck übernehmen oder doch zumindest (mit-)betreiben soll. Die dabei gewonnenen Erkenntnisse sind möglicherweise nicht mit den (zweck-)optimistischen Annahmen vereinbar, die er seinem Angebot zugrunde gelegt hat. Während der Transition realisiert sich dann das allen komplexen Verträgen inhärente Risiko des Vertragsdissenses. Hinzu kommt: Angesichts der Komplexität der heutigen Datenverarbeitung hat auch der Kunde in der Regel vor Beginn der TransitiHeymann
845
§ 51
Kundendaten und die Transition bei Outsourcing-Vertrgen
on keinen vollständigen und korrekten Überblick über alle Einzelheiten seiner Datenverarbeitung (auch wenn alle Beteiligten in der „Due Diligence“ davon ausgehen). 3
Zweitens liegt auch heute noch vielen Outsourcing-Verträgen das „klassische“ Modell der Übertragung von Rechenzentren zugrunde. Eine der Grundannahmen hierbei war, dass die Transition allenfalls prozedurale Bedeutung hatte, und dass den Interessen des Kunden am besten gedient ist, wenn er auf jeden Einfluss betreffend die vom Anbieter betriebene Systemlandschaft verzichtet und sich lediglich auf Schnittstellen und Datenformate konzentriert. Leider zeigt aber gerade das Beispiel der Kundendaten, dass diese Annahme in komplexen Client-Server-Umgebungen zu unnötigen Risiken führt. Denn der Kunde hat heute regelmäßig ein Interesse daran, in welcher Systemumgebung die Daten verarbeitet werden. Davon hängt ab, ob er sie selbst während der Vertragsdauer findet, ob er seinen gesetzlichen Anforderungen genügen kann, ob er also während der Dauer des Vertrages „Herr seiner Daten“ bleibt.
4
Vor diesem Hintergrund erweisen sich – drittens – häufig die für die Transition getroffenen vertraglichen Vereinbarungen als zu grobschlächtig. Outsourcing-Verträge (und ihre technischen Anlagen) sind heute weitgehend standardisiert. In großen Ausschreibungen gibt der Kunde den Anbietern regelmäßig sog. „Templates“ vor. Für die Transition haben aber die meisten Anbieter eigene Methodologien entwickelt. Aus diesem Grund verlassen sich die Kunden oft auf von den Technikern und Kaufleuten des Anbieters entworfene Transitionsvereinbarungen. Diese sind aber naturgemäß sehr generisch, da der Anbieter die zu übernehmende Systemlandschaft aufgrund seiner Due Diligence nur in ungenügender Detailtiefe kennt. Vereinbart wird dann, dass diese bei Vertragsschluss vereinbarten Transitionsabreden nur vorläufiger Natur sind, die während der Transition fortgeschrieben werden sollen.
5
Gerade die beiden letztgenannten Umstände führen zum Risiko des versteckten Dissenses. Dieses kristallisiert sich häufig an Fragen der Verantwortlichkeit und Bestimmungsmacht für Einzelheiten der Haltung und Verarbeitung von Daten heraus. Müssen die Daten vom Kunden in einer bestimmten Form zur Verfügung gestellt werden? Ist der Anbieter berechtigt, sensitive Kundendaten aus Ersparnisgründen in virtualisierten Umgebungen zu verarbeiten?
6
Die Parteien können dieses Risiko in der Regel durch die Anwendung des vereinbarten Änderungsverfahrens nicht vollständig beherrschen. Denn eine solche Anwendung setzt per definitionem zunächst die Einigung auf einen Zustand voraus, dessen Aufhebung und Ersetzung es bezweckt. Erforderlich ist daher insbesondere in dieser Phase die Kooperations- und Verhandlungsbereitschaft beider Parteien1. 1 Vgl. zum Baurecht anschaulich: BGH v. 28.10.1999 – VII ZR 393/98, NJW 2000, 807 (808), wonach es eine „Vertragsverletzung“ darstellen kann, wenn eine Par-
846
Heymann
§ 51
II. Begriffsklrung Transition
Jochen Schneider hat in seinem Handbuch1 einige Anregungen zu der 7 sich in diesem Zusammenhang stellenden Problematik der „Datenherrschaft“ gegeben, die im Folgenden vertieft werden sollen. Dabei geht es weniger um abschließende Lösungsvorschläge, als um eine Skizze dieses bislang nur ungenügend behandelten Problemkreises.
II. Begriffsklärung Transition Outsourcing-Vorhaben werden vertraglich in eine Transitionsphase, eine 8 Verarbeitungsphase und eine Beendigungsphase unterteilt. Hinzu kommt unter Umständen eine „Transformationsphase“. Im klassischen „Mainframe Outsourcing“ beschränkte sich die „Tran- 9 sition“ meist auf die Übergabe der Hardware an den neuen Verarbeiter. Mit dieser gingen dann ohne weiteren Akt die dort gespeicherte Software und die Bestandsdaten über. Regelungsgegenstand waren u.U. die rechtlichen Voraussetzungen dieses Übergangs (soweit erforderlich die Zustimmung Dritter Lizenzgeber), in geringem Maße auch technische und organisatorische „Cut Over“-Prozeduren, die das Risiko einer Betriebsunterbrechung des Rechenzentrums beim Kontrollwechsel minimieren sollten. Die Transition als eigenständiger prominenter vertraglicher Regelungs- 10 gestand wird erforderlich, wo in einer Übergangsphase die technischen und organisatorischen Voraussetzungen für diese Übergabe erst geschaffen werden müssen, und aufgrund komplexer Schnittstellen zwischen den Parteien klare technische und organisatorische Abgrenzungsregeln erfordern. Dies ist Voraussetzung damit dem Auslagernden „seine“ Daten nach der Auslagerung bruchlos (in der erforderlichen Verarbeitungsqualität) weiter zur Verfügung stehen, nachdem er sich der Hoheit über die IT-Infrastruktur begeben hat. Kern der Transition ist es, den Ist-Betrieb in den (mit dem Outsourcing-Projekt beabsichtigten) Soll-Betrieb zu überführen2. 1. Definition nach ITIL Die ITIL-Guidelines definieren den Begriff der „Transition“ wie folgt: „A 11 change in state, corresponding to a movement of an IT-Service or other Configuration Item from one Lifecyle status to the next“3. Oder spezifischer auf Outsourcing-Verträge gemünzt: „It describes the transfer of
tei ein ihr eigentlich zustehendes Recht zur fristlosen Kündigung ausübt, statt zunächst zu verhandeln, was wiederum die andere Partei zur fristlosen Kündigung berechtigt! 1 Schneider, Handbuch des EDV-Rechts, M, insbes. Rz. 12 ff. 2 So Küchler in Bräutigam, IT-Outsourcing, Rz. I-84. 3 ITIL, Service Transition, S. 248. Heymann
847
§ 51
Kundendaten und die Transition bei Outsourcing-Vertrgen
the service provision from the customer to the supplier“1. Unter „Transition“ wird somit die Phase zwischen der Vertragsunterzeichnung und der endgültigen Aufnahme der Leistungserbringung durch den Outsourcing-Anbieter (nachstehend auch „Provider“) verstanden. 12
Inhaltlich geht es in dieser Phase um Folgendes (Auszug aus einem typischen „Transition-Agreement“): – Abschluss von Local Service Agreements bei internationalen Transaktionen; – Transfer der diversen Services; – Transfer des betroffenen Personals; – Transfer von Verträgen mit Drittparteien (wie Leasingverträge, Lizenzverträge, Wartungsverträge); – Transfer von laufenden Projekten; – Ausarbeitung eines sog. Vorläufigen „Service Manuals“, das die Abläufe nach Auslagerung technisch beschreibt, einschließlich detaillierter technischer Schnittstellen (und bspw. Datenformate und Datenbankstrukturen); – Vereinbarung, Einrichtung und Tests bzgl. der Service Level Measurement Tools; – Setup des Service Management, der Governance sowie des Berichtswesens und der Abrechnungstools; – Bereitstellung des Request, Order- und Katalog-Managements; – sog. Inflight Projects (Due Diligence: Welche Projekte sind Vertragsbestandteil); – Einrichtung der Projektmanagement- und „Governance Organisation“; – Service-Bereitschaftstests.
13
Bezüglich der uns hier interessierenden Daten ist vor allem die Übertragung der Daten auf eventuelle neue Systeme von Bedeutung2, wobei heute allerdings ein vollständiger Wechsel des technischen Systems eher die Ausnahme ist, da der Anbieter regelmäßig zumindest Teile der Umgebung des Auslagernden übernimmt3. Im Vordergrund stehen daher eher die Einführung zusätzlicher Dokumentationen, Organisations- und Kommunikationsmodelle, Software, Tools und Interfaces, die insbesondere für das Messen der vereinbarten Service Levels, das Reporting und die Abrechnung erforderlich sind. 1 Hönike/van Elsen, S. 7–10 in Herald Jongen, International Outsourcing Law and Practice. 2 So Küchler in Bräutigam, IT-Outsourcing, Rz. I-91. 3 Ausnahmen hiervon gibt es im Bereich des sog. Business Process Outsourcing, des Offshoring und manchmal beim Second Generation Outsourcing.
848
Heymann
§ 51
II. Begriffsklrung Transition
2. Verwendbarkeit der ITIL-Definition aus rechtlicher Sicht Aus rechtlicher Sicht ist zunächst folgendes anzumerken:
14
Erstens sind die Kriterien für eine Reihe dieser „Meilensteine“ weniger 15 konkret als man auf den ersten Augenschein annehmen würde. Schon in der Terminologie zur Bezeichnung der vom Kunden erwarteten Freigabe-Handlungen wird dies deutlich. Mal ist die Rede von „Abnahme“, mal von „Genehmigung“. Zweitens blendet die zitierte ITIL-Definition die Verantwortlichkeit für 16 die Transition völlig aus, indem sie auf den Übergang eines Zustandes (state) auf einen anderen abhebt. Das liegt daran, dass das ITIL Vorgehensmodell zwar den Anspruch erhebt, Ausschreibungsgrundlagen bereitzustellen1, in der Beschreibung der eigentlichen Prozesse aber die Frage der rechtlichen Verantwortlichkeit zwischen Parteien nur en passant erwähnt2. Nun wird in Outsourcing-Verträgen regelmäßig auf dieses Vorgehen referenziert. Dieses in den Köpfen der Beteiligten IT-Techniker verankerte Modell hat aber für die Vertragsgestaltung dann eher negative Folgen: Häufig werden zwar Meilensteine, Kriterien für deren Erreichung relativ konkret vereinbart. Die Verantwortlichkeiten der Parteien für das Erreichen der Ziele werden aber nicht genau gegeneinander abgegrenzt oder die Verantwortlichkeit für die Transition dem Anbieter im Wege einer Generalklausel zugewiesen. Das wirft dann bei Verzögerungen unweigerlich die Frage der Verursachung und der Verantwortlichkeit auf. Drittens: In der Vertragspraxis deckt die Transition heute – anders als 17 beim klassischen RZ-Outsourcing – nicht nur die Zeit bis zum erstmaligen Bezug der Leistungen ab. In dieser Phase ist der Kunde noch „Herr“ seiner Daten und der für ihre Verarbeitung erforderlichen Betriebsmittel, weshalb zunächst kein gesteigertes Schutzbedürfnis gegeben ist. Wenn die Transition nicht erfolgreich verläuft, kann er in der Regel vom Vertrag nach § 323 Abs. 1 BGB zurücktreten oder diesen aus wichtigem Grunde nach § 314 Abs. 1 BGB bei Vorliegen der sonstigen Voraussetzungen kündigen. In der Praxis erweisen sich diese Rechtsbehelfe jedoch als stumpfe Waffe, wenn sich die Transition über einen längeren Zeitraum hinzieht und die Leistungen nicht zu einem bestimmten Zeitpunkt („Big Bang“) beginnen. Das ist insbesondere bei manchen globalen Projekten der Fall, in denen während der Transition – wie bspw. beim Netzwerkbetrieb – die Betriebsstätten des Kunden „rollierend“ an das vom Anbieter betriebene Netz angebunden werden. Viertens gibt es aufgrund dieser Entwicklungen eine gewisse Verschie- 18 bung von der Sachlogik der Technik in die Sachlogik der Vertragsgestaltung (und bisweilen dementsprechende Rivalitäten zwischen verschiedenen Beteiligten bgzl. der Gestaltungshoheit der Dokumentation). Da im 1 Vgl. Chapter 1.4.1 „Target Audience“. 2 Vgl. Chapter 4.1.5.1 „Transition Strategy“ und Chapter 6. Heymann
849
§ 51
Kundendaten und die Transition bei Outsourcing-Vertrgen
klassischen Mainframe Outsourcing eigentlich nur eine (oder sehr wenige) technische Schnittstellen bestanden, so erübrigte sich weitgehend die filigrane Abgrenzung der Verantwortlichkeiten zwischen Betreiber und Kunden. Diese war durch die Natur der Technik im Wesentlichen determiniert. Heute gibt es diese eine Schnittstelle nicht mehr. In einem klassischen Client-Server Outsourcing gibt es tausende solcher Schnittstellen und keinesfalls nur, weil tausende von Endusergeräten betrieben werden. Vielmehr müssen diese wiederum miteinander und mit Drittparteien kommunizieren können, und benötigen klar definierte (und administrierte) Zugangsrechte auf bestimmte Anwendungen, Datenbestände. Es liegt auf der Hand, dass hier ein neuer Dokumentations-, aber auch Regelungsbedarf entsteht.
III. Kundendaten im klassischen RZ-Vertrag und in heutigen Auslagerungen 19
Gegenstand früherer „klassischer“ Mainframe- und Rechenzentrumsauslagerungen waren in der Regel bestimmte klar absetzbare Kategorien von (meist personenbezogenen) Daten, da im Rechenzentrum nur einige wenige Anwendungsprogramme zur Verarbeitung der Kundendaten eingesetzt wurden. Diese waren aufgrund ihrer Anordnung in der Regel Datenbanken im Sinne des (damals natürlich noch nicht eingeführten) § 87a UrhG. Aus dieser Welt stammt auch die Unterscheidung zwischen Bestands- und Bewegungsdaten und für den Bereich der Datenbanken macht diese auch heute noch Sinn. 1. Klassische personenbezogene Daten
20
In dieser Welt verleibt die „Herrschaft über die zu verarbeitenden Daten“ beim Auftraggeber, während die Herrschaft über den Ablauf, den Betrieb und das Halten sowohl von Software als auch von Hardware beim Auftragnehmer liegt1. „Herrschaft“ heißt hier: Dispositionsrecht, nicht unbedingt faktische Herrschaft. Denn im klassischen RZ-Betrieb gab es zwei vertragsprägende Leistungen: Batch-Betrieb und Online-Betrieb. Beim Batch-Betrieb ist offensichtlich, dass der Auftragnehmer ebenfalls „Herrschaft“ über die Daten erlangt. Er nimmt sie in seinen Herrschaftsbereich ja physisch auf (und der Kunde begibt sich der Kontrolle über das jeweilige Vervielfältigungsstück, Band, Lochkarten etc.).
21
Wer von „Daten“ in Zusammenhang mit Auslagerungs- oder Migrationsvorhaben spricht, denkt häufig ausschließlich in den Kategorien „personenbezogener Daten“ i.S.d. § 4 BDSG.
1 So einprägsam Schneider, Handbuch des EDV-Vertragsrechts, M 12.
850
Heymann
III. Kundendaten im klassischen RZ-Vertrag und in heutigen Auslagerungen
§ 51
2. Moderne Datenhaltung Die technische Entwicklung der letzten Jahre lässt diesen „klassischen“ 22 Datenbegriff jedoch mittlerweile als zu eng erscheinen. Daten sind das Lebensblut jedes Unternehmens. Das trifft aber nicht nur auf personenbezogene oder strukturierte Daten zu. Vielmehr stellen aufgrund der Fortschritte der Digitalisierung der Daten- 23 verarbeitung heute personenbezogene Daten nur noch eine Kategorie unter anderen der von einem Outsourcing-Vorhaben berührten Daten dar. Kein Unternehmen nutzt heute seine IT-Systeme mehr, um nur per- 24 sonenbezogene oder klar definierte Daten zu verarbeiten. „Daten“ in diesem Sinne sind vielmehr heute höchst disparat; sie sind in der Definition des einschlägigen Technologiestandards „jede wieder interpretierbare Darstellung von Information in formalisierter Art, geeignet zur Kommunikation, Interpretation oder Verarbeitung“1. Die bereits zitierten ITIL-Richtlinien zur Service Transition haben das 25 hierarchische Modell der „Data-to-Information-to-Knowledge-to-Wisdom (DIKW)“ eingeführt2. Dahinter verbirgt sich die Einsicht, dass Daten letztlich „für sich“ keinen Sinn haben, sondern nur Rohmasse für „Information“ sind. Information in diesem Sinne ergibt sich aus dem Kontext für Daten. Dieser Kontext ergibt sich nach den Worten der Richtlinien typischerweise aus den „teil-strukturierten“ Informationsträgern, wie Dokumenten, E-Mails oder Multimedia-Anwendungen. Informationen beantworten typischerweise Fragen wie „Wer? Wann? Wo?“ – also faktische Fragen. Auf der nächsten Stufe führen Informationen zu Wissen („Knowledge“), wobei die Information wiederum im Kontext von Erfahrungen interpretiert wird. Wissen in diesem Sinne beantwortet die Frage nach dem „Wie“3. Datenverarbeitungssysteme von Unternehmen werden so zu „Organisa- 26 tionsgedächtnissystemen“, deren Hauptziel es ist, die richtige Information zur richtigen Zeit an die richtige Person zu liefern, damit diese die am besten geeignete Lösung wählen4 und die im Rahmen der Unternehmensorganisation ihr zugewiesenen Entscheidungen treffen sowie die sich daraus ergebenden Handlungen vornehmen kann.
1 ISO/IEC 2382-1: 1998: Informationtechnology-vocabulary; vgl. hierzu auch Hoffmann, Data Warehouse im Rahmen der Business Intelligence, Abschnitt 2.1.1 m.w.N. 2 ITIL Service Transition, Chapter 4.7.4. 3 Was unter „Wisdom“ oder „Weisheit“ zu verstehen ist, weiß Jochen Schneider bestens! 4 Vgl. http://de.wikipedia.org/wiki/Wissen. Heymann
851
§ 51
Kundendaten und die Transition bei Outsourcing-Vertrgen
3. Schlussfolgerungen für das Outsourcing 27
Betrachtet man die heute von Auslagerungen betroffenen Inhalte, wird schnell erkennbar, dass für den Kunden eigentlich die Verfügung und Kontrolle über seine Informationen und sein Wissen (im vorgenannten Sinne) kritisch ist und die Verfügung und Kontrolle über seine Daten hierfür nur eine notwendige, aber keinesfalls eine hinreichende Bedingung darstellen.
28
Das gilt in mehrfacher Hinsicht: a) Unstrukturierte Daten
29
Zunächst sind die Daten des Unternehmens viel weniger strukturiert, als dies im klassischen Rechenzentrumsbetrieb der Fall war. Dazu zählen E-Mails, Word-Dokumente, Konstruktionszeichnungen der Entwicklungsabteilung, elektronische Handelsbücher, diesen zugrunde liegende Originalbelege in gescannter Form. Nur einige dieser Daten liegen bereits in Formaten vor, die so geordnet sind, dass sie ohne Weiteres verarbeitet werden können. Andere Daten müssen hierzu zunächst erkannt und für die weitere Verarbeitbarkeit im Wege der Konvertierung „vorbereitet“ werden.
30
Insbesondere im Bereich der Archivierung werden Dokumente verarbeitet und gespeichert, die zwar auch Schnittstellen zu strukturierten Prozessen haben und identischen Verarbeitungsregeln unterliegen, aber keineswegs per se formal einheitlich gestaltet sind, und zum Teil auch aus Rechtsgründen zunächst gar nicht verändert werden dürfen. Ein Beispiel ist der Rechnungseingang in einem großen Konzern. Die Rechnungen sind häufig (noch) in unterschiedlichen Formaten ausgestellt, sind Originalbelege, die nicht verändert werden dürfen, damit das Unternehmen seinen Buchführungspflichten genügt und werden aus diesem Grunde auch im Wege des Scanning digitalisiert. Auf der anderen Seite werden sie nach Bearbeitung durch Erkennungssoftware auch als Ausgang für die Autorisierung der Zahlung und den eigentlichen Zahlungsvorgang im Konzern benötigt. b) Zugang aufgrund Organisationsvorgaben, Bearbeitungsvorgaben und Berechtigungen
31
Auch sind viele dieser Daten nicht von vorneherein durch die Systemlandschaft des Kunden in eine eindeutige Ordnung eingebettet. So gehen Daten zunächst dezentral an den unterschiedlichsten Schnittstellen (Post, E-Mail-Server, individueller E-Mail-Account) ein. Der Zugang zu ihnen muss organisiert werden durch Organisationsvorgaben, Bearbeitungsvorgaben und Berechtigungen, die in großen Datenbanken verwaltet werden.
852
Heymann
III. Kundendaten im klassischen RZ-Vertrag und in heutigen Auslagerungen
§ 51
Einige dieser Daten werden typischerweise auf Servern gespeichert (wo- 32 bei diese häufig nicht zentral für das ganze Unternehmen geführt werden), andere auf den individuellen Rechnern der Nutzer. Klassische Beispiele sind Mailboxen, deren Inhalt je nach betrieblicher Vorgabe und ggf. Voreinstellung des Nutzers (a) auf den Mail-Servern, (b) zentralen betrieblichen Back-Up-Servern (c) dem Client des individuellen Nutzers, (d) auf weiteren Servern wie Kommunikationsservern (wenn auch nur vorübergehend), (e) „Zweitgeräten“ wie Handheld oder Tablets gespeichert werden. Wer einmal die technische Architektur einer IT-Umgebung in einem Auslagerungsvertrag gelesen hat, weiß dass die Datenhaltung und Datenspeicherung heute extrem komplex und verteilt ist. c) Herausforderungen bei Daten in der Cloud Ganz neue Herausforderungen stellen sich an die Vertragsgestaltung bei 33 dem Einsatz von Cloud-Systemen. Hier werden die Daten der Tendenz nach wieder auf einheitlichen physischen Systemen gespeichert. Dies ist etwa der Fall bei der Nutzung sog. virtueller Server im Rahmen einer „Corporate Cloud“ oder bei Auslagerungen im Rahmen einer sog. „Dedicated Cloud“. Andererseits sind Cloud-Systeme ja verteilte Systeme, bei denen die Datenbestände häufig gerade auf verteilten Rechnern oder Storage-Systemen gespeichert werden, so dass der Bezug auf eine dedizierte Hardware, deren Datenbestände man bei Vertragsende einfach „übernehmen“ könnte, ins Leere läuft. Solche Gestaltungen sind gerade bei Auslagerungen im kleinteiligen mittelständischen Bereich nicht selten anzutreffen. Das Beispiel Cloud zeigt aber auch, dass in verteilten Systemen Kompa- 34 tibilitäts- und Formatvereinbarungen eine gesteigerte Bedeutung zukommt. So können bspw. Clients einer Microsoft 360 Cloud-Lösung nicht ohne Weiteres mit Clients einer ebenfalls auf MS 360 basierten proprietären Cloud-Lösung eines Outsourcing Providers kommunizieren. Es liegt auf der Hand, dass hier Transitions- und Migrationsaufwendungen sowohl Voraussetzung der Aufnahme des Services durch den Provider als auch des Übergangs auf einen Nachfolge-Provider sind. Aus den vorstehenden Ausführungen dürfte deutlich geworden sein, dass 35 der Kunde bei der Vertragsgestaltung sehr gründlich darüber nachzudenken hat, wie er trotz Auslagerung der Datenverarbeitung die Kontrolle über seine „Daten“ behält. Das am Modell der Auftragsverarbeitung geschulte Auge denkt hier natürlich zunächst an Weisungsrechte. Ebenso wichtig sind Kontrollrechte und Dokumentationspflichten des Anbieters.
Heymann
853
§ 51
Kundendaten und die Transition bei Outsourcing-Vertrgen
IV. Weisungsrechte des Kunden 36
Aus den vorstehenden Ausführungen ergibt sich, dass der Kunde Weisungsrechte bzgl. der Verarbeitung seiner Daten benötigt, um die „Datenherrschaft“ auch während der Laufzeit des Vertrages zu behalten.
37
Daher ist nun kurz der Frage nachzugehen, ob und in welchem Umfang dem Kunden Weisungsrechte bzgl. der Verarbeitung der von ihm überlassenen Daten zustehen.
38
Der hierbei zentrale Begriff der „Weisung“, ist gesetzlich nicht definiert, § 665 BGB setzt ihn vielmehr voraus. In § 665 BGB wird darunter eine einseitige, empfangsbedürftige Willenserklärung des Auftraggebers zur Konkretisierung von Pflichten bei der Auftragsausführung verstanden1. Weisungen werden zu unterschiedlichsten Zwecken erteilt. Davon sind vorliegend zwei Fallgruppen relevant: Weisungen werden zur nachträglichen Präzisierung des Vertragsgegenstands erteilt; insofern dienen sie der Schließung von Lücken und dem Vermeiden eines Dissenses. Weisungen werden aber auch erteilt, um den Vertragsgegenstand nachträglich zu modifizieren, z.B. um die ursprünglich vereinbarten Pflichten solchen Umständen anzupassen, die sich seit Vertragsschluss geändert haben, oder die anders sind als der Auftraggeber sie sich vorgestellt hatte2. 1. Weisungen zur nachträglichen Präzisierung des Vertragsgegenstands
39
Weisungen zur Schließung von Vertragslücken kommen rechtlich nur dort in Betracht, wo sich eine Vertragslücke nicht im Wege der Auslegung schließen lässt. Klassischer Anwendungsfall ist der Dissens. Um hier die Nichtigkeit als Rechtsfolge zu vermeiden, bietet es sich an, einer Partei ein Leistungsbestimmungsrecht zuzuweisen. Aber ein gesetzliches Weisungsrecht gibt es bei Outsourcing-Verträgen allenfalls, wenn man diese als Dienstverträge einordnet (was ja sehr umstritten ist). Behält sich der Kunde nicht das Recht zur Schließung von Lücken vor (wozu die übliche salvatorische Klausel nicht ausreicht), gibt es eigentlich kein Recht einer Partei, Lücken durch Weisung zu schließen, die auch nach Anwendung der Auslegungsregeln der §§ 133, 157 BGB offen bleiben. Ein für Outsourcing-Verträge typisches Beispiel stellt sich in der Spannung zwischen vertraglicher Leistungsbestimmung und der Anwendung sog. „Services as Before“-Bestimmungen. Durch solche Vertragsbestimmungen wird der Anbieter verpflichtet, in der Leistungsbeschreibung „übersehene“ Leistungen ohne Berechnung zu erbringen, die der Kunde während einer bestimmten Periode vor Betriebsübergang aus dem übergegangenen Betriebsteil bezogen hatte. Solche Klauseln sind üblich, weil es unmöglich ist, den Leistungsgegenstand abschließend und vollständig zu beschreiben. Zunächst liegt hier kein Weisungsrecht vor, son1 Schulze/Grziwotz/Lauda (Hrsg.), § 665 BGB Rz. 2. 2 Seiler in MünchKommBGB, § 665 Rz. 3.
854
Heymann
§ 51
IV. Weisungsrechte des Kunden
dern eine Vereinbarung, wie eine Lücke geschlossen wird. Allerdings würde es in solchen Fällen regelmäßig zu Konflikten darüber kommen, wie die Lücke zu schließen ist. In dieser Hinsicht behält sich der Kunde ein Weisungsrecht vor, das dann zu einer echten „Änderung/Erweiterung“ des Vertragsgegenstands führen kann. Die Rechtsprechung ist aber bei der Einräumung von Weisungsrechten 40 noch weiter gegangen und hat diese in der dogmatischen Figur des Leistungsbestimmungsrechts i.S.d. § 315 BGB einer Partei auch dann zugewiesen, wenn sich hierfür im Vertrag keine Anhaltspunkte finden ließen1: Ein solches Leistungsbestimmungsrecht nach § 315 BGB soll dann gelten, wenn es dem (vom Gericht unterstellten) „beiderseitigen Parteiinteresse und mutmaßlichen Willen“ entspricht. In diesem Fall sei es das hierzu am besten geeignete gesetzliche Regelungsmodell zur Ausfüllung der Lücke. Stellt sich also insbesondere während der Transition heraus, dass eine 41 Vertragslücke auch unter Anwendung der Regeln der §§ 133, 157 BGB nicht geschlossen werden kann, so kann im Einzelfall vermutet werden, dass hier eine Partei ein Leistungsbestimmungsrecht haben soll. Das wird insbesondere dann der Fall sein, wenn andernfalls Nichtigkeit eines langfristigen und komplexen Dauerschuldverhältnisses droht – also eigentlich bei fast jedem Outsourcing-Vertrag. Nach § 316 BGB steht dieses Recht „im Zweifel“ demjenigen zu, der die 42 Leistung zu fordern hat. Das ist beim Outsourcing der Auftraggeber, zu dessen Gunsten das Leistungsbestimmungsrecht daher widerlegbar „vermutet“ wird2. Auch hier gilt natürlich, dass man zur Anwendung der §§ 315 ff. BGB überhaupt nicht kommt, soweit die nicht abschließend festgelegte Leistung (notfalls) durch ergänzende Vertragsauslegung nach §§ 133, 157 BGB bestimmt werden kann3. Anders als in der vorgenannten Fallgruppe bedarf es hierfür keiner ausdrücklichen vertraglichen Vereinbarung. Wie das Urteil des BGH vom 7.2.2006 zeigt4, kann dies zu einer doppelten Leistungsbestimmung führen: – Der Kunde verlangt eine Leistung (und bestimmt deren Inhalt nach billigem Ermessen) – bspw. die Speicherung der Kundendaten in einer geänderten Datenbanksoftware. – Der Anbieter ist verpflichtet, diese Leistungsbestimmung zu akzeptieren, kann aber die Erbringung von einer angemessenen Gegenleistung abhängig machen (vorausgesetzt dies entspricht der Billigkeit, weil er höhere Aufwendungen hat oder bereits getätigte Investitionen abschreiben muss). Ob diese nun wiederum vom Unternehmer nach 1 BGH v. 7.2.2006 – KZR 8/05, NJW-RR 2006, 915 (916); BGHZ 41, 271. 2 Jauernig, BGB, § 316 Rz. 3. 3 BGH v. 4.4.2006 – X ZR 80/05, NJW-RR 2007, 56 u. BGH v. 26.9.2006 – X ZR 181/03; BGH v. 4.4. 2006 – X ZR 122/05, NJW 2006, 2472. 4 BGH v. 7.2.2006 – KZR 8/05, NJW-RR 2006, 915 (916). Heymann
855
§ 51
Kundendaten und die Transition bei Outsourcing-Vertrgen
§ 316 BGB bestimmt wird oder aber nach § 632 Abs. 2 BGB objektiv zu bestimmen ist, mag hier offen bleiben – da es in der Praxis vermutlich ohnehin keinen großen Unterschied macht. Jedenfalls empfiehlt es sich offenbar, dies im Vertrag genau zu regeln. 2. Einseitige Änderungsbefugnis bzgl. des Vertragsgegenstandes 43
In der vorstehenden Fallgruppe ging es um die Konkretisierung und Ergänzung eines unvollständig beschriebenen Leistungsgegenstands. Daneben benötigt der Kunde aber auch das Recht, laufend Änderungen in der Verarbeitung seiner Daten zu verlangen. Auch hier will der Kunde dem Anbieter das Recht abschneiden, die Ausführung solcher Änderungen von einer Einigung über deren finanzielle Konsequenzen abhängig zu machen. Ein guter Teil der sich hieraus ergebenden Änderungen sollte bei einem Outsourcing-Projekt ohnehin durch die „Grundvergütung“ abgegolten sein; in anderen Fällen soll der Anbieter gezwungen sein, ohne größere Diskussionen, die Weisung auszuführen (sog. „directed changes“). Solche Klauseln finden sich insbesondere in den Vorschriften zur Adressierung von Notfällen.
44
Mit Blick auf die hier interessierenden Kundendaten geht es bei dieser Fallgruppe vor allem um Weisungen, wonach eine bereits vereinbarte Leistung künftig anders erstellt und/oder erbracht werden soll. Es handelt sich um die Aufforderung des Bestellers an den Unternehmer, die geschuldete Leistung in bestimmter Weise auszuführen, ohne dass der Unternehmer eine andere Wahl hat. Das ist die in § 645 BGB vorausgesetzte Konstellation1.
45
Aus § 645 BGB ergibt sich, dass das BGB die Vereinbarkeit solcher (dort als „Anweisungen“ bezeichneten) Weisungen mit dem Werkvertragsrecht voraussetzt. Entsprechend normieren die VOB umfangreiche Weisungsrechte2. Da es sich hierbei um ein komplexen Dauerschuldverhältnissen inhärentes Erfordernis handelt, finden diese Grundsätze auch unabhängig davon Anwendung, ob der Datenverarbeitungsvertrag als Dauerschuldverhältnis ein Werkvertrag sein kann3. Die nächste Frage ist, ob der Besteller diese Weisungsrechte auch dann hat, wenn sie nicht vertraglich vereinbart wurden. Jedenfalls bei komplexen Langzeitverträgen wie dem Outsourcing-Vertrag ist dies zu bejahen. Ob man das als einen Fall des § 645 BGB betrachten oder diese Bestimmung nur entsprechend heranziehen will, mag dahinstehen. Jedenfalls das Letztere ist geboten4.
46
Was die Vergütungsfolge angeht, gilt das oben angeführte. Allerdings zeigen diese Beispiele, dass die Parteien gerade mit Hinblick auf die finan1 Busche in MünchKommBGB, § 645 Rz. 9. 2 Vgl. den Überblick bei Peters, NZBau 2012, 615. 3 Vgl. zum Meinungsstand Schneider, Handbuch des EDV-Vertragsrechts, M Rz. 13 ff. 4 Peters, NZBau 2012, 615 (619).
856
Heymann
§ 51
V. Rechte des Kunden an „seinen Daten“
ziellen Konsequenzen gut beraten sind, sich nicht auf die unsichere Anwendung der sehr allgemeinen Vorschriften des dispositiven Rechts zu verlassen, sondern diese im Vertrag detailliert vereinbaren sollten. Dabei bieten die VOB zahlreiche Anregungen für die Risikoverteilung, Warnhinweise, Haftungsausschlüsse etc. bei deren Prüfung und Umsetzung, die zumindest für die Vertragsgestaltung herangezogen werden können.
V. Rechte des Kunden an „seinen Daten“ Durch die Auslagerung verliert der Kunde die Möglichkeit, seine „Daten- 47 herrschaft“ durch Sicherungsvorkehrungen im Wege der Weisung durch Ausübung seines Direktionsrechts zu treffen. 1. Reduzierte „Datenherrschaft“ Damit eröffnen oder verschärfen sich eine Reihe von Risiken, und zwar 48 insbesondere: – des unbefugten Zugriffs durch Dritte aufgrund fehlender oder ungenügender Sicherungsmaßnahmen, – der Weitergabe durch Angestellte oder durch vom Provider eingesetzte Dritte (insbesondere Subunternehmer) mit Zugang zu diesen Daten, – der Speicherung oder Verarbeitung der Daten in Lokationen, die in dieser Hinsicht als besonders risikoanfällig angesehen werden müssen, bspw. weil vor Ort nur unzureichender Rechtsschutz zu erlangen ist („Offshore“), – der unkontrollierten Duplizierung von Teilen des Datenbestandes so dass sich die vorgenannten Risiken erhöhen, – der Weitergabe an Dritte auch in „anonymisierter“ Form1 und – der Vermischung mit Daten Dritter. Es liegt auf der Hand, dass der Kunde mit Hinblick auf diese spezifischen 49 Risiken erheblichen Regelungsbedarf hat. Für jeden dieser einzelnen Punkte gibt es bewährte Vertragsklauseln. Darüber hinaus muss er aber seine Datenherrschaft auch in unbenenn- 50 baren Fällen zur Abwehr des Missbrauchs „seiner“ Daten durch den Anbieter ausüben können und zur Abwehr des Zugriffs Dritter auf diese Daten. Die Frage ist alles andere als akademisch. Denn bei jeder Outsourcing- 51 Transaktion werden Dritte in die Leistungserbringung einbezogen. So1 Vgl. aktuell http://www.spiegel.de/netzwelt/netzpolitik/patienten-apothekenverkaufen-vertrauliche-daten-a-917118.html: Weitergabe von Rezeptdaten durch Apothekerrechenzentrum. Heymann
857
§ 51
Kundendaten und die Transition bei Outsourcing-Vertrgen
weit diese als Erfüllungsgehilfen des Anbieters eingesetzt werden, könnte man an eine Haftung nach § 278 BGB denken, die ja nicht voraussetzt, dass der Kunde die Identität des Erfüllungsgehilfen kennt1. Allerdings fragt sich, ob die vertraglichen Weisungsrechte des Kunden auf diese Erfüllungsgehilfen „durchgreifen“. Selbst, wenn dies vereinbart ist, entsteht eine Schutzlücke, wenn der Anbieter es – möglicherweise vertragswidrig – unterlässt, entsprechende Regelungen in seinen eigenen Vertrag mit dem betreffenden Erfüllungsgehilfen aufzunehmen. Darüber hinaus ist § 278 BGB ja eine Haftungszurechnungsnorm, die Schadensersatzansprüche gegen Vertragspartner ermöglicht, aber keine Unterlassungs-, Herausgabe- oder Vernichtungsansprüche bzgl. „eigener“ Daten gegen den „schädigenden“ Erfüllungsgehilfen2. 2. Gesetzliche Abwehransprüche gegen in die Vertragserfüllung eingebundene Dritte? 52
Daher fragt sich, ob das bestehende gesetzliche Schutzregime ausreichende Abwehransprüche gegen in die Vertragserfüllung eingebundene Dritte gibt: a) Urheberrechtliche Ansprüche
53
Zu denken wäre zunächst an Urheberrechtsschutz. Allein aus der Darstellung der im Rahmen der Auslagerung „überlassenen“ und vom Kunden laufend weiter „eingegebenen“ Daten ergibt sich, dass diese in der Regel weder Computerprogramme i.S.v. §§ 2 Abs. 1 Nr. 1, 69a ff. UrhG noch Datenbankwerke i.S.v. § 4 Abs. 2 UrhG sind, da ihre „Auswahl“ oder „Anordnung“ im Zweifel zufällig durch eine Vielzahl von Nutzern erfolgt und somit keine persönliche geistige Schöpfung darstellen. Auch liegen allenfalls in Teilbereichen sonderschutzfähige Datenbanken i.S.v. § 87a UrhG vor, und wäre der hierdurch gegebene Schutz auch unzureichend, weil der Auslagernde wohl mit der nach § 87b UrhG zulässigen Verbreitung oder öffentlichen Wiedergabe von unwesentlichen Teilen der Datenbank kaum einverstanden wäre. Insgesamt handelt es ich um eine beliebige Kompilation einzelner Dateien, die – unbeschadet der Werkeigenschaften und Schöpfungshöhe einzelner hierbei eingestellter Dokumente – jedenfalls in ihrer Gesamtheit unter kein gewerbliches Schutzrecht subsumiert werden kann und auch nicht urheberrechtlich geschützt ist3. b) Ansprüche aufgrund Geheimnisschutzes
54
Auch die in diesem Zusammenhang genannten §§ 17 und 18 UWG helfen nur in Ausnahmefällen. In Betracht kommt eigentlich nur § 17 1 BGH v. 18.10.1951 – III ZR 138/50, NJW 1952, 217. 2 Vgl. Heinrichs in Palandt, BGB, § 278 Rz. 40. 3 Dreier in Dreier/Schulze, UrhG, § 4 Rz. 20.
858
Heymann
§ 51
V. Rechte des Kunden an „seinen Daten“
Abs. 2 UWG. Der aber soll gegen die unbefugte Weitergabe/Wegnahme/ Verwertung schützen1, die „Geheimnishehlerei“2. Die liegt aber allenfalls in dem eher unwahrscheinlichen Fall vor, dass entweder der Provider selbst ihm anvertraute Geschäftsgeheimnisse weitergibt oder aber einer seiner Angestellten. Das ist im normalen Verlauf der Dinge nicht das Problem des Kunden. Ihm geht es vielmehr darum, dass der Provider während der Vertragsdauer die technischen Kautelen vorhält, die erforderlich sind, um seine Daten tatsächlich zu schützen, und ohne die der Kunde auch den rechtlichen Schutz der §§ 17 UWG gegen Eingriffe Dritter verliert. Denn dieser Schutz setzt den „Geheimhaltungswillen“ des Kunden voraus, und dieser muss auch „aus den Umständen erkennbar“ bleiben3. Das aber kann infolge der Auslagerung nur der Provider durch Aufrecht- 55 erhaltung entsprechender Schutzmaßnahmen bewirken. Der Kunde ist also gut beraten, a) seinen generellen Geheimhaltungswillen im Vertrag zu dokumentieren, sich b) vertraglich zusichern zu lassen, dass der Provider entsprechende technische und organisatorische Schutzvorrichtungen unterhält und c) diese möglichst genau (und nicht nur in Generalklausel b) zu spezifizieren. Denn ein „allgemeiner“ Geheimhaltungswille, der auch alle offensichtlich nicht vertraulichen Informationen und Daten umfasst, würde ins Leere laufen und damit keine negatorischen Ansprüche des Kunden gegen Dritte begründen. Da es fast unmöglich ist, für jeden einzelnen Dokumenten- und Informationsinhalt die Vertraulichkeit vertraglich vorab zu regeln, muss die Möglichkeit bestehen, im Rahmen der nach b) vereinbarten Schutzvorrichtungen einseitig auch nach Vertragsschluss die Zuordnung zu bestimmten Vertraulichkeitsklassen zu verlangen. Auch hier reichen also antizipierende Generalklauseln nicht aus, wie man sie bisweilen findet (etwa durch die Gleichstellung sog. „Restricted Data“ mit „persönlichen Daten“). Erforderlich sind auch hier wieder Weisungsrechte. Diese Weisungsrechte müssen sich ggf. auch darauf erstrecken, dass der Dienstleister seine eigenen Rechte gegenüber Dritten zugunsten des Auslagernden geltend macht. c) Rechte aus der Auftragsdatenverarbeitung Häufig wird in diesem Zusammenhang auf das Modell der Auftragsdaten- 56 verarbeitung rekurriert4, das aber nur für personenbezogene Daten Geltung beanspruchen kann. Übersehen wird bei der Erstreckung der Regelungen zur Auftragsdatenverarbeitung auf nicht personenbezogene Daten, dass dieses Modell der Auftragsdatenverarbeitung Weisungsrechte
1 S. dazu auch Gennen, § 13. 2 So anschaulich, wenn auch kritisch Harte/Bavendamm, UWG-Handbuch, § 17 Rz. 26. 3 So BGH v. 10.7.1963 – Ib ZR 21/62, GRUR 1964, 31 – Petromax II. 4 S. dazu auch Müller, § 24 Rz. 3, 14 f. Heymann
859
§ 51
Kundendaten und die Transition bei Outsourcing-Vertrgen
des Auftraggebers gerade nicht begründet, sondern diese vielmehr voraussetzt1. d) Daten als Eigentum oder sonstiges Rechtsgut i.S.v. § 823 Abs. 1 BGB 57
In der Vertragsgestaltung wird das Thema häufig mit kurzen Hinweisen darauf adressiert, dass der Kunde das „Eigentum“ an „seinen“ Daten behalte und behalten müsse2. Das mag intuitiv einleuchten – es führt aber in die Irre. Denn ein Eigentum an Daten gibt es nicht. Das zeigt ein kurzer Blick in § 903 BGB, der das „Eigentum“ auf Sachen beschränkt3 und § 93 BGB, der lapidar und unmissverständlich klarstellt: „Sachen im Sinne des Gesetzes sind nur körperliche Gegenstände.“ Zur Vermeidung von Missverständnissen: Dies hat nichts mit der kontrovers diskutierten Frage zu tun, ob bspw. Programme bei entsprechender Verkörperung als „Sachen“ gehandelt werden können4.
58
Vor diesem Hintergrund wäre es eine reizvolle Fragestellung, ob im Unternehmen angefallene und einem Dritten zur Verarbeitung überlassene Daten unabhängig von spezialgesetzlichem Schutz ein absolutes Rechtsgut darstellen und dementsprechend über § 823 Abs. 1 und § 1004 BGB geschützt sind5.
59
Hinzuweisen ist in diesem Zusammenhang auch auf neuere Ansätze, die die aus §§ 202a ff. StGB und § 303a StGB abgeleitete Figur eines „Dateneigentums“ als allgemeines Zuordnungsprinzip der „Datenberechtigung“ in das Zivilrecht übertragen wollen6. Fraglich ist allerdings, ob diese Analogie trägt. Denn § 303a StGB verbietet (nur) das Löschen, Unterdrücken. Unbrauchbarmachen oder Verändern. Geschütztes Rechtsgut ist demnach allein die „Integrität“ der Computerdaten, die es dem Verfügungsberechtigten ermöglicht, auf diese zuzugreifen und sie zu verarbeiten7. In der strafrechtlichen Literatur besteht darüber hinaus Einigkeit, dass der Wortlaut von § 303a StGB mit Hinblick auf Art. 103 Abs. 2 GG einschränkend auszulegen ist8, auch wenn im Einzelnen streitig ist, wie diese gebotene Einschränkung erfolgen soll. Teils wird vertreten, dass 1 Vgl. § 11 Abs. 2 Nr. 9 BDSG. 2 Kritisch: Schneider, Handbuch des EDV-Vertragsrechts, M Rz. 62. 3 Vgl. statt aller mit ausführlicher Herleitung Säcker in MünchKommBGB, § 903 Rz. 1. 4 Vgl. zu dieser Unterscheidung Fritschke in BeckOKBGB, § 90 Rz. 25–27 m.w.N. 5 S. dazu Bartsch, § 22; die o.a. Einschränkung des Eigentumsbegriffs bezieht sich lediglich auf die gesetzliche Ausformung im Bürgerlichen Gesetzbuch, nicht aber auf die – grundverschiedene verfassungsrechtliche Einordung unter Art. 14 GG. 6 Vgl. Hoeren, § 23; Hoeren, MMR 2013, 486 ff. 7 Vgl. Gercke in Spindler/Schuster, Recht der elektronischen Medien, § 303a StGB Rz. 1. 8 Allgemeine Ansicht; Fischer, StGB, § 303a Rz. 4; Stree/Hecker in Schönke/ Schröder, StGB, § 303a Rz. 3; Wieck-Noodt in MünchKommStGB, § 303a Rz. 9; Wolff in Leipziger Kommentar, StGB, § 303a Rz. 2, 8.
860
Heymann
§ 51
VI. Herausgabeansprche bei Vertragsbeendigung
nur fremde Daten erfasst seien, also solche, an denen ein unmittelbares Recht einer anderen Person auf Verarbeitung, Löschung oder Nutzung besteht1, oder nur solche Daten, an denen einer anderen Person ein unmittelbares rechtlich geschütztes Interesse in Form einer eigentümerähnlichen Datenverfügungsbefugnis zusteht2, oder aber nur Daten, an denen unmittelbar ein fremdes Verfügungs- und Nutzungsrecht besteht3. Die unberechtigte Zweitverwertung berührt das dergestalt eingeschränk- 60 te Rechtsgut aber eigentlich nur in Ausnahmefällen. Geht man freilich davon aus, dass dem der Rechtsgedanke zugrunde liegt, dass allein der „Berechtigte“ über die Daten verfügen darf, und weist man das so definierte „Dateneigentum“ dem Auslagernden als „Skribenten“ zu4, so würden diesem in der Tat Ansprüche auch gegenüber Dritten auf „Herausgabe“ und auf Unterlassung und Beseitigung – sprich Löschung – erwachsen5. Sich darauf heute bereits in der Vertragspraxis zu verlassen, wäre aber kein Akt von Vorsicht.
VI. Herausgabeansprüche bei Vertragsbeendigung Es ist offensichtlich, dass von einer fortdauernden Datenherrschaft des 61 Kunden keine Rede sein kann, wenn dieser nicht (zumindest) bei Vertragsende die Herausgabe „seiner“ Daten verlangen und durchsetzen kann. Es fragt sich zunächst, welchen Inhalt solche Herausgabeansprüche ha- 62 ben müssen. Schneider6 weist in diesem Zusammenhang auf die zum Recht der Geschäftsbesorgung ergangenen Entscheidungen des BGH7 hin. Diese können in der Tat zur Konkretisierung des Inhalts eventueller Herausgabeansprüche bei Vertragsbeendigung heran gezogen werden: 1. Herausgabeansprüche nach § 667 BGB? Wenn Herausgabeansprüche gegeben sind, so sind diese dadurch zu erfül- 63 len, dass der Auftraggeber eine Kopie seiner Daten zurückerhält und der Auftragnehmer gleichzeitig die Daten im eigenen Bestand löscht. Diese Löschungspflicht folgt nach der Rechtsprechung ebenfalls aus § 667 BGB. Des Rekurses auf eine datenschutzrechtliche Begründung8 bedarf es nicht. Dieser Rekurs ist m.E. auch zu eng, da sich aus der Rechtsfigur der 1 2 3 4 5 6 7
Fischer, StGB, § 303a Rz. 4. Stree/Hecker in Schönke/Schröder, StGB, § 303a Rz. 3. Wieck-Noodt in MünchKommStGB, § 303a Rz. 9. Welp, IuR 1988, 447. Hoeren, MMR 2013, 486 (490 ff.). Schneider, Handbuch des EDV-Vertragsrechts, M Rz. 9. BGH v. 17.4.1996 – VIII ZR 5/95, NJW 1996, 2159; BGH v. 26.11.1997 – VIII ZR 283/96, NJW-RR 1998, 390. 8 So Schneider, Handbuch des EDV-Vertragsrechts, M Rz. 72. Heymann
861
§ 51
Kundendaten und die Transition bei Outsourcing-Vertrgen
Auftragsdatenverarbeitung ja nur Ansprüche auf Löschung und Herausgabe personenbezogener Daten begründen lassen. Wie aber oben ausgeführt wurde, stellen diese nur eine Teilmenge der typischerweise verarbeiteten Daten dar. Die Löschungspflicht wird übrigens in der Vertragspraxis oft modifiziert und zeitlich gestaffelt, weil (a) der Auftragnehmer dadurch den Zugriff auf Daten verliert, die er möglicherweise als Beweismittel zur Verteidigung gegen spätere Haftungsansprüche des Kunden benötigt, (b) die Löschung bspw. von Back-Ups in verteilten Client Server-Systemen nicht trivial ist und (c) auch der Kunde ein Interesse daran hat, dass Daten (bspw. in den vom Anbieter geführten Nutzerdatenbanken) zumindest während der „Cut-over-period“ beibehalten und verfügbar bleiben. 64
Fehlt es an einer solchen ausdrücklichen vertraglichen Modifizierung der Pflicht zur Löschung, bleibt es freilich dabei, dass zumindest der Kunde verlangen kann, dass diese bei Vertragsbeendigung. gem. § 271 Abs. 1 BGB sofort erfolgt. Dem OLG München1 ist zuzustimmen, dass dieser Anspruch nach Treu und Glauben so auszulegen ist, dass der Kunde hier einen Zeitraum für die Erfüllung des Herausgabeanspruchs bestimmen kann, der ihm die unterbrechungsfreie Nutzung der betreffenden Daten sichert. Das kann erfordern, dass die Daten, soweit für die rechtzeitige Vorbereitung auf den Umstieg erforderlich2, auch schon vor Vertragsende verlangt werden können, oder aber auch teilweise danach, wenn nur eine schrittweise Migration möglich ist. Diese Grundsätze gelten auch für die Frage, in welcher Form die Daten zu übergeben sind. Selbstverständlich kann der Auftraggeber verlangen, dass dies in maschinenlesbarer Form erfolgt. Auch hier zeigt sich wieder, welche Bedeutung laufende Informations- und Dokumentationspflichten sowie – zumindest eingeschränkte – Weisungsrechte zur Architektur der vom Anbieter verwandten Infrastruktur haben. Fehlt es an diesbezüglichen Vereinbarungen, hat der Auftraggeber zwar bei Vertragsende Weisungsrechte. Soweit solche Weisungen über das zur Übermittlung der Daten in einer nutzbaren Form hinausgehen, kann der Anbieter deren Befolgung aber von zusätzlichen Vergütungsansprüchen abhängig machen, wobei der Kunde hier durch § 632 Abs. 2 BGB geschützt ist.
65
Beide von Schneider genannten höchstrichterlichen Entscheidungen sind allerdings nicht zu Outsourcing-Verträgen ergangen. Vielmehr ging es um die Frage, ob bei Beendigung eines Vertragshändlervertrages der Vertragshändler Anspruch auf (a) Löschung und (b) Herausgabe der Kundendaten hat, die er vertragsgemäß einem von dem Kfz-Hersteller als Vertragspartner benannten Marketingunternehmen überlassen hatte (auf diese Weise sollte wohl eine Pflicht zur Überlassung des Kundenstamms als Anspruchsvoraussetzung für einen Vertragshändlerausgleich vermie-
1 OLG München v. 22.4.1999 – 6 U 1657/99, CR 1999, 484 (485). 2 So Schneider, Handbuch des EDV-Vertragsrechts, M Rz. 72.
862
Heymann
§ 51
VI. Herausgabeansprche bei Vertragsbeendigung
den werden)1. Der BGH begründete die Pflicht zur Löschung der Kundendaten nach Vertragsende – neben § 11 Abs. 3 Nr. 1 BDSG und § 35 Abs. 3 Nr. 2 BDSG – mit §§ 667, 675 BGB, indem er annahm, dass der Führung der Kundenkartei ein Auftrag zugrunde lag. Gemäß § 667 BGB sei nach Beendigung des Teilnahmevertrags alles herauszugeben, was zur Ausführung des Auftrags erhalten wurde. Dazu gehörte auch der tatsächliche Besitz der Kundendaten „und das Recht, diese Daten … zu speichern und zu nutzen“2. a) Praktische Grenzen der Herausgabeansprüche All diese Rechte werden aber bei der Auslagerung komplexer Systeme 66 ins Leere laufen, wenn der Kunde keine genaue Dokumentation der Datenhaltung, Datenformate, Verknüpfung verschiedener Datenbanken, eingesetzten Datenbanksysteme, Retrieval-Tools, Zugangsberechtigungen erhält. Denn eine amorphe Sammlung von Servern mit „allen“ „seinen“ Daten, ohne diese Dokumentation zurück zu erhalten, ist offenbar nutzlos. Auch diesbezüglich ist davon auszugehen, dass den Anbieter heute sehr viel weitgehendere nebenvertragliche Pflichten treffen als zu den Zeiten, wo letztlich die Verarbeitung und Speicherung von Daten in einer einzigen Datenbank oder mit wenigen zentralen Applikationsprogrammen (und damit nur einer genau definierten Schnittstelle) Vertragsgegenstand war. Nur: Der genaue Umfang dieser Pflichten lässt sich im Konfliktfall allenfalls intuitiv spezifizieren. Der Kunde ist also gut beraten, hier vertragliche Vorsorge zu treffen. b) Vergütungsfragen Haben die Parteien diesbezüglich keine Vergütungsabrede getroffen, so 67 wird man davon ausgehen können, dass die hierfür erforderlichen Handlungen durch die laufende Vergütung abgegolten sind, so dass ihre Vornahme nicht von der Einigung über zusätzliche Vergütungsansprüche abhängig gemacht werden kann. Für die Anwendung von § 632 Abs. 1 BGB ist insofern kein Raum. Davon zu unterscheiden ist, ob der Anbieter Unterstützungsleistungen 68 anlässlich der Datenremigration (oder Migration zum Nachfolgedienstleister) in Rechnung stellen darf. c) Umfang der Herausgabepflichten aus § 667 BGB Schließlich stellt sich die Frage, ob der Anbieter die Herausgabe von Da- 69 ten unter Berufung auf die Einrede des nicht erfüllten Vertrages verweigern kann, etwa weil zwischen den Parteien Streit über die Höhe einer 1 BGH v. 17.4.1996 – VIII ZR 5/95, NJW 1996, 2159; BGH v. 26.11.1997 – VIII ZR 283/96, NJW-RR 1998, 390. 2 BGH v. 17.4.1996 – VIII ZR 5/95, NJW 1996, 2159 (2161). Heymann
863
§ 51
Kundendaten und die Transition bei Outsourcing-Vertrgen
etwa noch geschuldeten Vergütung besteht. Es liegt auf der Hand, dass diese Frage erhebliche Brisanz hat, denn der Anbieter hat hiermit ein Faustpfand in der Hand, das ihm eine sehr starke Verhandlungsmacht gibt. 70
Leider ergibt sich aus den beiden vorgenannten Entscheidungen des BGH nicht, in welchem Umfang die Daten von dem Marketing-Unternehmen verarbeitet (und entsprechend verändert) worden waren. Darauf kommt es aber möglicherweise nach den BGH-Entscheidungen zur Datenüberlassung1 in DATEV-Verträgen an:
71
Zugrunde liegt diesen Entscheidungen die Frage, in welchem Umfang ein Steuerberater aus dem Mandatsverhältnis rührende Daten an einen nachfolgenden Steuerberater zu übermitteln hat, und ob er ein Zurückbehaltungsrecht (bspw. ggü. dem Insolvenzverwalter) geltend machen kann, wenn ihm noch offene Vergütungsansprüche gegen den Mandanten zustehen. Da der Steuerberatungsvertrag nach ständiger Rechtsprechung eine Geschäftsbesorgung zum Gegenstand hat2, kommt hier Auftragsrecht unmittelbar zur Anwendung.
72
Nach § 667 BGB hatte der Steuerberater dem Auftraggeber alles herauszugeben, (a) was er zur Ausführung des Auftrages erhalten und (b) was er aus dem Auftrag erlangt hatte.
73
Zur Ausführung des Auftrags erhalten ist alles, was dem Beauftragten zum Zwecke der Geschäftsbesorgung zur Verfügung gestellt worden ist3. Aus der Geschäftsbesorgung erlangt ist jeder Vorteil, den der Beauftragte auf Grund eines inneren Zusammenhangs mit dem geführten Geschäft erhalten hat4. Nach dieser Alternative sind auch die vom Beauftragten über die Geschäftsbesorgung selbst angelegten Akten, sonstigen Unterlagen und Dateien herauszugeben5.
74
§ 667 BGB scheidet aber nach dieser Rechtsprechung als Anspruchsgrundlage für die Überlassung des eigentlichen vertraglichen Arbeitsergebnisses aus, das der Beauftragte dem Auftraggeber schuldet6. Dieses ist alleine Gegenstand des vertraglichen Erfüllungsanspruchs. Anspruchsgrundlage für die Überlassung dieses Arbeitsergebnisses ist daher alleine der Geschäftsbesorgungsvertrag, was natürlich auch dazu führt, dass der Anspruch allen Einreden und Einwendungen des Schuldners aus diesem Austauschverhältnis ausgesetzt ist. 1 Vgl. zuletzt BGH v. 11.3.2004 – IX ZR 178/03, NJW-RR 2004, 1290 m.w.N. 2 BGH v. 17.2.1988 – IVa ZR 262/86, NJW 1988, 2607 ff. 3 Czub in Bamberger/Roth, BGB, § 667 Rz. 7; Beuthien in Soergel, BGB, § 667 Rz. 4; Mansel in Jauernig, BGB, § 667 Rz. 3. 4 BGH v. 17.10.1991 – III ZR 352/89, NJW-RR 1992, 560; Seiler in MünchKommBGB, § 667 Rz. 9; Wittmann in Staudinger, BGB, § 667 Rz. 1. 5 BGH v. 30.11.1989 – III ZR 112/88, BGHZ 109, 260 (264 ff.). 6 Vgl. BGH v. 17.2.1988 – IVa ZR 262/86, NJW 1988, 2607; BGH v. 25.10.1988 – XI ZR 3/88, NJW 1989, 1216.
864
Heymann
§ 51
VI. Herausgabeansprche bei Vertragsbeendigung
Für keinen der in der Literatur und Rechtsprechung diskutierten Ver- 75 tragstypen1 bei Outsourcing-Vorhaben findet sich eine dem Auftragsrecht vergleichbare Norm im dispositiven Recht. Da die Interessenlage beim ohnehin gesetzlich schwer zuordenbaren Outsourcing-Vertrag in dieser Hinsicht wohl mit der Geschäftsbesorgung am ehesten vergleichbar ist, bietet es sich an, diese Grundsätze auch auf Outsourcing-Verträge anzuwenden. Als Konsequenz kann der Dienstleister ein Zurückbehaltungsrecht aus 76 § 320 Abs. 1 BGB geltend machen, im Hinblick auf die nach dem Vertrag geschuldete Hauptleistung, nicht aber im Hinblick auf ihm vom Kunden zur Verfügung gestellte Daten. Unter welche dieser beiden Kategorien aber lassen sich die beim Anbieter noch befindlichen Kundendaten subsumieren? Für die Annahme, dass es sich um „Arbeitsergebnisse“ handelt, spricht der erste Augenschein. Der Dienstleister hat die Kundendaten „erhalten“ und verarbeitet sie für diesen. Bei genauerem Hinsehen passt diese Einordnung aber zumindest nicht auf alle im Outsourcing anzutreffenden technischen Konstellationen. Der Unterschied bspw. zu den beim Steuerberater vorhandenen „Arbeitsergebnissen“ besteht darin, dass der Steuerberater sein (im synallagmatischen Verhältnis zur Vergütungspflicht) stehendes Arbeitsergebnis zurückhalten kann (und darf). Dieses Arbeitsergebnis aber hat der Outsourcing-Provider während der Laufzeit des Vertrages im Rahmen des Dauerschuldverhältnisses laufend abgeliefert (und ggf. nur auf der von ihm betriebenen Hardware gespeichert). Selbst wenn ihm noch offene Forderungen aus dem Vertragsverhältnis zustehen, kann daher nur ausnahmsweise davon ausgegangen werden, dass diese in synallagmatischem Verhältnis zur Pflicht zur „Rückgabe der Daten stehen. Besonders einleuchtend ist dies bei für den Kunden geführten Datenbanken oder Archiven. Diese sind am ehesten vergleichbar mit den vom BGH im Auftragsrecht angesprochenen vom Auftragnehmer angelegten Akten, sonstigen Unterlagen und Dateien, die unter § 667 BGB und damit nicht unter § 320 BGB fallen. Anders ist die Frage zu beurteilen, wenn der Auftraggeber – wie heute re- 77 gelmäßig – die Datenherrschaft dadurch wiedererlangen soll, dass er bei Vertragsende die Option auf den Rückerwerb der Hardware ausübt, auf der diese Daten gespeichert sind. Ist – wie in der Praxis regelmäßig – vorgesehen, dass bei Ausübung dieser Option ein Kaufvertrag zustande kommt, kann an dem Synallagma zwischen Zahlung des Kaufpreises und Übereignung der Datenträger kein Zweifel bestehen. Hier ist auch kein Grund erkennbar, warum die dort gespeicherten Daten anders zu behandeln sein sollen als das Speichermedium, in dem sie verkörpert sind. Der Anbieter kann daher (soweit nichts anderweitig im Vertrag bestimmt ist) die Rückgabe der Hardware von der Zahlung der vereinbarten Vergütung abhängig machen. 1 S. dazu Heymann, CR 2000, 24; Grützmacher in Schütze/Weipert, Münchener Vertragshandbuch, S. 513 f. m.w.N. Heymann
865
§ 51
Kundendaten und die Transition bei Outsourcing-Vertrgen
2. Schlussbemerkung 78
Die vorstehenden Ausführungen sind naturgemäß eher holzschnittartig. Angesichts der technischen Komplexität eines typischen „Remigrations“-Projektes bedarf es in der Regel vielfältiger Mitwirkungsleistungen zwischen den Parteien. In Outsourcing-Verträgen werden daher in der Regel in einer technischen Anlage die Grundzüge der zu erwartenden Leistungen adressiert sowie die Frage, inwieweit diese vergütungspflichtig sind oder nicht. Als Faustformel empfiehlt es sich hierbei, die in der ursprünglichen Transitionsvereinbarung niedergelegten Anstrengungen des Anbieters als Mindestpflichten zu „spiegeln“.
866
Heymann
Teil 8 Verträge über Datenverbindung und -anbindung, Verträge über den Austausch und Abgleich von Daten § 52 Verträge über Datennetze (WAN & VPN) Rz.
Rz.
I. Einführung und technischer Hintergrund . . . . . . . . . . . . . . . . . . 1 1. Vertragsarten in der Praxis und Abgrenzung zu anderen Verträgen . . . . . . . . . . . . . . . . . . . . 5 a) Infrastruktur-/TK-Verträge und deren Technik . . . . . . . . . . 5 b) Abgrenzung zu Internetzugang, LAN, Zusammenschaltung und Dark Fiber. . . . . 8 2. Leistungsmerkmale und Arten der Datennetzverträge. . . . . . . . . . 9 a) Der klassische WAN-Vertrag . . 10 b) Der VPN-Vertrag . . . . . . . . . . . . 11
c) Mischformen wie TDN-Verträge oder IntraSelect von T-Systems . . . . . . . . . . . . . . . . . 14 II. Aspekte des Telekommunikationsrechts . . . . . . . . . . . . . . . . . 20 III. Betrachtungen zum Vertragstyp . 21 IV. Ausgewählte rechtliche Probleme . . . . . . . . . . . . . . . . . . . . 1. Leistungsbeschreibung . . . . . . . . . 2. Schnittstellen und Leistungsübergabepunkte . . . . . . . . . . . . . . . 3. Service-Level-Agreements . . . . . . 4. Haftung . . . . . . . . . . . . . . . . . . . . .
24 25 26 27 29
I. Einführung und technischer Hintergrund Nicht erst das Stichwort „Big Data“1 lehrt uns, dass Daten zunehmende 1 Bedeutung haben. Smartphones sorgen dafür, dass die Daten und andere Informationen überall konsumiert, verarbeitet werden können. Auch Erscheinungen wie das Cloud-Computing2 führen dazu, dass die Daten nicht mehr unbedingt bei uns sind, sondern irgendwo. Die Verbindung zwischen Datenquelle und Verwender oder der Transport von Daten zum Nutzer ist Telekommunikation3. Verträge, die diese Verbindung sicherstellen, sind Datennetzverträge; in der Regel werden diese zwischen Unternehmen vereinbart. Anders gewendet: solche Verträge stellen für Unternehmen den Zugang zu solchen Daten sicher, die anderswo als der Nutzer sind.
1 S. Spiegel Heft 20/2013, 64 ff. „Die gesteuerte Zukunft“; Brand Eins, Heft 5/2013, 92 ff. „Das Eigentum wird virtuell“. 2 S. zu Cloud-Computing und Software as a Service Nägele/Jacobs, ZUM 2010, 281 ff.; Schuster/Reichl, CR 2010, 38 ff.; Wicker, MMR 2012, 783 ff. 3 Nach der Legaldefinition gem. § 3 Ziff. 22 TKG ist Telekommunikation der technische Vorgang des Aussendens, Übermittelns und Empfangens von Signalen mittels Telekommunikationsanlagen, kurz gefasst also der Transport von Signalen; s. dazu Schuster in Beck’scher TKG-Kommentar, 3. Aufl. 2006, § 1 Rz. 4. Schuster
867
§ 52
Vertrge ber Datennetze (WAN & VPN)
2
Während sich private Nutzer dabei des allgegenwärtigen Internets bedienen (beispielsweise über ihren DSL-Anschluss), haben Unternehmen andere Anforderungen, z.B. mit Blick auf die Verfügbarkeit der Transportwege und deren Sicherheit. Zu diesem Zweck schließen die Unternehmen Verträge über die Zurverfügungstellung von Datennetzen, etwa WAN-Verträge (oder, wenn man dieses Produkt von der Deutschen Telekom bzw. deren Tochtergesellschaft T-Systems bezieht, „Telekom Designed Network“ bzw. „TDN-Vertrag“, „Intra-Select“ usw.). Diese Verträge haben also einen erheblichen Einfluss auf die Möglichkeit des Zugriffs auf die Unternehmensdaten, bzw. ermöglichen diesen erst.
3
Solche Vereinbarungen können sehr unterschiedliche Ausprägungen und Leistungsinhalte haben. Bei zentralistisch organisierten Unternehmensgruppen kann sich ein solches Netzwerk auf zwei oder drei Standorte (Hauptsitz, große Niederlassung und Rechenzentrum) beschränken, bei dezentralisierten bzw. vertrieblich kleinteiliger aufgestellten Firmen kann ein solches Unternehmensnetzwerk Hunderte von Niederlassungen umfassen. Dementsprechend kann ein derartiger Vertrag sich auf ein oder zwei breitbandige Telekommunikationsverbindungen (etwa Standleitungen) beschränken und/oder eben Hunderte von Verbindungen, die dann verschiedene Verbindungstypen enthalten (etwa für die Anbindung der Hauptverwaltung an das Rechenzentrum eine Standleitung, für die kleineren Niederlassungen eine DSL-Anbindung).
4
Bei dieser Art von Verträgen ist, wie überhaupt bei B2B-Verträgen im Telekommunikationsbereich, anzumerken, dass hierzu – anders als etwa bei B2C-AGB von Telekommunikations-Anbietern – sehr wenig Literatur zu finden ist und noch weniger Rechtsprechung1. 1. Vertragsarten in der Praxis und Abgrenzung zu anderen Verträgen a) Infrastruktur-/TK-Verträge und deren Technik
5
Verträge über Datennetze sind Infrastrukturverträge2 bzw. Telekommunikationsverträge. Dementsprechend kann man sie gliedern: – „Passive Infrastruktur“: Verträge über die exklusive Nutzung eines Kabels oder einer Glasfaser (etwa bei Dark Fiber-Verträgen)3 sind unter Telekommunikations-Anbietern üblich. Solche Infrastrukturen werden aber von anderen Wirtschaftsunternehmen nur im Ausnahmefall angemietet und werden daher im Weiteren nicht betrachtet. 1 S. dazu bereits Schuster, CR 2005, 730 ff. Etwas Literatur, aber auch nicht zu allen Vertragstypen, findet sich in Schuster (Hrsg.), Vertragshandbuch Telemedia. 2 Zu den Infrastrukturverträgen im Bereich der Telekommunikation etwa Schuster (Hrsg.), Vertragshandbuch Telemedia, S. 313 ff. 3 Zu Kabelüberlassungsverträgen Geppert in Schuster, Vertragshandbuch Telemedia, S. 315 ff.; Müller/Kemper, MMR 2002, 434 ff.; Rau, MMR 2003, 87 ff. Auf der Wertschöpfungsebene „darunter“ gibt es in der Praxis auch noch Verträge über die Nutzung von Kabelschutzrohren (KSR) oder Teilen hiervon.
868
Schuster
§ 52
I. Einfhrung und technischer Hintergrund
– „Aktive Infrastruktur“: Auf der nächsten Ebene der „Netzwerke-Infrastruktur“ kommen dann die bereits nicht mehr „körperlichen“ Verbindungstypen, die aber immerhin noch eine physikalisch reservierte Verbindung gewährleisten. In diesem Bereich befinden sich die festgeschalteten Leitungen (auch Datendirektverbindungen, Übertragungswege, Stand- oder Mietleitungen oder auch Leased Lines genannt) wie Standard- oder Carrier Festverbindungen1. Diese Standleitungen sind permanente (sog. dedizierte) Verbindungen zweier Endpunkte über ein Telekommunikationsnetz. „Körperlich“ betrachtet sind auch diese Standleitungen virtuell, wegen der „stehenden Verbindung“ gewährleisten sie aber eine feste Bandbreite. Sie werden ihrer Bandbreite entsprechend klassifiziert; die bekanntesten sind die Mietleitungen E1 (mit einer Bandbreite von 2 Mbit/s), E3 (34 Mbit/s) und STM1 (155 Mbit/s). – „Virtuelle Infrastruktur“: Noch „virtueller“ sind sodann die Verträge über Leistungen, bei denen keine feste Leitung mehr geschaltet wird, sondern ein verschlüsselter Transport der Daten über entsprechende Technologien (etwa VPN) erfolgt. Unternehmensdatennetze stellen in der Regel ein WAN dar, das ver- 6 schiedene LANs miteinander verbindet. In der klassischen Definition ist ein solches WAN ein Rechnernetz. Im Sprachgebrauch der Unternehmen ist ein WAN das Netz, das die unterschiedlichen Standorte des Unternehmens miteinander verknüpft. Das WAN kann auf verschiedenen Technologien bzw. Protokollen basieren, etwa IP, MPLS und Ethernet, aber auch PDH, SDH und (dem älteren) ATM. VPNs sind innerhalb eines (i.d.R. öffentlichen) Netzes in sich geschlosse- 7 ne rein virtuelle Teilnetze. Durch diese Virtualisierung (mit entsprechenden Sicherheitsmechanismen) entsteht in dem öffentlichen Netzwerk (etwa dem Internet) ein separates „Netzwerk“. Der Nutzer eines solchen VPN ist zwar physisch an das öffentliche Netz (z.B. das Internet) angeschlossen, wird jedoch über das VPN an ein bestimmtes Netz angebunden (etwa an das Firmen-LAN), das seinen eigenen Regeln folgt (etwa bezüglich Adressierung, Kommunikationsprotokoll, Rechteverwaltung usw.)2. VPNs sind daher Softwareprodukte, weil sie die Verbindung über eine Art „exklusiven Tunnel“ („Tunneling“) rein virtuell herstellen. Solche VPN-Verträge sind daher keine Telekommunikationsverträge, da i.d.R. gerade kein Transport von Daten geschuldet wird.
1 Die CFV-Verträge der DTAG hatten früher (Anfang der Nuller Jahre) gut 100 Seiten (inkl. Anlagen). 2 S. Wikipedia zum Stichwort „VPN“ (abgerufen am 16.7.2013). Dazu auch Roth/ Haber, ITRB 2004, 19 f. Schuster
869
§ 52
Vertrge ber Datennetze (WAN & VPN)
b) Abgrenzung zu Internetzugang, LAN, Zusammenschaltung und Dark Fiber 8
Datentransport auf einer Infrastruktur ermöglichen auch zahlreiche andere Verträge, die von den hier diskutierten Datennetzverträgen abzugrenzen sind: – Der Internetzugang-, Internet-Access- oder Access-Providing-Vertrag ermöglicht den Zugang zum Internet1. War dies früher, insbesondere noch zu den Zeiten von Wählverbindungen (man erinnere sich an das wunderbare Modem-Geräusch!), ein Vertrag, der quasi auf den Telekommunikationsvertrag (für die Telefonie) „aufgesetzt“ wurde, ist der Internet-Access heute weitgehend ein Bestandteil des Vertrages „DSLLeitung“. Unabhängig davon ist die allgemeine Erscheinungsform dieses Vertrages nicht dazu gedacht, Unternehmensstandorte miteinander zu verbinden, sondern dem Kunden den Zugang zum Internet zu ermöglichen. Dies schließt nicht aus, dass in einem Datennetzvertrag auch DSL-Bestandteile (etwa zum Anschluss von kleineren Niederlassungen eines Kunden) enthalten sein können. – Als Element insbesondere von Hosting/Housing-, Rechenzentrumsoder anderen Outsourcing-Verträgen findet sich häufig, geschrieben oder ungeschrieben, die Leistung der Zurverfügungstellung des LAN (und auch die Anbindung an das Internet oder das WAN). Als eigenständiger Vertragstyp, bei dem die Hauptleistungspflicht das LAN ist, ist diese Leistung in der Praxis nicht zu beobachten. – Unter TK-Netzbetreibern findet sich dann noch eine besondere Form des Datennetzvertrages, nämlich die Zusammenschaltung von Telekommunikationsnetzen (auch Interconnection genannt)2. Hierunter fällt auch das im Internetbereich übliche Peering. – Zu guter Letzt gibt es, wie bereits oben kurz erwähnt, auch noch die Anmietung passiver Infrastruktur, insbesondere von Glasfasern (Dark Fiber). Diese Vertragsleistungen finden sich ebenfalls im Regelfall unter TK-Netzbetreibern. Hierzu gehört systematisch auch der Zugang zur Teilnehmeranschlussleitung (in Form des TAL-Vertrages)3. Diese Verträge haben, da keine aktive Technik mitvermietet wird, ihre eigenen Regeln.
1 Zum Internet-Access-Vertrag (Vertragstyp) BGH, CR 2005, 816 m. Anm. Schuppert; kritisch dazu Schuster, CR 2006, 47 ff.; grundsätzlich zu diesen Verträgen: Schmitz/v. Netzer in Schuster, Vertragshandbuch Telemedia, S. 628 ff.; Schneider in Schneider, Handbuch des EDV-Rechts, O Rz. 146 ff.; Cichon, Internet-Verträge, S. 9 ff. 2 Umfassend zu diesen Verträgen Piepenbrock/Müller, in Schuster, Vertragshandbuch Telemedia, S. 332 ff. Zum Vertrag nach § 22 TKG Heun, Handbuch Telekommunikationsrecht, S. 1003 ff. Zum Peering-Vertrag Petri/Göckel, CR 2002, 418 ff. 3 Grundsätzlich zu diesen Verträgen Piepenbrock/Müller in Schuster, Vertragshandbuch Telemedia, S. 413 ff.
870
Schuster
§ 52
I. Einfhrung und technischer Hintergrund
2. Leistungsmerkmale und Arten der Datennetzverträge Daraus folgt ein ganz wesentlicher Unterschied für den Leistungsinhalt 9 und damit gegebenenfalls später auch für die Betrachtung des Vertragstyps: a) Der klassische WAN-Vertrag Bei dem (Teil eines) Datennetzvertrag(es) über eine festgeschaltete Ver- 10 bindung bzw. dedizierte Leitungen wird ein Datentransport zwischen zwei Endpunkten (oder geographischen Standorten) einschließlich einer vereinbarten Bandbreite geschuldet. Dies ist der klassische „WAN-Vertrag“. Dabei sollte allerdings nicht übersehen werden, dass dieser Vertragstyp auf dem Rückzug ist, weil das Netzmanagement eines Netzbetreibers die dadurch entstehende, weil „Bandbreiten-Exklusivität“ bewirkende Kapazitätsbeschränkung lieber durch dynamisierte Netze mit Priorisierung bzw. QoS auf MPLS- oder IP-Basis ersetzt (hat). b) Der VPN-Vertrag Dies ist bei einem VPN-Vertrag in der Regel anders, soweit nicht eine 11 Mischform (dazu sogleich) vorliegt: In diesem Fall schuldet der Anbieter vertraglich die Elemente, um einen gesicherten Datentransport über das öffentliche Internet zu ermöglichen. Im Regelfall handelt es sich dabei um Router und Switches sowie die erforderliche Software. Hier ist also der wesentliche Inhalt des Vertrages die Vorbereitung eines gesicherten Transportes, wobei der Transport selber dann aber ggf. von einem anderen durchgeführt wird. In der Praxis wird hier zunächst vom Anbieter ein Konzept ausgearbeitet, aus dem sich die Struktur des VPN, die Teilnehmer und Rechte sowie die Standorte ergeben. Die Verbindung der Standorte des Kunden an das Datennetz wird durch konfigurierte Router hergestellt, die an den jeweiligen Standorten aufgestellt werden1. Das VPN wird dann durch die Einstellung der entsprechenden Software auf den Routern realisiert. Der Transport der Daten selbst von Punkt A zu Punkt B ist nicht Leis- 12 tungsinhalt und damit auch nicht Vertragsgegenstand. Der Anbieter schuldet also lediglich die Handhabung der Daten („Verpackung“) am Absende- und am Empfangsort, insbesondere die Verschlüsselung, nicht aber den Datentransport. Deutlich wird dies beispielsweise im Rahmen der Leistungsbeschreibung von T-Systems für das Produkt „IntraSelect“ für die Zugangsvariante „Remote Connect“, dort heißt es unmissverständlich: „Hinsichtlich der Verfügbarkeit und Leistung des Internet und der Verfügbarkeit der VPN-Verbindung über das Internet kann die T-Systems keine Verantwortung übernehmen“.
1 S. dazu auch Roth/Haber, ITRB 2004, 20; Schumacher, CR 2006, 230. Schuster
871
§ 52 13
Vertrge ber Datennetze (WAN & VPN)
Möchte man dies mit einem Beispiel aus der körperlichen Welt verdeutlichen, dann übernimmt ein Dienstleister den Betrieb der Poststellen in verschiedenen Niederlassungen eines Unternehmens sowie das Verpacken und Versenden der Pakete (hier dann der Datenpakete). Er schuldet also genau das (nämlich das Verpacken und Absenden vom Router A und damit Übergabe an den Transporteur, etwa dem Betreiber des Internets, sowie Übernahme vom Transporteur und Empfang durch den Router B), aber eben nicht die Transportleistung. Dafür beauftragt er entsprechende Paketdienste (z.B. DHL). Naturgemäß kann auch DHL den Betrieb der Poststellen und den Transport der Pakete übernehmen, dann liegt eine integrierte Leistung vor (und die damit nachfolgend beschriebene Mischform). c) Mischformen wie TDN-Verträge oder IntraSelect von T-Systems
14
Bei Anbietern, die über große Netze verfügen und ein flexibles Netzmanagement fahren wollen, findet man eine Mischform (wie etwa bei den „IntraSelect“-Verträgen der T-Systems). Hier werden zwar keine dedizierten Standleitungen geschaltet, dennoch verpflichtet sich der Anbieter zum Transport der Daten und zum Betrieb eines VPN. Große Netzbetreiber wie etwa die Deutsche Telekom sagen hinsichtlich des Transportes der Daten dann bestimmte Leistungsmerkmale wie Datenpriorisierung und QoS zu.
15
Dabei ist für das weitere Verständnis wichtig: ein Netzbetreiber, der bei einem VPN-Vertrag Bandbreiten u.Ä. zusagt, verfügt möglicherweise über einen großen Anteil der für den Kunden erforderlichen Netzinfrastruktur. Ggf. unterstellt er aber auch, dass bei den Teilen des Netzes, die er nicht selber betreibt (etwa den DSL-Anschluss des Kunden zum Internet), die Verfügbarkeit usw. ausreichend ist.
16
Ein Blick auf die Mobilfunknetze und ihre Technologie vermag dies zu verdeutlichen: Mobilfunkfrequenzen sind ein sog. Shared-Medium, bei dem sich die Nutzer die in einer Funkzelle verfügbare Bandbreite miteinander teilen. Ist nur ein Nutzer in der Funkzelle, so kann er möglicherweise bei LTE mit bis zu 300 Mbit/s rechnen, sind 1000 Nutzer parallel in der Funkzelle, so geht die Bandbreite deutlich herunter. Ähnlich ist dies mit VPN-Verbindungen, die ein und dasselbe Kabel (oder Faser oder Festverbindung) für ihre Tunnel benötigen: je mehr Tunnel auf dem Kabel „geschaltet“ werden, umso mehr geht die verfügbare Bandbreite bei paralleler Nutzung durch die Kunden in die Knie. Eine Priorisierung oder Mindestbandbreite kann der Netzbetreiber nur dort realisieren, wo er Herr der Technik ist (d.h. im Regelfall die komplette Infrastruktur sein eigen nennt, also passive Technik – vor allem Kabel oder Fasern – und aktive Technik).
17
Auch die Telekom selbst unterscheidet in ihren Datennetzverträgen (z.B. „IntraSelect“ der T-Systems) zwar zwischen „Fixed Connect“ (als Stand872
Schuster
§ 52
I. Einfhrung und technischer Hintergrund
ortkoppelung mit ortsfesten Anschlüssen) und etwa „Remote Connect“. Hinsichtlich der technischen Lösung, insbesondere der verwendeten Protokolle, legt sie diese in der Regel jedoch nicht fest. Stattdessen enthalten die Beschreibungen nur Allgemeinplätze wie „hohe Datensicherheit durch ein privates, vom Internet getrenntes Geschäftskundennetz“ (das trifft sowohl auf festgeschaltete Verbindungen als auch auf ein VPN zu) oder „Datenpriorisierung in unterschiedlichen Qualitätsklassen“. Selbst beim Teilprodukt „Fixed Connect“ finden sich in der Leistungsbeschreibung alle denkbaren Protokolle wie ATM (eigentlich eine Festverbindung) oder MPLS (eigentlich lediglich eine Art „Priorisierungsprotokoll“). Unabhängig davon gibt es dann Zusagen hinsichtlich der Qualitäts- oder Service Level (in diesem Bereich eher „QoS“ bzw. „Quality of Service“ genannt) oder es werden bestimmte IP-Bandbreiten (Commited Access Rate) zugesichert. In diesen Fällen obliegt es ihrem Netzmanagement und der Priorisierung im Netz, dass der Kunde die garantierten Bandbreiten erhält1. Das mag erstaunen, weil die Zusage solcher Leistungseigenschaften ei- 18 gentlich die Herrschaft über das Netz voraussetzt. Eine bestimmte Mindestbandbreite oder Verfügbarkeit funktioniert nur, wenn der Netzbetreiber entweder eine feste Verbindung schaltet oder, soweit das Protokoll eine Art „Shared-Medium“ (wie etwa im Mobilfunk) diversen Kunden auf der gleichen Strecke ermöglicht, der Netzbetreiber anhand seiner Statistiken weiß, dass die durchschnittliche Inanspruchnahme der jeweiligen Strecke durch die Kunden zu jeder Zeit eine virtuelle Verbindung mit der vertraglich zugesicherten Eigenschaft ermöglicht. Der Telekom oder T-Systems fällt eine solche Zusage in der Regel leichter als anderen Anbietern, weil die Telekom über große Teile des Netzes verfügt. Anders gewendet: solange die Daten im eigenen Netz des Anbieters transportiert werden, stehen diesem verschiedene Möglichkeiten zur Verfügung, die vertraglich vereinbarten Service-Level (oder Leistungsparameter) sicherzustellen2, aber eben auch nur dann. Bei dieser Mischform liegt also eine Fallgestaltung vor, bei der der Pro- 19 vider doch den Transport der Daten übernehmen will. Anders ist dies aber eben dort, wo der Kunde seine Anbindung an das Internet (etwa in der Form einer SDSL-Verbindung) beispielsweise bei einem anderen Provider angemietet hat: hier fallen Einrichtung des VPN-Netzes einerseits und Transport der Daten (Verbindung zum Internet) andererseits in die Leistungspflichten von zwei verschiedenen Vertragspartnern.
1 So wirbt die T-Systems (http://www.t-systems.de/referenzen) beispielsweise (heruntergeladen am 18.7.2013) mit der Referenz der Zurverfügungstellung eines IPVPN „mit garantierten Mindestbandbreiten in beide Übertragungsrichtungen“ zur Datenübertragung für die Firma ivv Informationsverarbeitung für Versicherungen GmbH. 2 So zutreffend auch Roth/Haber, ITRB 2004, 20. Schuster
873
§ 52
Vertrge ber Datennetze (WAN & VPN)
II. Aspekte des Telekommunikationsrechts 20
Das (regulatorische) Telekommunikationsrecht nach dem Telekommunikationsgesetz (TKG) kommt bei Datennetzverträgen zwischen einem TK-Anbieter und einem Wirtschaftsunternehmen im Regelfall allenfalls bei dem TK-Anbieter ins Spiel. Hier sind zwei Bereiche grundsätzlich zu unterscheiden: – Zahlreiche Vorschriften des TKG sind unabhängig von der Marktstellung des TK-Anbieters, so dass bei vielen Diensten allgemeine Regelungen in Betracht kommen. Der Anbieter kann etwa der Meldepflicht nach § 6 TKG unterfallen, die Erfüllung dieser Pflicht durch den Anbieter ist aber für den Kunden irrelevant. Interessanter könnte für den Kunden sein, ob die Kundenschutzvorschriften der §§ 43a ff. TKG Anwendung finden, aber auch das spielt in der Praxis faktisch keine Rolle. Der TK-Datenschutz (§§ 91 ff. TKG) wird grundsätzlich ebenso eingreifen, nur werden im Regelfall bei Datennetzverträgen keine Verkehrs- oder Standortdaten erhoben oder Einzelverbindungsnachweise erstellt. – Einige Vorschriften, die gegebenenfalls auch einmal bei Datennetzverträgen eine Rolle spielen können, setzen eine Marktmacht des Anbieters voraus. Dies kommt namentlich dann in Betracht, wenn der vom Kunden ausgewählte TK-Anbieter ein Unternehmen der Deutschen Telekom (also auch T-Systems) ist. Hier können dann möglicherweise dem Kunden gewährte, zu günstige Entgelte gegen das Recht der Entgeltregulierung verstoßen und damit z.B. ein missbräuchliches Verhalten darstellen1. Falls solche Entgelte von einem Gericht als missbräuchlich (zu niedrig) festgestellt würden, könnte ein entsprechender Kunde einer (rückwirkenden) Erhöhung der vertraglichen Entgelte ausgesetzt sein.
III. Betrachtungen zum Vertragstyp 21
Nimmt man die herrschende Rechtsprechung zu den Endkunden-Telekommunikationsverträgen, dann unterfällt die Hauptleistungspflicht „Transport der Daten“ dem Recht des Dienstvertrages. Dies ist vom Verfasser bereits an anderer Stelle ausführlich kritisiert worden und soll daher vorliegend nicht weiter vertieft werden2. Festzuhalten bleibt, dass von den in Betracht kommenden Vertragstypen des altehrwürdigen BGB der Dienstvertrag schlichtweg am wenigsten geeignet ist, das Leistungsgefüge adäquat abzubilden, zumal noch – wie hier – unter Kaufleuten. Zwar wollen die anderen üblichen Verdächtigen des BGB (also neben 1 S. dazu auch Schuster, CR 2005, 732 f. m.w.N. Müller in Spindler/Schuster, Recht der elektronischen Medien, § 28 Rz. 3 ff. 2 S. dazu mit ausführlicher Diskussion und vielen Nachweisen zum Meinungsstand Schuster, CR 2006, 444 ff.
874
Schuster
§ 52
III. Betrachtungen zum Vertragstyp
dem Dienstvertrag insbesondere noch der Werk- und der Mietvertrag) auch nicht so recht passen, werden aber dem Charakter der Leistung jedenfalls deutlich gerechter. Am meisten spricht für einen Vertrag sui generis mit den jeweiligen Modulen aus den BGB-Vertragstypen1. Von den dort dargelegten Gründen abgesehen spricht bei den Datennetzverträgen insbesondere der Parteiwille für eine solche Einstufung des Vertragstyps: Dieser Wille spiegelt sich insbesondere in den üblichen Service-LevelAgreements wieder, in denen Verfügbarkeit, Ausfallzeiten, Datenverlustraten, Datenlaufzeiten, Jitter und Ähnliches vereinbart werden2. Die hier betrachteten Datennetzvertragsarten lassen sich wie folgt den 22 BGB-Vertragstypen zuordnen: – Soweit es sich um festgeschaltete Verbindungen (etwa Standleitungen) handelt, entweder als alleinige vertragliche Leistung oder als Teilleistung im Rahmen eines umfassenderen WAN, spricht aufgrund der Physik Überwiegendes für die Anwendung des Mietrechts, also der §§ 535 ff. BGB. Denn es handelt sich dabei um die Gebrauchsüberlassung einer festgeschalteten Punkt-zu-Punkt-Datenverbindung mit einer definierten Übertragungsbandbreite3. – Sind die vertraglich vereinbarten Leistungen dadurch definiert, dass der Anbieter ein VPN zu errichten und zu betreiben hat, so kommt aufgrund des Installationscharakters Werkvertragsrecht4 und aufgrund der Zurverfügungstellung von Hardware (insbesondere der Router) Mietvertragsrecht in Betracht. Da beide Vertragstypen einen ähnlichen Schutz des Kunden, insbesondere bei der Mängelhaftung, bieten, dürfte eine abschließende Festlegung auf einen Vertragstyp nicht unbedingt erforderlich sein. Aus Sicht des Verfassers spricht aber mehr dafür, insgesamt Werkvertragsrecht anzuwenden, da der Kern der Leistungspflicht das ordnungsgemäße Verpacken und Entpacken der Daten (Verschlüsselung) auf beiden Seiten des Transportweges ist. Dies ist eine erfolgsbezogene Tätigkeit5. – Etwas schwieriger fällt die Einordnung bei dem vorstehend beschriebenen Mischvertrag. Hinsichtlich der Verschlüsselungsleistung verbleibt es bei dem werkvertraglichen Charakter. Der vom Anbieter mit bestimmten Kriterien (Priorisierung, QoS) zugesagte Datentransport stellt dann wieder eine Telekommunikationsleistung dar, auf die nach der Meinung des BGH bei Endkunden-AGB das Recht des Dienstleis1 Vgl. Schuster, CR 2006, 450 ff. m.w.N. Ähnlich Petri/Göckel, CR 2002, 331. A.A. Redeker, ITRB 2010, 112 ff.: Werkvertrag mit stark mietrechtlichem Einschlag. 2 Vgl. Schuster, CR 2006, 452. S. auch Roth/Haber, ITRB 2004, 20. 3 Vgl. dazu Geppert in Schuster, Vertragshandbuch Telemedia, S. 554 ff. m.w.N. 4 So auch Roth/Haber, ITRB 2004, 20, hinsichtlich der Einrichtung des VPN; Schumacher, CR 2006, 230. 5 S. auch BGH, NJW 2008, 1072 – Werkvertrag bei Verpackungsleistungen. Schuster
875
§ 52
Vertrge ber Datennetze (WAN & VPN)
tungsvertrages anzuwenden ist. Nach hier vertretener Auffassung handelt es sich um einen Vertrag sui generis1. 23
Es spricht im Übrigen – außer der möglicherweise größeren Mühsal bei einer AGB-Prüfung – nichts dagegen, abgrenzbare Leistungsbereiche unterschiedlichen BGB-Vertragstypen zuzuführen2. Allerdings folgt aus den sich ergebenden Unsicherheiten bezüglich des anzuwendenden BGB-Vertragstyps zugleich, dass bei individuell verhandelten Großkundenverträgen diese Unsicherheiten durch entsprechende Gestaltung der Vertragsklauseln zu vermeiden sind.
IV. Ausgewählte rechtliche Probleme 24
Wesentliche Aspekte der Vertragsgestaltung bei Datennetzverträgen sind die Themen Leistungsbeschreibung, Schnittstellen/Übergabe Punkte, Service-Level und Sicherheit/Haftung: 1. Leistungsbeschreibung
25
Aus den obigen Ausführungen zu den verschiedenen Vertragsarten und damit dem Unterschied zwischen dedizierten (Stand-)Leitungen einerseits und rein virtuellen Verbindungen (wie etwa bei IP-VPN-Verträgen) andererseits folgt, dass der Kunde zwingend darauf achten muss, wie wichtig ihm Bandbreite, Verfügbarkeit und sonstige Service-Level sind und darauf aufbauend, welche Leistung er wirklich beziehen möchte. Die eigentliche Leistungsbeschreibung ist in diesem Komplex nicht das Problem, sondern das gegenseitige Verständnis der Parteien, was der Kunde braucht bzw. möchte, und was der Anbieter leistet. Ist dieses Verständnis gefunden, hat sich die Leistungsbeschreibung daran zu orientieren, was bei vielen TK/IT-Verträgen in der Praxis leider trotz der anscheinenden Banalität dieser Erkenntnis allzu häufig versäumt wird. 2. Schnittstellen und Leistungsübergabepunkte
26
Ein Aspekt von Datennetzen, der, obgleich auch eher trivialer Natur, ebenfalls regelmäßig unterschätzt wird, ist die an die Kabel angeschlossene Hardware. Die Kabel als solche sind „dumm“ (= passiv), daher kann diesen abgesehen von seltenen Kabelbrüchen, Schäden durch Bagger oder (bei Glasfaser) dem „Blindwerden“ nicht viel passieren. Ausfälle – oder Probleme – gibt es bei der Hardware. Betrachten lässt sich das bei der unbeleuchteten (Dark Fiber) bzw. beleuchteten (Lit Fiber) Glasfaser: erst die angeschlossenen Laser sorgen für die Übertragung der Daten (die Beleuchtung) und sind die Elemente, die bei einem (Glasfaser-)Netzwerk Ärger verursachen können. Daher ist bei jeder Vertragsgestaltung zwin1 S. Schuster, CR 2006, 450 ff. m.w.N. 2 S. Schuster, CR 2006, 452 f.
876
Schuster
§ 52
IV. Ausgewhlte rechtliche Probleme
gend darauf zu achten, dass diese Hardware Leistungsbestandteil ist bzw. sich die Service-Level hierauf beziehen. Dementsprechend sind die Schnittstellen bzw. Leistungsübergabepunkte zu definieren: – Übernimmt der Anbieter eine wirkliche Ende-zu-Ende-Verantwortung (etwa wenn T-Systems sowohl das Rechenzentrum inklusive Hardware/Software betreibt als auch die Übertragungswege zu den Standorten des Kunden), so ist die einzig relevante Schnittstelle der Punkt, an dem der Kunde die Daten in sein eigenes LAN übernimmt (die „Steckdose“ aus der Kundenperspektive, wenn man so möchte). Bis dahin trägt der Anbieter die Verantwortung und es ist unerheblich, ob der Strom oder die Hardware im Rechenzentrum oder ein Router unterwegs ausgefallen ist. Einzige Frage ist, ob die Router am Standort des Kunden vom Anbieter oder vom Kunden verantwortet werden. Dementsprechend wäre im ersten Fall (Zuständigkeit des Anbieters) in der Regel der LAN-seitige Port des Routers Übergabepunkt, im zweiten Fall der WAN-seitige Port. – Im Fall eines VPN-Vertrages sind die Leistungsübergabepunkte jeweils die LAN-seitigen Ports der Router, da die Router selbst zur vertraglichen Leistung der Verschlüsselung der Datenpakete bzw. der „Tunnelung“ zwingend erforderlich sind. Soweit die VPN-Verschlüsselung durch andere Geräte bzw. Lösungen (etwa bei Außendienstmitarbeitern oder Home Offices) erfolgt, ist dies entsprechend zu berücksichtigen und insoweit abzugrenzen. – Handelt es sich um einen WAN-Vertrag, gilt das Vorstehende entsprechend, allerdings muss dann zwischen den einzelnen Bestandteilen unterschieden werden, das heißt unterschiedliche Übergabepunkte für die einzelnen Leistungselemente. 3. Service-Level-Agreements Bezüglich der Service-Level ist bei der Vertragsgestaltung wiederum zwi- 27 schen den beiden Hauptarten der Datennetzverträge zu unterscheiden: – Bei den WAN-Verträgen sind vor allem die Service-Level-Verfügbarkeit und Antwortzeit von Bedeutung. Hinzu kommen möglicherweise, je nach Netzeigenschaften und Diensten, Service-Level wie Round-TripDelay, Packet-Loss-Ratio und Jitter1. Der genaue Wert der Verfügbarkeit ist vorrangig eine Frage des Preises; eine Verfügbarkeit unter 99,5 % dürfte allerdings bei vielen Anwendungen die Untergrenze darstellen. Zu beachten ist ferner, dass viele Anbieter aus leicht zu durchschauenden Gründen bei der Berechnung der Verfügbarkeit auf das Kalenderjahr abstellen wollen. Dies kann aber zu sehr langen Ausfallzeiten an einem Stück führen, so dass im Regelfall eine Verfügbarkeit je Kalendermonat vereinbart wird. Handelt es sich um geschäftskritische Anwendungen, etwa die Nutzung 1 S. zu diesen drei Kriterien Schumacher, CR 2006, 231 f. Schuster
877
§ 52
Vertrge ber Datennetze (WAN & VPN)
einer wichtigen Unternehmenssoftware, sollten darüber hinaus auch Vereinbarungen hinsichtlich maximaler Ausfallzeiten (in Stunden) oder der maximalen Länge einzelner Ausfälle getroffen werden. Die Antwortzeit ist dann eine wichtige Kenngröße, wenn über das WAN zeitkritische oder andere wichtige Anwendungen genutzt werden, bei denen die zeitnahe Ausgabe auf dem Bildschirm des Nutzers erhebliche Bedeutung hat. Beträgt die Antwortzeit zwischen dem Eingabebefehl des Nutzers und der Ausgabe des Ergebnisses auf seinem Bildschirm üblicherweise eine Sekunde (Antwortzeit) und verdoppelt sich diese aufgrund z.B. schlechter Latenzzeiten der Leitung, so verschlechtert sich entsprechend auch die Arbeitsleistung des davon betroffenen Mitarbeiters. – Bei den VPN-Verträgen stellt man weniger auf die Qualität des Datentransportes ab, sondern mehr auf die eigentliche Fehlerbeseitigung, namentlich wenn die Router oder die dort darauf installierte Software Probleme machen. Diesbezüglich sind Vereinbarungen hinsichtlich des Störungsmanagements (also insbesondere zu Reaktions- und Wiederherstellungs-Fristen) von besonderer Bedeutung1. 28
Bei der Vertragsgestaltung sollte im Übrigen beachtet werden, dass bestimmte Service-Level wie die Verfügbarkeit möglicherweise keine Gewährleistungsregeln, sondern eine Leistungsbeschreibung darstellen können, oder sich möglicherweise Interdependenzen zwischen diesen Vertragsbereichen ergeben2. Ansonsten kann diesbezüglich auf die allgemeine IT-Literatur zu Service-Leveln verwiesen werden3. Dies gilt insbesondere für die Aspekte Vertragsstrafe oder pauschalierter Schadensersatz4, Monitoring und Berichtspflichten. Diesbezüglich ergeben sich bei den Datennetzverträgen in der Praxis keine wesentlichen Unterschiede. 4. Haftung
29
Bei der Haftung5 sind im Rahmen von Datennetzverträgen folgende Aspekte zu bedenken: – Anbieter sind häufig bestrebt, ihre Haftung für „indirekte Schäden“, „Vermögensschäden“, „Folgeschäden“ oder „mittelbare Schäden“ aus1 S. dazu im Übrigen Schumacher, CR 2006, 232 f. 2 Zur Problematik Hartung/Stiemerling, CR 2011, 618; Schuster, CR 2009, 206 ff. S. dazu beispielsweise auch die Entscheidung des BGH zur klauselmäßigen Zugangsbeschränkung beim Online-Banking, CR 2001, 181 m. Anm. Stogmüller. 3 Zur Rechtsnatur von Service-Levels bei IT-Verträgen Schuster, CR 2009, 205 ff. mit vielen weiteren Nachweisen. Allgemein zu SLA Mahr in Bräutigam, IT-Outsourcing, S. 809 ff.; Beyer, ITRB 2005, 287 ff.; Hartung/Stiemerling, CR 2011, 617 ff. 4 Zu Vertragsstrafe, Vergütungsminderung, pauschaliertem Schadensersatz und Kündigungsregelungen bei IT-Verträgen Schuster, CR 2009, 207 ff. 5 Zu dem Thema Haftung, Aufwendungsersatz und Rückabwicklung bei IT-Verträgen Schuster, CR 2011, 215 ff. m.w.N.
878
Schuster
§ 52
IV. Ausgewhlte rechtliche Probleme
zuschließen1. Ein solcher Haftungsausschluss ist allerdings nur in Individualklauseln und nicht in AGBs möglich2. Diesbezüglich gibt es für Vertragsverhandlungen kein richtig oder falsch; zu beachten ist aber, dass die bei Datennetzverträgen entstehenden Schäden typischerweise genau solche „indirekten“ Schäden sind, weil Sach- und Personenschäden die absolute Ausnahme darstellen (schön zu illustrieren an dem Beispiel des in der juristischen Ausbildung berüchtigten Baggerfalls: für den Eigentümer eines von einem Bagger beschädigten Kabels stellt sich der Schaden am Kabel als Sachschaden dar, für den Kunden einer auf diesem Kabel geschalteten Standleitung wäre ein entgangener Gewinn dann aber ein solcher „mittelbarer Schaden“). – Anbieter versuchen gelegentlich, die Haftungsprivilegierung des § 44a TKG zu vereinbaren. Danach ist die Haftung eines Anbieters von öffentlich zugänglichen Telekommunikationsdiensten zum Ersatz eines Vermögensschadens gegenüber einem Endbenutzer im Falle von Fahrlässigkeit auf höchstens 12 500 Euro beschränkt. Der Geschäftskunde bei einem Datennetzvertrag wird wohl Endbenutzer nach § 3 Ziff. 8 TKG sein und möglicherweise stellt sich die vertragliche Vereinbarung auch als öffentlich zugänglicher Telekommunikationsdienst im Sinne dieser Vorschrift da, jedoch will diese Vorschrift bei Geschäftskunden nicht passen. Sie ist eine dem AGB-Recht fremde Haftungs-Privilegierung, die ihren Grund im Telefon-Massengeschäft findet. Davon sind die hier besprochenen Datennetzverträge zwischen Unternehmen jedoch sehr weit entfernt, so dass eine solche Haftungsbeschränkung bzw. ein Verweis auf diese Vorschrift bei individuell verhandelten Verträgen in der Praxis zumindest sehr ungewöhnlich ist.
1 Zur Problematik dieser unscharfen Begriffe Schuster, CR 2011, 217 f. 2 So zutreffend Schumacher, CR 2006, 232. Schuster
879
§ 53 EDI-Vereinbarungen über den elektronischen Datenaustausch Rz. I. Ausgangslage . . . . . . . . . . . . . . . . .
1
II. Electronic Data Interchange (EDI) . . . . . . . . . . . . . . . . . . . . . . . . 3 1. Bedeutung . . . . . . . . . . . . . . . . . . . 3 2. Funktionsweise . . . . . . . . . . . . . . . 6 3. Einführung im Unternehmen . . . 10 4. Historische Entwicklung in der EU und Deutschland . . . . . . . . . . . 14 5. Neuere Entwicklungen . . . . . . . . . 24 III. Ausgewählte Regelungsbestandteile einer EDI-Vereinbarung für klassisches EDI . . . . . . . . . . . . . . . 1. Ausgangslage . . . . . . . . . . . . . . . . . 2. Gegenstand und Umfang des EDI-Nachrichtenaustauschs . . . . 3. Definitionen . . . . . . . . . . . . . . . . . 4. Zugang von EDI-Nachrichten und Betriebszeiten der EDIEmpfangsvorrichtung . . . . . . . . . . 5. Vereinbarung über die Rechtswirksamkeit und Beweiskraft von EDI-Nachrichten . . . . . . . . . .
26 26 27 28 29
Rz. 6. Behandlung von Störungen, Fehlervermeidung, Sicherungsmaßnahmen . . . . . . . . . . . . . . . . . . 7. Testphase . . . . . . . . . . . . . . . . . . . . 8. Aufzeichnung und Archivierung von EDI-Nachrichten . . . . . . . . . . 9. Haftungsregelung . . . . . . . . . . . . . 10. Anlage technische Spezifikation . IV. Ausgewählte Regelungsbestandteile einer EDI-Vereinbarung für modernes EDI . . . . . . . . . . . . . . . . 1. Ausgangslage . . . . . . . . . . . . . . . . . 2. Regelungsbestandteile der EDIVereinbarung zwischen den EDI-Austauschpartnern . . . . . . . . 3. Regelungsbestandteile einer Vereinbarung mit dem EDI-Plattform-Provider. . . . . . . . . . . . . . . . .
34 37 38 39 40
41 41 42 46
V. Fazit . . . . . . . . . . . . . . . . . . . . . . . . 47
32
I. Ausgangslage 1
Die englische Abkürzung EDI steht für Electronic Data Interchange, elektronischer Datenaustausch. EDI ist ein Oberbegriff für Standards zum Austausch strukturierter Daten per Datenfernübertragung zwischen Unternehmen. Solche Standards beschreiben konkrete technische Verfahren zum Datenaustausch, deren Einsatz über rechtliche Vereinbarungen1 zwischen den Parteien für verbindlich erklärt werden.
2
Die nachfolgende Darstellung geht in einem ersten Abschnitt auf die grundlegende Funktionsweise von EDI, dessen historische Entwicklung sowie die rechtlichen Rahmenbedingungen, unter denen sich EDI entwickelt hat, ein. Gegenstand eines zweiten und dritten Abschnitts sind ausgewählte Regelungsbestandteile, die häufig in EDI-Austauschvereinbarungen anzutreffen sind. Unterschieden werden dabei die Spielarten „klassisches EDI“ und „WebEDI“.
1 S. grundlegend Walden, CR 1994, 1.
880
Hausen
§ 53
II. Electronic Data Interchange (EDI)
II. Electronic Data Interchange (EDI) 1. Bedeutung EDI selbst ist anwendungs-, branchen-, produkt- und protokollunabhän- 3 gig. Dadurch ist EDI sehr wandlungsfähig und flexibel, so dass EDI auch nach über 20 Jahren keineswegs „von gestern“ ist. Das Bedürfnis für Unternehmen zum verbindlichen elektronischen Austausch strukturierter und damit mittels EDV direkt weiterverarbeitbarer Daten – im EDIJargon als „Nachrichten“ bezeichnet – besteht unvermindert fort und nimmt eher zu denn ab. Lediglich die Techniken, über die EDI realisiert wird, sowie die eingesetzten Standards, in denen EDI-Nachrichten verfasst und übermittelt werden, haben sich im Laufe der Zeit den sich ändernden Anforderungen angepasst. Standards, die einen großen Bekanntheitsgrad und ebensolche Verbreitung gefunden haben, sind z.B. UN/EDIFACT (United Nations Electronic Data Interchange For Administration, Commerce and Transport) oder SWIFT (Society for Worldwide Interbank Financial Telecommunication) im Bankensektor. Daneben haben sich zum Teil auch eigene Spielarten (Subsets) eines übergeordneten Standards entwickelt, die vor allem branchenspezifische Besonderheiten abbilden. Es sind z.B. EANCOM für die Konsumgüterindustrie oder VDA/Odette für die Automobilindustrie. Heute wird EDI-Datenaustausch vermehrt über das Internet abgewickelt, 4 weswegen man auch von WebEDI (auf einer technischen Ebene werden oft XML1-Strukturen eingesetzt) im Unterschied zum klassischen EDI (Datenaustausch über eine Standleitung oder über sog. Value Added Networks, privatwirtschaftlich betriebene Netze, an die mehrere Unternehmen angeschlossen sind) spricht. Neu ist der Trend weg vom Betrieb von Inhouse-Lösungen, hin zum Outsourcing von EDI, d.h. die zum Betrieb von EDI erforderliche Infrastruktur wird an einen Dienstleister ausgelagert2. Man spricht auch von „EDI as a Service“ oder von „EDI aus der Cloud“. Outsourcing-Konstellationen sind v.a. bei der Vertragsgestaltung entsprechend zu berücksichtigen3. Unternehmen setzen EDI u.a. im Bereich der elektronischen Rechnungs- 5 stellung, dem sog. e-Invoicing4, zur Abwicklung von Bestellungen, für Lieferavisen und im Rahmen der Lagerverwaltung ein. Der größte Vorteil von EDI gegenüber der schriftlichen Abwicklung dieser Vorgänge liegt in der hohen Geschwindigkeit der elektronischen Übertragung sowie in der weitgehenden Ausschaltung der Fehlerquelle Mensch. Bei EDI-Verfahren läuft die Kommunikation vollständig automatisch ab, angefangen von
1 Extended Markup Language. 2 S. z.B. Beitrag auf ZDNet v. 23.4.2014, „Durch Cloud-Angebote wird EDI günstiger und flexibler“, abrufbar unter www.zdnet.de/41561749/. 3 S. dazu unten Rz. 21 ff.; s. dazu auch Beitrag von Intveen, § 54 Rz. 30 ff. 4 Speziell zum e-Invoicing s. Beitrag von Intveen, § 54. Hausen
881
§ 53
EDI-Vereinbarungen ber den elektronischen Datenaustausch
der Initiierung der Nachrichtenübertragung vom absendenden IT-System bis zur Verbuchung beziehungsweise Vorerfassung im empfangenden ITSystem (z.B. ERP-System). Eingabefehler werden so weitgehend ausgeschlossen. Durch die elektronische Übertragung entfallen Postlaufzeiten sowie die Zeit für eine manuelle Erfassung; beides führt zu willkommenen Einspareffekten. 2. Funktionsweise 6
Bei EDI-Verfahren erfolgt die Kommunikation unidirektional nach dem Push-Prinzip. Ein Sender sendet eine Nachricht an einen Empfänger. Der Empfänger kann seinerseits mit einer Nachricht antworten, und wird damit selbst zum Sender, und der ursprüngliche Sender zum Empfänger. Ein aktiver Abruf von Nachrichten (Pull) ist nicht vorgesehen. Die Kommunikation in die jeweilige Richtung wird als isolierter Prozess betrachtet und in EDI-Vereinbarungen1 auch als solcher behandelt.
7
Eine EDI-Nachricht besteht unabhängig vom eingesetzten Standard aus zwei Teilen: dem Nutzinhalt und den sog. Metadaten. Während Ersteres den eigentlichen Inhalt der EDI-Nachricht darstellt, der einer festen Syntax folgt, enthält Letzteres u.a. Informationen über das Routing der EDINachricht im Netzwerk. Damit bestehen durchaus Ähnlichkeiten zur E-Mail, wobei die E-Mail als wesentlicher Unterschied in ihrem Nutzinhalt überwiegend unstrukturierte Daten enthält und damit eben nicht einfach automatisiert bearbeitbar ist2. EDI-Nutzinhalte bestehen dagegen aus Elementen mit festen Eigenschaften, die zu Segmenten zusammengesetzt werden. Einzelne Segmente sind über sog. Separatoren (im nachfolgenden Beispiel „“ getrennt.
8
Eine EDI-Nachricht nach dem UN/EDIFACT-Standard, hier eine Bestellung, kann z.B. so aussehen3: UNA:+.? UNB+UNOA:3+123500+446570+991218:1410+1 UNH+1+ORDERS:D:93A:UN:SUB1 BGM+220+1234 DTM+4:19991218:102 NAD+BY+++UNTERNEHMEN B+STRASSE 21+B-ORT++12345 NAD+SE+A234::92 LIN+1++764:BP
1 S. dazu ausführlich unten Rz. 26 ff. und 41 ff. 2 S. aber unten Rz. 24 f. 3 Beispiel aus einer PowerPoint-Präsentation von Prof. Dr. Wolfgang Riggert, FH Flensburg, abrufbar unter http://www.wi.fh-flensburg.de/fileadmin/dozenten/ Riggert/bildmaterial/Dokumentenmanagement/2-Capture-EDI.pdf. Dort findet sich auch eine detaillierte Erläuterung jeder einzelnen Funktion.
882
Hausen
§ 53
II. Electronic Data Interchange (EDI) QTY+21:1:1:PCE UNS+S UNT+9+1 UNZ+1+1
Direkter Empfänger von EDI-Nachrichten sind nicht Personen, sondern 9 IT-Systeme. Je nach EDI-Nachricht kann es sich dabei um ERP-Systeme, Produktionsplanungssysteme, Lagerverwaltungssysteme oder Verkaufsund Einkaufssysteme handeln. Der Mensch kommt erst wieder ins Spiel, wenn es darum geht die vom IT-System vorerfassten Nachrichten bei Bedarf zweckspezifisch aufzubereiten und menschlichen Anwendern, z.B. in Listenform, als Eingangs-, Fehler-, Verarbeitungsprotokoll zuzuleiten. 3. Einführung im Unternehmen Die Einführung von EDI erfordert weitaus mehr als nur die Installation 10 einer Standard-Software. Eine funktionierende EDI-Anbindung verlangt ein nahtloses Ineinandergreifen betrieblicher Prozesse mit einer abgestimmten Kombination von Hard- und Software (im EDI-Jargon oft „Adapter“ genannt). Mit anderen Worten: Eine EDI-Anbindung erfordert ein IT-Projekt und bedarf der engen Abstimmung mit dem Partner, mit dem EDI praktiziert werden soll. So müssen sich die EDI-Teilnehmer auf einen Standard zum Austausch der EDI-Nachrichten einigen. Selbst wenn auf einen vorhandenen Standard aufgesetzt werden soll, müssen in der Regel sog. Message Mappings erstellt werden, die eine Konvertierung der z.B. vom eigenen ERP-System vorgegebenen Strukturen in das gewählte Zwischenformat – etwa UN/EDIFACT – ermöglichen. Diese Aufgabe übernehmen Softwareprogramme, sog. Konverter. Dabei findet eine Konvertierung bei jedem Übermittlungsvorgang sowohl auf Senderseite als auch auf Empfängerseite statt. Eine grds. mögliche direkte Konvertierung ins Format des Empfängers ist in der Regel zu aufwendig zu implementieren. Weiter muss von technischer Seite sichergestellt werden, dass der Nach- 11 richtentransport und die Nachrichtenverarbeitung zuverlässig erfolgen, d.h. gesendete Nachrichten den Empfänger einmal, aber auch nur einmal erreichen, ggf. mehrere gesendete Nachrichten in der richtigen Reihenfolge beim Empfänger ankommen, Nachrichten verschlüsselt übertragen werden – dies ist bei der Nutzung des Internets als Übertragungsweg unbedingt zu empfehlen –, Sender und Empfänger sich gegenseitig authentifizieren, und der Sender über versendete Nachrichten entsprechende Statusmeldungen erhält. Genauso wichtig wie die Planung des eigentlichen EDI-Verfahrens ist 12 das Treffen entsprechender Vereinbarungen und Vorkehrungen für den Fall, dass die EDI-Anbindung oder Teile davon ausfallen. Beide EDI-Teilnehmer sollten eine entsprechende Pflicht zur Information des anderen Teils schaffen. Weiter sollten Ersatzübertragungswege vereinbart werden, Hausen
883
§ 53
EDI-Vereinbarungen ber den elektronischen Datenaustausch
etwa eine Abwicklung per Fax und manuelle Erfassung im Ziel-IT-System. 13
Einige der genannten technischen Aspekte bedürfen der vertraglichen Fixierung in der EDI-Austauschvereinbarung1. 4. Historische Entwicklung in der EU und Deutschland
14
Geburtsstunde für EDI in Europa war das TEDIS-Forschungsprogramm2 der EU (Trade Electronic Data Interchange Systems – Elektronische Datenaustauschsysteme für Handelsdaten). Als Ergebnis wurde der seit 1988 bestehende UN/EDIFACT-Standard im Rahmen einer Europäischen EDI-Mustervereinbarung nach der Empfehlung 94/820/EG der Kommission vom 19.10.1994 über die rechtlichen Aspekte des elektronischen Datenaustauschs3 als Form des elektronischen Datenaustauschs anerkannt. Die Arbeitsgemeinschaft für wirtschaftliche Verwaltung (AWV) veröffentlichte im Mai 1994 einen „Deutschen EDI-Rahmenvertrag“4.
15
Beide Vertragsmuster wirken aus heutiger Sicht zum Teil anachronistisch. Das fängt an bei der Definition eines elektronischen Dokuments als „Nachricht zur Reproduktion von Zeichen, Tönen und Bildern“ (vgl. § 2 Abs. 8 Deutscher EDI-Rahmenvertrag) bis hin zu den Regelungen zum Beweischarakter von elektronischen Dokumenten, welcher zur Pionierzeit des EDI noch strittig war (vgl. § 10 Deutscher EDI-Rahmenvertrag sowie Art. 4 Europäische EDI-Mustervereinbarung). Überhaupt sind die Vertragsmuster erkennbar getragen von dem Bemühen, möglichst viele Punkte explizit zu regeln, dies nicht zuletzt auch deshalb, weil damals noch nicht auf entsprechende Rechtsprechung im EDV-Bereich zurückgegriffen werden konnte.
16
Neben der Europäischen EDI-Mustervereinbarung und dem Deutschen EDI-Vertrag gibt es eine Vielzahl weiterer EDI-Mustervereinbarungen, die überwiegend von Branchen-Verbänden herausgegeben werden. So existieren z.B. Branchen-Mustervereinbarungen zu EDI in der Automobilindustrie (herausgegeben vom Verband der Automobilindustrie, VDA), der Energiewirtschaft (herausgegeben vom Bundesverband der Energieund Wasserwirtschaft, BDEW) und dem Handel (herausgegeben vom Dienstleister Global Standards 1, GS1).
1 S. dazu weiter unten Rz. 26 ff. 2 1. Phase eingeführt durch Beschluss 87/499/EWG des Rates (ABl. Nr. C 106 v. 22.4.1991, S. 167), 2. Phase eingeführt durch Beschluss 91/385/EWG des Rates (ABl. Nr. L 208 v. 30.7.1991, S. 66). 3 ABl. EG 1994 L 338 S. 98. 4 Abgedruckt inklusive Kommentierung in Kilian/Heussen, ComputerrechtsHandbuch. S. zu Zweck und Inhalt des deutschen EDI-Rahmenvertrages Kilian, CR 1994, 657.
884
Hausen
§ 53
II. Electronic Data Interchange (EDI)
Wesentlich zum Durchbruch verholfen hat EDI die Richtlinie 2006/ 17 112/EG vom 28.11.2006 über das gemeinsame Mehrwertsteuersystem1. Denn mit deren Umsetzung ins deutsche Recht wurde zum 1.1.2009 die Rechnungsstellung auf Basis der Europäischen EDI-Mustervereinbarung steuerlich anerkannt und berechtigte zum Vorsteuerabzug, wenn die Vereinbarung den Einsatz von Verfahren vorsah, die die Echtheit der Herkunft und die Unversehrtheit der Daten gewährleistete (§ 14 Abs. 3 Nr. 2 UStG)2. Bis dahin erforderte die elektronische Rechnungsstellung immer eine (teure) qualifizierte elektronische Signatur (§ 14 Abs. 3 Nr. 1 UStG) oder eine zusätzliche Sammelrechnung3. Mit der Gleichstellung der elektronischen Rechnung mit der Papierrech- 18 nung durch die Richtlinie 2010/45/EU vom 13.7.20104 und der deutschen Umsetzung im Rahmen des Steuervereinfachungsgesetzes 2011 vom 1.11.20115 (Änderung von § 14 Abs. 1 und Abs. 3 UStG) ist ein Anreiz, EDI-Verfahren für die elektronische Rechnungsstellung einzusetzen weggefallen. So wurden die Anforderungen an die Übermittlung elektronischer Rechnungen für nach dem 30.6.2011 ausgestellte Rechnungen gegenüber der vorherigen Rechtslage – zumindest formell – deutlich abgesenkt. Seitdem können auch Rechnungen, die z.B. per E-Mail übermittelt werden, zum Vorsteuerabzug berechtigen, sofern der Rechnungssteller die Echtheit der Herkunft, die Unversehrtheit des Inhalts und die Lesbarkeit der Rechnung6 gewährleisten kann. Der Hinweis auf die die Echtheit der Herkunft, die Unversehrtheit des 19 Inhalts und die Lesbarkeit der Rechnung in § 14 Abs. 1 Satz 2 UStG sowie die in den nachfolgenden Sätzen folgenden Erläuterungen sollen ausweislich der Gesetzesbegründung7 lediglich deklaratorischen Charakter haben, denn bei Papierrechnungen sind bereits nach den bestehenden Grundsätzen der ordnungsgemäßen Buchführung die Echtheit der Herkunft, die Unversehrtheit des Inhalts und die Lesbarkeit zu gewährleisten. Die Echtheit der Herkunft, die Unversehrtheit des Inhalts und die Les- 20 barkeit kann dabei durch jedes innerbetriebliche Kontrollverfahren er1 2 3 4 5
ABl. Nr. L 347 v. 11.12.2006, S. 1. Jahressteuergesetz 2009 (JStG 2009) v. 19.12.2008, BGBl. I 2008, 2794. Vgl. BMF-Schreiben v. 25.5.1992 – IV A2 – S 7280 – 8/92, BStBl. I 1992, 376. ABl. Nr. L 189 v. 22.7.2010, S. 1. BGBl. 2011, Teil 1, Nr. 55, S. 2131. Vgl. auch das Schreiben des Bundesfinanzministeriums v. 2.7.2012 zur Vereinfachung der elektronischen Rechnungsstellung zum 1.7.2011; s. auch Backu, ITRB 2012, 65. 6 Vgl. dazu auch BMF v. 26.7.2011 – IV D 2 – S 7287-a/2 010 004 „Rechnungsstellung, Fragen und Antworten“: Die Rechnung muss in einer für das menschliche Auge lesbaren Form geschrieben sein sowie aus den „Explanatory notes“ zu „VAT invoicing rules (Council Directive 2010/45/EU)“ laut Pressemitteilung der EU-Kommission v. 5.10.2011 zu Art. 233 Abs. 1, 1. und 2. Unterabsatz: Erforderlich ist die Lesbarkeit durch das menschliche Auge („human readable“). 7 Vgl. BT-Drucks. 17/6105 v. 8.6.2011, zu Art. 5, zu Nr. 1, zu Buchstabe a). Hausen
885
§ 53
EDI-Vereinbarungen ber den elektronischen Datenaustausch
reicht werden, das einen verlässlichen Prüfpfad zwischen Rechnung und Leistung herstellen kann. Laut Umsatzsteuer-Anwendungserlass1 ist als innerbetriebliches Kontrollverfahren jedes Verfahren ausreichend, das der Unternehmer zum Abgleich der Rechnung mit seiner Zahlungsverpflichtung einsetzt, das gewährleistet, dass nur die Rechnungen beglichen werden, zu deren Begleichung eine Verpflichtung besteht. Dieser Prüfpfad kann z.B. durch Abgleich der Rechnung mit vorhandenen geschäftlichen Unterlagen (z.B. Kopie der Bestellung, Auftrag, Kaufvertrag, Lieferschein oder Überweisung bzw. Zahlungsbeleg) gewährleistet werden. Der Unternehmer kann dabei auf bestehende Rechnungsprüfungssysteme zurückgreifen, wobei sowohl EDV-unterstützte als auch – wohl nur für kleinere Unternehmen relevante – manuelle Verfahren zum Einsatz kommen können. 21
§ 14 Abs. 3 Nr. 1 und 2 UStG nennt die qualifizierte elektronische Signatur nach dem Signaturgesetz und den Datenaustausch nach einem EDI-Verfahren nur noch als Beispiele für Technologien, die die Echtheit der Herkunft und die Unversehrtheit des Inhalts einer elektronischen Rechnung gewährleisten können2. Dabei liegt die Betonung für EDI auf „können“. Der Abschluss einer EDI-Austauschvereinbarung nach der Europäischen EDI-Mustervereinbarung (94/820/EG3) allein reicht nicht aus, dass die Echtheit der Herkunft und die Unversehrtheit der Daten als gewährleistet gilt. § 14 Abs. 3 Nr. 2 UStG fordert, dass die EDI-Austauschvereinbarung konkrete Verfahren vorsieht, durch die die Echtheit der Herkunft und die Unversehrtheit der Daten im Einzelfall gewährleistet werden kann. Der UN/EDIFACT-Standard leistet diesbezüglich Hilfestellung, indem er Kontrollmaßnahmen vorsieht, wie z.B. spezielle Prüfungen, Empfangsbestätigung, Kontrollzählung, Referenznummer, Identifikation usw. Aber die Kommentierung der EU-Kommission zur Europäischen EDI-Mustervereinbarung weist in Anhang 2, Ziff. 6.2 darauf hin, dass „möglicherweise komplexere Kontrollmaßnahmen erforderlich“ sind, als die, die der UN/EDIFACT-Standard vorsieht. Daran schließt sich der Hinweis an, dass die Parteien die „zur Gewährleistung des erforderlichen Sicherheitsniveaus zu verwendenden Sicherheitsmaßnahmen, -verfahren und -spezifikationen sowie Nachrichten […] im Technischen Anhang [zur EDI-Austauschvereinbarung] detailliert [festlegen sollten].“
22
Der Einsatz von EDI für die Versendung elektronischer Rechnungen allein ist somit kein Freibrief zum Umsatzsteuervorabzug. Vielmehr muss wie bei jeder elektronischen Rechnung, auch bei EDI durch entsprechende Verfahren die Echtheit der Herkunft und die Unversehrtheit des Inhalts nachweisbar sein. 1 Umsatzsteuer-Anwendungserlass (UStAE) v. 1.10.2010 (BStBl. I 2010, 846), Ziff. 14.4 Abs. 5. 2 Dies entspricht Art. 233 Abs. 2 MwStSystRL i.d.F. der Richtlinie 2010/45/EU. 3 S. Rz. 14.
886
Hausen
§ 53
II. Electronic Data Interchange (EDI)
Der Vorteil von EDI besteht aber weiterhin darin, dass es sich um ein seit 23 langem existierendes und damit „eingespieltes“ Verfahren handelt, welches gegenüber dem elektronischen Rechnungsversand im Übrigen jedenfalls den Vorteil der automatisierten Weiterverarbeitung empfangener Daten weiter beibehält. 5. Neuere Entwicklungen Dass der elektronische Austausch strukturierter Daten auch heute noch 24 eine wichtige Rolle spielt, zeigt sich daran, dass immer noch neue Standards in Ergänzung bestehender EDI-Standards geschaffen werden. So steht z.B. ZUGFeRD1 als künftiger Standard zur Automatisierung des elektronischen Rechnungsaustausches in den Startlöchern. ZUGFeRD ist die Abkürzung für Zentraler User Guide des Forums elektronische Rechnung Deutschland. Es handelt sich um ein neues Rechnungsformat, das es erlaubt, deutschlandweit einheitlich strukturierte Rechnungsdaten in einer Datei zu übermitteln und diese ohne weitere Schritte auszulesen und zu verarbeiten. Das Konzept sieht vor, Rechnungen im PDFFormat zu versenden. Die Daten werden zusätzlich standardisiert im XML-Format im PDF-Dokument integriert und automatisch z.B. per E-Mail mit übertragen. Das ZUGFeRD-Format schließt somit die Lücke zwischen der manuellen Rechnungsverarbeitung in Papierform oder digitaler Form einerseits und voll automatisierter Verarbeitung von Rechnungsdaten via EDI andererseits und ist somit insbesondere für kleine und mittelgroße Unternehmen wirtschaftlich interessant. Am 26.6.2013 hat die EU-Kommission einen Richtlinienentwurf zur 25 elektronischen Rechnungsstellung bei öffentlichen Aufträgen vorgelegt. Ziel ist die vollständige Digitalisierung der öffentlichen Auftragsvergabe, die sog. „durchgängige elektronische Vergabe“ („end-to-end e-procurement“). Eine elektronische Signatur ist nicht Voraussetzung, stattdessen soll die noch zu erschaffende Normung auf bestehende Standards wie z.B. UN/CEFACT (United Nations Centre for Trade Facilitation and Electronic Business) aufsetzen.
1 ZUGFeRD wurde im Rahmen des Forums elektronische Rechnung Deutschland (FeRD) erarbeitet. FeRD ist die nationale Plattform von Verbänden, Ministerien und Unternehmen zur Förderung der elektronischen Rechnung in Deutschland. Das Forum wurde unter dem Dach der vom Bundesministerium für Wirtschaft und Technologie geförderten Arbeitsgemeinschaft für wirtschaftliche Verwaltung (AWV) gegründet. Hausen
887
§ 53
EDI-Vereinbarungen ber den elektronischen Datenaustausch
III. Ausgewählte Regelungsbestandteile einer EDI-Vereinbarung für klassisches EDI 1. Ausgangslage 26
Der nachfolgenden Besprechung einzelner Themenfelder, die in einer „klassischen“ EDI-Vereinbarung behandelt werden sollten, liegt folgende Konstellation zugrunde. Der elektronische Datenaustausch findet direkt zwischen den beiden EDI-einführenden Unternehmen statt. Beide Unternehmen betreiben ihre EDI-Installation selbst (Inhouse/On Premise). Ein Plattform-Provider ist am Datenaustausch nicht beteiligt1. Der Vertrag wird im Zweiparteienverhältnis direkt zwischen Sender und Empfänger abgeschlossen. 2. Gegenstand und Umfang des EDI-Nachrichtenaustauschs
27
Zuvorderst sollte der Umfang, in dem beide Unternehmen zukünftig EDI einsetzen wollen, konkret benannt werden, um die Reichweite und Bindungswirkung des Vertrages klar zu umreißen. Soll EDI nur zum Rechnungsaustausch vorgesehen werden oder auch zur Abwicklung von Warenbestellungen und Versandanzeigen? Je nachdem sind ggf. bereichsspezifische Regelungen aufzunehmen, etwa, wie bei einem Ausfall von EDI zu verfahren ist2. Ebenfalls sollte klargestellt werden, ob die Vereinbarung nur die beiden Vertragspartner binden (so der Regelfall) oder etwa auch für solche mit der vertragszeichnenden Partei verbundene Unternehmen und deren Austausch untereinander gelten soll. In letzterem Fall wäre sicherzustellen, dass kein Vertrag zu Lasten Dritter vorliegt. 3. Definitionen
28
Ein so umfangreicher Definitionenkatalog wie der, der sich im Deutschen EDI-Rahmenvertrag3 findet, dürfte in den seltensten Fällen erforderlich sein. Zumindest sollten aber die Begriffe „EDI“, „EDI-Nachricht“ sowie „Sender“ und „Empfänger“ definiert werden. Soll für den Datenaustausch ein bereits existierender Standard zum Einsatz kommen, kann dieser über eine Aufnahme in die Definition der EDI-Nachricht als verbindlich erklärt werden. Ebenfalls bietet sich an, eine Definition der zum EDI-Empfang genutzten Empfangsvorrichtung aufzunehmen, ermöglicht dies doch, den Zeitpunkt des Zugangs von EDI-Nachrichten im Vertrag verbindlich festzulegen.
1 Dazu Intveen, § 54. 2 S. dazu auch unten Rz. 34 ff. 3 S. oben Rz. 14 ff.
888
Hausen
§ 53
III. Ausgewhlte Regelungsbestandteile einer EDI-Vereinbarung
4. Zugang von EDI-Nachrichten und Betriebszeiten der EDI-Empfangsvorrichtung Wird mittels EDI-Nachricht eine Bestellung aufgegeben oder eine Rech- 29 nung gestellt, ist der Zeitpunkt des Zugangs (vgl. § 130 Abs. 1 BGB) z.B. relevant für das Laufen von Zahlungs- oder Lieferfristen. Zugang liegt vor, wenn die EDI-Nachricht dergestalt in den Machtbereich des Empfängers gelangt ist, dass bei Zugrundelegung gewöhnlicher Verhältnisse mit einer Kenntnisnahme durch den Empfänger zu rechnen ist. Durch den Einsatz technischer Systeme erfolgt keine direkte Kenntnisnahme durch einen Menschen, so dass sich die Frage stellt, wann bei dem Empfänger von einer Kenntnisnahmemöglichkeit – diese reicht grds. aus – ausgegangen werden darf. Liegt eine Kenntnisnahmemöglichkeit nur während der gewöhnlichen Geschäftszeiten des Unternehmens vor, oder ist allein auf die Betriebszeiten der EDI-Empfangsvorrichtung abzustellen? Die Vertragspartner können Unsicherheiten vermeiden, indem sie klar festlegen, ab welchem Zeitpunkt eine EDI-Nachricht rechtliche Wirkungen entfalten soll. Frühestmöglicher Zeitpunkt ist der des Empfangs durch die EDIEmpfangsvorrichtung. Die Vertragspartner sollten zudem erwägen, die Regelungen in § 312g 30 Abs. 1 Satz 1 Nr. 1–3 sowie Satz 2 BGB abzubedingen, da diese schlecht zu EDI passen. Eine Abbedingung ist zwischen Unternehmern möglich, bedarf aber wegen § 307 Abs. 2 Nr. 1 BGB einer individuellen Vereinbarung. Die Pflicht, dem Vertragspartner die Möglichkeit zu verschaffen, die Vertragsbestimmungen einschließlich der Allgemeinen Geschäftsbedingungen bei Vertragsschluss abzurufen und in wiedergabefähiger Form zu speichern, vgl. § 312g Abs. 1 Satz 1 Nr. 4 BGB, ist nicht abdingbar1, kann aber dadurch erfüllt werden, dass dem Vertragspartner zu Beginn der Geschäftsbeziehung die für die über EDI abgewickelten Rechtsgeschäfte gültigen AGB übermittelt werden. Weiter sollten die Vertragspartner prüfen, ob eine Regelung zu den Be- 31 triebszeiten der jeweiligen EDI-Empfangsvorrichtungen aufgenommen werden soll. Oder anders herum gefragt: Wie wichtig ist es, dass EDINachrichten jederzeit gesendet und damit weiter verarbeitet werden können? Soweit Betriebszeiten festgelegt werden, sollten diese auch (planmäßige) Wartungsfenster berücksichtigen. Denkbar sind auch Regelungen, die Pönalen vorsehen für das Unterschreiten einer zuvor festgelegten Verfügbarkeit (SLA). 5. Vereinbarung über die Rechtswirksamkeit und Beweiskraft von EDI-Nachrichten Dass elektronisch ausgetauschte Nachrichten Rechtswirkung entfalten 32 können, dürfte angesichts der heutigen Bedeutung des E-Commerce und 1 Grüneberg in Palandt, BGB, § 312g Rz. 17. Hausen
889
§ 53
EDI-Vereinbarungen ber den elektronischen Datenaustausch
der millionenfachen Vertragsschlüsse wohl nicht ernsthaft bestritten werden. Eine Regelung, dass sich die Vertragspartner nicht auf die Rechtsunwirksamkeit von EDI-Nachrichten berufen werden, wie diese der deutsche EDI-Rahmenvertrag in § 9 vorsieht, dürfte damit überflüssig sein. Sollten die Einkaufs-AGB eines Vertragspartners Klauseln enthalten, nach denen z.B. Bestellungen bestimmte Formvorschriften erfüllen müssen, so sollte klargestellt werden, dass diese Vorgaben nicht für den elektronischen Datenaustausch via EDI gelten. 33
Hinsichtlich der Beweiskraft von EDI-Nachrichten gilt die grundsätzliche Regel, dass elektronische Dokumente, soweit diese nicht mit einer qualifizierten elektronischen Signatur versehen wurden (vgl. § 371a Abs. 1 ZPO) keine Urkunden i.S.v. §§ 415 ff. ZPO sind, damit nicht des Strengbeweises zugänglich sind, sondern als Augenscheinsbeweis der freien richterlichen Beweiswürdigung (§ 286 ZPO) unterliegen1. Eine Regelung wie in § 10 des Deutschen EDI-Rahmenvertrags, nach der sich die Vertragspartner darauf einigen, elektronischen Urkunden die gleiche Beweiskraft wie schriftlichen Urkunden zukommen zu lassen, ist prozessual wirkungslos und allenfalls sinnvoll, wenn eine Schiedsklausel aufgenommen wird. Das Schiedsgericht ist nicht an die Beweismittel der ZPO gebunden2. 6. Behandlung von Störungen, Fehlervermeidung, Sicherungsmaßnahmen
34
Wichtig ist, eine Pflicht aufzunehmen, nach der ein Vertragspartner den jeweils anderen über erkannte Störungen des EDI-Nachrichtenaustauschs zeitnah informieren muss. Diese Information kann, soweit kein kompletter Ausfall des verwendeten Kommunikationskanals vorliegt, automatisiert erfolgen. So können die Vertragspartner z.B. den Versand von Empfangsbestätigungen vorsehen, die sicherstellen, dass für jede empfangene EDI-Nachricht, ggf. nach Prüfung auf Einhaltung der vereinbarten Syntax sowie Prüfung auf Vollständigkeit, eine als Empfangsbestätigung fungierende EDI-Nachricht an den Sender der ursprünglichen EDI-Nachricht gesendet wird.
35
Für den Fall, dass der Versand bzw. der Empfang von EDI-Nachrichten gestört und nicht zu erwarten ist, dass die Störung zeitnah behoben werden kann, sollten die Vertragspartner eine alternative Form der Auftragsabwicklung (z.B. per E-Mail oder Fax) vorsehen und ggf. längere Fristen für die Leistungserbringung vereinbaren.
36
Unabhängig von der Behandlung von Störungen sollten die Vertragsparteien Maßnahmen zur Gewährleistung der IT-Sicherheit treffen, etwa, 1 Vgl. zum Beweiswert von E-Mails Roßnagel/Pfitzmann, NJW 2003, 1209. 2 S. zu Beweisklauseln in EDI-Vereinbarungen grundlegend Hoeren, CR 1995, 513.
890
Hausen
§ 53
III. Ausgewhlte Regelungsbestandteile einer EDI-Vereinbarung
dass wechselseitig Sicherheitsverfahren und -maßnahmen umgesetzt werden, die EDI-Nachrichten sowie die von den Vertragspartnern für die Übermittlung genutzten technischen Systeme vor unbefugtem Zugriff, Veränderungen, Verzögerung, Zerstörung oder Verlust schützen. Zu den zu ergreifenden Sicherheitsverfahren und -maßnahmen sollten auch gehören die Überprüfung des Ursprungs, die Überprüfung der Integrität, der Echtheit, die Nichtabstreitbarkeit von Ursprung und Empfang sowie die Gewährleistung der Vertraulichkeit von EDI-Nachrichten. Diese Anforderungen spielen besonders für den Bereich des e-Invoicing eine wichtige Rolle, da davon die Berechtigung zum Vorsteuerabzug abhängt1. 7. Testphase Die Vereinbarung einer Testphase vor der Aufnahme des Regelbetriebs 37 ist sinnvoll, erst recht, wenn eine Anbindung zum EDI-Nachrichtenaustausch erstmalig hergestellt wird. Den Vertragspartnern ist zu empfehlen, Regelungen aufzunehmen, nach denen während der Testphase ein Parallelbetrieb gefahren wird, wobei nicht die Übermittlung per EDI rechtsverbindlich ist, sondern allein die Form der Übermittlung, auf die sich die Vertragspartner vor dem Einsatz von EDI geeinigt haben. Die Freigabe des Austauschs von EDI-Nachrichten (Produktivbetrieb) sollte erst dann erfolgen, wenn die Vertragspartner einvernehmlich zu dem Ergebnis gekommen sind, dass der elektronische Datenaustausch fehlerfrei funktioniert und für die Nutzung im Geschäftsverkehr geeignet ist. Das Datum der Aufnahme des Produktivbetriebs sollte einvernehmlich schriftlich festhalten werden, um Klarheit darüber zu schaffen, ab welchem Zeitpunkt die Regelungen der EDI-Austauschvereinbarung greifen. 8. Aufzeichnung und Archivierung von EDI-Nachrichten Ebenso wie andere für die Besteuerung relevante Unterlagen, wie z.B. 38 E-Mails, die Geschäftsabschlüsse dokumentieren, sind auch EDI-Nachrichten grds. „revisionssicher“2 aufzubewahren. Die Anforderungen der Grundsätze ordnungsgemäß DV-gestützter Buchführungssysteme (GoBS) und der Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU) müssen die von den Vertragspartnern eingesetzten EDI-Verfahren erfüllen können3. Zum Nachweis der Integrität und der Authentizität der mittels EDI übermittelten Nachrichten kann es erforderlich sein, dass eine Vertragspartei der anderen Dokumentationen über den Nachrichtenaustausch zur Verfügung stellt. Dabei kann es sich handeln um Nachweise zur Weiterverarbeitung einer gesendeten EDI-Nachricht in den technischen Systemen des Empfängers, um Empfangsbestätigungen im Falle erfolgreicher Zustellung oder auch um Fehlermeldungen im Falle erfolgloser Zustellversuche. 1 S. oben Rz. 14 ff. 2 Zum Begriff s. Bierekoven, ITRB 2008, 141. 3 S. dazu auch Reitsam/Seonbuchner, § 60 Rz. 38 ff. und Schmidt, § 7 Rz. 58 ff. Hausen
891
§ 53
EDI-Vereinbarungen ber den elektronischen Datenaustausch
9. Haftungsregelung 39
Sind die Verantwortungsbereiche der Vertragspartner sauber voneinander abgegrenzt, so bedarf es nicht zwingend einer speziellen Haftungsregelung. Jeder Vertragspartner ist für die aus seinem Verantwortungsbereich stammenden Störungen verantwortlich. Dabei sollte jeder Vertragspartner für die eigenen technischen Einrichtungen und den Versand der EDINachricht bis zum Zeitpunkt des Zugangs beim Empfänger verantwortlich sein, der Empfänger für die weitere Verarbeitung der EDI-Nachricht ab dem Zeitpunkt des Zugangs. 10. Anlage technische Spezifikation
40
Der Austausch von EDI-Nachrichten erfordert oft die zweimalige Konvertierung von proprietären Formaten in ein standardisiertes Austauschformat1. In einer technischen Anlage sollten die Parteien Abweichungen von vorhandenen Standards, aber auch die Message Mappings verbindlich festlegen.
IV. Ausgewählte Regelungsbestandteile einer EDI-Vereinbarung für modernes EDI 1. Ausgangslage 41
Im Unterschied zur Ausgangslage beim klassischen EDI2 findet der elektronische Datenaustausch über einen gemeinsamen Plattform-Provider statt. Dieser nimmt EDI-Nachrichten des jeweiligen Vertragspartners entgegen und konvertiert diese in das vom Empfänger genutzte Nachrichtenformat. Jeder Vertragspartner schließt mit dem Plattform-Provider einen Vertrag über die Nutzung der Internet-Plattform (EDI as a Service). Zusätzlich schließen die Vertragspartner untereinander eine EDI-Vereinbarung. Die EDI-Vereinbarung muss der Rolle des Plattform-Providers und die sich für die Vertragsparteien ergebenden Auswirkungen Rechnung tragen. 2. Regelungsbestandteile der EDI-Vereinbarung zwischen den EDI-Austauschpartnern
42
Setzen die EDI-Austauschpartner einen gemeinsamen Plattform-Provider ein, so gibt es gegenüber den oben3 dargestellten Regelungen zusätzliche Punkte zu beachten und vertraglich zu regeln.
43
Eine Verpflichtung zum Einsatz eines gemeinsamen technischen Dienstleisters zur Abwicklung von EDI sollte in die EDI-Vereinbarung aufge1 S. oben Rz. 10 ff. 2 S. oben Rz. 26. 3 S. dazu Rz. 26 ff.
892
Hausen
§ 53
IV. Ausgewhlte Regelungsbestandteile einer EDI-Vereinbarung
nommen werden. Weiter sollten beide Parteien sich verpflichten, die eigenen technischen Systeme an die vom Provider bereitgestellten Schnittstellen anzubinden. Ferner sollte die Abstimmung der eigenen Anbindung mit den Schnittstellen des Plattform-Providers (inklusive Mapping) jeder Vertragspartner selbst vornehmen müssen und den anderen Vertragspartner darüber informieren, sobald die Anbindung an den Plattform-Provider abgeschlossen ist. Die Regelungen zum Zugang von EDINachrichten sollten unter Einbeziehung der Leistungsbestandteile des Plattform-Providers festgelegt werden. Sieht das vom Plattform-Provider eingesetzte EDI-Verfahren Empfangsbestätigungen vor, so bietet es sich an, beim Zugang auf den Eingang der Empfangsbestätigung auf dem ITSystem des Senders abzustellen. Jeder Vertragspartner haftet nach den gesetzlichen Bestimmungen für 44 den von ihm als Erfüllungsgehilfen eingesetzten Plattform-Betreiber in dem Umfang, wie dieser von ihm zur Vertragserfüllung gegenüber dem anderen Vertragspartner eingesetzt wird (§ 278 BGB). Unter Umständen bereitet es Schwierigkeiten, vom Plattform-Provider vorgenommene Datenverarbeitungsschritte in jedem Fall klar dem einen oder anderen EDIAustauschpartner zuzuordnen. Denn dazu müssten die Vertragspartner innerhalb der technischen Struktur des Plattform-Providers einen Leistungsübergabepunkt definieren, der die Verantwortungsbereiche der Vertragsparteien sauber gegeneinander abgrenzt. Dies erscheint aber schwer vorstellbar, denn ob ein Fehler bei der Konvertierung vom Nachrichtenformat des Senders in das Austausch-Nachrichtenformat auftritt (Verantwortungsbereich des Senders) oder bei der Konvertierung vom Austausch-Nachrichtenformat in das Nachrichtenformat des Empfängers (Verantwortungsbereich des Empfängers), dürfte im Nachhinein evtl. auch bei Protokollierung nicht mehr hinreichend sicher aufklärbar sein. Angesichts dieser Problematik erscheint eine einseitige Zuweisung der Verantwortung für die Leistungen des Plattform-Betreibers an eine Vertragspartei vorzugswürdig. Schreibt ein Vertragspartner dem anderen den Einsatz eines bestimmten Plattform-Providers vor, so kann dies argumentativ dazu genutzt werden, die Haftung für den Plattform-Provider auf den entsprechenden Vertragspartner überzuwälzen. Da die Vertragsparteien für einen funktionierenden EDI-Nachrichtenaus- 45 tausch auf den Plattform-Provider angewiesen sind, sollte die EDI-Vereinbarung ein Recht der Vertragspartner zur außerordentlichen Kündigung der EDI-Vereinbarung bei einer providerseitigen Kündigung der mit dem Plattform-Provider geschlossenen Verträge vorsehen. 3. Regelungsbestandteile einer Vereinbarung mit dem EDI-Plattform-Provider Im Vertrag mit dem Plattform-Betreiber sollte der jeweilige Vertragspart- 46 ner der EDI-Vereinbarung zuvorderst solche Verpflichtungen aufnehmen, die sicherstellen, dass Hausen
893
§ 53
EDI-Vereinbarungen ber den elektronischen Datenaustausch
– der Plattform-Provider seinen Kunden GoBS- und GDPdU-konformes Handeln durch Archivierung von EDI-Nachrichten und der Protokollierung der Verarbeitungsprozesse (inklusive Konvertierung) ermöglicht. Geeignet ist die Aufnahme einer Pflicht zur Vorlage einer entsprechenden Dokumentation, aus der sich der Nachweis der GoBSund GDPdU-Konformität der providerseitigen Prozesse ergibt. – der Plattform-Provider Sicherheitsverfahren und -maßnahmen, wie oben unter Rz. 34 ff. dargestellt, einsetzt. – Verfahren zur Überprüfung des Ursprungs, der Integrität und der Echtheit von EDI-Nachrichten eingesetzt werden. – bei fehlgeschlagener Prüfung einer EDI-Nachricht diese nicht zugestellt wird, sondern eine entsprechende Meldung an den Sender und ggf. Empfänger gesendet wird. – der Plattform-Betreiber eine gewisse Mindestverfügbarkeit der Plattform sicherstellt. – Bei Nichtverfügbarkeit der EDI-Plattform der Kunde zeitnah informiert wird, so dass die Vertragspartner der EDI-Vereinbarung die jeweils festgelegten Ersatzverfahren bei technischen Störungen aktivieren können.
V. Fazit 47
EDI-Austauschvereinbarungen sind auch heute noch wichtig. Es ist auch nicht zu erwarten, dass deren Bedeutung in naher Zukunft sinken wird, wie aktuelle Entwicklungen zeigen1. Juristisch ist vieles noch ungeklärt. Die juristische Literatur zu EDI entstammt dem vorletzten Jahrzehnt; die Musterverträge bieten allenfalls eine erste grobe Orientierung und berücksichtigen moderne Formen des EDI (WebEDI, EDI as a Service) und die damit verbundenen Herausforderungen2 nicht. Dabei ist es möglich, die historisch bedingten Eigenheiten von EDI mit modernen Erscheinungsformen von EDI zu verheiraten, wenn an den richtigen Stellschrauben gedreht wird. „EDI or Die“ muss nicht sein!
1 S. dazu oben Rz. 24 f. 2 S. oben Rz. 41 ff.
894
Hausen
§ 54 Vereinbarungen zum e-Invoicing Rz. I. Ausgangslage . . . . . . . . . . . . . . . . .
1
II. Grundlagen für die elektronische Rechnungserstellung und -übermittlung . . . . . . . . . . . . . . . . . . . . . 6 1. Pflichtangaben in Rechnungen gem. §§ 14, 14a, 14b UStG . . . . . . 7 2. Grundsätze ordnungsgemäßer DV-gestützter Buchführungssysteme (GoBS) . . . . . . . . . . . . . . . 17 3. Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU). . . . . . . . . . . 22 4. Grundsätze zur ordnungsgemäßen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff (GoBD) . . . . . . . . . . . . . . . . . . . . . . 24 III. Vertragsgestaltung . . . . . . . . . . . . 1. Rechtsnatur eines Vertrages über e-Invoicing . . . . . . . . . . . . . . . a) Rahmenvertrag und Einzelverträge . . . . . . . . . . . . . . . . . . . b) Dauerschuldverhältnis mit Dienst- oder Werkvertragscharakter . . . . . . . . . . . . . . . . . . 2. Vertragsgegenstand . . . . . . . . . . . . a) Rechnungserstellung . . . . . . . . b) Rechnungsprüfung . . . . . . . . . . c) Rechnungsversand . . . . . . . . . . d) Rechnungsarchivierung . . . . . . 3. Datenschutz und Datensicherheit . . . . . . . . . . . . . . . . . . . .
30 30 31 35 38 39 42 44 46
Rz. a) Überprüfung der zugrunde liegenden Daten (Integrität und Authentizität) . . . . . . . . . . b) Verfahrensdokumentation . . . . c) Einhaltung datenschutzrechtlicher Vorgaben . . . . . . . . . . . . . d) Auftragsdatenverarbeitung . . . e) Datenübertragung und Datensicherheit . . . . . . . . . . . . f) Einsatz von Subunternehmern/Erfüllungsgehilfen . . . . . g) Kontroll-, Aufsichts- und Weisungsrechte des Auftraggebers. 4. Service Level Agreements (SLAs) . a) Vereinbarungen zur Einhaltung und Messbarkeit der vertragsgegenständlichen Lieferungen und Leistungen. . . . . . . b) Vereinbarungen über Verfügbarkeiten . . . . . . . . . . . . . . . . . . c) Vereinbarungen über Servicezeiten . . . . . . . . . . . . . . . d) Malusregelungen bei Nichteinhaltung der Service Level . .
49 51 53 57 63 65 67 69
70 73 78 80
IV. Elektronische Rechnungserstellung und -übermittlung in der deutschen Automobilindustrie . . 85 1. VDA Standard 4906 . . . . . . . . . . . . 86 2. VDA Standard 4938 (Global INVOIC) . . . . . . . . . . . . . . . . . . . . . 90 V. Fazit . . . . . . . . . . . . . . . . . . . . . . . . 96
48
I. Ausgangslage Papier ist geduldig – und seit Jahrhunderten nicht nur wegen seiner Per- 1 petuierungsfunktion bei der Erstellung von Urkunden, Rechnungen etc. geschätzt. Auf Papier verkörperte Informationen und Angaben erfüllen die vielfach in verschiedenen Vorschriften des deutschen Rechts geforderte Dauerhaftigkeit und sind damit nicht flüchtig. Gemäß § 257 Abs. 1 BGB ist jeder Kaufmann verpflichtet, die dort im 2 Einzelnen aufgeführten Unterlagen (Handelsbücher, Handelsbriefe, Buchungsbelege etc.) geordnet aufzubewahren, wobei nach § 257 Abs. 3 BGB grundsätzlich die Möglichkeit besteht, mit Ausnahme der Eröffnungsbilanzen und Abschlüsse die in § 257 Abs. 1 BGB aufgeführten UnIntveen
895
§ 54
Vereinbarungen zum e-Invoicing
terlagen auch als Wiedergabe auf einem Bildträger oder auf einem anderen Datenträger aufzubewahren, wenn dies den Grundsätzen ordnungsgemäßer Buchführung entspricht1. Dabei muss allerdings sichergestellt sein, dass die Wiedergabe oder die Daten 1. mit den empfangenen Handelsbriefen und den Buchungsbelegen bildlich und mit den anderen Unterlagen inhaltlich übereinstimmen, wenn sie lesbar gemacht werden, 2. während der Dauer der Aufbewahrungsfrist verfügbar sind und jederzeit innerhalb angemessener Frist lesbar gemacht werden können. 3
Nach § 239 Abs. 4 HGB können die Handelsbücher und die sonst erforderlichen Aufzeichnungen auch auf Datenträgern geführt werden, soweit diese Form der Buchführung einschließlich des dabei angewandten Verfahrens den Grundsätzen ordnungsgemäßer Buchführung (GoB) entsprechen. Insoweit muss sichergestellt sein, dass bei der Führung der Handelsbücher oder der sonst erforderlichen Aufzeichnungen auf Datenträgern die Daten während der Dauer der Aufbewahrungsfrist verfügbar sind und jederzeit innerhalb angemessener Frist lesbar gemacht werden können.
4
Die Möglichkeit der Führung und Aufbewahrung von z.B. Handelsbüchern auf Datenträgern und damit in elektronischer Form i.S.d. §§ 239, 257 HGB besteht bereits seit Inkrafttreten des Bilanzrichtliniengesetzes (BiRiLiG) vom 19.12.1985, so dass es eigentlich einer „Rechnung auf Papier“ schon seit Längerem aus rechtlicher Sicht nicht (mehr) bedarf. Dennoch finden sich nach wie vor bspw. in entsprechenden Verträgen über die Erbringung von Lieferungen und Leistungen sowie deren Vergütung häufig keine Regelungen über eine elektronische Rechnungserstellung und -übermittlung.
5
Im Zeitalter des elektronischen Datenaustauschs und der Möglichkeit, Rechnungen auch elektronisch zu erstellen und zu versenden, sollte das Zeitalter der „Papierrechnungen“ an und für sich beendet sein. Dies ist allerdings in der täglichen Praxis nur „an und für sich“ der Fall.
II. Grundlagen für die elektronische Rechnungserstellung und -übermittlung 6
Durch das Steuervereinfachungsgesetz 20112 wurde die EU-Richtlinie 2010/45/EG3 umgesetzt, so dass seit dem 1.7.2011 in Deutschland elektronische Rechnungen und Rechnungen auf Papier gleichgestellt sind. Einsatz und Versand von elektronischen Rechnungen (e-Invoicing) unterliegen dabei einer Reihe von Gesetzesvorgaben und Verwaltungsvorschriften. 1 S. dazu näher Reitsam/Seonbuchner, § 60 sowie Schmidt, § 7, zur E-Bilanz z.B. Reitsam/Sollinger, CR 2012, S. 349 ff. 2 BGBl. I, S. 2131. 3 Abl. EU 2010 L 189, S. 1.
896
Intveen
§ 54
II. Grundlagen fr die elektronische Rechnungserstellung
1. Pflichtangaben in Rechnungen gem. §§ 14, 14a, 14b UStG In § 14 UStG finden sich Regelungen über die Ausstellung von Rechnun- 7 gen aus steuerrechtlicher Sicht. § 14a UStG beinhaltet Bestimmungen über zusätzliche Pflichten bei der Ausstellung von Rechnungen in besonderen Fällen. § 14b UStG regelt dann die Aufbewahrung von Rechnungen. § 14 Abs. 1 Satz 2 UStG schreibt vor, dass die Echtheit der Herkunft der 8 Rechnung, die Unversehrtheit ihres Inhalts und ihre Lesbarkeit gewährleistet werden müssen. Echtheit der Herkunft bedeutet gem. § 14 Abs. 1 Satz 3 UStG die Sicherheit der Identität des Rechnungsausstellers. Nach § 14 Abs. 1 Satz 4 UStG bedeutet Unversehrtheit des Inhalts, dass die nach diesem Gesetz erforderlichen Angaben nicht geändert wurden. Wie sich dann aus § 14 Abs. 3 UStG ergibt, gelten bei einer elektro- 9 nischen Rechnung unbeschadet anderer nach § 14 Abs. 1 UStG zulässiger Verfahren die Echtheit der Herkunft und die Unversehrtheit des Inhalts als gewährleistet durch 1. eine qualifizierte elektronische Signatur oder eine qualifizierte elektronische Signatur mit Anbieter-Akkreditierung nach dem Signaturgesetz oder 2. elektronischen Datenaustausch (EDI), wenn in der Vereinbarung über diesen Datenaustausch der Einsatz von Verfahren vorgesehen ist, die die Echtheit der Herkunft und die Unversehrtheit der Daten gewährleisten. Aus § 14a UStG folgen bei Vorliegen der dort aufgeführten Voraussetzun- 10 gen zusätzliche Pflichten im Rahmen der Ausstellung von Rechnungen, die auch für elektronische Rechnungen Geltung haben. So muss beispielsweise eine Rechnung über die innergemeinschaftliche Lieferung eines neuen Fahrzeugs bestimmte Merkmale enthalten, wie sich aus § 14a Abs. 4 UStG ergibt. Jeder Unternehmer hat Rechnungen, die er erhalten oder ausgestellt hat, 11 10 Jahre aufzubewahren. Die steuerliche Aufbewahrungsfrist beginnt mit dem Schluss des Kalenderjahres, in dem die Rechnung ausgestellt worden ist (§ 14b Abs. 1 UStG), wobei § 147 Abs. 3 AO unberührt bleibt. Die Rechnungen müssen für den gesamten Zeitraum die Anforderungen des § 14a Abs. 1 Satz 2 UStG erfüllen, wie sich aus § 14b Abs. 1 Satz 1 und 2 UStG ergibt. Sofern ein Unternehmer die Rechnung im Inland aufbewahrt, sind eine 12 vollständige Fernabfrage (Online-Zugriff) der betreffenden Daten sowie deren Herunterladen und Verwendung zu gewährleisten, wie aus § 14b Abs. 2 Satz 2 UStG folgt. Wenn ein Unternehmer die Rechnungen im übrigen Gemeinschaftsgebiet elektronisch aufbewahrt, können die zuständigen Finanzbehörden die Rechnungen für Zwecke der UmsatzsteuerIntveen
897
§ 54
Vereinbarungen zum e-Invoicing
kontrolle über Online-Zugriff gem. § 14b Abs. 4 Satz 1 UStG einsehen, herunterladen und verwenden, wobei nach § 14b Abs. 4 Satz 2 UStG sichergestellt sein muss, dass die zuständigen Finanzbehörden die Rechnungen unverzüglich über Online-Zugriff einsehen, herunterladen und verwenden können. 13
Durch Rundschreiben vom 2.7.2012 (IV D2 – S 7287) hat das Bundesministerium der Finanzen (BMF) verschiedene „Erläuterungen“ im Zusammenhang mit elektronischen Rechnungen i.S.v. § 14 Abs. 1 Satz 8 UStG, also solchen Rechnungen, die in einem elektronischen Format ausgestellt und empfangen werden, gegeben, was eine Änderung des Umsatzsteuer-Anwendungserlasses der obersten Finanzbehörden der Länder vom 1.10.2010 mit Wirkung ab dem 1.7.2010 zur Folge hatte.
14
So müssen elektronische Rechnungen z.B. für den Vorsteuerabzug eine Reihe von Voraussetzungen erfüllen, und zwar – der Rechnungsempfänger muss der elektronischen Rechnung zustimmen; – die Rechnung muss in einem elektronischen Format ausgestellt, gesendet, empfangen und verarbeitet werden; – die menschliche Lesbarkeit muss gegeben sein; – es muss die Echtheit der Herkunft der Rechnung garantiert sein (z.B. durch digitale Signatur oder ein internes Kontrollverfahren); – es muss die Unversehrtheit der Rechnung garantiert sein; – alle weiteren Rechnungsmerkmale/Pflichtangaben für den Umsatzsteuerabzug müssen vorhanden sein.
15
Sowohl Rechnungsaussteller als auch Rechnungsempfänger müssen diese Voraussetzungen unabhängig voneinander jeweils in ihrem Verfügungsbereich sicherstellen.
16
Ausdrücklich klargestellt wurde in diesem Zusammenhang, dass die Vorschriften der Abgabenordnung (AO), insbesondere §§ 146, 147, 200 AO, die „Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme“ (GoBS)1 sowie die „Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen“ (GDPdU)2 unberührt bleiben. 2. Grundsätze ordnungsgemäßer DV-gestützter Buchführungssysteme (GoBS)
17
Bei den GoBS handelt es sich um eine Verwaltungsvorschrift, die durch Schreiben des BMF vom 28.7.1995 (IV A8 – S 0316) bekanntgegeben worden sind. Die GoBS ersetzen nicht die Grundsätze ordnungsmäßiger Spei1 S. Anlage zum BMF-Schreiben v. 7.11.1995, BStBl. I S. 738. 2 S. Anlage zum BMF-Schreiben v. 16.7.2001, BStBl. I S. 415.
898
Intveen
§ 54
II. Grundlagen fr die elektronische Rechnungserstellung
cherbuchführung (GoBS) vom 5.7.1978 (IV A7 – S 0316)1, sondern stellen lediglich eine Präzisierung im Hinblick auf eine DV-gestützte Buchführung dar. Die am 14.12.1995 in Kraft getretenen GoBS stellen „Erläuterungen“ zu 18 den Bestimmungen im HGB und in der AO in Bezug auf die ordnungsmäßige Behandlung elektronischer Dokumente dar und regeln die Behandlung aufbewahrungspflichtiger Daten und Belege in elektronischen Buchführungssystemen sowie in datensicheren Dokumentenmanagementund revisionssicheren Archivsystemen2. Ein Schwerpunkt der GoBS ist das sog. Interne Kontrollsystem (IKS). Die GoBS gelten unmittelbar zwar nur für die steuerliche Buchführung. Sie dürften allerdings mittlerweile aufgrund der vielfachen Anwendung durch kleine und mittlere Unternehmen im Rahmen der handelsrechtlichen Buchführung zu (handelsrechtlichen) Grundsätzen ordnungsmäßiger Buchführung (GoB) geworden sein. Die GoB als unbestimmter Rechtsbegriff finden wiederum in § 338 Abs. 1 19 HGB ihre Grundlage. Danach muss die Buchführung (und damit auch die Rechnungserstellung) so beschaffen sein, dass sie einem sachverständigen Dritten innerhalb angemessener Zeit einen Überblick über die Geschäftsvorfälle und über die Lage des Unternehmens vermitteln kann. Die in § 278 Abs. 1 HGB definierten Grundsätze werden durch verschie- 20 dene Verwaltungsanweisungen konkretisiert, z.B. durch die GoBS sowie die Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU). Da die handelsrechtlichen und steuerrechtlichen GoB vom Grundsatz 21 her im Rahmen des sog. Maßgeblichkeitsprinzips z.B. vom BFH einzelfallbezogen auszulegen bzw. heranzuziehen sind3, finden auch die GoB im Rahmen der Prüfung einer gesetzeskonformen elektronischen Rechnung unmittelbar Anwendung. 3. Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU) Die GDPdU sind durch Schreiben des BMF vom 16.7.2001 (IV D2 – S 22 0316)4 am 1.1.2002 in Kraft getreten und regeln die Mitwirkungspflicht des Steuerpflichtigen beim Datenzugriff durch Betriebsprüfer. Nur bei Einhaltung dieser Vorschrift erfolgt eine Zustimmung bzw. Ge- 23 nehmigung der Steuerbehörden für die Auslagerung der elektronischen Bücher und sonstigen erforderlichen Unterlagen (wie elektronische Rech-
1 2 3 4
S. Anlage zum BMF-Schreiben v. 5.7.1978, BStBl. I S. 250. Zu diesen näher Schmidt, § 7. Ballwieser in Münchener Kommentar zum HGB, § 243 Rz. 7. S. Anlage zum BMF-Schreiben v. 16.7.2001, BStBl. I S. 415. Intveen
899
§ 54
Vereinbarungen zum e-Invoicing
nungen) in das Ausland. Von daher haben die GDPdU z.B. unmittelbar Geltung für Fragen der Archivierung elektronischer Rechnungen im Ausland und deren Prüfbarkeit durch die nationalen Steuerbehörden. 4. Grundsätze zur ordnungsgemäßen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff (GoBD) 24
Mit Schreiben vom 9.4.2013 (IV A4 – S 0316)1 hat das BMF den Entwurf eines Schreibens zu den GoBD veröffentlicht. Durch die GoBD soll einer insbesondere von der Wirtschaft geforderten Modernisierung der GoBS sowie den aktuellen Entwicklungen im Bereich der GDPdU Rechnung getragen werden.
25
Da aufzeichnungs- und aufbewahrungspflichtige Unterlagen (Daten, Datensätze sowie Dokumente) in elektronischer oder Papierform bzw. deren Form, Umfang und Inhalt letztlich durch den Steuerpflichtigen bestimmt werden und die Finanzbehörde diese damit nicht abstrakt im Vorfeld für sämtliche Unternehmen abschließend definieren kann, beinhalten die GoBD hierzu auch keine weiteren Ausführungen; insoweit sind die GoB auf derartige Formalien anzuwenden.
26
Nach einer Darstellung des Anwendungsbereichs der GoBD sowie der Verantwortlichkeit für die Ordnungsmäßigkeit elektronischer Bücher und anderer erforderlicher elektronischer Aufzeichnungen folgen verschiedene allgemeine Anforderungen wie der Grundsatz der Nachvollziehbarkeit und Nachprüfbarkeit (145 Abs. 1 AO, § 238 Abs. 1 Satz 2 HGB) sowie die Grundsätze der Wahrheit, Klarheit und fortlaufenden Verbuchung mit deren Regelungen zur Vollständigkeit, Richtigkeit, Zeitgerechtheit, Ordnung und dem Grundsatz der Unveränderbarkeit (§ 146 Abs. 1 AO, § 239 Abs. 2 HGB).
27
Zum internen Kontrollsystem (IKS) finden sich Hinweise auf die vom Steuerpflichtigen einzurichtenden, auszuübenden und zu protokollierenden Kontrolle wie beispielsweise Zugangs- und Zugriffsberechtigungskontrollen, Erfassungskontrollen (Fehlerhinweise, Plausibilitätsprüfungen), Abstimmungskontrollen bei der Dateneingabe, Verarbeitungskontrollen sowie Schutzmaßnahmen gegen die Verfälschung von Programmen, Daten und Dokumenten, verbunden mit dem (deutlichen) Hinweis, dass im Rahmen eines funktionsfähigen IKS auch die Programmidentität sichergestellt werden muss, und zwar durch laufende Prüfungen des eingesetzten DV-Systems, dass dieses auch tatsächlich dem dokumentierten System entspricht.
1 http://www.bundesfinanzministerium.de/Content/DE/Downloads/BMF_Schrei ben/Weitere_Steuerthemen/Normenflut/2013-04-09-Anwendung-BMF-Schrei ben-bis-08-04-2013.pdf?_blob=publikationFile&v=2.
900
Intveen
§ 54
III. Vertragsgestaltung
Die Bereiche Datensicherheit und Unveränderbarkeit/Protokollierung 28 von Änderungen werden unter Hinweis auf ein zu erstellendes Datensicherungskonzept, das Bestandteil der Verfahrensdokumentation sein soll, konkretisiert. Besonders ausführlich wird der Bereich der Aufbewahrung mit den sich 29 für den Steuerpflichtigen ergebenden Aufbewahrungspflichten (z.B. § 14b UStG) dargestellt. Mit Einsatz eines DV-Systems soll der Unternehmer sein Wahlrecht zur Aufbewahrung der elektronischen aufzeichnungsund aufbewahrungspflichtigen Daten und Dokumente (wie z.B. Rechnungen) auf Datenträgern ausgeübt haben, so dass diese nicht mehr ausschließlich in ausgedruckter Form (auf Papier) aufbewahrt werden dürfen und über die Dauer der Aufbewahrungsfrist unveränderbar erhalten bleiben müssen (z.B. per E-Mail eingegangene Rechnungen im PDF-Format). Dies soll unabhängig davon gelten, ob die Aufbewahrung im Produktivsystem oder durch Auslagerung in ein anderes DV-System erfolgt. Das elektronische Dokument (und damit auch die elektronische Rechnung) muss danach mit einem unveränderbaren und eindeutigen Index versehen werden, wobei der Erhalt der Verknüpfung zwischen Index und elektronischem Dokument während der gesamten Aufbewahrungsfrist gewährleistet sein muss. Beim Scannen von Geschäfts- und Buchungsbelegen in Papierform (wie z.B. Rechnungen) ist das Scanergebnis so aufzubewahren, dass die Wiedergabe mit dem Original bildlich übereinstimmt, wenn es lesbar gemacht wird. Im DV-System erzeugte Daten (z.B. für Rechnungen) oder im DV-System empfangene Daten (z.B. im Rahmen eines EDV-Verfahrens) müssen im Ursprungsformat aufbewahrt werden. Gleiches soll für im DV-System erzeugte Dokumente (wie z.B. Ausgangsrechnungen) gelten.
III. Vertragsgestaltung 1. Rechtsnatur eines Vertrages über e-Invoicing Aus Sicht eines Auftragnehmers, der für den jeweiligen Rechnungs- 30 aussteller elektronische Rechnungen erstellen und versenden soll, kann sich ein „leistungsbezogener“ und damit ein (einheitlicher) Dienstvertrag i.S.v. § 611 BGB anbieten. Für den jeweiligen Auftraggeber dürfte sich ein „erfolgsbezogener“ Vertrag und damit ein (einheitlicher) Werkvertrag gem. § 631 BGB anbieten. In der Praxis finden sich häufig sog. typengemischte Verträge, die sowohl dienstvertragliche als auch werkvertragliche Regelungsinhalte aufweisen. a) Rahmenvertrag und Einzelverträge Sofern Auftraggeber und Auftragnehmer – wie bei den Verträgen über die 31 Erstellung und den Versand sowie die Archivierung von elektronischen Rechnungen (e-Invoicing) üblich – in dauerhafter vertraglicher Beziehung Intveen
901
§ 54
Vereinbarungen zum e-Invoicing
stehen, dürfte es sich empfehlen, sämtliche „übergeordneten“ Regelungsinhalte in einen Rahmenvertrag aufzunehmen1. 32
In den jeweiligen Einzelverträgen könnten dann nach Leistungen des Auftragnehmers getrennt die diesbezüglichen Details aufgenommen werden2.
33
Die Aufteilung in einen Rahmenvertrag einerseits und verschiedene Einzelverträge andererseits hat unter praktischen Gesichtspunkten auch den Vorteil, dass hier einzelne Leistungsbereiche später einmal hinzugenommen oder aber herausgenommen werden können.
34
All dies setzt natürlich voraus, dass eine gesonderte Vereinbarung (EDIVereinbarung) zwischen dem zur Ausstellung einer Rechnung Verpflichteten und dem jeweiligen Rechnungsempfänger getroffen wird, die es dem Aussteller der Rechnung überhaupt erlaubt, Rechnungen im Rahmen des e-Invoicing zu erstellen und zu versenden. Ohne eine solche Vereinbarung, die schriftlich abzufassen ist, müssten (weiterhin) Rechnungen im Papierformat erstellt und versandt werden. b) Dauerschuldverhältnis mit Dienst- oder Werkvertragscharakter
35
Da zwischen dem Rechnungsaussteller und dem dann in dessen Auftrag mit der Erstellung und dem Versand (sowie ggf. der Archivierung) von elektronischen Rechnungen tätigen Unternehmen in der Regel eine dauerhafte Vertragsbeziehung besteht, ist zu überlegen, zunächst einmal eine Vereinbarung über die Erstellung bzw. Einrichtung des die elektronischen Rechnungen „produzierenden“ DV-Systems sowie dessen Prüfung und fachliche Freigabe durch den Auftraggeber zu treffen3. Dies auch vor dem Hintergrund, dass letztlich der zur Ausstellung der Rechnungen Verpflichtete dafür verantwortlich ist, dass gegenüber dem jeweiligen Rechnungsempfänger (und auch gegenüber den Finanzbehörden) die rechtlichen Grundlagen für die elektronische Rechnungserstellung und -übermittlung eingehalten werden, und zwar dann durch den insoweit für den Rechnungsaussteller tätigen Dritten.
36
Nach einer entsprechenden fachlichen Freigabe des DV-gestützten Prozesses zur elektronischen Rechnungserstellung sowie zum Versand und auch – besonders wichtig – zur Archivierung der elektronischen Rech1 Also z.B. Regelungen betreffend Zusammenarbeit, Übertragung von Rechten und Pflichten, Einräumung von Nutzungsrechten, Übertragbarkeit bzw. Einsatz von Subunternehmern, Datenschutz und Datensicherheit, Service Level sowie Malusregelungen, Regelungen zu Vertragsbeginn, Verlagslaufzeit und Vertragsbeendigung, Kündigungsfrist, Haftung, Regelungen zu Terminen, Fristen und Verzug, Regelungen betreffend Erfüllungsort, Rechtswahl und Gerichtsstand. 2 Also z.B. Art, Umfang und Vergütung der jeweiligen Leistung betreffend Rechnungserstellung, -versand und -archivierung. 3 S. zu Systemverträgen allgemein Schneider, Handbuch des EDV-Rechts, L S. 1812 ff.
902
Intveen
§ 54
III. Vertragsgestaltung
nungen können dann Vereinbarungen über die „laufende Zusammenarbeit“ getroffen werden, bspw. wie vorgeschlagen im Rahmen entsprechender Einzelverträge. Ob und inwieweit hier „leistungsbezogene“ Dienstverträge oder „erfolgsbezogene“ Werkverträge abgeschlossen werden, bleibt dem jeweiligen Verhandlungsergebnis vorbehalten. Im Grundsatz sind jedenfalls vorliegend beide Vertragstypen denkbar. Und in der Praxis finden sich letztlich doch sog. typengemischte Verträge in Form entsprechender Einzelverträge, bei denen eine Bewertung im Einzelfall, und zwar mitunter nach deren Schwerpunkt, vorzunehmen ist1. In jedem Fall sollten die einzelnen Serviceprozesse des Auftragnehmers 37 so detailliert wie möglich dargestellt werden. Dies betrifft insbesondere die Bereiche Incident Management, Problem Management, Change Management, Release Management (als Teil des Change Managements), Configuration Management, Service Level Management, Capacity Management, Availability Management, Continuity Management und Security Management. Vorteilhaft wäre natürlich, wenn diese Serviceprozesse dann noch nach einem bestimmten Standard (z.B. nach ITIL) ablaufen und entsprechend beschrieben werden. Ein Verfahrensverzeichnis ist in jedem Fall anzulegen. 2. Vertragsgegenstand Im Rahmen des e-Invoicing können mehrere Leistungsbereiche des Auf- 38 tragnehmers zum Tragen kommen. a) Rechnungserstellung Hier ist insbesondere zu regeln, in welchem Datenformat und mit 39 welchem Druckbild die elektronischen Rechnungen zu erstellen sind. Rechnungsaufbau und -inhalt sind ebenfalls detailliert zu beschreiben, vorzugsweise unter Bezugnahme auf eine abgestimmte „Muster-Rechnung“. Das zwischen den Parteien abgestimmte Dateiformat sowie die z.B. bei 40 einer wiederkehrenden (z.B. monatlichen, wöchentlichen oder täglichen) Rechnungserstellung erstellten Rechnungsdateien sollten dann dem Auftraggeber zu „Kontroll- und Beweiszwecken“ in einem abgestimmten Dateiformat zur Verfügung gestellt werden. Sofern der Auftragnehmer vom Auftraggeber für die Rechnungserstellung 41 regelmäßig z.B. Kundendaten (der Rechnungsempfänger) erhält, sind auch dieser Datenübergabeprozess sowie dessen technische Anforderungen so detailliert wie möglich zu beschreiben.
1 Grüneberg in Palandt, BGB, 72. Aufl., Überblick vor § 311 Rz. 24 ff. Intveen
903
§ 54
Vereinbarungen zum e-Invoicing
b) Rechnungsprüfung 42
Vor dem Versand muss der Auftragnehmer die Vollständigkeit und Richtigkeit der erstellten elektronischen Rechnungen überprüfen. Sowohl dieser Rechnungsprüfungsvorgang als auch die insoweit eingerichteten „Internen Kontrollsysteme“ (IKS) des Auftragnehmers sind detailliert zu beschreiben.
43
Darüber hinaus ist vorzusehen, dass dem Auftraggeber entsprechende Protokolle über die Rechnungsprüfungen regelmäßig zur Verfügung gestellt werden, und zwar ebenfalls in einem vereinbarten Dateiformat. c) Rechnungsversand
44
Im Hinblick auf den Versand der elektronischen Rechnungen an die Rechnungsempfänger sollten die technischen Details möglichst konkret vereinbart werden, und zwar sowohl hinsichtlich der vom Auftragnehmer (als Versender der elektronischen Rechnung) als auch der vom Rechnungsempfänger einzurichtenden bzw. vorzuhaltenden technischen Voraussetzungen.
45
Sofern die Rechnungen innerhalb bestimmter Zeiten zu versenden und dann auch entsprechende Protokolle über den Versand sowie den Empfang der elektronischen Rechnungen beim jeweiligen Rechnungsempfänger zu erstellen sind, bedarf auch dies entsprechender Vereinbarungen zwischen dem Auftraggeber und dem Auftragnehmer. d) Rechnungsarchivierung
46
Von ganz besonderer Bedeutung sind Regelungen über die DV-gestützte Archivierung der elektronischen Rechnungen bzw. der betreffenden Rechnungsdateien. Hier muss dem Auftraggeber ein jederzeitiges „Kontroll- und Zugriffsrecht“ eingeräumt werden, damit dieser seinen (eigenen) rechtlichen Verpflichtungen jederzeit und ordnungsgemäß nachkommen kann1. Dies betrifft dann auch das Recht des Auftraggebers, den gesamten Datenbestand jederzeit in einem abzustimmenden Datenformat vollständig (zumindest als Kopie) herausverlangen zu können.
47
Gerade im Rahmen der Archivierung der elektronischen Rechnungen sind die maßgeblichen gesetzlichen Bestimmungen durch den jeweiligen Dienstleister zu berücksichtigen, auch wenn letztlich die „Verantwortlichkeit“ für deren Einhaltung beim Auftraggeber liegt. Von daher können entsprechende „anerkannte Zertifikate“ über die ordnungsgemäße Sicherung und Archivierung der zugrunde liegenden Rechnungsdateien für beide Seiten hilfreich sein, auch wenn diese gegenüber den Finanzbehörden keine Bindungswirkung entfalten.
1 Dazu ausführlich Reitsam, § 60 und Schmidt, § 7.
904
Intveen
§ 54
III. Vertragsgestaltung
3. Datenschutz und Datensicherheit Regelungen zum Datenschutz und zur Datensicherheit sind im Rahmen 48 des e-Invoicing von hervorgehobener rechtlicher Bedeutung, und zwar insbesondere für den Auftraggeber. a) Überprüfung der zugrunde liegenden Daten (Integrität und Authentizität) Zunächst einmal hat der Auftragnehmer die vom Auftraggeber geliefer- 49 ten Daten auf deren „Richtigkeit und Vollständigkeit“ zu überprüfen, und zwar dann möglichst auf der Grundlage eines zuvor zwischen den Parteien abgestimmten Verfahrens zur Überprüfung der Integrität und Authentizität der Daten1. Die Überprüfung ist zu dokumentieren. Die entsprechenden Protokolle sollte sich der Auftraggeber zumindest in elektronischer Form übergeben lassen. Sollte der Auftragnehmer bei seiner Überprüfung fehlerhafte oder unvoll- 50 ständige Datensätze oder „mengenmäßige“ Abweichungen hinsichtlich der gemäß Vereinbarung zu verwendenden Datensätze feststellen, ist der Auftraggeber hierauf umgehend hinzuweisen. Für diesen Fall sollten die Parteien einen „Korrekturprozess“ vertraglich fixieren. b) Verfahrensdokumentation Die eingesetzten Verfahren für Rechnungserstellung, -prüfung, -versand 51 und -archivierung sind detailliert zu dokumentieren und z.B. den Steuerbehörden auf entsprechende Nachfrage zur Verfügung zu stellen, auch wenn das innerbetriebliche Kontrollverfahren keiner gesonderten Dokumentationspflicht unterliegt, wie sich aus dem Schreiben des BMF vom 2.7.2012 „Vereinfachung der elektronischen Rechnungsstellung zum 1.7.2011 durch das Steuervereinfachungsgesetz 2011“ ergibt. Die Verfahrensdokumentation sollte insbesondere für den Auftraggeber 52 dazu dienen, nachweisen zu können, dass die Anforderungen des HGB, der AO und der GoBS für die Aufbewahrung der elektronischen Rechnungen erfüllt sind. In der Verfahrensdokumentation sollte der gesamte organisatorische und technische Prozess des e-Invoicing detailliert beschrieben werden, wobei die rechtlichen Grundlagen für die Erstellung einer Verfahrensdokumentation in den §§ 239, 257 HGB geregelt sind (Ordnungsmäßigkeit, Vollständigkeit, Sicherheit des Gesamtverfahrens, Schutz vor Veränderung und Verfälschung, Sicherung vor Verlust, Nutzung nur durch Berechtigte, Einhaltung der Aufbewahrungsfristen, Dokumentation des Verfahrens, Nachvollziehbarkeit, Prüfbarkeit).
1 Vgl. § 14 Abs. 3 Nr. 2 UStG sowie die Empfehlung 94/820/EG der Kommission v. 19.10.1994 über die rechtlichen Aspekte des elektronischen Datenaustausches (ABl. L 338 v. 28.12.1994, S. 98). Intveen
905
§ 54
Vereinbarungen zum e-Invoicing
c) Einhaltung datenschutzrechtlicher Vorgaben 53
Hat zumindest der Auftraggeber den Sitz des Unternehmens in Deutschland, so findet das Bundesdatenschutzgesetz (BDSG) auch beim e-Invoicing Anwendung; die Regelungen dieses Gesetzes sind nicht disponibel.
54
Damit sind z.B. die technischen und organisatorischen Maßnahmen gem. § 9 BDSG sowie der dazugehörigen Anlage umzusetzen, sofern personenbezogene Daten im Auftrag erhoben, verarbeitet oder genutzt werden. Demzufolge sind also sämtliche technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die Ausführung der Vorschriften des BDSG, insbesondere die in den Anlagen zum BDSG genannten Anforderungen, zu gewährleisten. Erforderlich sind derartige Maßnahmen (allerdings) nur, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht.
55
Schon von daher sollte der Auftraggeber genau wissen, wo und von wem die Daten für die Rechnungserstellung sowie -übermittlung verarbeitet (und ggf. archiviert) werden. Dies betrifft dann natürlich auch den Einsatz von Subunternehmern durch den Auftragnehmer. Von daher sollten aus Sicht eines deutschen Auftraggebers auch nur solche Auftragnehmer bzw. Unterauftragnehmer zum Einsatz kommen, die einen dem BDSG zumindest vergleichbaren Datenschutz sicherstellen können und die ihren Sitz in Ländern mit zumindest annähernd vergleichbaren Datenschutzgesetzen und -standards haben. Allein dies ist schon in der Europäischen Union (EU) bzw. im Europäischen Wirtschaftsraum (EWR) nicht einfach zu bewerkstelligen.
56
Im Übrigen sollten die vom Auftragnehmer eingesetzten Mitarbeiter bzw. die Mitarbeiter von Unterauftragnehmern jeweils auf das Datengeheimnis gem. § 5 BDSG schriftlich verpflichtet sein. Diesen Nachweis müsste der Auftragnehmer gegenüber dem Auftraggeber führen. d) Auftragsdatenverarbeitung
57
Sofern personenbezogene Daten im Rahmen des e-Invoicing im Auftrag erhoben, verarbeitet oder genutzt werden, findet § 11 BDSG zusätzlich zu den sonstigen relevanten Vorschriften des BDSG Anwendung1.
58
Für die Einhaltung der Vorschriften des BDSG und anderer Vorschriften über den Datenschutz ist allein der Auftraggeber verantwortlich (§ 11 Abs. 1 Satz 1 BDSG).
59
Der Auftragnehmer ist unter besonderer Berücksichtigung der Eignung der von ihm getroffenen technischen und organisatorischen Maßnahmen sorgfältig auszuwählen, wobei der Auftrag schriftlich zu erteilen ist und
1 Dazu näher Habel, § 35 sowie Roth-Neuschild, § 44.
906
Intveen
§ 54
III. Vertragsgestaltung
eine Reihe von Einzelheiten festzulegen sind (§ 11 Abs. 2 Satz 1 und 2 BDSG). Der Auftraggeber hat sich vor Beginn der Datenverarbeitung und sodann 60 regelmäßig von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zu überzeugen; das Ergebnis ist zu dokumentieren (§ 11 Abs. 2 Satz 4 und 5 BDSG). Die Vereinbarung und letztlich auch die Sicherstellung, Kontrolle und 61 Protokollierung der erwähnten Vorgaben/Verpflichtungen gem. § 11 BDSG bereiten in der Praxis häufig erhebliche Schwierigkeiten, und zwar auch im Rahmen des e-Invocing. Hier empfiehlt sich eine gesonderte schriftliche „Vereinbarung zur Auftragsdatenverarbeitung“, in der – ggf. in einer gesonderten Anlage – zumindest folgende Angaben aufzunehmen sind: – Umfang, Art und Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten, Art der Daten und Kreis der Betroffenen; – vom Auftragnehmer zu treffende technische und organisatorische Maßnahmen, insbesondere vom Auftragnehmer vorzunehmende Kontrollen; – vom Auftrag eingesetzte Subunternehmer. Der Einsatz von Subunternehmern/Unterauftragnehmern sollte von der 62 vorherigen schriftlichen Zustimmung des Auftraggebers abhängig gemacht werden, wobei dann auch die von dem jeweiligen Subunternehmer durchzuführenden Tätigkeiten vor Vertragsabschluss detailliert aufzuführen sind1. e) Datenübertragung und Datensicherheit Sowohl der Prozess der Datenübertragung als auch die im Rahmen der 63 Datensicherheit vorzunehmenden Prozesse und Maßnahmen sind detailliert zu beschreiben. Dies betrifft sowohl die eingesetzten technischen Mittel als auch z.B. eingesetzte Verschlüsselungs- und Digitalisierungswerkzeuge. In diesem Zusammenhang muss sichergestellt werden, dass sowohl zwi- 64 schen dem Auftraggeber und dem Auftragnehmer einerseits als auch zwischen dem Auftragnehmer und dem Rechnungsempfänger andererseits einheitliche technische Hilfsmittel und Standards Anwendung finden. Ansonsten droht die Gefahr, dass die elektronischen Rechnungen beim Rechnungsempfänger nicht ordnungsgemäß eingehen.
1 Zu § 11 Abs. 2 Satz 2 Nr. 6 BDSG s. Plath in Plath, BDSG, § 11 Rz. 105. Intveen
907
§ 54
Vereinbarungen zum e-Invoicing
f) Einsatz von Subunternehmern/Erfüllungsgehilfen 65
Der Auftragnehmer sollte grundsätzlich schriftlich verpflichtet werden, sämtliche von ihm zum Einsatz vorgesehenen Subunternehmer/Erfüllungsgehilfen vor Vertragsabschluss gegenüber dem Auftraggeber zu benennen1. Diese können dann in einer gesonderten Anlage zum Vertrag aufgelistet werden, wobei diese Anlage bei etwaigen Änderungen nach Vertragsabschluss jeweils zu aktualisieren ist.
66
Pauschale Bezugnahmen wie „verbundene Konzernunternehmen“ sind aus Auftraggebersicht im Zusammenhang mit vom Auftragnehmer eingesetzten Subunternehmern/Erfüllungsgehilfen in jedem Fall zu vermeiden. Nach Möglichkeit sollte auch vereinbart werden, dass etwaige, mit vorheriger schriftlicher Zustimmung des Auftraggebers eingesetzte Subunternehmer/Erfüllungsgehilfen des Auftragnehmers ihren (Firmen-)Sitz in Deutschland oder aber zumindest in der EU bzw. im EWR haben (müssen). In diesem Zusammenhang muss dann auch vorgesehen werden, dass der Auftragnehmer seinen Subunternehmern/Erfüllungsgehilfen identische „Verpflichtungen zum Datenschutz und zur Datensicherheit“ schriftlich auferlegt, wie diese zwischen dem Auftraggeber und dem Auftragnehmer vereinbart sind. g) Kontroll-, Aufsichts- und Weisungsrechte des Auftraggebers
67
Der Auftraggeber sollte sich umfassende Kontroll-, Aufsichts- und Weisungsrechte vertraglich einräumen lassen2. Dies schon vor dem Hintergrund, dass allein der Auftraggeber für die Einhaltung des Datenschutzes und der Datensicherheit und auch für die Einhaltung der maßgeblichen gesetzlichen bzw. verwaltungsrechtlichen Bestimmungen im Rahmen des e-Invoicing nach außen hin verantwortlich ist.
68
In diesem Zusammenhang sollte dann auch vereinbart werden, dass der Auftraggeber die entsprechenden Kontrollen selbst oder durch von ihm beauftragte Dritte vornehmen kann. 4. Service Level Agreements (SLAs)
69
Vereinbarungen zur „Verfügbarkeit“ des die elektronischen Rechnungen erzeugenden und versendenden DV-Systems des Auftragnehmers werden häufig als Service Level Agreements (SLAs)3 bezeichnet.
1 Zu § 11 Abs. 2 Satz 2 Nr. 6 BDSG s. Plath in Plath, BDSG, § 11 Rz. 105. 2 S. auch § 11 Abs. 2–4 BDSG. 3 Dazu allgemein Hörl/Häuser, CR 2003, 713 ff.
908
Intveen
§ 54
III. Vertragsgestaltung
a) Vereinbarungen zur Einhaltung und Messbarkeit der vertragsgegenständlichen Lieferungen und Leistungen Die Erstellung und der Versand der elektronischen Rechnungen unterlie- 70 gen im Regelfall beim e-Invoicing detaillierteren Vereinbarungen. Ohne Regelungen zur Messbarkeit der vereinbarten bzw. tatsächlichen Einhaltung können derartige Vereinbarungen allerdings ins Leere laufen. Damit ist vertraglich zunächst einmal zu regeln, dass die vertragsgegen- 71 ständlichen Lieferungen und Leistungen messbar sind, wer die Messungen durchführt und mit welchen Werkzeugen (Tools) derartige Messungen durchgeführt werden. Sofern Auftraggeber und Auftragnehmer – getrennt voneinander – ent- 72 sprechende Messungen durchführen, sollte auch geregelt werden, welches Messergebnis letztlich maßgeblich ist. In diesem Zusammenhang muss natürlich dann auch der Einsatz identischer Messmethoden und Messgeräte vorgesehen werden. b) Vereinbarungen über Verfügbarkeiten Häufig werden Regelungen über „Verfügbarkeiten“ des DV-Systems des 73 Auftragnehmers getroffen1. Derartige Vereinbarungen werden im Regelfall in Prozentsätzen zu dem zugrunde liegenden „Verfügbarkeitszeitraum“ getroffen. Gleiches gilt für (vereinbarte) Unterbrechungszeiträume, wobei hier der jeweilige „Betrachtungszeitraum“ (z.B. monatlich, quartalsweise, jährlich) sowohl für den Auftraggeber als auch für den Auftragnehmer von erheblicher rechtlicher Bedeutung sein kann, wenngleich jeweils mit unterschiedlichen Konsequenzen. In diesem Zusammenhang sind dann auch Vereinbarungen über Betriebs- 74 und Servicezeiten von erheblicher Bedeutung. Wenn beispielsweise vereinbarte Betriebszeiten und vereinbarte Service- 75 zeiten auseinanderfallen, gleichzeitig aber Verfügbarkeiten nur im Rahmen der vereinbarten Servicezeiten Geltung haben sollen, ist jedenfalls aus Auftraggebersicht Vorsicht geboten. Wenn nämlich einerseits eine Verfügbarkeit von z.B. 99,9 % vereinbart wird, andererseits das Ganze nur im halbjährlichen Mittel gelten soll, können durchaus in diesem Zeitraum monatliche „Schwankungsspitzen“ entstehen, ohne dass dies letztlich zu „Konsequenzen“ für den Auftragnehmer führen würde. Sofern einerseits als Betriebszeiten ein Zeitraum „rund um die Uhr“ 76 bzw. „365/7/24“ vereinbart wird, andererseits aber Servicezeiten nur an „Arbeitstagen von 8.00 Uhr – 16.00 Uhr“ vorgesehen werden, hilft dem Auftraggeber letztlich weder eine hohe prozentuale Verfügbarkeit noch ein umfassender „Betriebszeitraum“. Bei auftretenden Mängeln/Fehlern 1 Dazu allgemein Hörl/Häuser, CR 2003, 713 (715). Intveen
909
§ 54
Vereinbarungen zum e-Invoicing
der die elektronischen Rechnungen erzeugenden und versendenden DVAnlage würden bei abweichenden – dann geringeren – Servicezeiten etwaige „Mängel-/Fehlerbehebungsarbeiten“ durch den Auftragnehmer ohne entsprechende Vereinbarung nicht durchgängig erfolgen müssen. 77
Vor diesem Hintergrund sollten dann auch nicht – wie häufig anzutreffen – lediglich „Reaktionszeiten“, sondern darüber hinaus möglichst auch „Wiederherstellungszeiten“ hinsichtlich des im Einsatz befindlichen DV-Systems des Auftragnehmers vereinbart werden. c) Vereinbarungen über Servicezeiten
78
Für den Fall, dass die die elektronischen Rechnungen erzeugende und versendende DV-Anlage des Auftragnehmers ausfällt bzw. fehlerhafte Ergebnisse produziert, muss durch entsprechende Vereinbarungen über Servicezeiten aus Sicht des Auftraggebers sichergestellt sein, dass Mängelmeldungen des Auftraggebers in einem möglichst „durchgehenden“ Zeitraum entgegengenommen und dann auch schnellstmöglich bearbeitet werden. Derartige Vereinbarungen sind gerade bei elektronischen Rechnungen, die zeitnah erzeugt und versendet werden sollen, unumgänglich.
79
Von daher sollten auch Vereinbarungen über Servicezeiten vermieden werden, bei denen Serviceleistungen (und damit auch „Mängelbeseitigungsarbeiten“) nur werktags oder sogar nur an Arbeitstagen und dann auch nur innerhalb eines bestimmten Zeitkorridors vom Auftragnehmer erbracht werden. Die möglichst durchgängige Erreichbarkeit und der jeweils umgehend anschließende Beginn der Fehlerbeseitigungsarbeiten sollten – ebenso wie deren elektronische Dokumentation – im Rahmen derartiger Vereinbarungen mittlerweile zum Standard gehören. d) Malusregelungen bei Nichteinhaltung der Service Level
80
Für den Fall, dass die Verarbeitung eines eingelieferten Datensatzes sowie die Erstellung der elektronischen Rechnungen und deren anschließender elektronischer Versand länger als vereinbart andauern, können z.B. Regelungen über die pauschale Minderung der vereinbarten Vergütung getroffen werden. Auch können Regelungen über einen pauschalierten Schadensersatz oder über eine (zusätzliche) Vertragsstrafe aufgenommen werden. Hier kommt es letztlich auf die präzise Abfassung derartiger Bestimmungen an.
81
In jedem Fall sollten weitergehende Ansprüche des Auftraggebers ebenso wenig ausgeschlossen werden, wie das Recht der Parteien, einen höheren oder niedrigeren Schadensersatz nachweisen zu können.
82
Bei der Vereinbarung von Vertragsstrafen oder pauschalierten Schadensersatzzahlungen kann – und muss in AGB – dann auch eine Regelung da910
Intveen
§ 54
IV. Automobilindustrie
hingehend aufgenommen werden, dass derartige Zahlungen/Beträge auf weitergehende Ansprüche des Auftraggebers angerechnet werden. In jedem Fall müssen die Vereinbarungen über Malusregelungen bei 83 Nichteinhaltung der vereinbarten Service Level im direkten Zusammenhang mit der Frage der Messbarkeit und der Durchführung der Messungen der vertragsgegenständlichen Lieferungen und Leistungen gesehen werden. Dies gilt auch für die Protokollierung derartiger Messungen, sei es durch den Auftraggeber oder den Auftragnehmer oder beide Parteien. In jedem Fall sollten insbesondere prozentuale Malusbeträge in einem angemessenen Verhältnis zur nicht erbrachten Leistung bzw. der insoweit zu zahlenden Vergütung und/oder aber zu dem tatsächlich eingetretenen bzw. vorhersehbaren Schaden stehen. In diesem Zusammenhang sollte auch vereinbart werden, wie entspre- 84 chende „Maluszahlungen“ Berücksichtigung finden, beispielsweise in Form von Gutschriften, und wann derartige „Maluszahlungen“ bzw. Gutschriften vom Auftragnehmer an den Auftraggeber geleistet werden.
IV. Elektronische Rechnungserstellung und -übermittlung in der deutschen Automobilindustrie Am Beispiel der deutschen Automobilindustrie soll nachfolgend die Ein- 85 führung des e-Invoicing dargestellt werden. 1. VDA Standard 4906 Im Mai 1993 hat z.B. der Arbeitskreis „Vordruckwesen/Datenaustausch“ 86 im Rohstoff-Ausschuss des Verbands der Automobilindustrie (VDA) durch Empfehlung als 2. Ausgabe einen Standard für den maschinellen Datenaustausch von Rechnungsdaten zwischen der Zulieferindustrie und den Automobilherstellern bzw. zwischen Lieferanten und Vorlieferanten herausgegeben (VDA Standard 4906). Diese sollte die 1. Ausgabe aus Juni 1984 ersetzen. In diesem Standard waren Hinweise über Rechtsgrundlagen bei Einsatz 87 einer Datenfernübertragung bei einem Rechnungsversand ebenso aufgeführt wie die damals einzusetzenden Satzarten und deren Vergabe sowie anschließende Prüfung. Für Sammelabrechnungen bei Einsatz der Rechnungs-DFÜ folgten unter 88 Hinweis auf die Anforderungen von § 14 UStG weitere Einzelheiten, insbesondere im Zusammenhang mit der Sichtbarmachung von Einzelrechnungen, der Verbindung einer Sammelabrechnung zu den Einzelrechnungen sowie zu einem Standard-Beleg einer Sammelabrechnung. In verschiedenen Anlagen wurden Beispiele und Muster z.B. für Ablauf- 89 diagramme, Speicherbelegungspläne, Muster von Einzelnachweisen und Intveen
911
§ 54
Vereinbarungen zum e-Invoicing
Sammelabrechnungen sowie eine Prüfungstabelle und eine Checkliste für die Realisierung aufgeführt. Der VDE Standard 4906 kam über viele Jahre in der deutschen Automobilindustrie bei der Erstellung und dem Versand von elektronischen Rechnungen zur Anwendung. 2. VDA Standard 4938 (Global INVOIC) 90
Die deutschen Automobilunternehmen und auch die in Deutschland tätigen Importeursgesellschaften ausländischer Automobilunternehmen haben dann weiter daran gearbeitet, den elektronischen Daten- und Rechnungsaustausch voranzutreiben und weiter zu optimieren, damit elektronische Rechnungen und Gutschriften einheitlich gestaltet werden können.
91
Hierzu ist z.B. vom Verband der Automobilindustrie (VDA) der Standard 4938 (Global INVOIC) entwickelt worden, der im März 2011 vorgestellt wurde. Die bis dahin üblichen verschiedenen Standards bei Automobilherstellern und -importeuren einerseits und Automobilzulieferern andererseits deckten die bereits durch das Steuervereinfachungsgesetz 2011 gesetzlich geregelten Möglichkeiten für elektronische Rechnungen sowie deren Übertragung nicht mehr vollständig ab und entsprachen auch nicht mehr den geltenden Anforderungen des UStG.
92
Nach einer im Jahr 2012 durchgeführten Pilotphase mit verschiedenen Lieferanten hat die deutsche Automobilindustrie im Jahr 2013 mit der Umstellung auf den VDA Standard 4938 (Teil 2) begonnen. Durch diesen neuen Standard sollen der Versand von separaten Sammelrechnungen und Summenblättern entfallen und die Nutzbarkeit eines einheitlichen Formats für alle Geschäftsfälle ohne Anlagen sichergestellt werden.
93
In dem „Global INVOIC Anwendungshandbuch“ (Version 1.1 vom April 2012) des VDA wird das Abrechnungsverfahren im VDA Standard 4938 T2 ausführlich beschrieben, und zwar konkret ein standardisierter Austausch von Rechnungsdaten mit der UN/EDIFACT Nachricht INVOIC.
94
Ausgehend von einer bestimmten Nachrichtenstruktur (EDIFACTÜbertragungsdaten) sollen Nachrichten gleichen Typs (z.B. INVOIC) übertragen werden. Auf dieser Grundlage werden dann einheitliche Rechnungsdokumente (z.B. Handelsrechnung Produktionsmaterial, Handelsrechnung Serviceleistungen) elektronisch erstellt und anschließend versandt. Darüber hinaus können auch Rechnungen (z.B. für innergemeinschaftliche Lieferungen) auf elektronischem Wege erstellt werden. Im Rahmen der Eingangsverarbeitung von Rechnungen werden dem jeweiligen Rechnungsempfänger konkrete Plausibilitätsprüfungen empfohlen.
95
Voraussetzung ist auch hier zusätzlich, dass eine (gesonderte) EDI-Vereinbarung über den Datenaustausch zwischen dem Rechnungsaussteller und dem Rechnungsempfänger geschlossen wird, in der der Rechnungs912
Intveen
§ 54
V. Fazit
empfänger insbesondere seine Zustimmung zur Erstellung und zum Versand der elektronischen Rechnungen erklärt.
V. Fazit Auch wenn seit vielen Jahren rechtlich und technisch die Möglichkeit 96 besteht, Rechnungen auf elektronischem Wege zu erzeugen und zu versenden, werden nach wie vor Rechnungen zwischen Unternehmen nicht nur elektronisch versandt. So hat sich beispielsweise der Verband elektronische Rechnungen (VeR), in dem sich verschiedene Software-Anbieter, Beratungsfirmen und andere Unternehmen zusammengeschlossen haben, zum Ziel gesetzt, dass im Jahr 2015 mindestens 40 % aller Rechnungen zwischen Unternehmen elektronisch versendet werden. Auch von daher bleibt zu hoffen, dass die Papierrechnung tatsächlich in absehbarer Zeit „flüchtig“ und durch die elektronische Rechnung im Rahmen des e-Invoicing ersetzt wird. Voraussetzung hierfür sind allerdings eine deutliche Steigerung der Akzeptanz, der Markttransparenz und auch der Abfassung von einheitlichen Standards für teilnehmende Unternehmen sowie die Einhaltung dieser Standards. Die damit verbundene Kostenersparnis sollte hierzu ein Übriges tun.
Intveen
913
Teil 9 Haftung für die Richtigkeit, Verfügbarkeit und Aktualität von Daten; forensische Aspekte § 55 Haftung für Datenlieferung und -pflege
I. Einführung . . . . . . . . . . . . . . . . . . .
Rz.
Rz.
1
III. Haftung der Datenbankanbieter. . 32 1. Typologie des Datenbanknutzungsvertrags . . . . . . . . . . . . . . . . . 32 2. Mängel und Schadensersatzansprüche . . . . . . . . . . . . . . . . . . . . 34
II. Haftung der Datenlieferanten . . . 5 1. Vertrag über die Lieferung von Daten . . . . . . . . . . . . . . . . . . . . . . . 5 a) Vertragstyp . . . . . . . . . . . . . . . . 5 b) Grundlagen von Schadensersatzansprüchen . . . . . . . . . . . 7 c) Vertretenmüssen. . . . . . . . . . . . 15 d) Schadenspositionen . . . . . . . . . 20 2. Datenpflege . . . . . . . . . . . . . . . . . . 27
IV. Vertragliche Gestaltungsmöglichkeiten, insbesondere Standardverträge . . . . . . . . . . . . . . . . . . 37
I. Einführung Wer Datenbanken nutzt, ist neben einer geeigneten Datenbanksoftware 1 in erster Linie darauf angewiesen, dass die in der Datenbank vorhandenen Daten richtig, vollständig und aktuell sind. Fehlerhafte, lückenhafte und veraltete Daten können zu falschen Auskünften und damit zu falschen Entscheidungen führen. Geht es um Adressen und Werbeaktionen, können diese bei falschen Adressen wirkungslos sein, aber auch – z.B. bei fehlenden Einwilligungen der Beworbenen – erfolgreiche Abmahnaktionen von Konkurrenten nach sich ziehen. All dies kann zu Schäden führen. Dann stellt sich die Frage, wer für solche Schäden aufkommen muss. Mit dieser Fragestellung beschäftigt sich die folgende Darstellung. Für die nachfolgenden Betrachtungen sollen zwei Fallkonstellationen un- 2 terschieden werden. Es kann sein, dass Datenbanken bzw. Adressverzeichnisse verwendet werden, die im eigenen Unternehmen geführt werden. Werden die Daten bzw. Adressen für diese Datenbanken (auch) von Dritten geliefert und/oder gepflegt, stellt sich die Frage der Haftung der Daten- bzw. Adresslieferanten. Es kann aber auch sein, dass Datenbanken oder Adressverzeichnisse Dritter genutzt werden. Dann stellt sich die Frage, wann die Datenbankbetreiber Schadensersatz leisten müssen. Beide Konstellationen sollen in der Folge getrennt untersucht werden. In einem Schlussabschnitt werden dann noch einige Hinweise zu Fragen 3 der Vertragsgestaltung, insbesondere in Standardverträgen gegeben.
Redeker
915
§ 55 4
Haftung fr Datenlieferung und -pflege
In der folgenden Darstellung geht es ausschließlich um vertragsrechtliche Ansprüche. Theoretisch sind auch deliktische Ansprüche wegen vorsätzlicher sittenwidriger Schädigung (§ 826 BGB) oder Eingriff in den eingerichteten und ausgeübten Gewerbebetrieb (§ 823 Abs. 1 BGB) denkbar. Praktisch dürften solche Ansprüche freilich ausscheiden, so dass sie hier nicht untersucht werden.
II. Haftung der Datenlieferanten 1. Vertrag über die Lieferung von Daten a) Vertragstyp 5
Die erste hier zu betrachtende Fallkonstellation ist die, dass ein Unternehmen seinen Kunden Daten für die von diesen betriebenen Datenbanken liefert. Die Datenbanksoftware kann der Kunde vom gleichen Unternehmen bezogen haben, muss dies aber nicht. Um die Software geht es hier nicht. Geliefert werden ausschließlich Daten. In aller Regel geht es dabei um fertige Datenpakete, die mehreren Kunden in gleicher Weise geliefert werden – es können aber auch jeweils individuelle Datenpakete zusammengestellt werden. Bei den Daten kann es um wissenschaftliche Erkenntnisse ebenso gehen wie um Adressen oder Preislisten von Produkten, die der jeweilige Datenkunde für die eigene Preiskalkulation benötigt. Der Vielfalt sind hier keine Grenzen gesetzt. Für die jeweilige Lieferung zahlt der Kunde einen Einzelpreis.
6
In dieser Konstellation geht es um Kauf- oder Werkverträge – Kaufverträge für den Fall vorgefertigter Datenpakete; Werkverträge für den Fall individuell zusammengestellter Daten. § 651 BGB ist nach bislang h.M. nicht anzuwenden. Datenpakete wurden bislang nicht als Sachen betrachtet1. Kaufrechtlich geht es um den Kauf sonstiger Gegenstände nach § 453 BGB2. Geliefert werden müssen Daten aller Art in einem für die Verwendung in der jeweiligen Datenbank des Kundenunternehmens geeigneten Datenformat. Sie müssen auch aktuell, vollständig und richtig sein. b) Grundlagen von Schadensersatzansprüchen
7
Schadensersatzansprüche gibt es dann, wenn die gelieferten Daten die geforderten Voraussetzungen nicht erfüllen, also mangelhaft sind, und der Lieferant dies zu vertreten hat. Die erste zu klärende Frage ist, wann die gelieferten Daten mangelhaft sind. Bei Datenpaketen, die eine Vielzahl von Daten enthalten, wird kein Käufer davon ausgehen können, dass im 1 LG Konstanz v. 10.5.1996 – 1 S 292/95, NJW 1996, 2662; Stresemann in MünchKommBGB, § 90 Rz. 25. 2 Bahr, Recht des Adresshandels, Rz. 760 ff.; Westermann in MünchKommBGB, § 453 Rz. 6 zu Domain-Adressen.
916
Redeker
§ 55
II. Haftung der Datenlieferanten
gesamten Datenbestand überhaupt keine Fehler auftreten können. Dies gilt insbesondere bei Adressdaten, weil sich die Adressen dort aufgeführter Personen ja jederzeit ändern können1 und allenfalls eine regelmäßige Kontrolle der Adressen auf Rückläufe sowie eine zwar regelmäßige, aber nicht zu häufige vorsorgliche Kontrolle verlangt werden kann2. Völlige Fehlerfreiheit kann so nicht erreicht werden3. Wie viele Fehler im Adressbestand noch hingenommen werden können, ist von der Rechtsprechung bislang nicht näher entschieden worden. Veröffentlichte oberoder höchstrichterliche Urteile sind nicht bekannt. In der Literatur ist von 5–7 % die Rede4. Es empfiehlt sich hier, vertragliche Vereinbarungen zu treffen. Dabei geht es um Leistungsbeschreibungen – was gerade im Bereich von Massenverträgen wichtig ist. Gerade bei der Verwendung von allgemeinen Geschäftsbedingungen muss der Bereich der Leistungsbeschreibung von dem der Gewährleistungsregelungen abgegrenzt werden, weil Regelungen, die zu einer Einschränkung der Gewährleistung führen, in der Regel unwirksam sind5. Außerhalb des Adresshandels dürften aber schon einzelne Fehler in den 8 Daten rasch zur Mangelhaftigkeit der Daten führen. Wer seinen Kunden etwa Preislisten liefert, aufgrund derer diese ihren Einkauf steuern und/ oder auch eigene Angebote kalkulieren, muss in diesen Preislisten korrekte Preise angeben und kann nicht damit gehört werden, Fehler seien unvermeidbar. Schließlich geht es für die Kunden darum, günstig einzukaufen und/oder Angebote zu kalkulieren, die zu Gewinnen und nicht zu Verlusten führen. Ähnliches gilt für technische und wissenschaftliche Daten, die den Unternehmen dazu dienen, ihre Betriebsabläufe zu optimieren oder die Korrektheit ihrer eigenen Leistungen zu kontrollieren. Wer z.B. Daten über die technisch geforderte Zusammensetzung bestimmter Stoffe liefert, die sein Kunde herstellt, muss korrekte Daten liefern. Ähnliches gilt für Dosierungsanleitungen von Medikamenten6. Gerade bei Datenbanken wird – anders als bei Büchern7 – zu Recht auch eine hohe Aktualität der Informationen erwartet und verlangt. Im Bereich des Adresshandels gibt es freilich noch weitere Anforderun- 9 gen. In aller Regel werden Adressdaten ja zu Werbungszwecken geliefert. Dies ist datenschutzrechtlich nur begrenzt zulässig. Hier muss der Datenlieferant sicherstellen, dass sämtliche gelieferte Adressen die Voraus-
1 Bahr, Recht des Adresshandels, Rz. 796 spricht von 10 % der Bevölkerung, die jährlich umziehen. 2 Bahr, Recht des Adresshandels, Rz. 803. 3 Dazu schon Redeker, CR 1989, 670 (673). 4 Bahr, Recht des Adresshandels, Rz. 805. 5 Näher dazu unten Rz. 40. 6 So ausdrücklich Foerste, NJW 1991, 1433 (1436); vgl. zu Büchern BGH v. 14.3.1973 – VIII ZR 173/71, NJW 1973, 843 (844 f.); Westermann in MünchKommBGB, § 434 Rz. 73. 7 Westermann in MünchKommBGB, § 434 Rz. 73. Redeker
917
§ 55
Haftung fr Datenlieferung und -pflege
setzungen des § 28 Abs. 3 BDSG1 erfüllen und nicht unter das TMG fallen, das eine Verwendung der Daten zu Werbezwecken ohne Einwilligung der Betroffenen nicht zulässt. Evtl. notwendige Einwilligungen sind beweiskräftig zu dokumentieren. Soweit es bei den Adressdaten um E-Mail-Adressen geht, ist immer die notwendige ausdrückliche Einwilligung des Betroffenen beweiskräftig dokumentiert vorzuhalten, weil diese nach § 7 Abs. 2 Nr. 3 UWG für E-Mail-Werbung erforderlich ist2. Fehlt es an diesen Voraussetzungen, sind die Adressdaten mangelhaft. 10
Werden mangelhafte Daten geliefert, gibt es im Kaufrecht bei Vorliegen weiterer Voraussetzungen Schadensersatzansprüche (§ 437 Nr. 3 BGB). Grundsätzlich gehört zu diesen Voraussetzungen auch, dass der Lieferant die mangelhafte Leistung trotz Aufforderung nicht nachgeliefert und den Mangel nicht beseitigt hat. Eine Nachlieferung ist auch oft möglich. Nur im Bereich des Adresshandels dürfte dies häufiger nicht gehen. Dem Lieferanten ist daher zunächst eine Nachlieferungsmöglichkeit zu geben, bevor Schadensersatzansprüche eingreifen.
11
Allerdings kann es sein, dass der Schaden durch die Nachlieferung nicht mehr zu verhindern ist. Dies liegt dann auf der Hand, wenn aufgrund fehlerhafter Preise in einer Preisliste ein ungünstiges Angebot erstellt wurde und nach Auffallen des Fehlers nicht mehr zurückgenommen werden kann. Möglicherweise ist auch schon ein für den Datenempfänger ungünstiger Vertrag abgeschlossen worden, der nicht mehr angefochten werden kann. Hier kann Schadensersatz unabhängig von der Nachlieferung nach § 280 Abs. 1 BGB verlangt werden3. In allen anderen Fällen bedarf es eines Nacherfüllungsbegehrens. Darauf kann nur verzichtet werden, wenn der Lieferant die Nachlieferung ernsthaft und endgültig verweigert hat (§ 281 Abs. 2 BGB), die Nachlieferung fehlgeschlagen oder dem Kunden unzumutbar ist (§ 440 BGB).
12
Im Bereich des Werkvertragsrechts gilt im Wesentlichen das Gleiche (§§ 634 Nr. 4, 636 BGB).
13
Neben den hier geschilderten sachlichen Fehlern kann es aber auch sein, dass die Datenlieferung Schutzrechte Dritter, namentlich Datenbankrechte (§§ 4 Abs. 2, 87a ff. UrhG) verletzt. In diesem Fall liegen Rechtsmängel vor. Die Rechtsfolgen entsprechen aber denen von Sachmängeln (§§ 435, 437, 633 BGB).
14
Neben den mangelbedingten Schadensersatzansprüchen kann es auch Schadensersatzansprüche wegen der Verletzung von anderen Vertragspflichten geben. Gibt es z.B. einen Streit zwischen dem Datenempfänger 1 Im Einzelnen dazu Plath in Plath, BDSG, § 28 Rz. 98 ff. 2 Dazu zuletzt BGH v. 25.10.2012 – I ZR 169/10, GRUR 2013, 531, zu den gleichen Voraussetzungen bei der Telefonwerbung. 3 Faust in Bamberger/Roth, BGB, § 280 Rz. 53; Westermann in Erman, BGB, § 280 Rz. 14.
918
Redeker
§ 55
II. Haftung der Datenlieferanten
und einem Dritten darüber, ob eine Adresse zu Werbungszwecken verwendet werden darf, muss der Adresslieferant seinem Kunden eine bei ihm vorhandene Dokumentation über eine Einwilligung des Betroffenen zur Verwendung seiner Daten zu Werbezwecken so zur Verfügung stellen, dass der Kunde die Einwilligung beweisen kann. Tut er dies nicht, verletzt er diese Pflicht und kann sich allein dadurch schadensersatzpflichtig machen. Tut er es verspätet, befand er sich in Verzug und kann deswegen haften. c) Vertretenmüssen Für alle Schadensersatzansprüche gilt außerdem, dass der Datenlieferant 15 nur haftet, wenn eine Pflichtverletzung vorliegt, die er auch zu vertreten hat. Die Pflichtverletzung kann hier zunächst in der Lieferung mangelhafter 16 Daten bestehen. Dies betrifft die Schäden, die durch eine Nachlieferung von mangelfreien Daten nicht mehr zu verhindern sind. Bei Kauf- bzw. Werkvertrag ist die Lieferung mangelfreier Gegenstände Hauptpflicht1. Wird mangelhaft geliefert, liegt eine Pflichtverletzung vor. Das Verschulden des Lieferanten an dieser Pflichtverletzung wird nach § 280 Abs. 1 Satz 2 BGB vermutet2. Diese Vermutung kann der Lieferant wiederlegen, insbesondere dadurch, dass er darlegt, wie bei ihm die Daten zusammengestellt werden und wie seine Qualitätssicherung funktioniert. Wenn diese einschließlich der Einzelkontrolle den Maßstäben eines sorgfältigen Datenhändlers entspricht, kann im Einzelfall kein Pflichtverstoß oder evtl. auch kein Verschulden vorliegen. Dieser Vortrag ist allerdings schwierig und führt nur selten zum Erfolg. Bei Büchern hat der BGH dies noch anders gesehen und ein Verschulden 17 des Verlegers bei Fehlern auch in Anleitungsbüchern abgelehnt3. Dies geschah aber deswegen, weil der Verleger keine unmittelbare Vertragsbeziehung zum Nutzer des Buches hatte. Dieser hatte das Buch bei einem Buchhändler gekauft. Es ging daher um deliktische Haftung. Der BGH nahm an, der Autor sei kein Verrichtungsgehilfe des Verlegers – eigene inhaltliche Prüfungen müsse der Verlag nicht vornehmen. Die Situation ist beim Datenlieferanten anders. Es geht um vertragliche Haftung – hier sind Autoren und andere Mitarbeiter des Verlages Erfüllungsgehilfen. Außerdem müssen die Lieferanten auch als Unternehmen Qualitätssicherungssysteme installieren. Sie können daher der Haftung nicht mehr auf dem vom BGH bei Buchverlagen nicht zu Unrecht gesehenen Weg entgehen und haften für Fehler bei ihnen oder ihren Erfüllungsgehilfen. 1 Westermann in MünchKommBGB, § 433 Rz. 55; Faust in Bamberger/Roth, BGB, § 433 Rz. 38; Peters/Jacoby in Staudinger, BGB, § 638 Rz. 3. 2 BGH v. 15.7.2008 – VIII ZR 211/07, NJW 2008, 2837 (2840). 3 BGH v. 7.7.1970 – VI ZR 223/68, NJW 1970, 1963 (1964). Redeker
919
§ 55
Haftung fr Datenlieferung und -pflege
18
Anders ist dies dann, wenn ein Datenlieferant nur Wiederverkäufer der Daten ist und die von ihm selbst nur eingekauften Daten ohne weitere eigene Tätigkeit an den Kunden weitergibt. In diesem Fall liegen die Fehler im Bereich des Vorlieferanten. Dieser ist aber nicht Erfüllungsgehilfe des Wiederverkäufers1. Dieser hat selbst nicht gegen Pflichten verstoßen. Schadensersatzansprüche bestehen daher nicht. Eine Ausnahme gilt nur dann, wenn man auch bei einem Wiederverkäufer Prüfpflichten annimmt, gegen die verstoßen wurde und bei deren Einhaltung der Schaden verhindert worden wäre. Solche Prüfpflichten kann man aber in aller Regel nicht annehmen.
19
Eine Pflichtverletzung kann auch in einer nicht fristgerechten Nachlieferung liegen. Dies betrifft die Schäden, die dadurch eintreten, dass nicht fristgerecht nachgeliefert wurde, z.B. weil wegen fehlerhafter Adressdaten zeitweilig keine Werbemaßnahmen durchgeführt werden können. Ist die vom Kunden gesetzte Frist angemessen, dürfte das Nichteinhalten der Frist hier immer zum Vertretenmüssen führen. d) Schadenspositionen
20
Welche Schadenspositionen bestehen, kann an dieser Stelle nur an Beispielen erörtert werden. Prinzipiell gelten aber die allgemeinen Regeln. Es kann jeder materielle Schaden ersetzt werden, auch der entgangene Gewinn (§ 252 BGB). Der Schaden muss nur kausal durch die Pflichtverletzung des Datenlieferanten verursacht worden sein.
21
Es gibt Fälle, in denen diese Voraussetzung recht einfach nachzuweisen sein wird. Ist aufgrund falscher Einkaufspreise ein Vertrag mit einem Dritten zustande gekommen, der beim Kunden des Datenlieferanten zu Verlusten führt, kann man davon ausgehen, dass ein solches Angebot bei korrekten Daten nicht abgegeben worden wäre. Der Verlust ist als Schaden zu ersetzen. Schwieriger wird dies schon, wenn es darum geht, dass sonst ein gewinnbringendes Angebot abgegeben worden wäre und es um den Ersatz des entgangenen Gewinns geht. Hier müsste ja zunächst dargelegt und ggf. bewiesen werden, dass der Vertragspartner des Datenempfängers ein solches Angebot überhaupt angenommen hätte. Dies wird trotz der Beweiserleichterung des § 252 Satz 2 BGB nicht immer möglich sein. Ohne diesen Beweis ist aber nicht klar, ob bei korrekten Daten nicht nur kein Verlust, sondern auch ein Gewinn gemacht worden wäre.
22
Schwierig ist auch darzulegen, welcher Schaden durch eine verspätete Werbeaktion hervorgerufen worden ist. Dies mag noch dort möglich sein, wo es um Werbemaßnahmen zu konkreten Anlässen (etwa Ostern oder Weihnachten) geht. Hier hat ein Unternehmen meist aus der Vergangenheit Erfahrungswerte zum Erfolg solcher Werbeaktionen und kann auf 1 St. Rspr., zuletzt BGH v. 15.7.2008 – VIII ZR 211/07, NJW 2008, 2837 (2840); Faust in Bamberger/Roth, BGB, § 278 Rz. 27.
920
Redeker
§ 55
II. Haftung der Datenlieferanten
dieser Basis kalkulieren, welcher Gewinn voraussichtlich erzielt worden wäre (§ 252 Satz 2 BGB). Der Adresslieferant müsste dann darlegen, warum dies für das konkret betroffene Jahr anders ist. Geht es um nicht anlassbezogene Werbung, dürfte die Darlegung der Schadenshöhe schwierig sein. Geht es dagegen um die Kosten einer erfolgreichen wettbewerblichen 23 Abmahnung wegen mangelnder Einwilligung (oder auch nur fehlender Dokumentation), sind die dabei entstandenen Kosten wieder konkret nachweisbarer, von der mangelhaften Lieferung verursachter Schaden. In Einzelfällen kann es sogar um Schäden an Sachen des Datenempfän- 24 gers gehen, etwa, weil die Datenbank falsche Angaben zur Zusammensetzung von Stoffen in einem Produktionsverfahren enthielt und die daraufhin vom Datenempfänger falsch zusammengesetzten Stoffe Schäden an dessen Maschinen verursachen. Auch diese Schäden wären zu ersetzen. Bei Rechtsmängeln können Kosten des Kunden für Prozesse gegen den 25 Rechtsinhaber oder ein diesem für den Rechtserwerb gezahltes Entgelt ersetzbare Schäden sein. Die Liste der Beispiele ließe sich fortsetzen. Es geht aber fast immer da- 26 rum, den kausalen Zusammenhang zwischen mangelhafter Lieferung bzw. verspäteter Nachlieferung und dem Schaden darzulegen und zu beweisen. Fehlt es an diesem Zusammenhang, gibt es keinen Schadensersatz. Im Übrigen gelten für die Schadenshöhe die allgemeinen weiteren Voraussetzungen einschließlich der Regelung zum Mitverschulden (§ 254 BGB). 2. Datenpflege In vielen Fällen, in denen ein Unternehmen Daten bei Dritten bezieht, 27 gibt es einen ergänzenden Vertrag, der die Pflege des Datenbestandes betrifft. Dabei geht es um die regelmäßige Aktualisierung des einmal erworbenen Daten- oder Adressbestandes. Meist wird im Hinblick auf den Datenbestand auch nicht mehr als die regelmäßige Aktualisierung geschuldet. Die bei Software üblichen Hotline- oder Helpdesk-Services sind nicht nötig. Wird ein solcher Vertrag abgeschlossen, ist der Unternehmer verpflich- 28 tet, den Datenbestand regelmäßig zu aktualisieren. Wann und in welchen Abständen dies geschieht, ist von der Art der Daten und ihrer Nutzung abhängig. So wird man bei Datenbeständen über Einkaufspreise eine Aktualisierung dann verlangen können, wenn sich diese Preise an irgendeiner Stelle ändern. Technik- und Wissenschaftsdaten sollten regelmäßig aktualisiert werden, jedenfalls aber dann, wenn sich technische Regelwerke ändern oder feststeht, dass bislang empfohlene technische Maßnahmen wirkungslos oder gar schädlich sind. Bei Adressen wird Redeker
921
§ 55
Haftung fr Datenlieferung und -pflege
man Zeiträume zur Anpassung vereinbaren müssen, sonst bleibt äußerst unklar, wie oft eine Anpassung erfolgen soll. 29
Zentraler Teil des Vertrages ist damit Neulieferung oder Anpassung des Datenbestands. Diese Leistung wird man vertragstypologisch als Kaufoder Werkvertrag ansehen müssen – in der Regel folgt die Einordnung der Einordnung des Vertrages über die Erstlieferung von Daten. Daneben gibt es aber auch die von der einzelnen Lieferung unabhängige Pflicht zur Prüfung des Erneuerungsbedarfs der Daten. Durch diese Verpflichtung (und die übliche Verpflichtung zur regelmäßigen Zahlung der vereinbarten Vergütung) wird der Vertrag zu einem Dauerschuldverhältnis, das auch dienstvertragliche Elemente enthält.
30
Einer abschließenden Einordnung des Gesamtvertrages bedarf es an dieser Stelle nicht1. Festzuhalten ist nur, dass sich Schadensersatzansprüche sowohl aus Mängeln in der einzelnen Lieferung als auch aus einer fehlerhaften, nicht oder nicht rechtzeitig erfolgten Prüfung des Erneuerungsbedarfs ergeben können. Zur ersten Alternative ist auf die Ausführungen unter Rz. 5 ff.) zu verweisen. Geht es um die zweite Alternative, ergibt sich ein Schadensersatzanspruch unmittelbar aus §§ 280 ff. BGB. In allen Fällen geht es darum, dass der Kunde aufgrund des Pflichtverstoßes des Lieferanten nur noch über einen nicht mehr aktuellen Datenbestand verfügt und daraus Schäden entstehen können. In der Variante, in der die Prüfung zwar korrekt erfolgt, dies aber verspätet geschieht, könnte es auch um einen Verzugsschaden gehen, der aber erst nach vergeblicher Fristsetzung Schadensersatzansprüche nach sich zieht (§ 280 Abs. 2 BGB). Dies ist aber falsch. Es geht hier um dienstvertragliche Leistungen, die zeitweilig nicht erbracht wurden und zu diesem Zeitpunkt nicht mehr nachholbar sind. Insoweit handelt es sich um Fixschulden. Mit Zeitablauf werden die Leistungen unmöglich. Ihre spätere Nachholung kann an dieser Tatsache nichts mehr ändern. Es entsteht damit unmittelbar mit der Nichterbringung zu einem bestimmten Zeitpunkt ein Schadensersatzanspruch nach § 280 Abs. 1 BGB, wenn die sonstigen Voraussetzungen für einen Schadensersatzanspruch gegeben sind2. Ab dem Zeitpunkt, ab dem die Leistung nachgeholt wird, kann es dann keine neuen Schäden mehr geben.
31
Auch im Bereich des Datenpflegevertrages setzen Schadensersatzansprüche ein Vertretenmüssen des Lieferverpflichteten voraus. Darüber müssen Schäden durch die Pflichtverletzung kausal verursacht sein. Insoweit ist auf die Ausführungen unter Rz. 15 ff. zu verweisen. Hinsichtlich der Schadenspositionen gilt das unter Rz. 20 ff. Gesagte.
1 Zur entsprechenden Einordnung von Softwarepflegeverträgen vgl. Schneider, Handbuch des EDV-Rechts, K Rz. 105 ff.; Heymann/Lensdorf in Redeker, Handbuch der IT-Verträge, Abschn. 1.12, Rz. 2 ff.; Marly, Praxishandbuch Softwarerecht, Rz. 1028 ff.; Bischof/Witzel, ITRB 2003, 31. 2 Ganz h.M. statt aller Fuchs in Bamberger/Roth, BGB, § 611 Rz. 83.
922
Redeker
§ 55
III. Haftung der Datenbankanbieter
III. Haftung der Datenbankanbieter 1. Typologie des Datenbanknutzungsvertrags Wie schon eingangs erwähnt1, gibt es neben der Situation, in der der Da- 32 tenbankverwender eine eigene Datenbank nutzt, für die ihm von Dritten Daten geliefert werden, auch noch die Situation, dass der Datenbanknutzer eine fremde Datenbank zur Informationsgewinnung nutzt (wie dies auch bei der Anfertigung dieses Textes mit juristischen Datenbanken geschehen ist). Dabei besteht in der Regel ein Vertrag über die Nutzung einer fremden Datenbank. Dafür wird in der Regel eine monatliche Pauschalvergütung gezahlt. Für einzelne Informationsabrufe fallen zusätzliche Kosten an – allerdings können bestimmte Abrufe (z.B. bei juristischen Recherchen solche aus bestimmten Kommentaren oder Zeitschriften) von der Pauschale mit umfasst sein. Pflicht des Datenbankanbieters ist es dann, eine Datenbank mit einem bestimmten Datenbestand aktuell vorzuhalten, eine geeignete Datenbankbenutzungssoftware zur Verfügung zu stellen und auf konkrete Anfrage die Informationen zur Verfügung zu stellen, die durch die Anfrage angefordert wurden. Die Rechtsnatur dieses Vertrages ist im Einzelnen wieder sehr umstrit- 33 ten – von der Einordnung als Vertrag sui generis2 bis hin zur Annahme eines Mietvertrages in Kombination mit einem Kaufvertrag über einzelne Informationen3. Richtig ist hier, dass es neben den einzelnen Abrufen, die anfragegemäß beantwortet werden müssen, noch die Verpflichtung gibt, die Datenbank zu errichten, aufrecht zu erhalten, zu pflegen und zugänglich zu erhalten. Es geht damit um ein Dauerschuldverhältnis. Diese Tatsache legt die Annahme eines Mietvertrages nahe. Nur: Es geht nicht um den Besitz an der Datenbank – es geht darum, jederzeit Anfragen stellen und unverzüglich eine Antwort erhalten zu können. Der dauerhafte Zugang zur Datenbank ist Mittel zum Zweck, nicht der Vertragszweck selbst. Deswegen liegt hier kein Mietvertrag vor, sondern Werkvertrag4. Daran ändert auch das Dauerschuldverhältnis nichts. In Einzelfällen können auch Werkverträge Dauerschuldverhältnisses sein5. 2. Mängel und Schadensersatzansprüche Geschuldet sind die ständige Erreichbarkeit der Datenbank und eine je- 34 weils richtige Antwort auf eine gestellte Suchanfrage. Die ständige Er1 Oben Rz. 2. 2 So Hackemann, CR 1987, 660 (662). 3 Koch, BB 1986, 2949 (2053); Holzbach/Süßberger in Moritz/Dreier, RechtsHandbuch zum E-Commerce, Abschn. C, Rz. 368; Bettinger/Heide in Redeker, Handbuch der IT-Verträge, Kap. 3.10, Rz. 15; Schuppert in Spindler, Vertragsrecht der Internet-Provider, Kap. II, Rz. 56; Hilbig, ITRB 2007, 170; Mehrings, NJW 1993, 3102 (3105), der statt Miet-Pachtvertrag annimmt. 4 Busche in MünchKommBGB, § 631 Rz. 279; vgl. Tellis, CR 1990, 290 (291): dem Werkvertrag nahestehender Vertrag sui generis. 5 Peters/Jacoby in Staudinger, BGB, § 649 Rz. 4. Redeker
923
§ 55
Haftung fr Datenlieferung und -pflege
reichbarkeit der Datenbank bedeutet, dass der Server über das Internet erreichbar ist – nicht, dass das Internet einschließlich seiner Hilfsdienste immer funktioniert. Dafür ist der Datenbankbetreiber nicht verantwortlich1. Richtig bedeutet dabei nicht, dass die Antwort sachlich dem entspricht, was der Anfragende gemeint hat, sondern, dass sie dem entspricht, was eine Datenbank mit dem vereinbarten Inhalt auf diese Anfrage üblicherweise antwortet. 35
Ergeben sich hier Fehler, ist die Leistung mangelhaft. Dies kann auch zu Schadensersatzansprüchen führen2. Mangelhaft ist die Datenbank, wenn sie nicht aktuell, nicht vollständig oder fehlerhaft ist, und bei Anfragen die dieser Anfrage entsprechenden Daten nicht oder nicht vollständig gefunden werden oder gar falsch sind. Theoretisch führt diese Formulierung zu der Annahme, dass jede lückenhafte Antwort oder jede Antwort, die auch Fundstellen oder andere Informationen nachweist, die nicht zur Frage passen, schon die Mangelhaftigkeit belegt. Dem ist aber nicht so. Einzelne lückenhafte oder zu umfangreiche Antworten reichen dafür meist nicht. Welche Qualität geschuldet ist, richtet sich auch hier nach den einzelnen Datenbanken. Literaturnachweissysteme müssen nicht so genau sein wie Datenbanken mit Dosierungsanleitungen für Ärzte. Auch das Fehlen einzelner höchstrichterlicher Entscheidungen oder die falsche Verschlagwortung einer einzelnen solchen Entscheidung in einer umfangreichen juristischen Datenbank führt nicht notwendig zu einem Fehler – beim Fehlen von Medikamenten in einer Arzneimitteldatenbank ist dies wohl anders; fehlerhafte Verweise bei der Dosierungsanleitung oder das Abspeichern einer falschen Dosierungsanweisung führen notwendig zu einem Mangel3.
36
Liegt ein Mangel vor, ergeben sich Schadensersatzansprüche unter den gleichen Voraussetzungen wie unter Rz. 7 ff.4. In der Regel scheidet freilich eine Nacherfüllung aus – eine erneute Abfrage führt zu keiner anderen Antwort.
IV. Vertragliche Gestaltungsmöglichkeiten, insbesondere Standardverträge 37
Viele der oben genannten Rechtsfolgen lassen sich in individuell ausgehandelten Verträgen abweichend regeln – Grenzen gibt es nur wenige. Zu denken ist einerseits an Haftungsbegrenzungen, insbesondere auf eine bestimmte Höchstsumme, und andererseits die Aufnahme von Vertragsstrafen für Fälle, in denen sich der Schadensersatz schwer berechnen
1 2 3 4
Detailliert dazu Redeker, IT-Recht, Rz. 1082 ff. So schon Tellis, CR 1990, 290 (294 ff.). Anderes Beispiel, Redeker, IT-Recht, Rz. 1146. Näher zum Ganzen schon Tellis, CR 1990, 290 (294 ff.).
924
Redeker
IV. Vertragliche Gestaltungsmçglichkeiten, insbesondere Standardvertrge
§ 55
lässt. Man kann auch die Qualität der Daten oder Qualitätssicherungsmaßnahmen vereinbaren. In vielen Fällen verbietet sich aber das individuelle Aushandeln. Viele 38 der Verträge sind für eine oder beide Seiten vielfach vereinbarte Standardverträge – das Aushandeln von Vereinbarungen ist zu teuer. Manches verbietet sich beim Aushandeln schon der Sache nach. Wer Daten mehrfach vertreibt oder mehrere Benutzer seiner Datenbank hat, kann nicht unterschiedliche Qualitätssicherungsmaßnahmen vereinbaren. In solchen Fällen greift man zu Standardverträgen bzw. allgemeinen Geschäftsbedingungen. Hier können aber wirksame Vereinbarungen nur in engen Grenzen getroffen werden. Insbesondere ist es schwer, Haftungsausschlüsse oder Haftungsbegrenzungen zu vereinbaren. Immerhin geht es bei den hier erörterten Pflichten zur ordnungsgemäßen Datenlieferung um Kardinalpflichten – und Schadensersatzansprüche wegen der Verletzung von Kardinalpflichten lassen sich nicht ausschließen und nur auf den nicht vorhersehbaren und nicht vertragstypischen Schaden begrenzen1. Evtl. kann man allerdings die Verjährungsfrist verkürzen2. Demgegenüber kann man Vertragsstrafen durchaus vereinbaren – sie 39 müssen nur angemessen sein3. Eine Vertragsstrafe von 25 000 Euro für jeden Fall eines verspäteten Nachweises einer Einwilligung des Betroffen ist nach der Rechtsprechung im Adresshandel unwirksam4. Wichtig können freilich Leistungsbeschreibungen sein, die genauer be- 40 schreiben, was geleistet werden soll. Sie unterliegen nach § 307 Abs. 3 Satz 1 BGB nicht der Inhaltskontrolle nach den AGB-rechtlichen Vorschriften. Es fällt allerdings schwer, die bloße Leistungsbeschreibung von der Leistungsbeschränkung zu unterscheiden, die der AGB-Kontrolle unterliegt und in der Regel unwirksam ist5. Dabei sind Leistungsbeschreibungen insbesondere dort kontrollfrei, wo sie eine durch Stichworte nur sehr unvollkommen beschriebene Leistung konkretisieren, wie dies bei vielen Internetdienstleistungen der Fall ist. Diese Voraussetzung dürfte bei Datenlieferungen oder Datenbanken nur darin bestehen, dass beschrieben wird, was geliefert wird. Dabei kann man freilich von vornherein nur das Zurverfügungstellen bestimmter ausgewählter Daten versprechen und Vollständigkeit ausschließen. Oft geschieht das aus Marketinggesichtspunkten aber nicht – dann lässt sich dies durch konkretisierende Leistungsbeschreibungen nicht mehr ändern. Wenn nach 1 Näher dazu Fuchs in Ulmer/Brandner/Hensen, AGB-Recht, § 307 BGB Rz. 273 ff. 2 Stadler in Redeker, Handbuch der IT-Verträge, Abschn. 1.3, Rz. 133; Christensen in Ulmer/Brandner/Hensen, AGB-Recht, § 310 BGB Rz. 886. 3 BGHZ 154, 171 (183); Wurmnest in MünchKommBGB, § 309 Nr. 6 Rz. 19. 4 OLG Celle v. 28.11.2012 – 9 U 77/12. 5 Näher Fuchs in Ulmer/Brandner/Hensen, AGB-Recht, § 307 BGB Rz. 37 ff.; Roloff in Erman, BGB, § 307 Rz. 42; zur Position des Verfassers Redeker in AuerReinsdorff/Conrad, IT-Recht, § 11 Rz. 36 f. m.w.N. Redeker
925
§ 55
Haftung fr Datenlieferung und -pflege
der Leistungsbeschreibung im Angebot die Rechtsprechung von Reichsgericht und Bundesgerichtshof in einer Datenbank vollständig enthalten sein soll, kann dies z.B. nicht dahingehend konkretisiert werden, dass 1 % der Entscheidungen fehlen dürfen – der Vorbehalt müsste im Angebot ausdrücklich gemacht werden. Der Kunde muss vor der Entscheidung über das Angebot wissen, was er bekommt. In diesem Rahmen sind aber Leistungsbeschreibungen möglich. Sie können das Haftungsrisiko begrenzen. 41
Möglich ist es, auch in Auftraggeberbedingungen einzelne Pflichten des Datenlieferanten oder Datenbankbetreibers zu konkretisieren. Dies bietet sich z.B. beim Umfang der Pflicht zum Nachweis von Einwilligungen der Betroffenen in Werbeaktionen an. Allerdings muss auch hier darauf geachtet werden, dass die Pflichten nicht überspannt werden. Angesichts der im Wettbewerbsrecht üblichen knappen Fristen wird freilich eine rasche Reaktion (z.B. binnen 24 Stunden) im Fall einer Abmahnung durchaus zulässig sein. Ohne einen solchen Anlass wird man aber längere Fristen vorsehen müssen. Außerdem sind Ausnahmen für Wochenenden und Feiertage vorzusehen1. Möglich ist auch die Konkretisierung des Erneuerungsbedarfs (z.B. monatliche Einarbeitung von Rückläufen in den Adressdatenbestand). Aber auch hier ist darauf zu beachten, dass die Pflichten des Lieferanten nicht überspannt werden.
42
Trotz der zuletzt gemachten Einschränkungen können Regelungen mit Auswirkungen auf Schadensersatzansprüche weitgehend nur in Leistungsbeschreibungen getroffen werden. Sonstige Regelungen in Standardverträgen verändern nur wenig oder sind unwirksam.
1 Zum Ganzen auch OLG Celle v. 28.11.2012 – 9 U 77/12.
926
Redeker
§ 56 Datenverlust und Haftungsklauseln Rz. I. Ausgangslage . . . . . . . . . . . . . . . . .
1
II. Generierung von Haftungsklauseln . . . . . . . . . . . . . . . . . . . . .
3
III. Individualvereinbarungen . . . . . . 1. Pauschale Klauseln . . . . . . . . . . . . 2. Bestimmung des Anwendungsbereichs . . . . . . . . . . . . . . . . . . . . . 3. Konkrete Haftungsfälle. . . . . . . . . a) Allgemeine Klauseln . . . . . . . . b) Datenbezogene Klauseln . . . . .
10 11 12 13 14 15
IV. Allgemeine Geschäftsbedingungen. . . . . . . . . . . . . . . . . . 18
Rz. 1. Anforderungen an Haftungsklauseln . . . . . . . . . . . . . . . . . . . . . 2. Unwirksame Regelungen . . . . . . . 3. Diskutierte Haftungsklauseln zu Datenverträgen . . . . . . . . . . . . . a) Kardinalpflichten und einfache Fahrlässigkeit . . . . . . . . . b) Beschränkung auf unmittelbare Schäden . . . . . . . . . . . . . . . 4. Leistungs- und Mitwirkungspflichten . . . . . . . . . . . . . . . . . . . . . 5. Die Haftungserweiterung durch Kunden-AGB . . . . . . . . . . . . . . . . .
19 21 23 23 29 36 41
I. Ausgangslage Datenverlust, Datenänderung oder Datenzugang durch Schlechtleistung 1 ergeben die naheliegenden Schadensfälle bei vertraglichen Leistungspflichten im Zusammenhang mit Daten und Datenbanken im Unternehmen. Die einzelnen Schadenspositionen legt Hörl1 anschaulich für deliktische Ansprüche dar, diese gelten für Vertragsverhältnisse entsprechend. Die Freizeichnung von diesen Ansprüchen ist bei der Vertragsgestaltung immer wichtig. Während in individuell ausgehandelten Verträgen ein weiter Verhand- 2 lungsspielraum für Haftungsklauseln besteht, ist umstritten, ob signifikante Abweichungen von der gesetzlichen Konzeption in Allgemeinen Geschäftsbedingungen (AGB) wirksam formuliert werden können2.
II. Generierung von Haftungsklauseln Die Anzahl möglicher Haftungsklauseln ist nahezu unbegrenzt, sie las- 3 sen sich durch regelkonformes Zusammensetzen aus Elementen aufbauen: Zunächst benötigt wird eine Bestimmung des Anwendungsbereichs der 4 Klausel, weil der Begriff „Haftung“ sonst nicht alle Ersatzansprüche umfassen könnte, denen sich der Verwender ausgesetzt sieht3. Typisch sind außerdem noch Begleitklauseln, die nicht die Haftungsansprüche selbst 1 S. § 58. 2 S. bereits Schneider/Hartmann, CR 1998, 517 unter Verweis auf Graf von Westphalen, DB 1997, 1805; Schneider, Handbuch des EDV-Rechts, D Rz. 677. 3 S. unten Rz. 12 ff. Hartmann
927
§ 56
Datenverlust und Haftungsklauseln
regeln, sondern deren Geltendmachung, wie bspw. Beweislastklauseln1, Ausschlussfristen und Verjährungsklauseln, oder wem die Haftungsklausel zugute2 kommt. Gerade bei AGB besteht die Kunst darin, die Haftung in den Regelungen zu den Leistungspflichten zu handhaben, die nur der eingeschränkten Inhaltskontrolle nach § 307 Abs. 1 BGB unterliegen3. 5
Der Kern der Haftungsklausel regelt dann Haftungsfälle: deliktische oder vertragliche Haftung droht, wenn ein Rechtsgut (1) oder eine Pflicht (2) in einer zurechenbaren Weise (3) durch Personen aus der Sphäre des Haftenden (4) verletzt und hierdurch Schäden (5) verursacht (6) werden. Dies ergibt die Datenbasis im „Baukasten“ für eine Haftungsklausel4: (1)
Verletztes Rechtsgut: – Leben, Körper, Gesundheit – Sachen – Rechte – Vermögen – immaterielle Schäden
(2)
Art der Pflicht: – Allgemeine Pflicht – Kardinalpflicht – Hauptpflicht – Nebenpflicht – Rücksichtnahmepflicht
(3)
Zurechnung: – Garantien, Beschaffungsrisiko – Absicht/Vorsatz – Grobe Fahrlässigkeit – Mittlere Fahrlässigkeit – Einfache/leichte Fahrlässigkeit – Leichteste Fahrlässigkeit5 – Mitverschulden
1 Dazu Hörl, ITRB 2007, 237; zur Beweislast bei unterlassener Prüfung der Datensicherungsroutine nach Installation: BGH v. 2.7.1996 – X ZR 64/94, NJW 1996, 2924, Optikprogramm. 2 Bspw.: „Diese Haftungsbeschränkungen gelten auch für alle Ansprüche, die sich unmittelbar gegen Organe, leitende Angestellte, Mitarbeiter oder Erfüllungsgehilfen des Anbieters richten.“ 3 S. unten Rz. 36 ff. 4 Diese Liste erhebt weder Anspruch auf Vollständigkeit noch Dogmatik. 5 Diese ist aus dem Arbeitsrecht, s. BAG v. 29.6.1964 – 1 AZR 434/63, entliehen und im allgemeinen Zivilrecht nicht durchgehend anerkannt.
928
Hartmann
§ 56
II. Generierung von Haftungsklauseln
(4)
Personengruppe: – Organe, leitende Angestellte – Sonstige Mitarbeiter – Erfüllungsgehilfen – Verrichtungsgehilfen – sonstige Dritte, die in der Leistungssphäre des Anbieters tätig werden
(5a) Schäden: – Unmittelbare – mittelbare Schäden, direkte – indirekte Schäden – Mangelschäden – (entfernte) Mangelfolgeschäden – Vorhersehbar – nicht vorhersehbar – Typisch – Exzess – Höchstsummen (5b) Konkrete Schadensfälle: – Datenverlust – Wiederherstellungsaufwand – Verwendung fehlerhafter Daten – Zugriff nicht Berechtigter (6)
Kausalität: – Adäquat-kausale – mittelbare – unmittelbare Verursachung – Unterbrechung durch Handlungen des Vertragspartners
Nun lassen sich aus diesen Elementen viele Kombinationen zusammen- 6 setzen, etwa: „Die Haftung für Vermögensschäden durch die leicht fahrlässige Verletzung von Nebenpflichten durch Mitarbeiter, die keine Organe oder leitenden Angestellten sind, wird begrenzt auf den unmittelbar verursachten und vorhersehbaren Schaden.“
Es ist aber zur Bildung einer sinnvollen Haftungsklausel nicht notwen- 7 dig, alle Elemente zu verwenden, es können sogar lediglich einzelne Elemente verwendet werden, um Aussagen über Haftungsfälle zu treffen: „Die Haftung für Exzessschäden wird ausgeschlossen.“
Die Menge aus diesen Einzelelementen sinntragend bildbarer Klauseln 8 ist daher sehr groß. Damit kann auf Anforderungen des Rechtssystems an Haftungsregelungen mit einer Vielzahl von Varianten reagiert werden. Solche Anforderungen des Rechtsystems lassen sich als Regeln oder Eigenschaften der Elemente verstehen. Allerdings sind die Vorgaben des Rechtssystems unsystematisch und erratisch. Beispielsweise legen §§ 276 Abs. 3, 278 Satz 2 BGB für das Element der Haftung für Vorsatz Hartmann
929
§ 56
Datenverlust und Haftungsklauseln
des Geschäftsherrn oder der Organe fest, dass ein Ausschluss in einer Klausel vor Eintritt des Schadensfalls unwirksam ist. Zwar ist der Anwendungsbereich im Einzelnen streitig1, dennoch lässt sich die Regel ableiten, dass eine Klausel die Haftung für den durch diese Elemente beschriebenen Fall nicht ausschließen sollte. Stellt man sich die möglichen Haftungsklauseln als Matrix vor, dann „eliminieren“ die Vorgaben des Rechtssystems zur Wirksamkeit bestimmte Kombinationen. 9
Es wäre nur noch erforderlich, die Matrix und die gemeinsam akzeptierten (Individualvereinbarung) oder die gewünschten und rechtlich vorgegebenen (AGB) Haftungsfälle als Regeln in einer Applikation zu implementieren. Dann könnten Haftungsklauseln nicht nur am Bildschirm abgeschlossen und gepflegt, sondern auch im Schadensfall auf ihre Anwendbarkeit abgefragt werden. Ergebnis wäre eine programmcode-implementierte Haftungsvereinbarung, „the data regulates“2.
III. Individualvereinbarungen 10
Nachdem verhandelte Klauseln nicht der AGB-Inhaltskontrolle unterliegen (§ 305 Abs. 1 Satz 3 BGB), wird bei der Gestaltung vor allem auf die Regeln der Auslegung zu achten sein. Denn bei Vertragsklauseln ist nicht nur der wirkliche Wille i.S.d. § 133 BGB zu erforschen, sondern auch Treu und Glauben mit Rücksicht auf die Verkehrssitte sind zu berücksichtigen (§ 157 BGB)3. 1. Pauschale Klauseln
11
Ganz pauschale Ausschlussklauseln, wie etwa: „Die Haftung wird ausgeschlossen soweit gesetzlich zulässig“
begegnen daher Bedenken. Zunächst tragen solche Trivialklauseln den Anschein der Vorformulierung und können kaum durch Verhandlung entstanden sein. Eine Auslegung nach Treu und Glauben kann vor allem ergeben, dass eine solche pauschale Klausel auf eine den Interessen beider Parteien angemessenen Regelungsgehalt zurückzuführen ist. Dies betrifft bereits den Anwendungsbereich der Klausel, da der Begriff der Haftung nicht eindeutig ist.
1 Dazu Grundmann in MünchKommBGB, § 276 Rz. 182. 2 Vgl. Lessing, Code is Law, abrufbar (September 2013): harvardmagazine.com/ 2000/01/code-is-law-html. 3 Dazu: Busche in MünchKommBGB, § 133 Rz. 17 f. und § 157 Rz. 1.
930
Hartmann
§ 56
III. Individualvereinbarungen
2. Bestimmung des Anwendungsbereichs Zunächst ist also der Anwendungsbereich einer Haftungsklausel zu defi- 12 nieren1. Aus Anbietersicht wird eine möglichst weite Formulierung gewählt werden: „Die nachfolgenden Regelungen gelten für alle Schadensersatz- oder an dessen Stelle tretenden sonstigen Ersatzansprüche des Kunden aus oder im Zusammenhang mit der Durchführung dieses Vertrages, unabhängig von der Rechtsgrundlage, also insbesondere für vertragliche oder deliktische Schadensersatz- und Aufwendungsersatzansprüche, einschließlich Schäden wegen der Verletzung einer vertraglichen Haupt-, Nebenleistungs- oder Rücksichtnahmepflicht, insbesondere Schadensersatz statt der Leistung und/oder Ersatz vergeblicher Aufwendungen.“
3. Konkrete Haftungsfälle Im Verhandlungswege können die Parteien weitgehend bestimmen, in 13 welchen Fällen worauf von wem gehaftet werden soll. Auch wenn es sprachlich um „Haftungsausschlüsse oder -beschränkungen“ geht, wird inhaltlich das Risiko vom zivilrechtlich Verantwortlichen weg, hin zum Vertragspartner verlagert. Das häufig für eine Haftungsbeschränkung verwendete Argument, man könne nicht unbegrenzte Wagnisse eingehen, impliziert daher, dass dies dem Vertragspartner dagegen zuzumuten sei. a) Allgemeine Klauseln Für Individualverträge werden daher differenzierte Muster verwendet, 14 die eine Verhandlung über einzelne Schadensfälle i.S.d. aufgezeigten2 Kombinationen erlauben: „Die Haftung wird begrenzt auf den unmittelbaren, vorhersehbaren Schaden, der unmittelbar durch die zumindest grob fahrlässige Verletzung von Hauptleistungspflichten seitens der vom Anbieter bei der Vertragsdurchführung eingesetzten Mitarbeiter oder Dritter an Rechtsgütern des Vertragspartners entsteht. Im Übrigen wird die Haftung ausgeschlossen. Unberührt bleibt die zwingende3 gesetzliche Haftung.“
oder „Die Haftung wird insgesamt begrenzt auf die Summe der nach diesem Vertrag zu zahlenden Vergütung, soweit nicht zwingend gesetzlich unbegrenzt zu haften ist. Im Übrigen wird die Haftung ausgeschlossen.“
b) Datenbezogene Klauseln Bei Verträgen zu Daten und Datenbanken allerdings stammt ein wesent- 15 liches Schadensrisiko erst aus der Verwendung der Daten durch den Kun1 Mit Musterklausel Schuster, CR 2011, 215 (220). 2 S. oben Rz. 5 ff. 3 Dies sind vor allem: §§ 276 Abs. 3, 444, 639 BGB, § 14 ProdHaftG, s. von dem Bussche/Schelinski in Leupold/Glossner, Münchener Anwaltshandbuch IT-Recht, Rz. 201. Hartmann
931
§ 56
Datenverlust und Haftungsklauseln
den und dieses Risiko steht oft nicht im Verhältnis zur vertraglichen Vergütung. Ein Beispiel ist die Überlassung von Speicherplatz auf Servern. Hier hängt das Risiko von den zu sichernden Daten ab und kann vom Anbieter nicht eingeschätzt werden. Es sind daher Fälle denkbar, in denen das Mitverschulden des Kunden durch Auswahl einer Leistung mit nicht angemessenem Sicherheitsniveau oder in Form eines unterlassenen Hinweises nach § 254 Abs. 2 Satz 1 BGB die Haftung des Anbieters weitgehend verdrängt1. 16
Entsprechend werden bei datenbezogenen Verträgen die Klauseln um Regelungen zu den typischen Haftungsfällen ergänzt: „Beim Verlust von Daten des Kunden ist die Haftung begrenzt auf den fiktiven Wiederherstellungsaufwand bei Erfüllung der datenadäquaten Datensicherungsobliegenheiten durch den Kunden.“
17
Allgemeiner formuliert: „Bei Datenverlust, fehlerhafter Datenveränderung oder Zugang unberechtigter Dritter zu den Daten haftet der Anbieter nicht, wenn und soweit der Schaden oder der Aufwand nicht oder nicht in der gleichen Höhe entstanden wäre, wenn der Kunde die in diesem Vertrag vereinbarten oder in Ansehung der Daten gebotenen Obliegenheiten zur Datensicherheit beachtet hätte. Im Übrigen ist die Haftung des Anbieters in diesen Fällen auf den unmittelbaren Schaden beschränkt und sind insbesondere Ansprüche auf entgangenen Gewinn, wegen Nutzungsausfalls oder Vermögensschäden durch die Inanspruchnahme des Kunden durch Dritte ausgeschlossen.“
IV. Allgemeine Geschäftsbedingungen 18
Im Folgenden werden typische Klauselgestaltungen in AGB des Anbieters einer datenbezogenen Leistungspflicht behandelt. Dabei soll nicht übersehen werden, dass inzwischen auch viele Kunden spezifische AGB für den „Einkauf“ von IT-Leistungen bei der Beschaffung verwenden. Diese werden aber nur kurz vorgestellt, denn für den Leistungsempfänger erscheint die gesetzliche Regelung der unbegrenzten Haftung für jedes fahrlässige Verhalten bereits sehr günstig2. 1. Anforderungen an Haftungsklauseln
19
Die Anforderungen des Rechtssystems an die Wirksamkeit von AGB des Anbieters sind meist negativ formuliert, stellen also fest, dass eine Regelung unwirksam ist3. Unwirksam sind dann alle Regelungen, die bei ver-
1 S. unten Rz. 37 ff. 2 So auch von dem Bussche/Schelinski in Leupold/Glossner, Münchener Anwaltshandbuch IT-Recht, Rz. 203. 3 S. etwa die großartige Zusammenstellung von BGH-Urteilen von Intveen, ITRB 2007, 144 oder die Liste unwirksamer Klauseln bei Graf von Westphalen, Vertragsrecht und AGB-Klauselwerke, 33. EL 2013, Rz. 114.
932
Hartmann
§ 56
IV. Allgemeine Geschftsbedingungen
wenderfreundlicher Auslegung1 die Haftung in einem Fall ausschließen oder einschränken2, für den dies nicht zulässig ist. Einfache Klauseln in AGB zur Haftung sind daher meist unwirksam, weil sie nicht klarstellen, dass in den rechtlich geforderten Fällen gehaftet wird3. Eine salvatorische Klausel4 hilft wegen § 306 Abs. 2 BGB nicht weiter. Komplexere Haftungsregelungen in AGB beginnen mit der Bestimmung 20 ihres Anwendungsbereichs5. Dann findet sich eine Regelung, die klarstellt, für welche konkreten Fälle der gesetzlichen Haftung die Klausel die Haftung nicht einschränkt. Die sich daraus notwendig ergebende Kombination verschachtelter Regel-Ausnahme-Fälle lässt zweifeln, ob den Anforderungen des Rechtssystems entsprechende Haftungsklauseln noch transparent zu formulieren sind6. 2. Unwirksame Regelungen Nach aktuellem Stand sind Haftungsklauseln unwirksam, die die Haf- 21 tung insbesondere für folgende Fälle einschränken oder gar ausschließen: – Schäden aus der Verletzung von Leben, Körper, Gesundheit, – Ansprüche nach dem ProdHaftG, – Ansprüche, die von § 44a TKG erfasst sind, – Garantien, Zusicherungen, – mindestens grob fahrlässiges Verhalten der Organe oder leitenden Angestellten, – (mindestens grob fahrlässiges Verhalten der Erfüllungsgehilfen7). Wird die Haftung in den genannten Fällen nicht ausdrücklich klar- 22 gestellt, führt eine Haftungsbeschränkung, die bei Auslegung auch einen dieser Fälle betreffen könnte, zur Unwirksamkeit der Klausel.
1 Die Zweifelsregel des § 305c BGB geht auch bei der Prüfung der Wirksamkeit zu Lasten des Verwenders, vgl. Schneider, Handbuch des EDV-Rechts, J Rz. 356. 2 Jüngst: BGH v. 29.5.2013 – VIII ZR 174/12 Rz. 17. 3 Mit Beispielen: Schneider, Handbuch des EDV-Rechts, D Rz. 174 ff., 185; F Rz. 175 ff.; Graf von Westphalen, Vertragsrecht und AGB-Klauselwerke, Rz. 114. 4 Zur Unwirksamkeit Schneider, Handbuch des EDV-Rechts, D Rz. 191. 5 S. oben Rz. 12. 6 S. bereits Schneider/Hartmann, CR 1998, 517. 7 Dies ist vom BGH zwar noch offen gelassen, zumindest für Kardinalpflichten dürfte aber zu haften sein, vgl. BGH v. 15.9.2005 – I ZR 68/03; vgl. BGH v. 4.7.2013 – VII ZR 249/12 unzulässige Beschränkung der Haftung für grobe Fahrlässigkeit in Textil-AGB gegenüber Verbrauchern. Hartmann
933
§ 56
Datenverlust und Haftungsklauseln
3. Diskutierte Haftungsklauseln zu Datenverträgen a) Kardinalpflichten und einfache Fahrlässigkeit 23
Umstritten ist die Zulässigkeit von Haftungsbeschränkung bei der Verletzung von Kardinalpflichten1. Der Ausschluss der Haftung für Kardinalpflichten auch bei einfacher Fahrlässigkeit gilt als unzulässig2. Die Verwendung des Begriffs „Kardinalpflichten“ führt bereits zur Intransparenz der Klausel, und muss selbst im kaufmännischen Verkehr erläutert werden3.
24
Seit längerem wird eine Beschränkung der Haftung bei der einfach fahrlässigen Verletzung von Kardinalpflichten durch Erfüllungsgehilfen als zulässig erachtet4. Dies wurde später in Frage gestellt5. Dann hat der BGH in den AGB eines Energieversorgungsunternehmens in Stromversorgungsverträgen gegenüber Endverbrauchern die Klausel „Bei fahrlässig verursachten Sach- und Vermögensschäden haften [das Energieversorgungsunternehmen] und seine Erfüllungsgehilfen nur bei der Verletzung einer wesentlichen Vertragspflicht, jedoch der Höhe nach beschränkt auf die bei Vertragsschluss vorhersehbaren und vertragstypischen Schäden …“
für zulässig erachtet6. 25
Damit erscheint der Ausschluss der Haftung bei einfach fahrlässiger Verletzung von Nicht-Kardinalpflichten durch Organe, leitende Angestellte und Erfüllungsgehilfen zulässig und zugleich könnte die Haftung für Kardinalpflichten begrenzt werden7.
26
Eine Pauschalierung des Höchstschadens ist wiederum sehr fraglich, wenn auch vom BGH unlängst wieder offen gelassen für den kaufmännischen Verkehr bei gleichzeitigem Angebot einer Versicherung8.
27
Die genannte Klausel könnte im Zusammenspiel mit § 254 Abs. 2 BGB für den Anbieter datenbezogener Leistungen wertvoll sein, solange er keine Kenntnis über ein mit den Daten besonders verbundenes Risiko hat9.
28
Regelmäßig wird der Anbieter allerdings bei datenbezogenen Leistungspflichten näheres zu den Daten des Kunden wissen, und die typischen, daraus vorhersehbaren Schäden werden gerade diejenigen sein, die der Anbieter ausschließen möchte. Zugleich werden die vertraglichen Haupt1 2 3 4 5 6 7 8 9
S. die Rechtsprechung bei Intveen, ITRB 2007, 144 (146). Hörl, ITRB 2006, 17 m.w.N. BGH v. 20.7.2005 – VIII ZR 121/04. So Schneider/Hartmann, CR 1998, 517 (518). Vgl. Intveen, ITRB 2007, 144 (147) mit Hinweis auf BGH v. 15.9.2005 – I ZR 68/03. BGH v. 18.7.2012 – VIII ZR 337/11, Rz. 39 ff. S. dagegen die Rechtsprechungsnachweise bei Intveen, ITRB 2007, 144 (146). BGH v. 4.7.2013 – VII ZR 249/12 Rz. 28. S. unten Rz. 36 ff.
934
Hartmann
§ 56
IV. Allgemeine Geschftsbedingungen
und Nebenpflichten zur Sicherung gegen Datenverlust, Datenfehler oder unzulässige Datenzugriffe in datenbezogenen Verträgen zu denen zu zählen sein, deren Erfüllung die ordnungsgemäße Durchführung des Vertrags überhaupt erst ermöglicht und auf deren Einhaltung der Vertragspartner regelmäßig vertraut und vertrauen darf, also zu den Kardinalpflichten1. Eine substantielle Einschränkung der Haftung erscheint damit gerade nicht zulässig. b) Beschränkung auf unmittelbare Schäden In der Praxis häufig anzutreffen sind Klauseln wie
29
„Die Haftung für mittelbare Schäden ist ausgeschlossen“
oder „der Anbieter haftet nur für unmittelbare Schäden“2.
Gedacht wird bei datenbezogenen Leistungsverträgen dabei beispielswei- 30 se an folgende Schadenspositionen: – nutzlosen Arbeitsaufwand der Mitarbeiter, – Inanspruchnahme durch Dritte wegen des Ausfalls der eigenen Leistung, – Inanspruchnahme durch Dritte wegen Zugangs unberechtigter Dritter zu Daten, – interner oder externer Wiederherstellungsaufwand, – Schäden durch Nutzung fehlerhafter Daten (fehlgesteuerter Roboter, Ausfall einer Maschinensicherung), – Entgangener Gewinn. Der Begriff der mittelbaren Schäden ist jedoch unklar. Das BGB kennt le- 31 diglich den unmittelbar mit der vorzeitigen Rückzahlung zusammenhängenden Schaden im Darlehensrecht bei der Vorfälligkeitsentschädigung, § 502 Abs. 1 BGB, ohne dass dies für die Auslegung im vorliegenden Bereich nutzbar wäre3. Einigkeit besteht jedenfalls darin, dass entgangener Gewinn mittelbarer Schaden ist4. Die Unmittelbarkeit eines Schadens kann sich auf die Person des Ver- 32 tragspartners beziehen5, auf die typischen mit der Haftungsursache ver-
1 Vgl. BGH v. 20.7.2005 – VIII ZR 121/04. 2 Die Quelle dafür wird im angloamerikanischen Rechtsraum gesehen, Funk/ Wenn, CR 2004, 481. 3 Vgl. Funk/Wenn, CR 2004, 481 (484 f.). 4 Oetker in MünchKommBGB, § 249 Rz. 101. 5 Das Gesetz verwendet „unmittelbar“ für diese Abgrenzung verschiedentlich, wenn auch nicht bezogen auf Haftungsfragen in §§ 143 Abs. 3, 328 Abs. 1, 816 Abs. 1 BGB. Hartmann
935
§ 56
Datenverlust und Haftungsklauseln
bundenen Auswirkungen1 oder auf Schäden die an Rechtsgütern entstehen, die von der Leistung betroffen sind2 oder die Gegenstand der Leistung selbst sind3. 33
Bei der Bestimmung der verletzten Rechtsgüter bei der Durchführung von IT-Verträgen wird die Abgrenzung besonders schwierig4. So können bei Datenverlusten die typischen Schäden nicht klar zugeordnet werden. Ist beispielsweise der interne Wiederherstellungsaufwand5 oder die mit dem Verlust der Daten verbundene Erschwerung der Betriebsabläufe6 noch ein unmittelbarer Schaden einer schlecht erfüllten Datensicherungspflicht oder nur mittelbarer Schaden, und ändert sich diese Einordnung, wenn ein Dritter hierzu eingeschaltet wird?
34
Bleibt unklar, was im konkreten Vertragsverhältnis unmittelbare oder mittelbare Schäden sind, ist es daher gut vertretbar, unter Verweis auf die Rechtsprechung zur Intransparenz des Begriffs der Kardinalpflichten7 diese beliebte Klausel nach § 307 Abs. 1 Satz 2 BGB zu verwerfen8.
35
Außerdem müssten in den Ausschluss der mittelbaren Schäden die oben genannten Fälle notwendiger Haftung integriert werden. Ein Ausschluss der mittelbaren Schäden bei Verletzung der Kardinalpflichten ist wohl auch bei Beschränkung auf Fälle leichter Fahrlässigkeit unwirksam, da dies – wie gezeigt – die Kardinalpflicht aushöhlte9. 4. Leistungs- und Mitwirkungspflichten
36
Die Haftung des Anbieters bei datenbezogenen Leistungspflichten lässt sich in AGB kaum zuverlässig wirksam beschränken. In der Praxis wird daher versucht, Haftungsrisiken durch Leistungsbeschreibungen abzufangen oder dem Kunden Mitwirkungspflichten aufzuerlegen10. Hierbei sind besonders das Überraschungsverbot, § 305c Abs. 1 BGB, und die Transparenzanforderungen, § 307 Abs. 1 Satz 2 BGB, zu beachten.
37
Wird in transparenter Weise bei der Leistungsbeschreibung darauf hingewiesen, dass der Anbieter keine Datensicherung vornimmt, sondern dies 1 2 3 4 5 6 7 8 9 10
So für das US-Amerikanische Recht Funk/Wenn, CR 2004, 481 (482). So mit guten Argumenten Schuster, CR 2011, 215 (217). Funk/Wenn, CR 2004, 481 (484) m.w.N. aus der Rechtsprechung. Schuster, CR 2011, 215 (218). Zur Ersatzpflicht bereits BGH v. 2.7.1996 – X ZR 64/94, NJW 1996, 2924 – Optikprogramm. S. dazu BGH v. 9.12.2008 – VI ZR 173/07. S. BGH v. 20.7.2005 – VIII ZR 121/04; andererseits zu den „vorhersehbaren und typischen Schäden“ BGH v. 18.7.2012 – VIII ZR 337/11, Rz. 39 ff. Die bei Funk/Wenn, CR 2004, 481 (485) nachgewiesene Rechtsprechung hat die Klauseln allerdings bereits wegen ihrer Ausschlusswirkung für zwingende Haftungstatbestände als unwirksam angesehen. Für Verbraucherverträge BGH v. 27.9.2013 – VIII ZR 155/99. Schneider/Hartmann, CR 1998, 517 (519).
936
Hartmann
§ 56
IV. Allgemeine Geschftsbedingungen
Aufgabe des Kunden bleibt, insbesondere etwa weil personenbezogene Daten betroffen sind, dann kann sich daraus ein Mitverschuldensanteil des Kunden ergeben, der den gesamten Schaden und insbesondere den Wiederherstellungsaufwand – soweit er nicht bei entsprechender Datensicherung entstanden wäre – umfasst1. Sogar eine entsprechende Ausschlussklausel wird daher als zulässig erachtet2. Die in Haftungsklauseln verbreitete Regelung
38
„Der Anbieter haftet nicht, soweit der Kunde seine Obliegenheit zur anwendungsadäquaten Datensicherung unterlässt“
begegnet dagegen den angeführten Bedenken gegen eine Überraschungsklausel, sofern den Kunden diese Obliegenheit nicht ohnehin trifft. Ein Mitverschulden des Kunden sollen auch Regelungen begründen, die 39 dem Kunden gesonderte Leistungskontrollpflichten auferlegen: „Der Kunde wird vor Verwendung der Daten im Produktivbetrieb deren Ordnungsgemäßheit und die Regelkonformität der Ergebnisse systematisch überprüfen und dies dokumentieren.“
oder „Der Kunde prüft selbständig und eigenverantwortlich, ob die nach Anlage X zu diesem Vertrag vom Anbieter implementierten Maßnahmen zur Datensicherheit und Datensicherung für die vertragsgemäß vom Anbieter zu bearbeitenden Daten des Kunden ausreichen.“
Solche Klauseln werden jedoch nur in Konstellationen wirksam sein 40 können, in denen der Kunde damit rechnen muss und typischerweise in der Lage ist, diesen Obliegenheiten nachzukommen. 5. Die Haftungserweiterung durch Kunden-AGB In „Einkaufs“-AGB werden die bestehenden gesetzlichen Ansprüche 41 meist ergänzt, etwa um – Beratungs- und Hinweispflichten des Anbieters, – Verlängerungen der Verjährung,
1 Die Obliegenheit zur Datensicherung wird schon lange beim Kunden gesehen, s. etwa LG München v. 22.12.1994 – 7 O 5966/92 CR 1995, 476. Dagegen OLG Köln v. 2.2.1996 – 19 U 223/95, NJW-RR 1997, 558. In BGH v. 9.12.2008 – VI ZR 173/07 wurde hierfür von der Erstinstanz allerdings nur ein Anteil von 30 % am Schaden angenommen, obwohl das Unternehmen keinerlei Datensicherung unterhielt und hierdurch einen enormen Schaden in Kauf genommen hat. Zu einer Quotelung von 1 (Anbieter) zu 2 (Kunde) ohne gesonderte Vereinbarung gelangt auch OLG Koblenz v. 4.8.2010 – 1 U 1492/09, CR 2010, 704. 2 S. bereits Meier/Wehlau, NJW 1998, 1585 (1587); so auch Hörl, ITRB 2006, 17 (18); zu Recht kritisch Schneider, Handbuch des EDV-Rechts, E Rz. 195; s. auch den Fall einer ausdrücklichen Nachfrage beim Kunden, ob die Datensicherung erfolgt ist: OLG Hamm v. 1.12.2003 – 13 U 133/03, MMR 2004, 487. Hartmann
937
§ 56
Datenverlust und Haftungsklauseln
– Freistellungsansprüche, – Schadenspauschalen und – Vertragsstrafen. 42
Aus Sicht des Kunden ist die Einschränkung des Mitverschuldens wichtig, insbesondere wenn der Kunde als „Laie“1 die Risiken einer Leistung des Anbieters schwer einschätzen kann. Auch hierbei sind die Grenzen der Gestaltungsfreiheit nach dem AGB-Gesetz zu beachten. Allerdings soll die Verlängerung der Verjährung für die Mängelansprüche von 2 auf 3 Jahre zulässig sein2; die übrigen Regelungen unterliegen aber eher einer strikten AGB-Kontrolle3.
1 Kritisch bereits Schneider, CR 2000, 27. 2 BGH v. 5.10.2005 – VIII ZR 16/05 Rz. 7 ff.; eine deutliche Verlängerung der Verjährung darüber hinaus erscheint nach wie vor unzulässig, BGH v. 17.1.1990 – VIII ZR 292/88. Zu weiteren Verjährungsklauseln: Schneider, Handbuch des EDV-Rechts, D Rz. 707 ff. 3 BGH v. 5.10.2005 – VIII ZR 16/05; vgl. Wurmnest in MünchKommBGB, § 307 Rz. 83.
938
Hartmann
§ 57 Daten als Produkt, Produkthaftung
I. Daten und Informationen. . . . . . .
Rz.
Rz.
1
f) Beweislast . . . . . . . . . . . . . . . . . 28 g) Verjährung . . . . . . . . . . . . . . . . . 29 2. Sonstige Haftungsgrundlagen . . . . 31
II. Produzentenhaftung . . . . . . . . . . . 6 1. Konzept . . . . . . . . . . . . . . . . . . . . . 6 2. Rechtsgeschäftliche Haftung und Produzentenhaftung . . . . . . . 12 III. Andere Haftungsgrundlagen. . . . . 1. Haftung nach dem ProdHG . . . . . a) Ursache der Schädigung . . . . . . b) Geschützte Gegenstände . . . . . c) Haftende Personen . . . . . . . . . . d) Exkulpation . . . . . . . . . . . . . . . . e) Haftungsbeschränkung . . . . . .
15 15 16 18 23 25 27
IV. Schäden durch Daten . . . . . . . . . . 1. Daten als Schädigungsursachen . . 2. Erstattungsfähige Schäden . . . . . . a) Personen und Sachen . . . . . . . . b) Störungen des IT-Betriebs. . . . . c) Persönlichkeitsschutz . . . . . . . 3. Haftungsvorkehrungen . . . . . . . . .
34 34 41 42 45 49 50
V. Schluss . . . . . . . . . . . . . . . . . . . . . . 63
I. Daten und Informationen Aus technischer Sicht sind Daten strukturierte Informationen. Meteoro- 1 logische Messergebnisse sind Daten, die Mitteilung „Schönes Wetter heute!“ ist eine Information. Im Kontext des Haftungsrechts spielt die Unterscheidung keine Rolle1.
2
Herbert Zech hat mit seiner Habilitationsschrift „Information als 3 Schutzgegenstand“2 ein außerordentliches Werk vorgelegt. Für die Zwecke des Zivilrechts unterscheidet er semantische Informationsgüter, die durch ihren Aussagegehalt abgegrenzt werden, syntaktische Informationsgüter, die durch ihre Darstellung als Menge von Zeichen gekennzeichnet werden, und strukturelle Informationsgüter, die durch ihre Verkörperung definiert sind. Wer sich vertieft mit dem Bereich befassen will, wird zu dem Buch greifen. Zech definiert Daten als „maschinenlesbar codierte Information“3. Nach dieser Differenzierung schützt das Datenschutzrecht nicht den en- 4 geren Bereich von Daten, sondern insgesamt personenbezogene Informationen. Spiecker gen. Döhmann4 benennt die Körperlichkeit als Kriterium für den Datumsbegriff. Die Definition in § 3 Abs. 1 BDSG kennt diese Beschränkung nicht. Richtig ist allerdings, dass das BDSG nur anzuwenden ist, wo das Datum in einer Datenverarbeitungsanlage eingesetzt ist oder in einer nicht automatisierten Datei.
1 2 3 4
Vgl. Rz. 6 ff. Zech, Information als Schutzgegenstand. Zech, Information als Schutzgegenstand, S. 32, Fn. 89 m.w.N. Spiecker genannt Döhmann, RW 2010, 247. Bartsch
939
§ 57 5
Daten als Produkt, Produkthaftung
Zur sprachlichen Vereinfachung wird hier einheitlich von Daten gesprochen.
II. Produzentenhaftung 1. Konzept 6
Der Beitrag erörtert die aus § 823 Abs. 1 BGB abgeleitete Produzentenhaftung. Die anderen Anspruchsgrundlagen (vgl. Rz. 15 ff.) haben kaum praktische Bedeutung erlangt. In den ersten Jahrzehnten der Geltung des ProdHG hat der BGH keine Entscheidung nur auf dieses Gesetz gestützt. Die Unterschiede der Produzentenhaftung zur Haftung nach dem ProdHG werden bei Rz. 15 ff. dargestellt.
7
Die Geburtsstunde der Produzentenhaftung hat keineswegs am 26.11.1968 mit dem „Hühnerpest-Urteil“ des BGH1 geschlagen. Das Reichsgericht hat die Produzentenhaftung unter dem Leitgedanken der Verkehrssicherungspflicht entwickelt. Es hat schon 1915 dargelegt, dass es in solchen Fällen für den Verbraucher äußerst schwierig sei, dem Hersteller ein Verschulden nachzuweisen, und hat deshalb nach Regeln des Anscheinsbeweises entschieden2. Die Hühnerpest-Entscheidung ist eine Fortentwicklung dieser Grundlage.
8
In gesetzgeberischer Klugheit benennt § 823 Abs. 1 BGB keine Handlungsmodalität, sondern qualifiziert jedes Verhalten als unerlaubt, das zu einer Schädigung der geschützten Rechtsgüter führt. Die Rechtsordnung verlangt damit von jedermann, sein Verhalten so einzurichten, dass das Gefahren- und Schadenspotential für die absolut geschützten Güter so gering wie möglich bleibt3.
9
Die Produzentenhaftung ist eine besondere Ausformung dieses Grundgedankens. Hieraus folgt, dass die Grundsätze der Produzentenhaftung nicht daran gebunden sind, dass der Schaden durch ein Industrieprodukt entsteht. Die Verkehrssicherungspflicht kann gleichermaßen handwerklich hergestellte Produkte erfassen und überhaupt jede Emission von Risiken4, beispielsweise durch Gutachten, Berechnungen, Messungen und durch Daten.
10
Dass die Art des schädigenden Verhaltens prinzipiell ohne Bedeutung ist, hat die Anwendbarkeit der Haftungsgrundsätze auf sehr unterschiedliche Lebensverhältnisse ermöglicht. So haftet beispielsweise ein Werkunter1 Wie Fuchs und Baumgärtner vortragen, JuS 2011, 1057 (1057); BGH v. 26.11.1968 – VI ZR 212/66, BGHZ 51, 91 – Hühnerpest. 2 RG v. 25.2.1915 – VI 526/14, RGZ 87, 1 – Brunnensalz. 3 RG v. 30.10.1902 – VI 208/02, RGZ 52, 373; RG v. 23.2.1903 – VI 349/02, RGZ 54, 53; RG v. 23.3.1921 – VI 543/20, RGZ 102, 38; RG v. 19.9.1921 – VI 191/21, RGZ 102, 372. 4 Spindler in Bamberger/Roth, BGB, § 823 Rz. 483.
940
Bartsch
§ 57
II. Produzentenhaftung
nehmer, der die unzureichende Arbeit seines Subunternehmers nicht prüft und folglich einen Mangel nicht feststellt, für Eigentumsverletzungen beim Auftraggeber, die aus dem Mangel entstehen1. Das Haftungsrecht erweist sich auch hier als System der Risikozuwei- 11 sung, nicht als zivilrechtliche Folge eines moralischen Werturteils. 2. Rechtsgeschäftliche Haftung und Produzentenhaftung Die Unterschiede zwischen der rechtsgeschäftlichen Haftung und der 12 Produzentenhaftung sind erheblich: – Die rechtsgeschäftliche Haftung setzt eine Sonderbeziehung zwischen Gläubiger und Schuldner voraus (§ 311 BGB). Das ist zumeist ein Vertrag. Die Produzentenhaftung überspringt die Vertragskette und gibt dem Geschädigten direkte Ansprüche gegen den Schädiger. – Die rechtsgeschäftliche Haftung schützt sämtliche Rechtsgüter, erfasst also auch Vermögensschäden (§ 280 BGB). Die Produzentenhaftung setzt die Schädigung eines der absolut geschützten Rechtsgüter voraus. – Rechtsgeschäftliche Haftung ist in der Praxis zumeist Haftung aus Gewährleistung. In den praktisch bedeutsamsten Fällen gelten ein früher Beginn und eine kurze Frist der Verjährung (§ 438 Abs. 1 Nr. 3, Abs. 2; § 634a Abs. 1 Nr. 1, Abs. 2 BGB). Demgegenüber ist der Verjährungsbeginn bei der Produzentenhaftung grundsätzlich auf das Kalenderjahresende nach Eintritt der Klagbarkeit hinausgeschoben (§ 199 Abs. 1 BGB). Die These, dass die Vertragshaftung das Äquivalenzinteresse decke und 13 die Produzentenhaftung das Integritätsinteresse, erfasst weder die heutige noch die frühere Rechtslage. Mit Ausnahme der Sonderregelung im alten Schuldrecht, wonach Schadensersatz aus Sachmängeln aus Kaufverträgen nur unter hohen Voraussetzungen gewährt wurde, erstattete die Vertragshaftung spätestens seit der Rechtsprechung über die „positive Vertragsverletzung“ auch das Integritätsinteresse2. Bei der Produzentenhaftung hat die Rechtsprechung insbesondere durch 14 die Weiterfresser-Rechtsprechung3 und durch einzelne Urteile zur Repa-
1 BGH v. 3.2.1998 – X ZR 27/96, NJW 1998, 2282. 2 Der Grund für die unrichtige Ausrichtung auf Äquivalenz- oder Integritätsinteresse liegt m.E. darin, dass die Rechtswissenschaft seit jeher einen in der Praxis sehr seltenen Vertragstyp zum Paradigma des Vertragsrechts genommen hat, nämlich den Stückkauf (Beispiel: Antiquitätenhandel). Praktisch eminent wichtige Konstrukte wie Dauerschuldverhältnisse führen im Gesetz (mit dem kümmerlichen § 314 BGB) und in der Rechtswissenschaft eine Randexistenz; zum Problemzusammenhang vgl. Bartsch, CR 2000, 3 ff. 3 BGH v. 24.11.1976 – VIII ZR 137/75, BGHZ 67, 359 – Schwimmerschalter. Bartsch
941
§ 57
Daten als Produkt, Produkthaftung
raturpflicht des Produzenten1 eine problematische Ausdehnung der Haftung auf das Äquivalenzinteresse vorgenommen.
III. Andere Haftungsgrundlagen 1. Haftung nach dem ProdHG 15
Haftungsgrundlagen, die teils enger, teils etwas weiter ebenfalls Schutz in vergleichbaren Schadenssituationen bieten, gibt es in großer Zahl. Die praktisch bedeutsamste ist das ProdHG. Hier werden die Unterschiede zur Haftung nach § 823 Abs. 1 BGB dargestellt. a) Ursache der Schädigung
16
§ 823 Abs. 1 BGB erfasst jede kausale Schädigung (vgl. Rz. 8 ff.). Nach dem ProdHG muss die Schädigung „durch den Fehler eines Produkts“ geschehen (§ 1 Abs. 1 ProdHG). Ob ein Computerprogramm als solches ein Produkt ist, ist richterlich nicht geklärt, wird für Standardsoftware jedoch allgemein so beurteilt2.
17
Ein Datenträger mit Daten ist ein Produkt3. Das einzelne Datum, das zum Schaden führt, ist m.E. kein Produkt, weil es zu weit von der gesetzlichen Definition des Produkts als „bewegliche Sache“ entfernt ist. Das Fehlen einer Information, das Auslöser der Haftung nach § 823 Abs. 1 BGB sein kann, fällt, wie ausbleibender Strom, nicht unter das ProdHG4. b) Geschützte Gegenstände
18
§ 823 Abs. 1 BGB schützt pauschal das Eigentum. § 1 Abs. 1 Satz 1 ProdHG nennt – sprachlich enger – nur die Sachbeschädigung. Der BGH hat in einem obiter dictum ohne nähere Begründung die Sachbeschädigung nach § 1 Abs. 1 ProdHG der Eigentumsverletzung nach § 823 Abs. 1 BGB gleichgestellt und die Erforderlichkeit einer Substanzverletzung verneint. Danach reicht eine „Einwirkung auf die Sache, durch die ihre bestimmungsgemäße Brauchbarkeit nicht nur geringfügig beeinträchtigt wird“5. Der Blick in andere Mitgliedstaaten wie Frankreich oder England stützt die weite Auslegung des BGH6.
1 BGH v. 6.7.1990 – 2 StR 549/89, BGHSt 37, 106 – Lederspray; OLG Düsseldorf v. 31.5.1996 – 22 U 13/96, NJW-RR 1997, 1344 – Tempostat; OLG Karlsruhe v. 2.4.1993 – 15 U 293/91, NJW-RR 1995, 594 – Dunstabzugshauben. 2 Sprau in Palandt, BGB, § 2 ProdHG Rz. 1 m.w.N. 3 Sprau in Palandt, BGB, § 2 ProdHG Rz. 1. 4 Str.; Sprau in Palandt, BGB, § 2 ProdHG Rz. 1. 5 BGH v. 6.12.1994 – VI ZR 229/93, NJW-RR 1995, 342. 6 Wagner in MünchKommBGB, § 1 ProdHG Rz. 6.
942
Bartsch
§ 57
III. Andere Haftungsgrundlagen
Nicht alle Sachen fallen in den Schutzbereich des ProdHG, sondern nur 19 solche, die „ihrer Art nach gewöhnlich für den privaten Ge- oder Verbrauch bestimmt und hierzu von dem Geschädigten hauptsächlich verwendet worden“ sind, § 1 Abs. 1 Satz 2 ProdHG. Daten auf Datenträgern werden nicht in den Schutzbereich des ProdHG fallen, weil Datenträger nicht nur für den privaten Gebrauch bestimmt sind, sondern mindestens genauso häufig professionell eingesetzt werden. Jedenfalls wenn der Inhaber des Datenträgers und der Inhaber der Daten 20 nicht identisch sind, wird eine Haftung nach dem ProdHG scheitern1. Wo Daten unkörperlich auf den neuen Inhaber transferiert werden, ist 21 die Sacheigenschaft ähnlich zweifelhaft wie in der oben bei Rz. 16 f. genannten Situation. Wo die Daten dem Nutzer nur online gezeigt werden und hierbei (z.B. auf dem Transportwege) durch ein Produkt geschädigt werden, liegt kein Fall des ProdHG vor. Die geschädigte Sache muss ein anderer Gegenstand sein als das schädi- 22 gende Produkt. Die Weiterfresser-Rechtsprechung gibt es nur bei § 823 Abs. 1 BGB2. c) Haftende Personen Nach dem ProdHG haftet nicht nur der Hersteller des Grundstoffs, des 23 Teilprodukts oder des Endprodukts für sein jeweiliges Erzeugnis. § 4 ProdHG bestimmt, dass wie ein Hersteller haftet, wer – seine Marke oder sein Kennzeichen an das Erzeugnis anbringt und sich damit als Hersteller ausgibt (Abs. 1 Satz 2); – Produkte in den europäischen Wirtschaftsraum einführt (Abs. 2); – ersatzweise wer Produkte liefert und keine Lieferquelle innerhalb des europäischen Wirtschaftsraums benennen kann, wenn weder der Hersteller, noch ein Quasi-Hersteller oder EWR-Importeur festgestellt werden kann (Abs. 3). Das ist eine deutliche Erweiterung gegenüber § 823 Abs. 1 BGB.
24
d) Exkulpation Das ProdHG begründet zwar im Gegensatz zur deliktischen Produzen- 25 tenhaftung eine Gefährdungshaftung3, doch gibt es Exkulpationsmöglichkeiten. Gemäß § 1 Abs. 2 ProdHG ist die Haftung ausgeschlossen, wenn
1 Zu dieser Konstellation vgl. § 22 Rz. 10 ff. 2 Wagner in MünchKommBGB, § 1 ProdHG Rz. 9 m.w.N. 3 Sprau in Palandt, BGB, § 1 ProdHG Rz. 1. Bartsch
943
§ 57
Daten als Produkt, Produkthaftung
– der Hersteller das Produkt nicht in den Verkehr gebracht hat (Nr. 1); – das Produkt den Fehler zum Zeitpunkt des In-Verkehr-Bringens noch nicht hatte (Nr. 2); – der Zweck der Herstellung nicht kommerzieller oder professioneller Natur war (Nr. 3); – die Herstellung zwingenden Rechtsvorschriften entsprach (Nr. 4) oder – es sich um einen unvermeidbaren Entwicklungsfehler handelte (Nr. 5). 26
Im Gegensatz zur deliktischen Produzentenhaftung ist jedoch eine Exkulpation für unvermeidbare Fehler bei Einzelstücken („Ausreißer“) nicht möglich. Das Konzept der verschuldensabhängigen Gefährdungshaftung schließt dies aus1. e) Haftungsbeschränkung
27
Das ProdHG begünstigt die Hersteller dadurch, dass es in § 10 ProdHG für Personenschäden einen absoluten Haftungshöchstbetrag in Höhe von 85 Millionen Euro und in § 11 ProdHG bei Sachbeschädigungen eine Selbstbeteiligung in Höhe von 500 Euro festsetzt. f) Beweislast
28
Gemäß § 1 Abs. 4 Satz 2 i.V.m. Abs. 2 Nr. 2 ProdHG muss der Hersteller beweisen, dass der Fehler nicht aus der Herstellung stammt, sondern erst später eingetreten ist. Im Rahmen der deliktischen Produzentenhaftung ist dies so bislang nur auf besondere Umstände gestützt worden, die eine Verkehrssicherungspflicht zur Überprüfung des Produkts auf seine einwandfreie Beschaffenheit begründen2. g) Verjährung
29
Nach § 12 ProdHG beginnt die dreijährige Verjährungsfrist bereits mit Kenntnis oder fahrlässiger Unkenntnis, nicht erst mit grob fahrlässiger Unkenntnis, und zum Jahresende. Diese für den Hersteller günstigere Verjährungsregelung wird ergänzt durch § 13 ProdHG, wonach sämtliche Ansprüche zehn Jahre nach dem Zeitpunkt erlöschen, in dem der Hersteller das Produkt in Verkehr gebracht hat.
30
Aus den Beschränkungen des ProdHG und daraus, dass die Rechtsprechung des BGH den Entlastungsbeweis des Herstellers extrem voraussetzungsvoll gestaltet hat, folgt für die Praxis, dass die Haftung für fehlerhafte Produkte sich weiterhin vornehmlich auf § 823 Abs. 1 BGB stützt.
1 Vgl. BGH v. 31.10.2006 – VI ZR 223/05, NJW 2007, 762 – Limonadenflasche II. 2 BGH v. 7.6.1988 – VI ZR 91/87, NJW 1988, 2611 – Limonadenflasche I.
944
Bartsch
§ 57
IV. Schden durch Daten
2. Sonstige Haftungsgrundlagen Viele weitere Anspruchsgrundlagen stehen teils selbständig1, teils über 31 § 823 Abs. 2 BGB in Verbindung mit zahlreichen Schutzgesetzen zur Verfügung, beispielsweise mit §§ 202a ff., 303a, b StGB2. Zu diesen Schutzgesetzen gehört auch das ProdSG3 als Nachfolger des 32 GPSG. Daten auf Datenträgern werden zu den Produkten gehören. Daten als sol- 33 che sind m.E. nicht „Waren …, die durch einen Fertigungsprozess hergestellt worden sind“, wie § 2 Ziff. 22 ProdSG dies verlangt, werden also nicht vom ProdSG erfasst.
IV. Schäden durch Daten 1. Daten als Schädigungsursachen Die Produzentenhaftung nach § 823 Abs. 1 BGB hat sich aus der Haftung 34 für industriell hergestellte Gegenstände, also für Produkte im üblichen Sinn entwickelt. Soziologisch betrachtet ging es zunächst um Konsumentenschutz. Aber schon das Hühnerpest-Urteil4 erfasste die Auseinandersetzung zwischen zwei Unternehmen (Geflügelmäster und pharmazeutisches Unternehmen). Die Rechtsprechung hat längst klargestellt, dass die Grundsätze der Pro- 35 duzentenhaftung, insbesondere die Zuweisung der Beweislast, nicht an einer Definition des Begriffes Produkt hängen. Die Haftung gilt gleichermaßen für alle Hersteller, auch für handwerk- 36 liche Betriebe und Kleinbetriebe5, für Druckwerke6, für Reparaturmaßnahmen7 und überhaupt für fehlerhafte Dienstleistungen8. Typische Szenarien für Schäden aus inkorrekten Daten sind:
37
– Daten, die zur Regelung oder Steuerung von Maschinen usw. eingesetzt werden; – Daten im medizinischen Bereich; – Daten mit Sicherungszweck.
1 2 3 4 5 6 7 8
Beispiel: §§ 84 ff. AMG. Vgl. Soebbing, InTeR 2013, 77 (78) bei II. m.w.N. Hierzu Spindler, NJW 2004, 3145 (3148) bei III. BGH v. 26.11.1968 – VI ZR 212/66, BGHZ 51, 91 – Hühnerpest. BGH v. 19.11.1991 – VI ZR 171/91, BGHZ 116, 104. Foerste, NJW 1991, 1433 f. BGH v. 24.3.1992 – VI ZR 210/91, NJW 1992, 1678 – Austauschmotor. Wagner in MünchKommBGB, § 823 Rz. 599. Bartsch
945
§ 57 38
Daten als Produkt, Produkthaftung
Wo es um Informationen geht, ist allerdings § 675 Abs. 2 BGB zu beachten, wonach für einen Rat oder eine Empfehlung grundsätzlich nicht gehaftet wird. Das Gesetz macht den Vorbehalt, dass sich die Verantwortlichkeit nicht aus einem Vertragsverhältnis oder einer unerlaubten Handlung ergeben dürfe. Da § 823 Abs. 1 BGB jedoch die Modalität der Schädigungshandlung gerade nicht definiert (vgl. oben Rz. 8 ff.) und da nicht jede Versäumung einer Verkehrssicherungspflicht der scharfen Produzentenhaftung, insbesondere der gläubigerfreundlichen Beweislastzuweisung unterliegt, ist abzugrenzen: – Jede Verletzung eines in § 823 Abs. 1 BGB geschützten Rechtsguts führt zur Haftung aus unerlaubter Handlung. – Zur Haftung nach den Grundsätzen der Produzentenhaftung mit dem praktisch kaum einhaltbaren Anspruch der Orientierung am Stand von Wissenschaft und Technik1 und mit der typischen Beweislastverteilung führt nur eine Situation, die wie die klassischen Fälle der Produzentenhaftung zu bewerten ist. Hier sind folgende Kriterien maßgeblich: – Professionalität auf Seiten des Produzenten2; – Undurchschaubarkeit der beim Produzenten ablaufenden Vorgänge für den Produktnutzer; – Schutzbedürftigkeit des Produktnutzers aufgrund dieser Situation. Im Ergebnis wird die Haftung entsprechend der Ökonomischen Rechtstheorie demjenigen zugewiesen, der sie am billigsten vermeiden kann („Cheapest Risk Avoider“), und demjenigen, der das Risiko am kostengünstigsten beherrschen kann („Cheapest Cost Avoider“).
39
Nicht jeder Transfer einer Information (hier pauschal „Daten“ genannt) führt also zur Produzentenhaftung.
40
Klassisches Beispiel ist die Einschleusung von Viren. Sie können beispielsweise Daten löschen oder verändern, den Zugriff auf Daten verhindern oder die Funktionsfähigkeit der IT-Betriebsmittel beeinträchtigen oder ausschließen. In jedem dieser Fälle liegt letztlich ein Eingriff in die Sachsubstanz vor. Bildlich gesprochen ist der Computer nun um die Daten des Virus bereichert, die wie ein Sandkorn im Getriebe wirken3. 2. Erstattungsfähige Schäden
41
Die Engstelle des § 823 Abs. 1 BGB ist der Haftungseintritt nur für die absolut geschützten Güter.
1 Sprau in Palandt, BGB, § 823 Rz. 169. 2 Das ProdHG trifft in § 2 Abs. 2 Nr. 3 dieselbe Abgrenzung; vgl. Spindler, CR 2005, 741 (741) bei II.1. 3 Vgl. ausführlich Bartsch, CR 2000, 721 ff.
946
Bartsch
§ 57
IV. Schden durch Daten
a) Personen und Sachen Der Schutz von Personen und Sachen bereitet keine Schwierigkeiten.
42
Da Daten stets verkörpert sind und der Datenträger gegen seine Funk- 43 tionsbeeinträchtigung geschützt ist, sind die auf ihm gespeicherten Daten mit dem Datenträger im Schutzbereich des § 823 Abs. 1 BGB. Das ist längst nicht mehr streitig1. Die dennoch bestehenden Schutzprobleme werden in § 22 III. erörtert. Wo eine Stromunterbrechung zu einer Beeinträchtigung der Datenträger 44 des Stromkunden führt, folgt die Haftung unmittelbar aus dem Eigentumsschutz am Datenträger ohne die Beschränkungen, die laut Rechtsprechung bei einer Beeinträchtigung des Gewerbebetriebs gelten (hierzu Rz. 45 ff.)2. b) Störungen des IT-Betriebs Da alle Einflussnahmen auf den IT-Bereich physikalische Veränderungen 45 dieses Bereichs sind, also Eigentumsstörungen, sind Störungen des ITAblaufs über den Eigentumsschutz erfasst3. Problematisch ist die Frage der Schadensberechnung. Die Rechtspre- 46 chung lässt die Störung des Gebrauchs nur bei Sachen als Schaden gelten, auf deren ständige Verfügbarkeit der Berechtigte für die eigenwirtschaftliche Lebenshaltung typischerweise angewiesen ist4. Dies ist bei betrieblich genutzten IT-Installationen nicht der Fall. Der Geschädigte muss also einen konkreten Schadensnachweis führen5. Zu den in § 823 Abs. 1 BGB geschützten sonstigen Rechten gehört der 47 eingerichtete und ausgeübte Gewerbebetrieb. Hier allerdings hat die Rechtsprechung entgegen dem Gesetz nicht jede Modalität des Eingriffs für die Haftung ausreichen lassen. Der Eingriff müsse betriebsbezogen sein. Ein haftungsbegründender Eingriff liegt demnach nur bei unmittelbarer Bedrohung der Betriebsgrundlagen vor6. Die Betriebsstörung durch Stromausfall ist das bekannteste Beispiel. Mit 48 dem Argument, dass das Kabel nicht nur einem Stromkunden dient, wurde die Betriebsbezogenheit regelmäßig abgelehnt7. Von einem Dritten 1 OLG Karlsruhe v. 7.11.1995 – 3 U 15/95, NJW 1996, 200; OLG Oldenburg v. 24.11.2011 – 2 U 98/11, CR 2012, 77; Spindler, NJW 2004, 3145 (3146). 2 OLG Oldenburg v. 24.11.2011 – 2 U 98/11, CR 2012, 77. 3 Die Details sind streitig, die Abgrenzungen sind nicht sehr einleuchtend; vgl. Wagner in MünchKommBGB, § 823 Rz. 117 ff. 4 Grüneberg in Palandt, BGB, vor § 249 Rz. 48 m.w.N. 5 Vgl. BGH v. 9.7.1986 – GSZ 1/86, BGHZ 98, 212; Oetker in MünchKommBGB, § 249 Rz. 61. 6 Sprau in Palandt, BGB, § 823 Rz. 128. 7 BGH v. 9.12.1958 – VI ZR 199/57, BGHZ 29, 65 – Stromkabel. Bartsch
947
§ 57
Daten als Produkt, Produkthaftung
stammende fehlerhafte Daten können zu Betriebsstörungen führen. Nach der Unterscheidung bei Stromkabelfällen müsste man wohl sagen, dass fehlerhafte Standardsoftware und fehlerhafte Standarddaten keine konkrete Betriebsbezogenheit haben, also nicht zur Produzentenhaftung führen, während fehlerhafte Individualsoftware und fehlerhafte individuell erstellte Daten zu dieser Haftung führen – ein nicht einleuchtendes Ergebnis. c) Persönlichkeitsschutz 49
Auch der Anspruch auf Vertraulichkeit und Integrität informations-technischer Systeme ist ein sonstiges Recht nach § 823 Abs. 1 BGB1. Dieser grundrechtlich basierte Schutz erfasst den privaten Bereich. 3. Haftungsvorkehrungen
50
Daten und Informationen sind alltägliche Wirtschaftsgüter. Je umfangreicher Datensammlungen sind, desto sicherer ist, dass sie nicht fehlerfrei sind. Wer nur absolut fehlerfreien Datensammlungen vertrauen will, kann praktisch kein Buch und keine Straßenkarte benutzen. Bei Straßenkarten folgt dies schon daraus, dass zwischen der Datenerhebung und der Datenveröffentlichung ein Zeitraum liegt, in welchem es im erfassten Gebiet gewiss Änderungen gibt.
51
Beispiel: Durch die Zeitung ging vor Jahren die Nachricht, dass ein junger (!) BMW-Fahrer (!) nachts, seinem Navigationsgerät folgend, mit Schwung im Fluss landete. Das Navigationsgerät hatte die nachts nicht verkehrende Fähre als Fahrweg vorgeschlagen.
52
Für den jungen Mann gab es öffentliche Schadenfreude. Was aber, wenn zwei Kinder als Insassen im Auto ertrunken wären? Haftung des NaviHerstellers?
53
Dass Haftungsbeschränkung durch Sorgfalt stattzufinden hat, muss nicht erörtert werden. Aber auch bei Anspannung aller Sorgfalt kann ein Fehler unentdeckt bleiben und zum Schaden führen. Die Beweislast des Herstellers, gerade dieser Fehler sei unvermeidbar gewesen, ist praktisch nicht zu erfüllen.
54
Es bleibt die Möglichkeit des Herstellers, auf das Risiko hinzuweisen und die Benutzung zu kanalisieren. So dürfen Produkte erhebliche Risiken aufweisen, beispielsweise Medikamente, die schwere Nebenwirkungen haben können, aber nur bei Krankheiten einzusetzen sind, bei welchen keine gelindere Therapie zur Verfügung steht. Hier hat die produkthaftungsrechtliche Instruktionspflicht eine risikosenkende und folglich haftungsabwehrende Funktion. 1 Vgl. hierzu ausführlich Bartsch, CR 2008, 613 ff.
948
Bartsch
§ 57
IV. Schden durch Daten
Der Produzent wird auch nach Kräften dafür sorgen, dass das Produkt 55 nur in die Hand qualifizierter Nutzer kommt. Beispiel:
56
Der Hersteller fasst Informationen zusammen, mit denen bei Bränden die richtige Löschtechnik besser erkannt werden kann, und stellt sie auf einer CD zur Verfügung.
Hier sind vorsichtige Abwägungen am Platz:
57
– Datensammlungen dieser Art sollen möglichst umfangreich sein, werden aber niemals vollständig und niemals vollständig richtig sein. – Der Herausgeber stellt die in den Daten verkörperten Sachverhalte nicht selbst wissenschaftlich fest, sondern entnimmt sie anderen Quellen, kann also letztlich nur nach vernünftigen Kriterien auf deren Verlässlichkeit vertrauen. – Der Einsatz der Datensammlung kann also zum falschen Resultat, beispielsweise zur Auswahl des falschen Löschmittels und damit zu höheren Schäden führen. – Solange die Wahrscheinlichkeit richtigen Handelns aufgrund der Datensammlung signifikant höher ist als ohne Einsatz der Datensammlung, ist bei Wahrung der gebotenen Sorgfalt der Einsatz der Datensammlung geboten. Folglich müssen Herstellung und Vertrieb ohne haftpflichtrechtliche Konsequenzen bleiben, denn andernfalls wäre das Risikopotential höher als bei Einsatz der Datensammlung1. Der Hersteller wird darauf achten, dass die Datensammlung nur in fach- 58 kundige Hände kommt. Er wird die Produktbeobachtungspflicht, der hier besondere Bedeutung zukommt2, mit Sorgfalt wahrnehmen. Er sollte einen Aktualisierungsdienst einrichten und die Nutzer um korrigierende und ergänzende Informationen bitten. Vor allem wird er plakativ deutlich klarstellen, dass der Einsatz der Datensammlung nur ein zusätzliches Instrument zur Beurteilung der Lage sein kann. Beispiel:
59
Die Software simuliert chemische Prozesse. Sie erstellt je nach den Eingaben Prognosen darüber, was die tatsächliche Durchführung des Versuchs an Resultaten ergibt.
Die Prognose kann fehlerhaft einen chemischen Versuch als untauglich 60 bewerten, während der tatsächliche Versuch zu einem Substanzschaden im Labor führt. Der Hersteller wird plakativ deutlich machen, dass die Software ausschließlich dazu dient, voraussichtlich erfolglose Versuche einzusparen (negative Funktion) und nicht zur angeblich gefahrlosen 1 Spindler nennt dies „den Weg der größeren Vorsicht“, CR 2005, 741 (742) bei II.3.a. 2 Spindler, CR 2005, 741 (743) bei II.3.b. Bartsch
949
§ 57
Daten als Produkt, Produkthaftung
Durchführung von Versuchen zurät (keine positive Funktion). Die eigenverantwortliche Prognose des Chemikers darf dadurch nicht ersetzt werden. Auch hier wird der Hersteller auf einen Vertrieb nur im qualifizierten Nutzerkreis achten und einen Erfahrungsaustausch einrichten. 61
Weil die Daten nicht vollständig richtig sein werden, kommt der Produktbeobachtungspflicht besondere Bedeutung zu. Auch die Warnpflicht als Teil der Instruktionspflicht des Herstellers hat hier verstärkte Bedeutung1.
62
Da allgemein bekannt ist, dass umfangreiche Datensammlungen Fehler haben werden, steht dem Hersteller der Einwand des Mitverschuldens zu.
V. Schluss 63
Aus Daten können Schäden entstehen. Wenn Schäden an absolut geschützten Rechtsgütern des § 823 Abs. 1 BGB eintreten, wird Schadensersatz geschuldet. Unter den zusätzlichen Voraussetzungen (insbesondere Professionalität des Datenerstellers; Undurchschaubarkeit der beim Produzenten ablaufenden Vorgänge für den Produktnutzer) gelten die unter dem Stichwort „Produzentenhaftung“ bekannten Haftungsverschärfungen.
64
In der Praxis wird die Haftung fast ausschließlich aus § 823 Abs. 1 BGB hergeleitet; die Praxisbedeutung des ProdHG ist sehr gering geblieben. In Sonderfällen kommt eine Haftung aus Schutzgesetzen in Frage, sei es unmittelbar aus dortigen Haftungsnormen, sei es über § 823 Abs. 2 BGB.
1 Vgl. Fuchs/Baumgärtner, JuS 2011, 1057 (1059); Spindler, NJW 2004, 3145 (3147) bei II.4.
950
Bartsch
§ 58 Umfang des Schadensersatzes im Deliktsrecht Rz. I. Ausgangslage . . . . . . . . . . . . . . . . . II. Typische Schadenspositionen bei Datenverlust . . . . . . . . . . . . . . 1. Schäden am Datenträger. . . . . . . . 2. Aufwendungen für Datenrücksicherung . . . . . . . . . . . . . . . . 3. Kosten professioneller Datenrettung . . . . . . . . . . . . . . . . . . . . . .
1 2 4 7 9
Rz. 4. Erneute Datenerfassung . . . . . . . . a) Wiederherstellungskosten für technische Reproduktionen . . . b) Geldentschädigung für Neuschaffung . . . . . . . . . . . . . . . . . . 5. Entgangener Gewinn. . . . . . . . . . .
11 13 16 20
III. Mitverschulden des Geschädigten . . . . . . . . . . . . . . . . . 21
I. Ausgangslage Wer zum Schadensersatz verpflichtet ist, hat gem. § 249 Abs. 1 BGB im 1 Wege der Naturalrestitution den Zustand herzustellen, der bestehen würde, wenn der zum Ersatz verpflichtende Umstand nicht eingetreten wäre. Im Bereich elektronischer Daten ist der klassische Delikthaftungsfall der Datenverlust, verursacht durch Einwirkung auf einen Datenträger1. Bei solchen Sachbeschädigungen kann der geschädigte Dateninhaber statt der Herstellung den dazu erforderlichen Geldbetrag verlangen, § 249 Abs. 2 Satz 1 BGB. Soweit die Herstellung nicht möglich ist, hat der Ersatzpflichtige den Geschädigten gem. § 251 Abs. 1 BGB in Geld zu entschädigen. Er kann den Geschädigten in Geld entschädigen, wenn die Herstellung nur mit unverhältnismäßigen Aufwendungen möglich ist, § 251 Abs. 2 Satz 1 BGB.
II. Typische Schadenspositionen bei Datenverlust Für den Dateninhaber sind die auf einem Datenträger gespeicherten elek- 2 tronischen Daten verloren, wenn er dauerhaft nicht mehr auf sie zugreifen kann. Ein solcher Datenverlust kann durch Entwendung oder physikalische Zerstörung des Datenträgers verursacht werden, ebenso aber durch Löschung der gespeicherten Daten oder ihre irreparable Veränderung. Hieraus entstehen typische Schäden, deren rechtliche Einordnung und Ersatzfähigkeit im Folgenden näher dargestellt werden. Ausgangspunkt dafür ist folgender Beispielsfall:
3
Der Laptop, den ein Unternehmensmitarbeiter bei einer Dienstreise als Arbeitsmittel nutzt, wird von einem Dritten versehentlich zu Boden geworfen. Dabei wird die Festplatte so beschädigt, dass sie der Mitarbeiter weder auslesen noch neu beschreiben kann, sondern die Festplattendaten für den Mitarbeiter verloren sind. 1 Zu den verschiedenen Fallkonstellationen hierbei s. oben Bartsch, § 22 Rz. 5 ff. Hçrl
951
§ 58
Umfang des Schadensersatzes im Deliktsrecht
1. Schäden am Datenträger 4
Die Ersatzpflicht des Schädigers kann Schäden am Datenträger selbst umfassen, wenn der Dateninhaber auf dem Datenträger keine Daten mehr speichern und abrufen kann, z.B. weil der Datenträger physikalisch beschädigt oder zerstört oder ihm abhandengekommen ist. In diesen Fällen ist das Eigentum am Datenträger beeinträchtigt. Ersatzberechtigt ist der Eigentümer des Datenträgers. Das ist häufig, aber nicht immer der Dateninhaber.
5
Hat der Dateninhaber die Verantwortung für den Betrieb des Datenträgers als Hardwarebestandteil (Clientbetrieb oder Storage-Umgebung in einem Rechenzentrum) einem Dienstleister übertragen, so kann die Ersatzpflicht des Schädigers auch die Betriebskosten für die beschädigte und nicht mehr nutzbare Hardwarekomponente umfassen. Vertraglich bleibt der Dateninhaber dem Dienstleister grundsätzlich verpflichtet, die Betriebsvergütung auch für diejenigen Komponenten weiter zu entrichten, die durch fremdes Verschulden Schaden nehmen. Soweit diese Aufwendungen für den Dateninhaber nutzlos sind bis zur Ersatzbeschaffung, hat sie der Schädiger als Bestandteil der Schäden am Datenträger zu ersetzen.
6
Gehört im Beispielsfall der Laptop dem Unternehmen, dann ist dessen Anspruchsberechtigung unproblematisch. Zu ersetzen ist der Wiederbeschaffungswert1 des Datenträgers – im Beispielsfall also der Wiederbeschaffungswert des Laptops inklusive (leerer) Festplatte. Ist hingegen im Beispielsfall der Laptop vom Unternehmen geleast, so hätte der Leasinggeber je nach Ausgestaltung des Leasingvertrags unter Umständen als Eigentümer eigene Ersatzansprüche gegen den Schädiger. Die Ersatzansprüche des Leasingnehmers hängen insofern von der Risikozuweisung im Leasingvertrag ab. Die Rechtsprechung zu Unfällen mit Leasingfahrzeugen hat für die Anspruchsverteilung und für die im Einzelnen ersatzfähigen Schadenspositionen Leitlinien entwickelt2. Diese Leitlinien sind übertragbar auf Schäden an geleaster Hardware.
2. Aufwendungen für Datenrücksicherung 7
Oft hat der Dateninhaber Kopien seiner wichtigen Daten auf anderen Datenträgern gespeichert, z.B. auf Datensicherungsmedien3. Die Datenrücksicherung vom Sicherungsmedium ist regelmäßig die mit Abstand kostengünstigste Art, verlorene elektronische Daten wieder herzustellen. Daher umfasst die Ersatzpflicht des Schädigers gem. § 249 Abs. 2 BGB im Grundsatz die Kosten für die Übertragung der Datenkopien vom Sicherungsmedium auf den ursprünglichen Datenträger (oder auf dessen Ersatz, falls dieser nicht mehr nutzbar ist). Zwar gewährt die Rechtspre1 Vgl. z.B. Schubert in BeckOK BGB, § 249 Rz. 205 m.w.N. 2 Hierzu etwa Oetker in MünchKommBGB, 6. Aufl. 2012, § 249 Rz. 452 ff. m.w.N. 3 Wer heutzutage regelmäßige Sicherungen wichtiger Daten unterlässt, trägt auf jeden Fall ein erhebliches Mitverschulden im Datenverlustfall. Näher hierzu Rz. 21 ff.
952
Hçrl
§ 58
II. Typische Schadenspositionen bei Datenverlust
chung dem Geschädigten Ersatz für seinen eigenen Zeitaufwand und den seiner Mitarbeiter für die Schadensermittlung nur, wenn er über allgemeine Verwaltungstätigkeiten bei der Schadensabwicklung nachweislich hinausgeht1. Diese Einschränkung steht dem Ersatz eigener Aufwendungen des Dateninhabers für die Datenrücksicherung jedoch nicht entgegen, weil die Datenrücksicherung nicht der Schadensermittlung dient, sondern der Schadensbehebung durch Wiederherstellung2. Deren Kosten sind uneingeschränkt ersatzfähig, § 249 Abs. 2 BGB. Auf Endgeräten sind häufig nicht alle Daten ganz aktuell gesichert (gespiegelt), sondern Datensicherungen erfolgen nur periodisch. Oft bleiben also trotz der aktuellsten Datenrücksicherung einige Daten verloren oder veraltet. Im Beispielsfall können zu den auf dem zerstörten Laptop gespeicherten Daten dienstlich genutzte Daten (Programmdateien, E-Mails, Officedateien usw.) ebenso gehören wie privat gespeicherte Dateien (Musik, Bilder, Texte usw.). Unter Umständen sind etwa die am selben Tag unterwegs bearbeiteten Textdateien, Kalkulationen, Foliensätze usw. nur auf der Laptopfestplatte gespeichert, also nicht separat gesichert. Zur Wiederherstellung von verlorenen Programmdateien wird der Dateninhaber hingegen in aller Regel auf seine Originaldatenträger zurückgreifen oder ein etwa vorhandenes Softwareimage auf den als Ersatz angeschafften Laptop aufspielen.
8
3. Kosten professioneller Datenrettung Aus vielen beschädigten Datenträgern können mit professioneller Hilfe 9 selbst dann noch gespeicherte Daten ein letztes Mal ausgelesen werden, wenn die Datenträger defekt und zur Speicherung neuer Daten nicht mehr zu gebrauchen sind. Eine professionelle Datenrettung ist z.B. bei vielen Magnetspeichern wie etwa Festplatten möglich, ihre Kosten übersteigen die des Datenträgers aber schnell ganz erheblich. Damit ist die professionelle Datenrettung ungleich teurer als jede andere Datenrücksicherung, und zudem ist ihr Erfolg nicht immer gewährleistet. Dennoch können beim Datenverlust im Grundsatz die Kosten professioneller Datenrettung ersatzfähig sein als Wiederherstellungskosten i.S.v. § 249 Abs. 2 BGB. Das gilt im Einzelfall selbst dann, wenn die Datenrettung fehlschlägt3. Unverhältnismäßige Aufwendungen und Aufwendungen für aussichtslose Rettungsversuche braucht ein Schädiger jedoch nicht zu ersetzen. Möglicherweise sind im Beispielsfall die seit der letzten Datensicherung veränderten Dateien für den Dateninhaber besonders wertvoll, weil sie wichtige Geschäftsabschlüsse dokumentieren. In diesem Fall kommt – je nach Schadensbild der Festplatte – für diese Daten eine professionelle Datenrettung in Betracht, deren Kosten der Schädiger zu tragen hätte. Zur Wiederbeschaffung privat erworbener Musikdateien des Mitarbeiters scheint hingegen eine Datenrettung nicht angemessen. 1 BGH v. 9.12.2008 – VI ZR 173/07, NJW 2009, 1066 (1068); BGH v. 2.7.1996 – X ZR 64/94, CR 1996, 663, Optikprogramm. Weitere Nachweise etwa bei Oetker in MünchKommBGB, § 249 Rz. 86 ff. 2 So auch BGH v. 2.7.1996 – X ZR 64/94, CR 1996, 663, Optikprogramm m.w.N. 3 Vgl. AG Kassel v. 22.10.1997 – 423 C 1747/97, NJW-RR 1998, 1326 (1327), in einem Fall vertraglicher Haftung. Hçrl
953
10
§ 58
Umfang des Schadensersatzes im Deliktsrecht
4. Erneute Datenerfassung 11
Sind elektronische Daten weder auf Datensicherungsmedien vorhanden noch durch Datenrettung wiederherstellbar, so ist zweifelhaft, ob sie nach einem Datenverlust überhaupt wiederbeschafft werden können. In jedem Fall erfordert die Wiederbeschaffung solcher Daten erheblichen manuellen Aufwand. Der Dateninhaber muss beispielsweise seine Kommunikationspartner bitten, ihm verlorengegangene E-Mails erneut zuzusenden, er muss Daten aus Papierausdrucken (z.B. Rechnungen) erneut elektronisch erfassen, elektronische Vertragsentwürfe erneut prüfen und bearbeiten, CAD-Zeichnungen erneut anfertigen usw. Die Wiederbeschaffung von Daten durch erneute Datenerfassung ist regelmäßig die aufwendigste Methode – schnell um Größenordnungen teurer als eine Datenrücksicherung oder Datenrettung, und obendrein noch deutlich fehleranfälliger1.
12
Die Kosten für die manuelle Wiederherstellung elektronischer Daten ordnet der BGH als Wiederherstellungskosten gem. § 249 Abs. 2 BGB nur ein, soweit die Dateien aufgrund einer in anderer Form noch vorhandenen Vorlage (z.B. durch Eingabe noch auf Papier vorhandener Konstruktionszeichnungen) „technisch“ reproduzierbar sind2. Soweit das nicht möglich ist, hat der BGH nur den Wertersatzanspruch aus § 251 Abs. 1 BGB gewährt, weil bei qualifizierten geistigen oder schöpferischen Leistungen („Unikaten“) eine Neuschaffung nicht ohne Weiteres eine „Wiederherstellung“ im Rechtssinne sei3. Diese Unterscheidung hat wichtige Folgen, sowohl für die Höhe eines Ersatzanspruchs als auch für die Beweislastverteilung. a) Wiederherstellungskosten für technische Reproduktionen
13
Soweit die erneute Datenerfassung eine technische Reproduktion der verlorenen Daten ist, sollen die Kosten hierfür dem BGH zufolge als Teil der Wiederherstellungskosten im Rahmen von § 249 Abs. 2 BGB ersatzfähig sein, zumindest als Ersatzbeschaffung. Von einer technischen Datenrekonstruktion kann gesprochen werden, wenn die verlorenen elektronischen Daten durch Umwandlung aus einem anderen Datenformat wiederhergestellt werden, in dem sie noch vorhanden sind. Der häufigste Fall davon ist die elektronische Erfassung von ausgedruckten Daten. Diese Art der Datenrekonstruktion ist im Wesentlichen eine Fleißaufgabe und erfordert mechanische Tätigkeiten mit dem primären Ziel, Übertragungsfehler zu vermeiden. Deshalb ist es sachgerecht, bei solchen technischen Reproduktionen noch von Wiederherstellung i.S.v. § 249 BGB zu sprechen. 1 Ein anschauliches Beispiel liefert der Fall BGH NJW 2009, 1066 = ITRB 2009, 98 (Rössel): zerstörte Festplatte 900 DM, Gesamtschaden aus Datenverlust ca. 1,2 Mio. DM, hauptsächlich wegen erneuter Datenerfassung. 2 BGH v. 9.12.2008 – VI ZR 173/07, NJW 2009, 1066 (1067), Rz. 11. 3 BGH v. 9.12.2008 – VI ZR 173/07, NJW 2009, 1066 m.w.N.
954
Hçrl
§ 58
II. Typische Schadenspositionen bei Datenverlust
Diese rechtliche Einordnung hat zur Folge, dass gem. § 249 Abs. 2 BGB 14 die Ersatzpflicht des Schädigers grundsätzlich alle Aufwendungen umfasst, die beim Dateninhaber für technische Reproduktionen verlorener Daten notwendig sind. Die Aufwendungen und ihre Notwendigkeit hat der Geschädigte darzulegen und zu beweisen. Der Höhe nach begrenzt wird die Ersatzpflicht durch § 251 Abs. 2 Satz 1 BGB, wenn die Aufwendungen zur Wiederherstellung insgesamt unverhältnismäßig hoch sind. Hierfür sind die gesamten Aufwendungen (also für Datenträger plus Datenrücksicherung plus Datenrettung plus erneute Erfassung plus evtl. weitere Positionen) ins Verhältnis zu setzen zum Wert des Datenträgers plus der verlorenen Daten für den Dateninhaber. Die Unverhältnismäßigkeit hat der Schädiger darzulegen und zu beweisen1, denn sie begrenzt seine Ersatzpflicht und ist deshalb für ihn günstig. Den Geschädigten trifft dabei eine sekundäre Darlegungslast für Tatsachen, die aus seiner Sphäre stammen und die folglich der Schädiger nicht kennen kann. Bleiben im Beispielsfall wichtige Daten trotz Datenrettung verloren, so wäre der Aufwand für ihre technische Rekonstruktion noch Bestandteil der Wiederherstellungskosten i.S.d. § 249 Abs. 2 BGB. Das könnte z.B. gelten für den Aufwand, mit dem Verlauf und Ergebnisse von Vertragsverhandlungen aus handschriftlichen Notizen rekonstruiert werden, wenn die elektronischen Vertragsentwürfe unrettbar zerstört sind.
15
b) Geldentschädigung für Neuschaffung Soweit es nicht um vorwiegend technische Reproduktionen verlorener 16 Daten geht, sondern um die erneute Schaffung qualifizierter geistiger oder schöpferischer Leistungen, ist im Wesentlichen eine intellektuelle Arbeit gefordert. Deren Ziel ist es, die Aufgabenstellungen und Probleme erneut zu beschreiben oder lösen, die durch die verlorenen Daten schon einmal beschrieben oder gelöst wurden. Es liegt in der Natur dieser intellektuellen Tätigkeit, dass die neu geschaffenen Daten an der einen oder anderen Stelle von den verlorenen ursprünglichen Daten abweichen. Deshalb ist es gerechtfertigt, diese geistigen Neuschaffungen nicht als Wiederherstellung i.S.d. § 249 BGB zu behandeln. Hieraus folgt, dass die Haftung des Schädigers für die neu zu schaffenden 17 Daten aus § 251 Abs. 1 BGB auf Wertersatz der Vermögensschäden des Dateninhabers gerichtet ist. Bemessungsgröße für diesen Wertersatz ist nicht in erster Linie der Wiederherstellungsaufwand, sondern der wirtschaftliche Wert der Daten für den Dateninhaber. Als Geschädigter hat der Dateninhaber diesen wirtschaftlichen Wert darzulegen und zu beweisen. Die Unverhältnismäßigkeit i.S.v. § 251 Abs. 2 BGB spielt bei diesem Anspruch keine Rolle.
1 BGH v. 9.12.2008 – VI ZR 173/07, NJW 2009, 1066, Rz. 14; Oetker in MünchKommBGB, § 251 Rz. 73; Schubert in BeckOK BGB, § 251 Rz. 32. Hçrl
955
§ 58
Umfang des Schadensersatzes im Deliktsrecht
18
Der Wert eines gespeicherten Datenbestands für ein Unternehmen lässt sich dem BGH1 zufolge nicht nur nach den konkreten Kosten bemessen, die für die Datenrekonstruktion aufgewendet wurden. Von Bedeutung ist für den BGH auch, inwieweit durch einen Datenverlust Betriebsabläufe so gestört oder erschwert werden, dass dies durch zeitlichen und personellen Mehraufwand kompensiert werden muss. Neben diesen Aspekten spielt im Rahmen der Schadensschätzung gem. § 287 ZPO für den BGH2 eine Rolle, welchen Aufwand der Dateninhaber seit dem Datenverlust tatsächlich betrieben hat, um Daten auf dem einen oder anderen Weg zu rekonstruieren3. Deshalb ist es für jeden Dateninhaber angezeigt, nach einem Datenverlust seine Aufwendungen für die Wiederherstellung der Daten so genau wie irgend möglich zu dokumentieren.
19
Wäre im Beispielsfall ein elektronisches Manuskript unwiederbringlich mit der Festplatte zerstört worden, z.B. für ein Buchkapitel oder einen Zeitschriftenartikel, so wäre der Aufwand für das erneute Schreiben dieses Manuskripts nicht mehr Bestandteil der Wiederherstellung i.S.v. § 249 BGB. Die Wiederherstellung des Manuskripts wäre in diesem Fall unmöglich i.S.v. § 251 Abs. 1 BGB, so dass der Dateninhaber auf die Geldentschädigung für seine Vermögensschäden verwiesen bliebe.
5. Entgangener Gewinn 20
Gemäß § 252 BGB umfasst ein zu ersetzender Schaden auch den entgangenen Gewinn. Die Schwierigkeiten vieler Geschädigter beim Nachweis entgangenen Gewinns infolge der Beschädigung einer Sache hat auch ein Dateninhaber beim Datenverlust4.
III. Mitverschulden des Geschädigten 21
Das Mitverschulden (§ 254 BGB) auf der Seite des geschädigten Dateninhabers spielt bei der Haftung für Datenverlust eine ganz wesentliche Rolle, vor allem unter dem Aspekt der Datensicherung. Schon lange ist bei elektronischen Daten die Datensicherung eine allgemein bekannte und anerkannte Selbstverständlichkeit5, und zwar nicht nur aus technischer Sicht. Das gilt für alle geschäftlichen Daten in Unternehmen, heutzutage aber praktisch überall auch im privaten Bereich.
22
Unterlässt ein Dateninhaber die gebotene Datensicherung, so ist ihm das bei einem Datenverlust möglicherweise als Mitverschulden anzulasten, das seine deliktischen Ersatzansprüche gegen den Schädiger mindert oder 1 2 3 4 5
BGH v. 9.12.2008 – VI ZR 173/07, NJW 2009, 1066 (1068), Rz. 17. BGH v. 9.12.2008 – VI ZR 173/07, NJW 2009, 1066 m.w.N. Hierzu näher Rössel, ITRB 2009, 99. S. hierzu auch oben Redeker, § 55 Rz. 21 ff. BGH, CR 1996, 663 (665) (Optikprogramm); vgl. auch OLG Hamm v. 1.12.2003 – 13 U 133/03, CR 2004, 654; OLG Karlsruhe v. 20.12.1995 – 10 U 123/95, CR 1996, 348 f.; Redeker in Beck’sches Mandatshandbuch IT-Recht, § 11 Rz. 117; Thalhofer, Handbuch IT-Litigation, A II Rz. 35.
956
Hçrl
§ 58
III. Mitverschulden des Geschdigten
gar ausschließt. Vorsicht ist aber geboten vor der pauschalen Annahme von Mitverschuldensquoten. So hatte in einem vom BGH1 entschiedenen Fall eine Vorinstanz rechtskräftig festgestellt, dass der Dateninhaber 30 % seiner Schäden (Ersatz für zerstörte Festplatte plus Kosten erneuter Datenerfassung) selbst trage, weil er die Festplattendaten nicht gesichert hatte. Diese pauschale Quotelung ist nicht sachgerecht. Zum einen ist mit 30 % der Mitverschuldensanteil für die hohen Kosten erneuter Datenerfassung erstaunlich niedrig2. Zum anderen ist für den Ersatz der zerstörten Festplatte überhaupt kein Mitverschuldensanteil gerechtfertigt, denn im konkreten Fall hätte auch eine topaktuelle Datensicherung jedenfalls diese Schadensposition nicht beeinflussen können. Unterlässt also ein Dateninhaber die gebotene Datensicherung oder trifft ihn aus einem anderen Grund ein Mitverschuldensvorwurf, so sind die verschiedenen oben dargestellten Schadenspositionen einzeln daraufhin zu prüfen, ob das Verhalten des Dateninhabers das Schadensrisiko konkret erhöht oder das Schadensausmaß vergrößert hat. Hätte im Beispielsfall der Dateninhaber seine Festplattendaten nicht hinreichend aktuell gesichert, so müsste er sich sicher den Vorwurf erheblichen Mitverschuldens gegen seine Ersatzansprüche infolge erneuter Datenerfassung (oben Rz. 11 ff.) und auf entgangenen Gewinn (oben Rz. 20) gefallen lassen. Der mögliche Ersatzanspruch wegen Schäden am Datenträger (oben Rz. 4 ff.) bliebe hingegen ungekürzt. Anteiliger Kostenersatz für professionelle Datenrettung (oben Rz. 9 ff.) könnte wohl höchstens dann verlangt werden, wenn auch bei ordnungsgemäßer Datensicherung zu professionellen Rettungsmaßnahmen Anlass bestanden hätte.
1 BGH v. 9.12.2008 – VI ZR 173/07, NJW 2009, 1066. 2 Kritisch im Ergebnis auch Rössel, ITRB 2009, 99; Marly, LMK 2009, 280093, Anm. zu BGH v. 9.12.2008 – VI ZR 173/07. Hçrl
957
23
§ 59 Haftung für die Richtigkeit öffentlicher Verzeichnisse, Haftung für Rankings, Produktbewertungen Rz. I. Internetveröffentlichungen entgegenstehende Rechtsgüter . . . . . II. Grundsätze der Verantwortlichkeit für Veröffentlichungen im Internet . . . . . . . . . . . . . . . . . . . . . 1. Haftung des Urhebers der Veröffentlichung . . . . . . . . . . . . . . 2. Haftung des technischen Vermittlers . . . . . . . . . . . . . . . . . . . a) Mittelbarer Störer . . . . . . . . . . . aa) Zumutbare Prüfungspflichten . . . . . . . . . . . . . . . bb) Grobe Rechtsverletzungen . . . . . . . . . . . . . . . . . cc) Keine Vorabprüfung . . . . . . dd) Vorsorge gegen Wiederholung der Verletzung . . . . b) Schadensersatzhaftung . . . . . . . III. Persönlichkeitsrechte berührende Daten . . . . . . . . . . . . . 1. Werturteile mit Tatsachenkern . . 2. Enger Begriff der Schmähkritik . . 3. Mangelhafte Bewertungsgrundlage . . . . . . . . . . . . . . . . . . . . 4. Unzulässige Sachverhaltsveröffentlichung . . . . . . . . . . . . . .
1
8 8 11 12 13 15 17 18 20 21 22 25 27 29
Rz. IV. Berufsbezogene Bewertung. . . . . . 1. Datenschutz. . . . . . . . . . . . . . . . . . 2. Interessenabwägung . . . . . . . . . . . a) Berufliche Entfaltung in der Sozialsphäre. . . . . . . . . . . . . . . . aa) Fachliche Kompetenz. . . . . bb) Charakterliche Eignung . . . b) Reichweite der eröffneten Sozialsphäre. . . . . . . . . . . . . . . . c) Abwägungsrelevante Maßnahmen . . . . . . . . . . . . . . . V. Verfahren zur Prüfung der Rechtsverletzung . . . . . . . . . . . . . . 1. Risiko einer manuellen Freigabe . 2. Konkrete Beanstandung . . . . . . . . 3. Äußere Sachverhaltsaufklärung . . VI. Anonyme Verbreitung . . . . . . . . . 1. Meinungsäußerungsfreiheit . . . . . 2. Steigerung des Missbrauchsrisikos . . . . . . . . . . . . . . . . . . . . . . . 3. Drittauskunft. . . . . . . . . . . . . . . . .
33 35 38 40 42 44 46 49 52 54 55 57 61 62 64 66
VII. Missbräuchliche Einflussnahme auf Rankings . . . . . . . . . . . . . . . . . 68 1. Beeinflussung von Bewertungsplattformen . . . . . . . . . . . . . . . . . . 70 2. Einwirkung auf Suchmaschinen . 72
I. Internetveröffentlichungen entgegenstehende Rechtsgüter 1
Daten, die in Verzeichnissen oder Datenbanken gespeichert sind und der Information eines unbestimmten Personenkreises dienen, können durch die Generalklauseln des allgemeinen Deliktsrechts geschützte sowie solche Rechtspositionen berühren, die durch eine Vielzahl spezialgesetzlicher Regelungen gewährleistet werden.
2
Während spezialgesetzliche Vorschriften zumeist die Richtigkeit und Vollständigkeit von Angaben tatsächlicher Natur sicherstellen, bieten die §§ 823 ff. BGB wie das Lauterkeitsrecht1 auch Schutz vor unangemes-
1 Der Mitbewerber, der einen anderen Mitbewerber durch Tatsachenbehauptung oder Werturteil herabsetzt, wird aber strenger beurteilt als derjenige, der nicht Mitbewerber ist OLG Hamm v. 23.10.2007 – 4 U 87/07, Rz. 5, CR 2009, 61 = ITRB 2008, 248 – Erfahrungsberichte im Blog; LG Hamburg v. 5.9.2011 – 327 O 607/10, Rz. 50, WRP 2012, 94 – Reisebewertungsportal.
958
Rçssel
§ 59
I. Internetverçffentlichungen entgegenstehende Rechtsgter
sener Veröffentlichung wahrer Tatsachenangaben sowie von personenoder sachbezogenen Werturteilen (in der Folge unter III.). Die von der Rechtsprechung zu § 823 Abs. 1 BGB entwickelten Rah- 3 mentatbestände zur Persönlichkeitsrechtsverletzung aus Art. 2 Abs. 1, 1 Abs. 1 GG sowie zum Schutz des Rechts am eingerichteten und ausgeübten Gewerbebetrieb und des Unternehmerpersönlichkeitsrechts erweitern den Schutz vor Veröffentlichungen, den die Kreditgefährdung gem. § 824 BGB oder Äußerungsdelikte gem. § 823 Abs. 1 BGB i.V.m. §§ 185 ff. StGB bieten1. Bei ihnen ist im Gegensatz zu den absolut geschützten Rechten eine Abwägung erforderlich. Im Einzelfall können von der rechtswidrigen Veröffentlichung von Informationen auch die Rechtsgüter der körperlichen Unversehrtheit oder Gesundheit2 sowie das Eigentum betroffen sein. Bewertungen von Personen im Rahmen ihres beruflichen Tätigkeitsge- 4 biets tangieren insbesondere ihr Recht auf informationelle Selbstbestimmung und können Ansprüche gem. § 823 Abs. 2 BGB i.V.m. § 4 BDSG auslösen (in der Folge unter IV.)3. Beruhen Produktbewertungen auf unzureichenden Beurteilungsgrundlagen und -verfahren oder werden Rankings gar manipuliert, liegt eine wettbewerbswidrige Irreführung nahe (in der Folge unter VII.). Den Rechten des Betroffenen steht regelmäßig die Kommunikations- 5 und Informationsfreiheit der veröffentlichenden Person, ggf. des technischen Vermittlers und der Adressaten gegenüber. Prinzipielle Unterschiede ergeben sich nicht daraus, ob geschützte Infor- 6 mationen der breiten Masse oder durch Einrichtung von Zugangsbeschränkungen oder -erschwerungen nur Teilen der Öffentlichkeit zur Verfügung gestellt werden. Das Medium einer insoweit relevanten Veröffentlichung kann privater, 7 geschäftlicher oder staatlicher Natur sein. Es ist gleich, ob es große Formulierungsfreiheit bietet, wie private Homepages oder Blog-Einträge, 1 Vgl. zur nachrangigen Anwendung der offenen Tatbestände des § 823 Abs. 1 BGB im Verhältnis zu § 824 BGB: BGH v. 9.12.1975 – VI ZR 157/73, Rz. 20, NJW 1976, 620 – Skibindungen. 2 BGH v. 7.7.1970 – VI ZR 223/68, NJW 1970, 1963 (1964) = GRUR 1971, 328 – Carter-Robbins-Test; vgl. zur ersatzpflichtigen Auslösung schockähnlicher Gesundheitsbeeinträchtigungen durch versehentliche Aufnahme des privaten Telefonanschlusses eines Kriminalbeamten ins Telefonbuch OLG Jena v. 18.8.2004 – 2 U 1038/03, Rz. 43, 48, ZUM-RD 2004, 592. 3 Des Weiteren scheint sich bei den Obergerichten zunehmend die Auffassung durchzusetzen, dass Verstößen gegen das Recht auf informationelle Selbstbestimmung eine Wettbewerbsbezogenheit i.S.v. § 4 Nr. 11 UWG beizumessen sein kann: z.B. OLG Hamburg v. 27.6.2013 – 3 U 26/12, Rz. 58, K&R 2013, 601; a.A. im Hinblick auf § 13 Abs. 1 TMG KG v. 29.4.2011 – 5 W 88/11, Rz. 32 ff., CR 2011, 468 – Gefällt-mir-Button. Rçssel
959
§ 59
Haftung fr die Richtigkeit çffentlicher Verzeichnisse
oder stark strukturiert und kategorisiert ist, wie etwa staatliche Verzeichnisse1, Geschäftsbewertungen auf Online-Handelsplattformen, Bewertungsportale für Verbrauchsgüter, Reisen, Restaurants oder Freiberufler.
II. Grundsätze der Verantwortlichkeit für Veröffentlichungen im Internet 1. Haftung des Urhebers der Veröffentlichung 8
Anspruchsgegner im Falle einer rechtswidrigen Publikation ist zunächst der insbesondere in eigenem Interesse handelnde Urheber einer Veröffentlichung eigener oder zu eigen gemachter fremder Äußerungen. Ihn trifft verschuldensunabhängig der Anspruch des Betroffenen auf Beseitigung, also Löschung oder Sperrung der rechtswidrigen Information, sowie auf Unterlassung der Wiederholung einer identischen oder kerngleichen Informationsverbreitung bspw. analog §§ 1004, 823 BGB2. Hat der Urheber für die Veröffentlichung einen technischen Vermittler eingeschaltet, so hat er diesen zur Löschung zu veranlassen3.
9
Auch hat er dem Betroffenen die Kosten der Rechtsverfolgung zu erstatten. Regelmäßig kommt die Rechtsdurchsetzung durch einstweilige Verfügung in Betracht4. Handelt der Urheber der Tatsachenbehauptung oder der Meinungsäußerung schuldhaft, kann er zudem gem. §§ 823 ff. BGB zum Schadensersatz verpflichtet sein.
10
Nicht selten läuft aber faktisch der Rechtsschutz gegenüber dem Urheber einer rechtswidrigen Information ins Leere, weil sich seine Identität aufgrund anonymer Publikationsformen i.S.v. § 13 Abs. 6 TMG nicht feststellen lässt (in der Folge unter VI.).
1 Z.B. Melderegister, Unternehmensregister gem. §§ 8b, 9a HGB oder mit öffentlichem Glauben versehenes Handelsregister oder Grundbuch; vgl. zur Amtshaftung der Gemeinde nach Art. 34 GG i.V.m. § 839 BGB bei unrichtiger Melderegisterauskunft OLG Köln v. 18.3.1999 – 7 U 160/98, VersR 2000, 1236; OLG Hamm v. 8.7.2009 – 11 U 9/09. 2 Der gegen journalistisch-redaktionelle Tatsachenbehauptungen gerichtete Gegendarstellungsanspruch etwa aus § 56 Abs. 1 RStV setzt nicht einmal die Rechtswidrigkeit der Veröffentlichung voraus. 3 KG v. 7.3.2012 – 26 U 65/11, Rz. 17, VuR 2012, 367 – Doppelter Schufa-Negativeintrag. 4 Am Verfügungsgrund gem. §§ 935, 940 ZPO kann es fehlen, wenn bei einer Handelsplattform Gegenkommentare des Betroffenen gegenüber negativen Geschäftsbewertungen möglich sind (OLG Köln v. 8.3.2012 – 15 U 193/11, Rz. 10, MMR 2012, 667 – eBay-Bewertungssystem; OLG Düsseldorf v. 11.3.2011 – I-15 W 14/11, Rz. 17, MMR 2011, 457.
960
Rçssel
II. Grundstze der Verantwortlichkeit fr Verçffentlichungen im Internet
§ 59
2. Haftung des technischen Vermittlers Als weiterer Anspruchsgegner kommt der technische Vermittler in Be- 11 tracht, der dem Urheber eine Verbreitung über ein bestimmtes Medium ermöglicht, also z.B. der Verleger oder ein Hoster einer Blog-, Handelsoder Bewertungsplattform im Internet. Dieser haftet als Störer, selten auch als Verletzer, und zwar grundsätzlich neben dem Urheber und nicht nur subsidiär1. Er ist aber im Falle anonymer Äußerungen regelmäßig der einzige Anspruchsgegner des Betroffenen2. a) Mittelbarer Störer Gegen technische Vermittler gerichtete Ansprüche auf Beseitigung und 12 Unterlassung beruhen auf den von der höchstrichterlichen Rechtsprechung entwickelten Grundsätzen der sog. mittelbaren Störerhaftung3 oder der Verkehrspflichtverletzung4. Nach der Rechtsprechung des BGH ist als Störer zur Unterlassung verpflichtet, wer ohne Täter oder Teilnehmer zu sein, in irgendeiner Weise willentlich und adäquat-kausal zur Beeinträchtigung des Rechtsguts beiträgt5.
1 LG Nürnberg-Fürth v. 8.5.2012 – 11 O 2608/12, Rz. 38, CR 2012, 541 – Zahnärztebewertung. Eine Subsidiarität der Störerhaftung besteht nur im Anwendungsbereich öffentlich-rechtlicher Grundsätze i.S. etwa von § 59 Abs. 4 Satz 1 RStV; vgl. auch § 839 Abs. 1 Satz 2 BGB. 2 Vgl. zur Annahme der Zulässigkeit anonymer Äußerungen wegen der Möglichkeit gerichtlichen Vorgehens gegen den technischen Vermittler OLG Hamburg v. 18.1.2012 – 5 U 51/11, Rz. 74, CR 2012, 183 = ITRB 2012, 101 – Anonyme Hotelbewertung. 3 Die Erwägungen des BGH zur mittelbaren Störerhaftung stehen im Einklang mit den Maßstäben, die der EuGH hinsichtlich der Verantwortlichkeit von Betreibern eines Internet-Marktplatzes für Markenrechtsverletzungen aufgestellt hat, vgl. EuGH v. 12.7.2011 – Rs. C-324/09, CR 2011, 597 = ITRB 2011, 198 – L’Oreal/eBay; BGH v. 17.8.2011 – I ZR 57/09, Rz. 22 ff., CR 2011, 817 = ITRB 2012, 3 – Stiftparfüm. 4 KG v. 15.7.2011 – 5 U 193/10, Rz. 12 f., CR 2011, 763 = ITRB 2011, 254 – holidaycheck.de; vgl. BGH v. 12.7.2007 – I ZR 18/04, Rz. 38, CR 2007, 728 = ITRB 2007, 269 – Jugendgefährdende Medien bei eBay. Der Verleger eines medizinischen Lehrwerkes haftet aus dem Gesichtspunkt einer Verkehrssicherungspflichtverletzung wegen eines zur Gesundheitsbeeinträchtigung führenden, vom Manuskript abweichenden Druckfehlers (Kommafehler bei Kochsalzkonzentrationsangabe) grundsätzlich nicht, wenn er die Korrektur des Textes dem Verfasser und Herausgeber überlässt und Fehler von der primären Zielgruppe erkannt werden können; dies gilt jedenfalls, soweit von den publizierten Informationen keine erhöhte Gefahr ausgeht, was bei baustatischen Arbeitsanleitungen oder der Dosierung gefährlicher Medikamente anders zu beurteilen sein kann BGH v. 7.7.1970 – VI ZR 223/68, NJW 1970, 1963 (1964) = GRUR 1971, 328 – CarterRobbins-Test. 5 Vgl. BGH v. 25.10.2011 – VI ZR 93/10, Rz. 21, CR 2012, 103 = ITRB 2012, 28 – Blog-Eintrag; BGH v. 11.3.2004 – I ZR 304/01, BGHZ 158, 236 (251) = CR 2004, 763 – Internet-Versteigerung I; BGH v. 22.7.2010 – I ZR 139/08, Rz. 45, CR 2011, 259 = ITRB 2011, 26 – Kinderhochstühle im Internet. Rçssel
961
§ 59
Haftung fr die Richtigkeit çffentlicher Verzeichnisse
aa) Zumutbare Prüfungspflichten 13
Im Gegensatz zum oben genannten Verbreiter einer eigenen oder zu eigen gemachten Information kommen dem technischen Vermittler Haftungsprivilegierungen zugute. Denn die Störerhaftung darf nicht über Gebühr auf Dritte erstreckt werden, welche die rechtswidrige Beeinträchtigung nicht selbst vorgenommen haben.
14
Sie setzt die Verletzung zumutbarer Prüfungspflichten voraus; deren Umfang bestimmt sich danach, ob und inwieweit dem als Störer in Anspruch Genommenen nach den jeweiligen Umständen des Einzelfalls unter Berücksichtigung seiner Funktion und Aufgabenstellung sowie mit Blick auf die Eigenverantwortung desjenigen, der die rechtswidrige Beeinträchtigung selbst unmittelbar vorgenommen hat, eine Prüfung zuzumuten ist1. bb) Grobe Rechtsverletzungen
15
Entsprechend presserechtlichen Prinzipien2 beschränkt sich die Haftung auf grobe, in tatsächlicher und rechtlicher Hinsicht unschwer zu erkennende Rechtsverletzungen.
16
Beruht die Rechtsverletzung auf der behaupteten Unwahrheit einer Tatsachenschilderung, so erfordert die Prüfung durch den Vermittler i.d.R. die Kontaktaufnahme mit Urheber und Betroffenem. cc) Keine Vorabprüfung
17
Zudem kommt im Fall einer vollständig automatisierten Speicherung und Verbreitung von Fremdinhalten dem technischen Vermittler zugute, dass seine Prüfungspflichten erst mit Bekanntwerden eines ersten Verletzungsfalls beginnen. Somit löst eine erste Beanstandung durch den Betroffenen noch keine Kostenerstattungsansprüche aus. Vorabprüfungspflichten bestehen auch vor dem Hintergrund des Verbots allgemeiner Überwachungspflichten nicht (§ 7 Abs. 2 Satz 1 TMG).
1 BGH v. 30.6.2009 – VI ZR 210/08, Rz. 18, CR 2009, 730 = ITRB 2010, 52 – Domainverpächter; BGH v. 11.3.2004 – I ZR 304/01, BGHZ 158, 236 (251) = CR 2004, 763 – Internet-Versteigerung I; BGH v. 30.4.2008 – I ZR 73/05, Rz. 50, CR 2008, 579 = ITRB 2008, 218 – Internet-Versteigerung III. S. zum Prüfungsverfahren unten unter V. Rz. 52 ff. 2 S. dazu BGH v. 15.10.1998 – I ZR 120/96, Rz. 25, CR 1999, 326 = CI 1999, 47 – Möbelklassiker; BGH v. 10.10.1996 – I ZR 129/94, Rz. 29, GRUR 1997, 313 – Architektenwettbewerb m.w.N.; vgl. auch zur Haftung der DENIC BGH v. 17.5.2001 – I ZR 251/99, Rz. 23, 31, CR 2001, 850 = ITRB 2001, 280 – ambiente.de.
962
Rçssel
§ 59
III. Persçnlichkeitsrechte berhrende Daten
dd) Vorsorge gegen Wiederholung der Verletzung Des Weiteren trifft den Vermittler im Rahmen seiner auf die Zukunft ge- 18 richteten Unterlassungshaftung zwar die Obliegenheit, Vorsorge gegen eine Wiederholung derselben oder einer kerngleichen Rechtsverletzung zu treffen1. Allerdings sind diesbezüglich einem Provider häufig nur automatisierte Filterverfahren mit ggf. manueller Nachkontrolle zumutbar2. Im Falle einer rechtsverletzenden Tatsachenschilderung oder Meinungsäußerung werden solche Verfahren angesichts der Komplexität einer Textanalyse regelmäßig ungeeignet sein3, so dass höchstens an eine Filterung anhand identischer oder teilidentischer Passagen zu denken wäre. Demgegenüber entfalten die für Schadensersatz und Strafbarkeit gelten- 19 den Privilegierungen der §§ 8 bis 10 TMG mangels Anwendbarkeit auf Beseitigungs- und Unterlassungsansprüche keine Wirkung (§ 7 Abs. 2 Satz 2 TMG). b) Schadensersatzhaftung Vorstehende Einschränkungen der mittelbaren Störerhaftung gelten in 20 entsprechender Weise für Unterlassungs- und Beseitigungsansprüche auf der Grundlage der vom I. Zivilsenat des BGH angenommenen wettbewerbsrechtlichen Verkehrspflichten des Betreibers einer Handelsplattform4. Deren schuldhafte Verletzung kann jedoch ebenso wie eine Mittäterschaft oder Teilnahme nach § 830 BGB Ansprüche auf Ersatz materiellen und immateriellen Schadens begründen, vor denen die Beschränkung des § 10 Satz 1 Nr. 1 Alt. 2 TMG nur im Falle einfacher Fahrlässigkeit bewahrt.
III. Persönlichkeitsrechte berührende Daten Wie ausgeführt können Verzeichnisse, Ranking und Produktbewertun- 21 gen die Persönlichkeitsrechte von Betroffenen tangieren. Maßgebliches
1 BGH v. 25.10.2011 – VI ZR 93/10, Rz. 23 f., CR 2012, 103 = ITRB 2012, 28 – BlogEintrag; BGH v. 19.4.2007 – I ZR 35/04, CR 2007, 523 = ITRB 2007, 246 – Internet-Versteigerung II; BGH v. 12.7.2007 – I ZR 18/04, Rz. 43, CR 2007, 728 = ITRB 2007, 269 – Jugendgefährdende Medien bei eBay. 2 Vgl. zu nicht leicht feststellbaren Urheberrechtsverstößen BGH v. 22.7.2010 – I ZR 139/08, Rz. 38 ff., CR 2011, 259 = ITRB 2011, 26 – Kinderhochstühle im Internet. 3 KG v. 15.7.2011 – 5 U 193/10, Rz. 37, 39, CR 2011, 763 = ITRB 2011, 254 – holidaycheck.de. 4 BGH v. 12.7.2007 – I ZR 18/04, Rz. 38, CR 2007, 728 = ITRB 2007, 269 – Jugendgefährdende Medien bei eBay. Rçssel
963
§ 59
Haftung fr die Richtigkeit çffentlicher Verzeichnisse
Abgrenzungskriterium für die Unterscheidung von Tatsachenbehauptungen und Meinungsäußerungen ist das Merkmal der Beweisbarkeit1. 1. Werturteile mit Tatsachenkern 22
Tatsachenbehauptungen, die mit Werturteilen vermengt sind, dürfen nicht isoliert betrachtet werden, sondern sind als vom Schutzbereich des Art. 5 Abs. 1 Satz 1 GG miterfasst zu behandeln2. Dies gilt nicht für erwiesen oder bewusst unwahre Tatsachenbehauptungen, die per se nichts zur Meinungsbildung beitragen können.
23
Eine Äußerung ist im Zusammenhang und unter Berücksichtigung ihrer zugleich mitgeteilten Umgebung zu sehen, in der sie gemacht wurde. Die Verwendung eines Fachbegriffs durch einen Laien führt eher zur Einordung einer Äußerung als Werturteil3. Andererseits vermag die umgangssprachliche, wenn auch fachlich falsche Formulierung durchaus bestimmte Tatumstände zu beschreiben4.
24
Die Feststellung einer gleichwohl von der Meinungsäußerung abtrennbaren Tatsachenbehauptung kann sich demgemäß als problematisch erweisen. So enthalten Bewertungen einer Zahnbehandlung „arbeitet nur nach Quantität als auf Qualität zu setzen“, „ganz schnell mit Kronen einsetzen, obwohl es vielleicht noch gar nicht nötig wäre“, „er setzt Keramik ein, deren Farbe nicht zur Farbe der Zähne der Patienten passt“ neben Werturteilen in Form allgemeiner Kritik keine hinreichend konkreten Angaben zur objektivierbaren Beurteilung unfachmännischer Handlungsweise5.
1 BVerfG v. 27.2.2003 – 1 BvR 1811/97, Rz. 8, NJW 2003, 1855 – Presseberichterstattung. 2 BGH v. 3.2.2009 – VI ZR 36/07, Rz. 11, CR 2009, 457 – Fraport; OLG Nürnberg v. 13.4.2010 – 3 U 2135/09, Rz. 24, K&R 2010, 522 – Erfahrungsbericht zu Partnervermittlung. 3 LG Hannover v. 13.5.2009 – 6 O 102/08, Rz. 18, K&R 2009, 666 – Negativbewertung in Produktbewertungsportal zur Verwendung der Formulierung „Betrug“. 4 LG Bonn v. 22.11.2009 – 1 O 360/09, Rz. 24, zur Beschreibung einer Markenverletzung durch die Bezeichnung „gefälschte Ware“. 5 A.A. Nürnberg-Fürth v. 8.5.2012 – 11 O 2608/12, Rz. 25 ff., CR 2012, 541 – Zahnärztebewertung; vgl. zu „Vorsicht!!!!!!!!!!! der Fuscher!!!! schlimmer kann man einen Menschen nicht verunstalten: seit dieser ‚Behandlung‘ kann ich nicht mehr anziehen, was ich will, ich muss genau überlegen womit ich was abdecken kann. Meine Arme, mein Po – alles mit Dellen überseht und hängt unvorstellbar hässlich ab. Was ich schon investiert habe in Korrekturoperationen, nichts hilft mehr! Seid vorsichtig! Seid gewarnt!!! Er ist furchtbar!“ LG Berlin v. 5.4.2012 – 27 O 455/11, Rz. 32, CR 2012, 755 = ITRB 2012, 273 – GoogleMaps.
964
Rçssel
§ 59
III. Persçnlichkeitsrechte berhrende Daten
2. Enger Begriff der Schmähkritik Im Falle negativer Werturteile ist bis zur Grenze der Schmähkritik oder 25 Formalbeleidigung dem Interesse des technischen Vermittlers und seiner Kunden dem Interesse an freier Kommunikation i.S.d. Art. 5 Abs. 1 GG Vorrang einzuräumen. Insofern führen Meinungsäußerungen grundsätzlich nicht zur Persönlichkeitsrechtsverletzung oder zu einem Eingriff in den eingerichteten und ausgeübten Gewerbebetrieb1. Solange ein Werturteil einen Sachbezug aufweist und nur polemisch oder 26 überspitzt formuliert ist, so dass die bloße Herabsetzung des Bewerteten nicht im Vordergrund steht, ist die Grenze zum eng auszulegenden Begriff der Schmähkritik nicht überschritten2. 3. Mangelhafte Bewertungsgrundlage Selbst unter Berücksichtigung der Tatsache, dass zugunsten einer kriti- 27 schen Meinungsäußerung ein weiter Wertungs- und Formulierungsspielraum besteht, kann sich etwa eine Verletzung des Unternehmerpersönlichkeitsrechts aus dem Umstand ergeben, dass die Meinungsäußerung entgegen der hervorgerufenen Erwartung des Adressatenkreises auf einer nicht sachgerechten Beurteilungsgrundlage beruht3. Denn der Bereich sachlich gerechtfertigter Kritik ist nicht zu verlassen4. So kann es sich auch verbieten, auf einer Online-Handelsplattform im 28 Rahmen der Geschäftsbewertung nachdrücklich vor dem Geschäftsgebaren des Verkäufers zu warnen, wenn diesem nicht die Gelegenheit eingeräumt wurde, seinen Fehler wiedergutzumachen5. 4. Unzulässige Sachverhaltsveröffentlichung Die Abwägung zwischen Meinungsfreiheit und Gewerbekritik kann ge- 29 rade bei Boykottaufrufen und Prangerwirkung einer Veröffentlichung dazu führen, dass sie unabhängig vom Wahrheitsgehalt der Tatsacheninformation nicht verbreitet werden darf6. 1 OLG Hamburg v. 18.1.2012 – 5 U 51/11, Rz. 73 f., CR 2012, 183 = ITRB 2012, 101 – Anonyme Hotelbewertung. 2 BVerfG v. 5.12.2008 – 1 BvR 1318/07, Rz. 12, NJW 2009, 749; so zur Bewertung in einer Verkaufsplattform „VORSICHT Nepperei! Lieferte nur 30 % der Beilagen! Keine Einsicht! Strafanzeige!“ LG Köln v. 10.7.2012 – 11 S 339/11; zu „Nie wieder! Finger weg! Besser etwas mehr woanders zahlen!“ LG Hamburg v. 27.10.2009 – 325 O 206/09 – Produktbewertungsportal. 3 So zur Restaurantkritik auf der Grundlage eines einzigen Testessens OLG Köln v. 3.5.2011 – 15 U 194/10, Rz. 8, ZUM 2012, 493; vgl. BGH v. 12.6.1997 – I ZR 36/95, Rz. 34, AfP 1997, 909 – Restaurantführer; OLG Köln v. 3.5.2011 – 15 U 194/10, Rz. 9, ZUM 2012, 493. 4 BGH v. 9.12.1975 – VI ZR 157/73, Rz. 30, NJW 1976, 620 – Skibindungen. 5 AG Bonn v. 9.1.2013 – 113 C 28/12, CR 2013, 263. 6 BGH v. 8.2.1994 – VI ZR 286/93, NJW 1994, 1281 – Bilanzanalyse. Rçssel
965
§ 59
Haftung fr die Richtigkeit çffentlicher Verzeichnisse
30
Die Weitergabe von die Kreditwürdigkeit beeinträchtigenden Umständen darf nicht an die breite Öffentlichkeit erfolgen, sondern nur im Einzelfall im Rahmen der Anbahnung eines Geschäftes mit einem konkreten Geschäftspartner, so wie dies von Auskunfteien bzw. Kreditschutzorganisationen praktiziert wird1.
31
Wird der Name eines Schuldners, Geburtstag, Anschrift- und E-MailAdresse in Form eines Schuldnerverzeichnisses im Internet veröffentlicht, so handelt es sich nicht um einen Beitrag zum geistigen Meinungskampf, sondern um die unbillige, zum Zweck der Druckausübung erfolgte Zurschaustellung von Personen, die verschuldet oder unverschuldet nicht bereit oder in der Lage sind, ihren Zahlungspflichten nachzukommen. Ebenso wenig handelt es sich um die wertfreie Weitergabe von Fakten. Damit ist ein ungerechtfertigter Eingriff in das allgemeine Persönlichkeitsrecht bzw. das Recht am eingerichteten und ausgeübten Gewerbebetrieb verbunden.
32
Unerheblich wäre hierbei, wenn der Zugang zu den Daten durch PLZ und Aktenzeichen eingeschränkt, das Bestehen der Forderung nicht bestritten oder dem Betroffenen die Möglichkeit zur Stellungnahme eingeräumt worden wäre2.
IV. Berufsbezogene Bewertung 33
Berufsbewertungsportale existieren für Freiberufler (z.B. Ärzte, Rechtsanwälte), aber teilweise auch für Angestellte und Beamte (Lehrer, Professoren). Eine Offenbarung von Umständen, die die berufliche Tätigkeit betreffen, tangiert das Recht auf informationelle Selbstbestimmung aus Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG.
34
Anspruchsgrundlage für die Löschung unzulässig gespeicherter Bewertungen ist § 35 Abs. 2 Satz 2 Nr. 1 BDSG und für die Unterlassung einer unrechtmäßigen Datenübermittlung §§ 823 Abs. 2, 1004 BGB analog i.V.m. § 4 Abs. 1 BDSG. 1. Datenschutz
35
Die Speicherung der Daten zur Identifizierung des Betroffenen, wie Namen und Tätigkeitsbereich, sind gem. § 29 Abs. 1 Nr. 2 BDSG zulässig, soweit sie aus allgemein zugänglichen Quellen, wie z.B. der Homepage der Tätigkeitsstelle oder Branchenverzeichnissen, entnommen werden
1 BGH v. 28.11.1952 – I ZR 21/52, BGHZ 8, 142 – langsamer Zahler. 2 LG Koblenz v. 17.4.2008 – 1 O 484/07, MMR 2009, 144 – schuldnerverzeichnis.de; OLG Rostock v. 21.3.2001 – 2 U 55/00, CR 2001, 618 = ITRB 2001, 208 – schuldnerspiegel.de.
966
Rçssel
§ 59
IV. Berufsbezogene Bewertung
und nicht ausnahmsweise überwiegende schutzwürdige Interessen des Betroffenen offensichtlich entgegenstehen1. Personenbezogene Bewertungen dürfen nach § 29 Abs. 1 Nr. 1 BDSG ge- 36 speichert werden, sofern nicht von entgegenstehenden Interessen auszugehen ist. Entsprechendes gilt für die Datenübermittlung an die abfragenden Nutzer nach § 29 Abs. 2 Nr. 2 BDSG. Die weitere Voraussetzung der Übermittlung nach dem Wortlaut des § 29 Abs. 2 Nr. 1 BDSG, wonach der Empfänger sein berechtigtes Interesse an der Kenntnis glaubhaft darzulegen hat, bezieht sich insbesondere auf den Adresshandel und Wirtschaftsauskunfteien und entfällt bei anonymen Berufsbewertungsportalen nach verfassungskonformer Auslegung vor dem Hintergrund der Kommunikationsfreiheit des Portalbetreibers aus Art. 5 Abs. 1 GG2. Da die gespeicherten Daten vom Portalbetreiber nur für Zwecke interes- 37 sierter Dritter zur Verfügung gestellt werden und kein eigener Geschäftszweck verfolgt wird, ist § 28 BDSG nicht einschlägig3. Dies ist auch dann der Fall, wenn der Betreiber auf seinem Portal Werbeanzeigen platziert4. 2. Interessenabwägung Die Beurteilung der Zulässigkeit der Speicherung von Werturteilen ver- 38 langt mithin wegen des wertausfüllungsbedürftigen Begriffs des „berechtigten Interesses“ eine Abwägung zwischen dem Recht auf informationelle Selbstbestimmung des Betroffenen einerseits und der Kommunikationsfreiheit des Portalanbieters andererseits, der das Informationsinteresse Dritter befriedigt5.
1 LG Hamburg v. 20.9.2010 – 325 O 111/10, Rz. 33, MMR 2011, 488 – Ärztebewertung. 2 BGH v. 23.9.2009 – VI ZR 196/08, Rz. 42, CR 2009, 593 = ITRB 2009, 195 – spickmich.de; OLG Düsseldorf v. 6.10.2010 – I-15 U 80/08, Rz. 63 – Lehrerbewertung; OLG Frankfurt v. 8.3.2012 – 16 U 125/11, Rz. 25, CR 2012, 399 = ITRB 2012, 151 – Ärztebewertung; Dix, DuD 2006, 330 (331); Schilde-Stenzel, RDV 2006, 104 (108). 3 BGH v. 23.9.2009 – VI ZR 196/08, Rz. 27, CR 2009, 593 = ITRB 2009, 195 – spickmich.de; OLG Düsseldorf v. 6.10.2010 – I-15 U 80/08, Rz. 49 – Lehrerbewertung; a.A. LG Duisburg v. 18.4.2008 – 10 O 350/07, CR 2008, 540 – spickmich.de; LG Berlin v. 31.5.2007 – 27 S 2/07, CR 2007, 742 = ITRB 2007, 201 – meinprof.de. 4 OLG Frankfurt v. 8.3.2012 – 16 U 125/11, Rz. 21, CR 2012, 399 = ITRB 2012, 151 – Ärztebewertung. 5 BGH v. 23.9.2009 – VI ZR 196/08, Rz. 27, CR 2009, 593 = ITRB 2009, 195 – spickmich.de; nachgehend BVerfG, Nichtannahmebeschl. v. 16.8.2010 – 1 BvR 1750/09, DVP 2011, 301, spickmich.de; vgl. zur Auskunft der Schulbehörde gem. § 9a RStV bzgl. durchschnittlichen Abschlussnoten, Abbrecherquoten, Durchfallquoten und den Unterrichtsausfall einzelner Gymnasien VG Stuttgart v. 22.4.2010 – 1 K 943/09, Rz. 44 ff., AfP 2010, 308, Aufbau einer Schuldatenbank. Rçssel
967
§ 59 39
Haftung fr die Richtigkeit çffentlicher Verzeichnisse
Auf Seiten des Bewertenden kann zudem im Falle einer drohenden Gefährdung der freiberuflichen Existenz die Berufsfreiheit1 oder eine Beeinträchtigung des Betriebsfriedens zu berücksichtigen sein2. a) Berufliche Entfaltung in der Sozialsphäre
40
Die Berufstätigkeit ist der Sozialsphäre zuzuordnen, die einem geringeren Schutzniveau unterliegt als die Intim- und Geheimsphäre des Betroffenen3.
41
Äußerungen zu den Erscheinungsformen der Persönlichkeit, die sich etwa im Rahmen der Berufsausübung von vornherein im Kontakt mit der Umwelt entfalten, sind nur bei schwerwiegenden Auswirkungen auf das Persönlichkeitsrecht unzulässig, wie etwa bei Stigmatisierung, sozialer Ausgrenzung oder Prangerwirkung4. Da die Nutzung entsprechender Berufsbewertungsportale heutzutage üblich ist, kann mittlerweile nicht mehr von vornherein von etwas Anprangerndem ausgegangen werden. aa) Fachliche Kompetenz
42
Der Sozialsphäre zuzuordnen sind Äußerungen etwa zur beruflichen Motivation, Fachkompetenz, Vorbereitung, Wissensvermittlung, Prüfungsfähigkeit und Beurteilungsfähigkeit5. Soweit entsprechende Bewertungen einen gewissen Tatsachengehalt aufweisen, der untrennbar mit den Elementen der Stellungnahme, des Dafürhaltens oder Meinens vermengt ist, führt er nicht aus dem Schutzbereich des Art. 5 Abs. 1 Satz 1 GG hinaus6.
43
Wenn den bewertenden Personen in der Regel selbst die fachliche Kompetenz zur Beurteilung der objektiven Richtigkeit der beruflichen Tätigkeit des Bewerteten fehlt, verstärkt dies eher die Annahme von Werturteilen7. 1 OLG Hamm v. 3.8.2011 – I-3 U 196/10, Rz. 9, CR 2012, 128 = ITRB 2011, 253 – Therapeutenbewertung. 2 So zu Art. 7 Abs. 1 GG OLG Düsseldorf v. 6.10.2010 – I-15 U 80/08, Rz. 67 – Lehrerbewertung; VGH Bay. v. 10.3.2010 – 7 B 09.1906, Rz. 36, CR 2010, 616 = ITRB 2010, 200 – Thread für Lehrer-Pranger; Haensle/Reichold, DVBl. 2009, 1329 (1332); Graef, ZUM 2009, 759 (761); Görisch, DVBl. 2010, 155 (161 ff.); a.A. BGH v. 23.9.2009 – VI ZR 196/08, Rz. 44, CR 2009, 593 = ITRB 2009, 195 – spickmich.de. 3 Vgl. BVerfG v. 15.12.1983 – 1 BvR 209/83, BVerfGE 65, 1 (41 ff.) – Volkszählung. 4 BGH v. 23.9.2009 – VI ZR 196/08, Rz. 31, 34, CR 2009, 593 = ITRB 2009, 195 – spickmich.de. 5 BGH v. 23.9.2009 – VI ZR 196/08, Rz. 33, CR 2009, 593 = ITRB 2009, 195 – spickmich.de. 6 BVerfG v. 8.5.2007 – 1 BvR 193/05, NJW 2008, 358 (359). 7 OLG Hamm v. 3.8.2011 – I-3 U 196/10, Rz. 6, CR 2012, 128 = ITRB 2011, 253 – Therapeutenbewertung; OLG Frankfurt v. 8.3.2012 – 16 U 125/11, Rz. 33, CR 2012, 399 = ITRB 2012, 151 – Ärztebewertung.
968
Rçssel
§ 59
IV. Berufsbezogene Bewertung
bb) Charakterliche Eignung Aber auch persönlichere Einschätzungen zu Schlagfertigkeit, Beliebtheit, 44 Menschlichkeit und vorbildlichem Auftreten können der Sozialsphäre zuzuordnen sein; denn der berufliche Kontakt wird immer auch von einer charakterlichen Komponente mitbestimmt, so dass angesichts ihrer Erscheinung im beruflichen Zusammenhang menschliche Stärken und Schwächen nicht reine Privatsache sind1. Dies gilt jedenfalls für Berufsgruppen, die, wie etwa Lehrer oder Ärzte, eine stark personenbezogene Dienstleistung erbringen. Zu vermeiden sind Bewertungsvorgaben, denen nicht hinreichend deut- 45 lich zu entnehmen ist, ob sie sich etwa im Sinne umgangssprachlicher Ausdrucksformen auf berufliche Kompetenz oder in unzulässiger Weise auf die Privatsphäre beziehen2. b) Reichweite der eröffneten Sozialsphäre Die Tatsache, dass Äußerungen zur Persönlichkeit des Betroffenen, wie 46 sie sich in der Sozialsphäre im Rahmen seiner beruflichen Tätigkeit entfaltet, grundsätzlich zulässig sind, bedeutet nicht, dass er hinnehmen muss, in eine größere als die herausgeforderte berufliche Öffentlichkeit gedrängt zu werden3. Arbeitnehmer müssen sich deshalb nicht unbedingt im Hinblick auf ihre Tätigkeit für ihren Arbeitgeber einer öffentlichen Bewertung im Internet stellen4. Bei einer stark vom persönlichen Kontakt geprägten Tätigkeit mit einer 47 großen Zahl von Personen, wie bei Lehrern oder Professoren, sind Bewertungen jedenfalls dann zulässig, sofern deren Recherche eine Registrierung voraussetzt, bei der der Name der (Hoch-)Schule, des Schulortes, eines Benutzernamens und einer für die Passwortzusendung erforderlichen E-Mail-Adresse anzugeben sind5. Unschädlich ist dabei, wenn die Registrierung anonym erfolgt und Missbrauchsmöglichkeiten, wie Mehrfachregistrierung oder die Registrierung von Personen außerhalb des berufli-
1 BGH v. 23.9.2009 – VI ZR 196/08, Rz. 33, CR 2009, 593 = ITRB 2009, 195 – spickmich.de; OLG Düsseldorf v. 6.10.2010 – I-15 U 80/08, Rz. 52 – Lehrerbewertung; Gounalakis/Klein, NJW 2010, 566 (569); a.A. Graef, ZUM 2009, 759 (760); Haensle/Reichold, DVBl. 2009, 1329 (1332). 2 Vgl. zur Formulierung „sexy“ OLG Düsseldorf v. 6.10.2010 – I-15 U 80/08 – Lehrerbewertung, Rz. 52. 3 BGH v. 7.12.2004 – VI ZR 308/03, BGHZ 161, 266 (269 f.); BGH v. 20.1.1981 – VI ZR 163/79, NJW 1981, 1366 – Der Aufmacher II. 4 Gomille, ZUM 2009, 815 (820); Ladeur, JZ 2009, 966 (967). 5 OLG Düsseldorf v. 6.10.2010 – I-15 U 80/08, Rz. 56 – Lehrerbewertung; vgl. zur Unsicherheit der Betreiber bei der Bewertung von angestellten Klinikärzten LG Hamburg v. 20.9.2010 – 325 O 111/10, Rz. 32, MMR 2011, 488 – Ärztebewertung. Rçssel
969
§ 59
Haftung fr die Richtigkeit çffentlicher Verzeichnisse
chen Betätigungskreises des Betroffenen, nicht ausgeschlossen werden können1. 48
Freiberufler bieten ihre Leistungen wie Unternehmer auf dem freien Markt an und müssen damit rechnen, dass jedermann sich mit ihrer Leistung auseinandersetzt, so dass eine besondere Beschränkung der Recherchemöglichkeit nicht erforderlich ist2. Grundsätzlich können Form und Umstände einer Meinungskundgabe so gewählt werden, dass damit die größte Verbreitung oder stärkste Wirkung erzielt wird, sofern damit verbundene Beeinträchtigungen der Rechte Dritter verhältnismäßig sind3. c) Abwägungsrelevante Maßnahmen
49
Bei der Interessenabwägung ist zugunsten der Kommunikationsfreiheit des technischen Vermittlers und seiner Kunden zu berücksichtigen, wenn er eine Löschung einer Personenbewertung im Falle des Ausbleibens einer Neubewertung innerhalb von zwölf Monaten vornimmt4 oder die Recherche von einer Passwortvergabe abhängig macht5.
50
Gleichfalls zu berücksichtigen ist, wenn eine freie Formulierung der Bewertung durch Vorgabe von Bewertungskriterien und einem Notensystem zur Verringerung der Aussagekraft der Bewertung unterbunden wird oder durch technische Maßnahmen die Beanstandung von Rechtsverletzungen erleichtert wird6.
51
Positiv wirkt sich aus, wenn der technische Vermittler dem Betroffenen die Gelegenheit zur Gegendarstellung bietet7. Ins Gewicht fällt auch, wenn dem Betroffenen die Möglichkeit eines vorherigen „Einspruchs“ eingeräumt wird8.
1 BGH v. 23.9.2009 – VI ZR 196/08, Rz. 37, CR 2009, 593 = ITRB 2009, 195 – spickmich.de. 2 So bzgl. Registrierung OLG Hamm v. 3.8.2011 – I-3 U 196/10, Rz. 8, CR 2012, 128 = ITRB 2011, 253 – Therapeutenbewertung; auch bzgl. einer Recherche über allgemeine Suchmaschinen OLG Frankfurt v. 8.3.2012 – 16 U 125/11, Rz. 27 f., CR 2012, 399 = ITRB 2012, 151 – Ärztebewertung; Schröder, VerwArch 2010, 205 (223). 3 BGH v. 23.9.2009 – VI ZR 196/08, Rz. 36, CR 2009, 593 = ITRB 2009, 195 – spickmich.de. 4 BGH v. 23.9.2009 – VI ZR 196/08, Rz. 37, CR 2009, 593 = ITRB 2009, 195 – spickmich.de. 5 OLG Frankfurt v. 8.3.2012 – 16 U 125/11, Rz. 31, CR 2012, 399 = ITRB 2012, 151 – Ärztebewertung. 6 BGH v. 23.9.2009 – VI ZR 196/08, Rz. 39, CR 2009, 593 = ITRB 2009, 195 – spickmich.de. 7 OLG Hamburg v. 18.1.2012 – 5 U 51/11, Rz. 73, CR 2012, 183 = ITRB 2012, 101 – Anonyme Hotelbewertung. 8 OLG Frankfurt v. 8.3.2012 – 16 U 125/11, Rz. 31, CR 2012, 399 = ITRB 2012, 151 – Ärztebewertung.
970
Rçssel
§ 59
V. Verfahren zur Prfung der Rechtsverletzung
V. Verfahren zur Prüfung der Rechtsverletzung Erst nach Bekanntwerden der Rechtsverletzung besteht die Verpflichtung 52 zur Überprüfung fremder Äußerungen und – nach Ablauf einer angemessenen Prüfungsfrist – ggf. zu deren Beseitigung. Bei automatisierten Verfahren besteht i.d.R. keine Verpflichtung zur Vor- 53 abprüfung. Dies gilt insbesondere auch für Bewertungsportale, selbst wenn eine Substantiierung durch Fotos oder eine Stellungnahme des Betroffenen technisch möglich wäre1. 1. Risiko einer manuellen Freigabe Wenn stattdessen ein händischer Freigabeprozess vorgesehen ist, besteht 54 die Gefahr, dass der Portalbetreiber nicht in den Genuss der besonderen Beschränkung der Haftung des Providers als mittelbarem Störer für automatisierte Prozesse, nach welcher Prüfungspflichten erst mit Bekanntwerden des ersten Verletzungsfalls eintreten, gelangt, sondern unter dem Aspekt des Zueigenmachens fremder Äußerungen so behandelt wird, wie deren Urheber2. 2. Konkrete Beanstandung Prüfungspflichten werden nur dann ausgelöst, wenn die Beanstandung 55 durch den Betroffenen so konkret ist, dass der Diensteanbieter unschwer, also ohne eingehende rechtliche oder tatsächliche Überprüfung, den Rechtsverstoß feststellen kann. Dabei hängt das Ausmaß des insoweit vom technischen Vermittler zu verlangenden Prüfungsaufwandes von den Umständen des Einzelfalls ab, insbesondere vom Gewicht der angezeigten Rechtsverletzungen auf der einen und den Erkenntnismöglichkeiten des technischen Vermittlers auf der anderen Seite3.
1 KG v. 15.7.2011 – 5 U 193/10, Rz. 16, 22, 53 f., CR 2011, 763 = ITRB 2011, 254 – holidaycheck.de, mit Verweis auf § 7 Abs. 2 Satz 1 TMG; KG, v. 21.10.2010 – 52 O 229/10, unter Hinweis auf abschreckenden Effekt und zeitlichen Aufwand LG Berlin v. 5.4.2012 – 27 O 455/11, Rz. 32, CR 2012, 755 = ITRB 2012, 273 – Google-Maps. 2 So bei Freischaltung von Hotelbewertungen und Verdichtung der Nutzerbewertungen zu Durchschnittsnoten, Weiterempfehlungsraten und Trends, ergänzt um die Empfehlung anderer benachbarter Beherbergungsbetriebe LG Hamburg, v. 5.9.2011 – 327 O 607/10, Rz. 59, 61, WRP 2012, 94 – Reisebewertungsportal; zur Freischaltung einer Verkaufsanzeige „Porsche … wegen privater Insolvenz sofort zum Festpreis abzugeben“ mit Eignung zur schweren Persönlichkeitsrechtsverletzung LG Köln v. 26.11.2003 – 28 O 706/02, Rz. 29, CR 2004, 304 = ITRB 2004, 52 – Persönlichkeitsrechtsverletzende Verkaufsanzeige. 3 BGH v. 25.10.2011 – VI ZR 93/10, Rz. 26, CR 2012, 103 = ITRB 2012, 28 – BlogEintrag; vgl. zu Markenverletzungen BGH v. 17.8.2011 – I ZR 57/09, Rz. 31. f., CR 2011, 817 = ITRB 2012, 3 – Stiftparfüm. Rçssel
971
§ 59 56
Haftung fr die Richtigkeit çffentlicher Verzeichnisse
Es reicht für die Notwendigkeit weiterer Prüfung nicht aus, den „verleumderischen“ Charakter einer Äußerung eidesstattlich zu versichern, selbst wenn dadurch zum Ausdruck kommt, dass im beanstandeten Beitrag irgendwelche unbenannten unwahren Tatsachen i.S.d. § 187 StGB enthalten waren1. Auch wenn den Äußernden und damit auch den technischen Vermittler2 gem. § 823 Abs. 2 BGB i.V.m. § 186 Halbs. 4 StGB bzw. gem. § 4 Nr. 8 UWG die Beweislast für die Wahrheit der Tatsachenäußerung trifft, ist der Betroffene zunächst zur substantiierten Stellungnahme verpflichtet3. 3. Äußere Sachverhaltsaufklärung
57
Bei einer durch die Unwahrheit von Tatsachenbehauptungen begründeten Rechtsverletzung lässt sich vonseiten des Betreibers einer Bewertungsplattform oder eines Internetforums eine Prüfung nur nach weiterer Eruierung des Sachverhalts vornehmen4.
58
Regelmäßig ist zunächst die Beanstandung des Betroffenen an den Urheber der Äußerung zur Stellungnahme weiterzuleiten. Bleibt eine Stellungnahme innerhalb einer nach den Umständen angemessenen Frist aus, ist von der Berechtigung der Beanstandung auszugehen und der beanstandete Eintrag zu löschen. Entsprechendes gilt, wenn der Vermittler von vornherein auf die weitere Eruierung des Sachverhalts verzichtet5 oder aus technischen Gründen eine Kontaktaufnahme mit dem anonymen Urheber ausscheidet.
59
Stellt der Urheber die Berechtigung der Beanstandung substantiiert in Abrede und ergeben sich deshalb berechtigte Zweifel, ist der technische Vermittler grundsätzlich gehalten, dem Betroffenen dies mitzuteilen; er hat gegebenenfalls Nachweise zu verlangen, aus denen sich die behauptete Rechtsverletzung ergibt6. Bleibt eine Stellungnahme des Betroffenen
1 A.A. LG Berlin v. 5.4.2012 – 27 O 455/11, Rz. 42, CR 2012, 755 = ITRB 2012, 273 – Google-Maps. 2 LG Hamburg v. 5.9.2011 – 327 O 607/10, Rz. 38, WRP 2012, 94 – Reisebewertungsportal. 3 OLG Hamburg v. 2.3.2010 – 7 U 70/09, Rz. 99, ITRB 2010, 203 – Persönlichkeitsrechtsverletzung durch Snippets. 4 BGH v. 25.10.2011 – VI ZR 93/10, Rz. 25 f., CR 2012, 103 = ITRB 2012, 28 – BlogEintrag; LG Nürnberg-Fürth v. 8.5.2012 – 11 O 2608/12, Rz. 34, CR 2012, 541 – Zahnärztebewertung. 5 LG Berlin v. 5.4.2012 – 27 O 455/11, Rz. 42 ff., CR 2012, 755 = ITRB 2012, 273 – Google-Maps; verweigert der technische Vermittler über einen längeren Zeitraum trotz Aufforderung die Prüfung bzw. Beseitigung, so kann sich seine mittelbare Störerhaftung zu einer deliktischen Beihilfe entwickeln, so im Falle des Sharehosting OLG Hamburg v. 13.5.2013 – 5 W 41/13, ITRB 2013, 176. 6 Vgl. zur erforderlichen Vorlage einer teilweise geschwärzten Honorarrechnung LG Nürnberg-Fürth v. 8.5.2012 – 11 O 2608/12, Rz. 36, CR 2012, 541 – Zahnärztebewertung.
972
Rçssel
§ 59
VI. Anonyme Verbreitung
aus oder legt er gegebenenfalls erforderliche Nachweise nicht vor, ist eine weitere Prüfung nicht veranlasst. Ergibt sich aus der Stellungnahme des Betroffenen oder den vorgelegten 60 Belegen auch unter Berücksichtigung einer etwaigen Erklärung des Äußernden eine rechtswidrige Verletzung des Persönlichkeitsrechts, ist der beanstandete Eintrag zu löschen.
VI. Anonyme Verbreitung Dass Beurteilungen auf Berufs- oder Produktbewertungsportalen häufig 61 in anonymer Form erfolgen, steht deren Zulässigkeit nicht durchgreifend im Wege. 1. Meinungsäußerungsfreiheit Dies ergibt sich nicht allein aus § 13 Abs. 6 TMG, der eine Verpflichtung 62 zum Angebot anonymer Nutzung von Telemedien unter den Vorbehalt der Zumutbarkeit stellt. Entscheidend ist, dass von der Meinungsäußerungsfreiheit wegen der Gefahr der Selbstzensur auch Äußerungen geschützt werden, die sich nicht einem bestimmten Individuum zuordnen lassen können1. In Fällen, in denen der Beurteilende sich in einer strukturell schwäche- 63 ren sozialen Position befindet als der Beurteilte, ermöglicht Anonymität die unbefangene Meinungskundgabe ohne Sorge vor Repressalien durch den Beurteilten bei negativer Bewertung oder andererseits durch die Gruppe der Beurteilenden bei positiver Bewertung2. 2. Steigerung des Missbrauchsrisikos Andererseits darf nicht vernachlässigt werden, dass mit anonymen Nut- 64 zungsformen nicht nur ein möglicher Missbrauch durch Mehrfachregistrierungen, durch adressatenkreisfremde Personen oder durch den Bewerteten3 selbst verbunden ist, sondern insbesondere ein gesteigertes Risiko
1 BGH v. 23.9.2009 – VI ZR 196/08, Rz. 38, CR 2009, 593 = ITRB 2009, 195 – spickmich.de; OLG Hamm v. 3.8.2011 – I-3 U 196/10, Rz. 4, CR 2012, 128 = ITRB 2011, 253 – Therapeutenbewertung; OLG Hamburg v. 18.1.2012 – 5 U 51/11, Rz. 74, CR 2012, 183 = ITRB 2012, 101 – Anonyme Hotelbewertung; a.A. BAG v. 3.6.2003 – 2 AZR 235/02, NZA 2004, 427; Strömer/Grootz, K&R 2006, 553 (556); Weber, Das Recht auf Informationszugang, S. 210 ff., 303; vgl. Art. 5 Abs. 4 der brasilianischen Verfassung. 2 OLG Düsseldorf v. 6.10.2010 – I-15 U 80/08, Rz. 57 – Lehrerbewertung. 3 Vgl. OLG Frankfurt v. 8.3.2012 – 16 U 125/11, Rz. 32, CR 2012, 399 = ITRB 2012, 151 – Ärztebewertung. Rçssel
973
§ 59
Haftung fr die Richtigkeit çffentlicher Verzeichnisse
von Rechtsverletzungen durch Nutzer angesichts der faktischen Nichtverfolgbarkeit ihnen gegenüber1. 65
Im Falle einer Rechtsverletzung muss dem Verletzten zumindest die Möglichkeit offen stehen, den technischen Vermittler der anonymen Informationen auf Beseitigung und Unterlassung in Anspruch zu nehmen. Dies setzt selbstverständlich voraus, dass die Person des Vermittlers stets identifizierbar seinen Verpflichtungen aus der Anbieterkennzeichnung nachkommt, um ggf. eine schnelle außergerichtliche oder gerichtliche Beseitigung der Rechtsverletzung zu erreichen2. Nach einer neuen Entscheidung des I. Zivilsenates kann zudem die Erfüllung der Verpflichtung gem. § 13 Abs. 6 TMG zur Ermöglichung weitestzumutbarer Anonymität durchaus mit einer Erweiterung der Prüfungspflichten des Vermittlers verbunden sein3. 3. Drittauskunft
66
Als Mittelweg käme schließlich in Betracht, dem Beurteilenden Anonymität nur gegenüber der Öffentlichkeit nicht aber auch gegenüber dem Betreiber des Bewertungsportals zuzubilligen. Aus Verkehrssicherungspflichten des Betreibers könnte eine Verpflichtung zur Identifikation der Nutzer folgen4.
67
Für Verletzungen des allgemeinen Persönlichkeitsrechts besteht allerdings anders als für den Bereich des Strafrechts oder der gewerblichen Schutzrechte und des Urheberrechts keine bereichsspezifische datenschutzrechtliche Öffnungsklausel i.S.v. §§ 15 Abs. 5 Satz 3, 14 Abs. 2 TMG zur Befriedigung eines Auskunftsanspruchs analog § 809 BGB oder aus § 242 BGB hinsichtlich Bestands- oder Nutzerdaten5.
VII. Missbräuchliche Einflussnahme auf Rankings 68
Die Anonymität von Bewertungsplattformen steigert nicht nur das Risiko unberechtigter und überzogener Kritik der Kunden des Bewerteten
1 VGH Bay. v. 10.3.2010 – 7 B 09.1906, Rz. 33, CR 2010, 616 = ITRB 2010, 200 – Thread für Lehrer-Pranger; OLG Frankfurt v. 8.3.2012 – 16 U 125/11, Rz. 30, CR 2012, 399 = ITRB 2012, 151 – Ärztebewertung. 2 Vgl. §§ 5, 6 TMG. 3 Zum Sharehosting BGH v. 15.8.2013 – I ZR 80/12, Rz. 36 ff., 40, ITRB 2013, 222 – File-Hosting-Dienst. 4 Ablehnend OLG Hamm v. 3.8.2011 – I-3 U 196/10, Rz. 4, CR 2012, 128 = ITRB 2011, 253 – Therapeutenbewertung. 5 So AG München v. 3.2.2011 – 161 C 24062/10, Rz. 14 f., MMR 2011, 417; a.A. wegen Rückgriffs auf § 28 Abs. 2 Nr. 2 lit. a BDSG LG Hamburg v. 7.7.2004 – 308 O 264/04, CR 2005, 136 (140); zu § 5 Satz 2 TDDSG LG Hamburg v. 22.6.2004 – 312 O 1052/03, CR 2005, 66.
974
Rçssel
§ 59
VII. Missbruchliche Einflussnahme auf Rankings
oder einer schädigenden Einflussnahme seiner Wettbewerber auf das Beliebtheits-Ranking solcher Plattformen. Auch der Bewertete selbst mag in Versuchung geraten, seine Platzierung 69 bzw. die seiner Waren oder Dienstleistungen künstlich zu verbessern. 1. Beeinflussung von Bewertungsplattformen Erkauft sich z.B. der Unternehmer einen vorderen Listenplatz in einem 70 Ranking, kommt eine irreführende Werbung gem. §§ 3, 5 Abs. 1 Nr. 1 UWG in Betracht, denn der Verbraucher erwartet eine solche Vorgehensweise nicht1. Dies gilt aber auch für subtilere Methoden, bei denen das Bewertungs- 71 system zwar alle Teilnehmer gleich behandelt, aber insgesamt keine sachgerechte Beurteilungsgrundlage bietet, indem es etwa positive Bewertungen gegenüber negativen bevorzugt und dadurch ein übertrieben günstiges Bild präsentiert2. 2. Einwirkung auf Suchmaschinen Die Dienstleistungen der Suchmaschinenoptimierer (SEO) haben Traditi- 72 on und sind gefragt. Dabei ist allerdings nicht immer leicht festzustellen, wo die Grenze zu einer unzulässigen Manipulation der weitgehend geheim gehaltenen Ranking-Algorithmen der Suchmaschinen beginnt. Werden bspw. in Textbeiträgen beliebiger Blogs massenhaft Backlinks 73 platziert, die auf die zu fördernde Website verweisen, um deren Platzierung in den Trefferlisten der Suchmaschinen unter Vortäuschung entsprechender Beliebtheit und Relevanz zu verbessern, wäre bereits an einen unlauteren Kundenfang zu denken3. Verfasst der SEO aber zur Ausschmückung seiner Backlinks fiktive Textbeiträge, deren Inhalt scheinbar Umstände aus der Privatsphäre erkennbar bestimmter Personen wiedergibt, so wird das Persönlichkeitsrecht der Betroffenen verletzt4.
1 LG Berlin v. 25.8.2011 – 16 O 418/11, Rz. 4, K&R 2011, 816 – booking.com. 2 OLG Düsseldorf v. 19.2.2013 – I-20 U 55/12, Rz. 24 f., CR 2013, 329 = ITRB 2013, 127 – Kundenbewertungen, zur nachrangigen Berücksichtigung kritischer Bewertungen durch bis zu fünftägige Wartefrist, abschreckendem Schlichtungsverfahren sowie nicht auf die bloße rechtswidrige Formulierung beschränkter Bewertungslöschung. 3 OLG Düsseldorf v. 17.2.2004 – I-20 U 104/03, Rz. 32, CR 2004, 936 = ITRB 2004, 102 – Meta-Tags III, Unlauterkeit ablehnend aber bei der bloßen Verwendung von fremden Kennzeichen in Metatags. 4 LG Amberg v. 22.8.2012 – 14 O 417/12, CR 2012, 825 = ITRB 2012, 247. Rçssel
975
§ 59 74
Haftung fr die Richtigkeit çffentlicher Verzeichnisse
Die Manipulation durch Einsatz ggf. sachwidriger Meta-Tags führt aber in der Regel noch nicht zu einem Wettbewerbsverstoß, weil dessen Schwelle hier hoch anzusetzen ist und voraussetzt, dass der betroffene Wettbewerber aus der Trefferliste weitgehend verdrängt wird1. Werden allerdings auf der Homepage zur Beeinflussung der Suchmaschinen fremde Marken oder Unternehmenskennzeichen verwendet, liegt eine Kennzeichenrechtsverletzung regelmäßig vor2.
1 OLG Köln v. 23.2.2011 – I-6 U 178/10, CR 2011, 538 = ITRB 2011, 180; a.A. zur Irreführung gem. § 5 UWG LG Mannheim v. 1.8.1997 – 7 O 291/97, CR 1998, 306 – ARWIS; OLG Hamm v. 18.6.2009 – I-4 U 53/09, 4 U 53/09, CR 2010, 196; LG Essen v. 26.5.2004 – 44 O 166/03, ITRB 2004, 266 – Meta-Tag-Kompendium; Belästigung durch sachfremde Gattungsbegriffe LG Düsseldorf v. 27.3.2002 – 12 O 48/02, CR 2002, 610. 2 Zu Meta-Tags BGH v. 18.5.2006 – I ZR 183/03, CR 2007, 103 – Impuls; BGH v. 4.2.2010 – I ZR 51/08, CR 2010, 602 – POWER BALL; vgl. zu Schrift in Hintergrundfarbe BGH v. 8.2.2007 – I ZR 77/04, CR 2007, 589 – AIDOL.
976
Rçssel
Teil 10 Ordnungsmäßigkeit und Sicherheit von Datenverarbeitung Erster Abschnitt Ordnungsmäßigkeit § 60 Aufbewahrung und Archivierung von Daten Rz. I. Gründe für die Aufbewahrung . . . 1. Prozesssicherung und Kontrolle . 2. Beweisgrund . . . . . . . . . . . . . . . . . II. Gesetzliche Aufbewahrungspflichten nach dem Handelsgesetzbuch und der Abgabenordnung . . . . . . . . . . . . . . . . . . . . . 1. Persönlicher Anwendungsbereich . . . . . . . . . . . . . . . . . . . . . . a) Nach dem Handelsrecht. . . . . . b) Nach der Abgabenordnung. . . . c) Nach dem Umsatzsteuergesetz . . . . . . . . . . . . . . . . . . . . . . . 2. Sachlicher Geltungsbereich . . . . . 3. Aufbewahrungsfristen . . . . . . . . . 4. Folgen eines Verstoßes gegen die Aufbewahrungspflichten . . . . . . . III. 1. 2. 3.
Aufbewahrungsformen . . . . . . . . . Aufbewahrung im Original . . . . . Originär digitale Daten . . . . . . . . . Bildliche bzw. inhaltliche Wiedergabe. . . . . . . . . . . . . . . . . . . 4. Originaldokumente und Beweiskraft . . . . . . . . . . . . . . . . . .
1 1 3
5 5 5 6 11 14 24 26 30 31 32 35 37
IV. Aufbewahrung von Unterlagen auf Datenträgern bzw. Aufbewahrung digitaler Belege und Daten . . . . . . . . . . . . . . . . . . . 38 1. Grundsätzliche Informationen im Zusammenhang mit der Aufbewahrung von Unterlagen auf Datenträgern . . . . . . . . . . . . . . . . . 38
Rz. 2. Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme . . . . . . . . . . . . . . . . . . . . . a) Beleg-, Journal- und Kontenfunktionen . . . . . . . . . . . . . . . . . b) Anforderungen an die inhaltliche und bildliche Wiedergabe nach § 147 Abs. 2 AO . . . . . . . . 3. Lesbarkeit. . . . . . . . . . . . . . . . . . . . a) Unmittelbarer Datenzugriff . . . b) Mittelbarer Datenzugriff . . . . . c) Datenträgerüberlassung . . . . . . 4. Modernisierung der GoBS und der GDPdU – Einführung der Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff (GoBD) . . . . . . . . . . . . . . . . . . . . . . 5. Aufbewahrungssysteme . . . . . . . . a) Anforderung an das Aufbewahrungssystem . . . . . . . . . . b) Worauf ist bei einem Systemwechsel zu achten? . . . . . . . . . .
41 42 47 51 56 57 58
59 64 64 67
V. Organisationsanweisung als aufbewahrungspflichtiges Dokument . . . . . . . . . . . . . . . . . . . 68
I. Gründe für die Aufbewahrung 1. Prozesssicherung und Kontrolle Mitarbeiter vieler Unternehmen sind mit der Dokumentation und Auf- 1 bewahrung von Daten betraut, da sie neben den gesetzlichen AufbewahReitsam/Seonbuchner
977
§ 60
Aufbewahrung und Archivierung von Daten
rungspflichten auch unternehmensinterne Vorschriften beachten müssen. Die detaillierte und exakte Dokumentation des Aufgabenbereichs und der aufgabenspezifischen Daten vereinfacht z.B. den Wechsel des Personals oder die Krankheitsvertretung. Scheidet ein Mitarbeiter aus, ohne seinen Nachfolger einzuarbeiten, gehen ohne die Aufzeichnungen wesentliche Informationen verloren. Den Unternehmen ist mittlerweile die Bedeutung des Wissens und des Erfahrungsschatzes bewusst. Sie haben daher Vorschriften zur Dokumentation und Aufbewahrung von Daten entwickelt. 2
Eine detaillierte Dokumentation einzelner Arbeitsschritte ist zudem bei der Arbeitsteilung eines Gesamtprozesses von zentraler Bedeutung. Nur wenn jeder Arbeitsschritt ausführlich beschrieben wird und die Reihenfolge der Schritte nachvollziehbar ist und befolgt wird (z.B. durch Laufzettel), kann die ordnungsgemäße Bearbeitung sichergestellt und ein einwandfreies Produkt beziehungsweise eine qualitativ hochwertige Dienstleistung gewährleistet werden. 2. Beweisgrund
3
Einer detaillierten Prozessbeschreibung kommt im Zusammenhang mit dem Qualitätsmanagement auch eine beweisende Funktion zu. Neben der Vorgabe einzelner Arbeitsschritte ist hier auch die Dokumentation über deren ordnungsgemäße Ausführung entscheidend. Liegt eine lückenlose Aufzeichnung vor, ist der Nachweis über die korrekte Bearbeitung auch noch nach Jahren möglich. Dies kann besonders bei Haftungsfällen bedeutsam werden.
4
Die Beweisfunktion ist neben der Kontrollfunktion einer der Hauptgründe für die gesetzlichen Aufbewahrungspflichten nach der Abgabenordnung und des Handelsgesetzbuches. Da diese Pflichten für sehr viele Unternehmer und Berufsträger im betrieblichen Alltag von zentraler Bedeutung sind, werden im Folgenden die Aufbewahrungspflichten nach dem Handelsgesetzbuch, nach der Abgabenordnung sowie nach dem Umsatzsteuergesetz eingehend dargestellt. Des Weiteren werden Besonderheiten wie der Umgang mit digitalen Unterlagen erläutert.
II. Gesetzliche Aufbewahrungspflichten nach dem Handelsgesetzbuch und der Abgabenordnung 1. Persönlicher Anwendungsbereich a) Nach dem Handelsrecht 5
Nach § 238 HGB ist jeder Kaufmann, sofern er nicht unter die Befreiungsvorschrift nach § 241a HGB fällt, verpflichtet, Bücher zu führen und in diesen seine Handelsgeschäfte und die Lage seines Vermögens nach den Grundsätzen ordnungsmäßiger Buchführung ersichtlich zu machen. 978
Reitsam/Seonbuchner
II. Gesetzliche Aufbewahrungspflichten nach HGB und AO
§ 60
Die Aufbewahrung dieser Bücher und anderer Unterlagen ist in §§ 257 ff. HGB geregelt. Für den persönlichen Geltungsbereich nach dem HGB ist es demnach entscheidend, wer Kaufmann im Sinne dieses Gesetzes ist. Nach § 1 HGB fallen darunter alle Personen, die einen in kaufmännischer Weise eingerichteten Gewerbebetrieb betreiben. Darüber hinaus gelten die Normen des Handelsgesetzbuches auch für den Kannkaufmann, den Kaufmann kraft Eintragung und den Formkaufmann. b) Nach der Abgabenordnung Der Geltungsbereich der Aufbewahrungspflicht nach der Abgabenord- 6 nung reicht weiter als der des Handelsgesetzbuchs. Danach müssen neben den Kaufleuten alle Personen, die nach anderen Gesetzen als den Steuergesetzen verpflichtet sind, Bücher und Aufzeichnungen zu führen, diese auch für die Besteuerung führen. Da die Aufbewahrungspflicht nach § 147 AO Teil der Buchführungs- und Aufzeichnungspflicht nach § 140 AO ist, unterliegen die geführten Bücher auch der Aufbewahrungspflicht1. Ergeben sich aus anderen Gesetzen keine Buchführungs- und Aufzeich- 7 nungspflichten, schafft die Abgabenordnung mit § 141 AO eine eigenständige Verpflichtung. Danach sind neben dem Personenkreis, welchen § 140 AO erfasst, alle gewerblichen und land- und forstwirtschaftlichen Unternehmer, die die folgenden Größenmerkmale überschreiten, zur Buchführung und damit zur Aufbewahrung von Daten verpflichtet: – Umsätze von mehr als 500 000 Euro im Kalenderjahr (§ 141 Abs. 1 Nr. 1 AO) – Selbstbewirtschaftete land- und forstwirtschaftliche Flächen mit einem Wirtschaftswert von mehr als 25 000 Euro (§ 141 Abs. 1 Nr. 3 AO) – Gewinn aus Gewerbebetrieb von mehr als 50 000 Euro im Wirtschaftsjahr (§ 141 Abs. 1 Nr. 4 AO) – Gewinn aus Land- und Forstwirtschaft von mehr als 50 000 Euro im Kalenderjahr Auch Unternehmer, die freiwillig Bücher und Aufzeichnungen führen, 8 wie z.B. freiwillig bilanzierende Freiberufler, sind an die Aufbewahrungspflicht gebunden, weil auch diese Personengruppe nach § 146 Abs. 6 AO die Grundsätze ordnungsgemäßer Buchführung befolgen muss2. Diejenigen, die weder durch gesetzliche Verpflichtung noch freiwillig Bü- 9 cher führen, sondern den Gewinn durch Einnahmenüberschussrechnung nach § 4 Abs. 3 EStG ermitteln, sind damit nach der Abgabenordnung
1 Vgl. Cöster in Pahlke/Koenig, AO, § 140 Rz. 1 f. 2 Vgl. Dißars in Schwarz, AO, § 147 Rz. 4. Reitsam/Seonbuchner
979
§ 60
Aufbewahrung und Archivierung von Daten
grundsätzlich nicht an die Aufbewahrungspflicht gebunden1. Der BFH hat jedoch in mehreren Urteilen klargestellt, dass auch Steuerpflichtige mit Gewinneinkünften, welche den Gewinn durch Einnahmenüberschussrechnung ermitteln, verpflichtet sind, Aufzeichnungen und Unterlagen nach § 147 Abs. 1 AO aufzubewahren2. 10
Darüber hinaus gilt für alle Steuerpflichtigen die Mitwirkungspflicht nach § 90 AO. Danach sind die Beteiligten in besteuerungsrelevanten Sachverhalten verpflichtet, alle für die Besteuerung erheblichen Tatsachen vollständig und wahrheitsgemäß offenzulegen und Beweismittel anzugeben3. Die Aufbewahrung bestimmter Unterlagen ist daher für jeden Steuerpflichtigen unumgänglich. c) Nach dem Umsatzsteuergesetz
11
§ 14 Abs. 2 Nr. 2 UStG folgend ist der Unternehmer, der eine Lieferung oder Leistung an einen anderen Unternehmer für dessen Unternehmen oder an eine juristische Person erbringt, verpflichtet, eine ordnungsgemäße Rechnung (vgl. § 14 Abs. 4 UStG) auszustellen. Diese Regelung gilt somit auch für unternehmerische Nichtkaufleute, wie etwa Steuerberater, Rechtsanwälte oder Vermieter von Gewerbeimmobilien. Darüber hinaus muss nach § 14b Abs. 1 UStG der Leistungserbringer sowie der empfangende Unternehmer das Doppel einer ausgestellten Rechnung bzw. sämtliche erhaltenen Rechnungen über einen Zeitraum von zehn Jahren aufbewahren. Die Aufbewahrungsfrist beginnt mit dem Ende des Kalenderjahres, in welchem die Rechnung ausgestellt wurde.
12
Erbringt der leistende Unternehmer steuerpflichtige Werklieferungen nach § 3 Abs. 4 UStG oder Leistungen im Zusammenhang mit einem Grundstück, ist er unabhängig vom Leistungsempfänger verpflichtet, eine Rechnung auszustellen. Hierdurch wird die Pflicht zur Ausstellung einer Rechnung bei diesen Leistungen auf Privatpersonen als Leistungsempfänger ausgeweitet.
13
Darüber hinaus wurde mit Einführung des Schwarzarbeiterbekämpfungsgesetzes auch hierzu eine Aufbewahrungspflicht für Verbraucher, welche keine juristischen Personen oder Unternehmer sind, beziehungsweise die empfangene Leistung nicht für ihr Unternehmen verwenden, begründet. Nach § 14b Abs. 1 Satz 5 UStG müssen Rechnungen für Werklieferungen nach § 3 Abs. 4 UStG und für alle Leistungen, welche im Zusammenhang mit einem Grundstück erbracht werden, vom Leistungsempfänger zwei Jahre aufbewahrt werden.
1 Vgl. Cöster in Pahlke/Koenig, AO, § 147 Rz. 5. 2 Vgl. BFH v. 24.6.2009 – VIII R 80/06, BStBl. II 2010, 452; BFH v. 26.2.2004 – XI R 25/02, BStBl. II 2004, 599. 3 Vgl. Dißars in Schwarz, AO, § 147 Rz. 4.
980
Reitsam/Seonbuchner
II. Gesetzliche Aufbewahrungspflichten nach HGB und AO
§ 60
2. Sachlicher Geltungsbereich Der sachliche Geltungsbereich des Handelsgesetzbuchs stimmt weit- 14 gehend mit dem der Abgabenordnung überein (vgl. §§ 257 HGB, 147 AO). Danach sind folgende Unterlagen aufzubewahren: (1) (Handels-)Bücher und Aufzeichnungen (2) Inventare (3) Jahresabschlüsse (Bilanz und Gewinn- und Verlustrechnung) (4) Konzernabschlüsse und Konzernlageberichte1 (5) Lageberichte (6) Eröffnungsbilanz (7) die zum Verständnis der oben aufgeführten Unterlagen erforderlichen Arbeitsanweisungen und sonstigen Organisationsunterlagen (8) Empfangene Handels- oder Geschäftsbriefe (9) Wiedergabe der abgesandten Handels- oder Geschäftsbriefe (10) Buchungsbelege (11) ggf. Unterlagen, die einer mit Mitteln der Datenverarbeitung abgegebenen Zollanmeldung nach Art. 77 Abs. 1 i.V.m. Art. 62 Abs. 2 Zollkodex beizufügen sind2 Die Aufbewahrungspflicht ist akzessorisch. Das bedeutet, dass der sach- 15 liche Umfang grundsätzlich durch die Reichweite der zugrunde liegenden Aufzeichnungspflicht begrenzt wird3. Unter die erforderlichen Arbeitsanweisungen und Organisationsunterla- 16 gen fallen z.B. Kontenpläne, also die unternehmensindividuelle systematische Gliederung aller Konten, Kontenplanänderungen oder Anweisungen zur Kontierung. Ebenso sind damit auch Unterlagen, welche die Technik eines Buchführungssystems oder anderer EDV-Systeme erklären, gemeint. Nach § 257 HGB sind Handelsbriefe alle Schriftstücke, die ein Handelsgeschäft betreffen. Aufbewahrungspflichtig sind demnach nicht nur Dokumente, welche den Abschluss eines Geschäftes belegen, sondern sämtliche Korrespondenzen, die im Zusammenhang mit einem Geschäft entstanden sind. Darunter gehören auch Belege über die Geschäftsanbahnung bzw. Dokumente, welche die Aufhebung eines Geschäfts belegen. Dies ist auch auf Geschäftsbriefe zu übertragen, da damit die Korrespondenz von Nichtkaufleuten bezeichnet wird4. Da als
1 Diese Unterlagen sind nur nach Handelsrecht aufzubewahren (§ 257 HGB). 2 Die Aufbewahrungspflicht dieser Unterlagen ergibt sich ausschließlich nach der Abgabenordnung (§ 147 Abs. 1 Nr. 4a AO). 3 Vgl. BFH v. 24.6.2009 – VIII R 80/06, BStBl. II 2010, 452; BFH v. 26.2.2004 – XI R 25/02, BStBl. II 2004, 599. 4 Vgl. Cöster in Pahlke/Koenig, AO, § 147 Rz. 11. Reitsam/Seonbuchner
981
§ 60
Aufbewahrung und Archivierung von Daten
Handels- und Geschäftsbriefe auch E-Mails gelten, sind auch diese aufbewahrungspflichtig. 17
Zu beachten ist, dass über diese, in der Abgabenordnung und im Handelsrecht gesondert aufgezählten Dokumente, zusätzlich alle für die Besteuerung bedeutenden Unterlagen aufzubewahren sind (§ 147 Abs. 1 Nr. 5 AO). Da es nicht möglich ist, alle steuerlich relevanten Unterlagen abschließend aufzuzählen, stellt § 147 Abs. 1 Nr. 5 AO sozusagen einen Auffangtatbestand dar.
18
Doch auch für die Aufbewahrungspflicht nach § 147 Abs. 1 Nr. 5 AO gilt, dass diese akzessorisch ist. Das heißt Unterlagen, für welche keine gesetzliche Aufzeichnungspflicht vorliegt, können auch nicht aufbewahrungspflichtig nach § 147 Abs. 1 Nr. 5 AO sein. Was genau unter den Terminus „alle für die Besteuerung bedeutenden Unterlagen“ fällt, ist in der Praxis höchst umstritten und im Zweifelsfall gerichtlich zu klären.
19
Nach einem Urteil des FG Münster vom 6.9.2001 sind darunter alle in einem Unternehmen anfallenden Unterlagen zu verstehen, die Aussagen oder Teilaussagen über steuerlich relevante Vorgänge enthalten und keine Buchungsbelege sind. In Taxiunternehmen können dies wegen ihrer Bedeutung für die Einnahme- und Lohnverprobung z.B. Schichtzettel sein, in denen der jeweilige Fahrer das Datum, den Beginn und das Ende seiner Schicht, die Total- und Besetztkilometer, den Fahrpreis etc. einträgt1.
20
Auch im Rahmen des behördlichen Datenzugriffs wird dieses Thema diskutiert, da dieser ausdrücklich auf originär digitale Daten mit steuerlicher Relevanz begrenzt ist2 (vgl. auch Rz. 51 ff.). So bedarf es auch in diesem Zusammenhang einer Klärung, wann es sich um eine steuerliche Bedeutung handelt. Im Fragen- und Antwortenkatalog zum Datenzugriffsrecht der Finanzverwaltung wurde hierzu zwar Stellung genommen, die Aussagekraft der Antwort ist jedoch ungenügend. Diesen Ausführungen zufolge sind Daten immer dann steuerlich relevant, „wenn sie für die Besteuerung des Steuerpflichtigen von Bedeutung sein können“. Sollte es zu Unstimmigkeiten beider Parteien kommen, ist im Einzelfall zu entscheiden, welche Folgerungen zu ziehen sind3.
21
Nach Ansicht des FG Düsseldorf, welche vom BFH bestätigt wurde, darf steuerliche Relevanz nicht mit steuerlicher Auswirkung verwechselt werden. Aus diesem Grund fallen unter das Zugriffsrecht auch Daten aus der handelsrechtlichen Buchführung, wie etwa die Konten, Drohverlust-
1 Vgl. FG Münster v. 6.9.2001 – 8 K 7080/97 E, EFG 2003, 45. 2 Vgl. BMF-Schreiben v. 16.7.2001 – IV D 2 - S 0316 – 136/01, I.1., BStBl. I 2001, 415. 3 Vgl. Fragen und Antworten zum Datenzugriff der Finanzverwaltung 2009, I.6.
982
Reitsam/Seonbuchner
II. Gesetzliche Aufbewahrungspflichten nach HGB und AO
§ 60
rückstellungen aus schwebenden Geschäften, nicht abzugsfähige Betriebsausgaben und organschaftliche Steuerumlagen1. Des Weiteren können zu den Dokumenten mit steuerlicher Bedeutung 22 folgende Unterlagen gehören: – bei Gewinnermittlern nach § 4 Abs. 3 EStG Kontoauszüge des Privatkontos, sofern damit auch betriebliche Geschäftsvorfälle abgewickelt werden2, – Speise- und Getränkekarten im Bereich der Gastronomie3, – Auftrags- und Bestellunterlagen, Aus- und Einfuhrunterlagen, Bewerbungsunterlagen sowie Preisverzeichnisse4, – Grundbuch- und Handelsregisterauszüge5, – Kassenunterlagen wie Kassenstreifen, Kassenzettel oder Bons, sofern die Vollständigkeit der Geschäftsvorfälle nicht durch Tagesendsummenbons nachgewiesen wird6, – Betriebsabrechnungen, Betriebskostenaufstellungen und statistisches Material, wenn sie z.B. für die Bewertung von Wirtschaftsgütern und Passiva bedeutsam sind7. Dagegen sind nach allgemeiner Auffassung z.B. interne Planungsunterla- 23 gen des Unternehmens über nicht realisierte Projekte steuerlich nicht relevant. Darüber hinaus sind auch der Schriftverkehr zwischen Unternehmen und steuerlichem Berater sowie steuerliche Gutachten für betriebliche Entscheidungen nicht von steuerlicher Bedeutung und sind daher nicht bzw. nur mit ausdrücklicher gesetzlicher Anordnung nach §§ 90 oder 162 AO durch die Finanzbehörde zugriffsberechtigt8. 3. Aufbewahrungsfristen Die Aufbewahrungsfristen nach dem Handelsrecht und der Abgabenord- 24 nung sind identisch. Somit müssen die oben unter Rz. 14. Nummer (1) bis (7) sowie (10) und (11) aufgeführten Dokumente zehn Jahre aufbewahrt werden. Für alle anderen Unterlagen gilt eine sechsjährige Aufbewahrungsfrist. Die genannten Fristen verlängern sich, sofern die Unterlagen für die Besteuerung von Bedeutung sind, für welche die Festsetzungsfrist noch nicht abgelaufen ist. Dies ist z.B. gegeben, wenn 1 2 3 4 5 6 7
Vgl. BFH v. 26.9.2007 – I B 53, 54/07, BStBl. II 2008, 415. Vgl. FG München 11.12.2002 – 9 K 252/01, EFG 2003, 625. Vgl. BFH v. 14.11.2011 – XI R 5/10 (NV), BFH/NV 2012, 1921. Cöster in Pahlke/Koenig, AO, § 147 Rz. 14. Cöster in Pahlke/Koenig, AO, § 147 Rz. 14. Vgl. Dißars in Schwarz, AO, § 147 Rz. 22. Vgl. Dißars in Schwarz, AO, § 147 Rz. 22; Cöster in Pahlke/Koenig, AO, § 147 Rz. 14. 8 Vgl. Burchert in Haufe, Handbuch der Bilanzierung, Digitale Betriebsprüfung, Rz. 15. Reitsam/Seonbuchner
983
§ 60
Aufbewahrung und Archivierung von Daten
die Steuerfestsetzung vorläufig erfolgte oder ein Steuerstrafverfahren eröffnet wird. Sofern dementsprechende Sachverhalte nicht abgeschlossen sind, läuft die Aufbewahrungsfrist nicht ab. Sollten andere Gesetze kürzere Aufbewahrungsfristen vorschreiben, ändert dies nichts an den Aufbewahrungsfristen der Abgabenordnung. Nach § 147 Abs. 4 AO beginnt die gesetzliche Aufbewahrungsfrist bei – Büchern mit der letzten Eintragung, – dem Inventar, der Eröffnungsbilanz, dem Jahresabschluss oder Lagebericht mit deren Aufstellung, – Handels- oder Geschäftsbriefen mit deren Versendung oder deren Empfang sowie bei – Buchungsbelegen, Aufzeichnungen oder den sonstigen Unterlagen durch die Entstehung. Die Frist beginnt erst mit Schluss des Kalenderjahres, in welchem das relevante Ereignis eingetreten ist. 25
Da die Verkürzung der gesetzlichen Aufbewahrungsfristen ein wichtiger Schritt zum allseits gewünschten Bürokratieabbau ist und enormes Einsparpotential für die Unternehmen birgt, wurde vom Bundestag vorgeschlagen, die bisher zehnjährige Aufbewahrungspflicht der Abgabenordnung und des Handelsgesetzbuches auf acht Jahre zu verkürzen. In einem weiteren Schritt sollte die Frist ab 2015 um ein weiteres Jahr verkürzt werden. Der Bundesrat hat das vorgeschlagene Gesetz zur Verkürzung der Aufbewahrungsfristen jedoch abgelehnt. Nach dessen Meinung sollen Aufbewahrungsfristen mindestens so lang sein wie die längste Festsetzungsfrist1, welche im Falle von Steuerhinterziehung zehn Jahre beträgt (§ 169 Abs. 2 AO). Der Vermittlungsausschuss soll nun eine Einigung im Gesetzgebungsverfahren erzielen. 4. Folgen eines Verstoßes gegen die Aufbewahrungspflichten
26
Da beim Verstoß gegen die Aufbewahrungspflichten die Besteuerungsgrundlagen unter Umständen nicht mehr genau ermittelt werden können und der Steuerpflichtige gegen seine Mitwirkungspflichten nach § 90 AO verstoßen hat, hat die Finanzbehörde in diesen Fällen gem. § 162 AO das Recht, die Besteuerung aufgrund einer Schätzung durchzuführen. Dabei können die Einkunftsbandbreiten zu Lasten des Steuerpflichtigen ausgeschöpft werden (§ 162 Abs. 3 Satz 2 AO). Die Finanzbehörde darf allerdings nicht bewusst unter Außerachtlassung der Vorgaben aus dem festgestellten Sachverhalt zu hoch schätzen (Verbot der Strafschätzung).
27
Ebenso können sich Strafen nach dem Umsatzsteuerrecht oder dem Strafgesetzbuch ergeben, sofern die jeweiligen Steuerstraftatbestände ge-
1 BT-Drucks. 17/13389.
984
Reitsam/Seonbuchner
§ 60
III. Aufbewahrungsformen
geben sind. Die Sanktionen reichen dabei von Geldbußen von 500 Euro bis hin zu Freiheitsstrafen1. In diesem Kontext ist auch zu erwähnen, dass selbst der unverschuldete 28 Verstoß gegen die Aufbewahrungspflicht, z.B. durch Diebstahl oder Feuer eine Verletzung der ordnungsgemäßen Buchführung darstellt. Auch dadurch erlischt die Beweiskraft, wodurch nicht mehr generell von der sachlichen Richtigkeit nach § 158 AO ausgegangen werden kann2. Damit ist es zulässig, dass das Finanzamt das Ergebnis schätzt3. Sind die Unterlagen infolge höherer Gewalt abhandengekommen, hat der BFH jedoch bereits in mehreren Urteilen eine Schätzung untersagt, wenn diese zu einer unbilligen Härte für den Steuerpflichtigen führen würde. In diesen Fällen ist § 163 AO anzuwenden. Es bleibt jedoch unklar, wann höhere Gewalt vorliegt4. Im Zusammenhang mit dem Verlust von Buchführungsunterlagen und 29 sonstigen Aufzeichnungen, welche z.B. beim Hochwasser im Sommer 2013 vernichtet wurden, können Steuerpflichtige auf die Unterlassung einer Schätzung hoffen. So hat das bayerische Finanzministerium allen Betroffenen zugesagt, dass durch den Verlust der Aufzeichnungen keine Nachteile für die Besteuerung entstehen werden5.
III. Aufbewahrungsformen Allgemein sind die oben aufgezählten Unterlagen vollständig, richtig, 30 zeitgerecht und geordnet aufzubewahren6. Ferner muss nach § 146 Abs. 4 AO sichergestellt sein, dass die Aufzeichnungen nicht verändert werden können bzw. dass Veränderungen nachzuvollziehen sind. Zur Erfüllung der Aufbewahrungspflicht ist ebenso zu gewährleisten, dass die Unterlagen innerhalb der Aufbewahrungsfrist nicht zerstört werden. 1. Aufbewahrung im Original Für die Form der aufbewahrungspflichtigen Unterlagen ist grundsätzlich 31 § 147 Abs. 1 AO und für Kaufleute zusätzlich § 257 Abs. 3 HGB maßgebend. Demgemäß sind Abschlüsse, Eröffnungsbilanzen und Unterlagen, die einer mit Mitteln der Datenverarbeitung abgegebenen Zollanmeldung beizufügen sind (§ 147 Abs. 1 Nr. 4a AO), im Original aufzubewahren. Aufbewahrung im Original bedeutet dabei nicht ausschließlich Pa1 Vgl. § 26a Abs. 2 UStG, §§ 238 Abs. 1 Nr. 6, 238b StGB. 2 Vgl. Frotscher in Schwarz, AO, § 158 Rz. 12. 3 Vgl. BFH v. 28.6.1972 – I R 182/69, BStBl. II 1972, 819; BFH v. 3.9.1994 – VIII S 9/93 (NV), BFH/NV 1995, 28. 4 Vgl. BFH v. 27.10.1977 – V R 34/75, BStBl. II 1978, 169. 5 Vgl. BMF-Schreiben v. 21.6.2013 – IV C 4 - S 2223/07/0015:008, BStBl. I 2013, 781. 6 § 146 Abs. 1 AO. Reitsam/Seonbuchner
985
§ 60
Aufbewahrung und Archivierung von Daten
pierform, sondern auch die digitale Darstellung bei originär digitalen Daten. 2. Originär digitale Daten 32
Handelt es sich bei originär digitalen Daten um Daten i.S.d. § 147 Abs. 2 Halbs. 1 AO, müssen diese wie oben aufgeführt in dieser Form aufbewahrt werden. Ist nach § 147 AO keine Aufbewahrung im Original vorgeschrieben, müssen die originär digitalen Daten jedoch zumindest in einer maschinell auswertbaren Form aufbewahrt werden. Ausdrucke oder ggf. auch die Speicherung als pdf-Dokument reichen dann nicht aus. Um originär digitale Daten handelt es sich bei allen in elektronischer Form eingehenden oder im Datenverarbeitungssystem erzeugten Daten1. Darunter fallen z.B. Kontoauszüge, welche bei Anwendung von Onlinebanking-Verfahren elektronisch von der Bank übermittelt werden2. Ebenso sind hierzu elektronische Rechnungen zu zählen.
33
Erfolgt die Buchführung aufgrund des Wahlrechts nach § 146 Abs. 5 AO DV-gestützt, handelt es sich auch insofern um originär digitale Daten.
34
Gemäß § 257 Abs. 3 Satz 2 HGB können Daten, die auf Datenträgern hergestellt worden sind, alternativ auch ausgedruckt aufbewahrt werden. Die Aufbewahrung des Datenträgers wäre dann nicht mehr nötig. Das übergeordnete bzw. allgemeingültigere Steuerrecht enthält diese Alternativvorschrift jedoch nicht, so dass die handelsrechtliche Regelung weitgehend leerläuft. Zusätzlich sind für die Aufbewahrung und Behandlung originär digitaler Daten auch die Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme (GoBS) sowie die Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU) zu beachten (vgl. dazu Rz. 38 ff.). 3. Bildliche bzw. inhaltliche Wiedergabe
35
Sofern es sich bei den aufbewahrungspflichtigen Daten nicht um Abschlüsse, Eröffnungsbilanzen oder zollrelevante Unterlagen nach § 147 Abs. 1 Nr. 4a AO handelt, genügt die Aufbewahrung als Wiedergabe auf einem Bildträger oder auf anderen Datenträgern. Bei empfangenen Handels- und Geschäftsbriefen sowie bei Buchungsbelegen muss auf die bildliche Übereinstimmung der Wiedergabe mit dem Original geachtet werden. Kommt der Farbe Beweisfunktion zu, muss bei der Reproduktion auch auf die farblich richtige Wiedergabe geachtet werden3. Kann die farbliche Übereinstimmung nicht erreicht werden, darf das Original folglich nicht vernichtet werden. Dies ist z.B. bei Originalbelegen mit Dienststempelabdrucken gegeben, bei denen die Stempelfarben Pigmen1 BMF-Schreiben v. 16.7.2001 – IV D 2 - S 0316-136/01, III.1., BStBl. I 2001, 415. 2 Vgl. OFD Koblenz v. 30.11.2005 – S 0315 A, INF 2006 S. 42 Nr. 2. 3 Vgl. BMF-Schreiben v. 7.11.1995 – IV A 8 - S 0316, BStBl. I 1995, 738.
986
Reitsam/Seonbuchner
§ 60
IV. Aufbewahrung von Unterlagen auf Datentrgern
tierung enthalten. Da die Pigmentierung bei einer digitalen Speicherung nicht dargestellt werden kann, liegt keine Übereinstimmung der Wiedergabe mit dem Original vor. Aus diesem Grund müssen Unterlagen nach § 147 Abs. 1 Nr. 4a AO wie oben aufgeführt im Original aufbewahrt werden. Beweisfunktion kommt der Farbe z.B. auch zu, wenn Fehlbeträge in Berechnungen nicht durch Minuszeichen sondern durch rote Farbe gekennzeichnet sind. Bei allen anderen aufbewahrungspflichtigen Unterlagen, wie etwa abge- 36 sandten Geschäftsbriefen reicht die inhaltliche Übereinstimmung. Sofern abgesandte Geschäftsbriefe auch Buchungsbelege darstellen, wie es bei Ausgangsrechnungen oft der Fall ist, muss demnach trotzdem auf die bildliche Wiedergabe geachtet werden. Dabei müssen grundsätzlich alle auf dem Original angebrachten Vermerke, wie etwa Eingangsstempel, Korrekturen oder Kontierungsvermerke erhalten bleiben1. Ist die bildliche bzw. inhaltliche Wiedergabe ordnungsgemäß erfolgt, reicht die Aufbewahrung der angefertigten Kopien. Die Vernichtung der Originaldokumente ist somit nach den Bestimmungen der Abgabenordnung möglich, sofern nicht andere Gesetze die Aufbewahrung im Original vorschreiben, wie z.B. § 62 Abs. 2 UStDV2. 4. Originaldokumente und Beweiskraft Auch wenn gemäß AO und HGB nur Abschlüsse, Eröffnungsbilanzen 37 und Unterlagen nach § 147 Abs. 1 Nr. 4a AO im Original aufzubewahren sind, kann die Aufbewahrung im Original unter Umständen auch bei vielen anderen Dokumenten von Bedeutung sein. So ist der Vorsteuerabzug nach § 15 Abs. 1 Nr. 1 UStG i.V.m. § 14 Abs. 4 UStG grundsätzlich nur zulässig, sofern dem Unternehmer das Original der Rechnung vorliegt3. Zugleich ist das Vorliegen von Originaldokumenten zum Urkundenbeweis im Zuge der Beweissicherung in Zivilprozessen oftmals von Vorteil. Liegt lediglich eine Kopie vor, ist die Beweiskraft nach § 415 ZPO nicht gegeben. In diesem Fall obliegt die Entscheidung über die Beweiskraft der freien richterlichen Beweiswürdigung nach § 286 ZPO.
IV. Aufbewahrung von Unterlagen auf Datenträgern bzw. Aufbewahrung digitaler Belege und Daten 1. Grundsätzliche Informationen im Zusammenhang mit der Aufbewahrung von Unterlagen auf Datenträgern Wie oben bereits erläutert, können nach § 146 Abs. 5 AO sowohl die 38 Buchführung DV-gestützt erfolgen sowie die sonst erforderlichen Auf1 Vgl. LfSt Bayern v. 13.2.2012, S 0317.1.1-4/1 St 42, NWB DokID: JAAAE-03297. 2 Vgl. Pfadler, NWB 2011, 324. 3 Vgl. BFH v. 16.4.1997 – XI R 63/93, BStBl. II 1997, 582. Reitsam/Seonbuchner
987
§ 60
Aufbewahrung und Archivierung von Daten
zeichnungen auf Datenträgern geführt werden. Unter Beachtung des § 147 Abs. 2 Satz 1 AO dürfen aufbewahrungspflichtige Unterlagen auch digital auf Bild- oder Datenträgern aufbewahrt werden. Insofern besteht hier ein Wahlrecht. Handelt es sich um originär digitale Daten, scheidet dieses Wahlrecht aus und die digitale Aufbewahrung ist Pflicht. 39
Werden Unterlagen auf Bild- oder Datenträgern geführt bzw. aufbewahrt, müssen zu den Grundsätzen ordnungsgemäßer Buchführung auch die Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme (GoBS) beachtet werden (vgl. dazu den folgenden Abschnitt).
40
Da die Finanzbehörde nach § 147 Abs. 6 AO bei der mit Datenverarbeitungssystemen erstellten Buchführung das Recht auf Datenzugriff hat, sind im Zusammenhang mit den §§ 146 Abs. 5, 147 Abs. 2, 5, 6 AO zudem die Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU) zu befolgen. Hierzu legt das Bundesministerium der Finanzen (BMF) fest, wie die gesetzlichen Vorschriften in Bezug auf den elektronischen Datenzugriff zu verstehen und anzuwenden sind (vgl. dazu Rz. 51 ff.). 2. Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme
41
In der Anlage zum BMF-Schreiben v. 7.11.1995 „Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme“ hat die Arbeitsgemeinschaft für wirtschaftliche Verwaltung e.V. (AWV) die allgemein gültigen GoBS für die Anwendung von Datenverarbeitungssystemen präzisiert. Dabei werden die Anforderungen an die Beleg-, Journal- und Kontenfunktionen und die Buchung bei DV-gestützter Buchführung konkretisiert. a) Beleg-, Journal- und Kontenfunktionen
42
Nach den Regelungen des HGB muss die Buchführung so beschaffen sein, dass ein Geschäftsvorfall bis in die Bilanz oder die GuV hinein nachvollzogen werden kann. Um die Belegfunktion der Buchführung zu erfüllen, darf daher keine Buchung ohne Beleg erfolgen. Damit dies von jedem Dritten nachvollzogen werden kann, muss jede Buchung unabhängig davon, ob die Belegfunktion durch einen konventionellen Beleg in Papierform oder z.B. durch automatische Datenerfassung erfüllt wird, folgende Angaben enthalten: – hinreichende Erläuterung des Vorganges, – zu buchender Betrag oder Mengen- und Wertangaben, aus denen sich der zu buchende Betrag ergibt, – Zeitpunkt des Vorganges, – Bestätigung des Vorganges durch den Buchführungspflichtigen1. 1 Anlage zum BMF-Schreiben v. 7.11.1995 – IVA 8 – S 0316 – 52/95, 2.2.5, BStBl. 1995, 738.
988
Reitsam/Seonbuchner
§ 60
IV. Aufbewahrung von Unterlagen auf Datentrgern
Bei programminternen bzw. automatischen Buchungen im Zusammen- 43 hang mit DV-gestützter Buchführung muss die Belegfunktion durch das angewendete Verfahren erfüllt werden, da das Verfahren in diesem Fall wie ein Dauerbeleg zu werten ist1. Um die Journalfunktion, das heißt die Dokumentation aller Buchungen 44 in zeitlicher Abfolge bei der DV-gestützten Buchführung zu erfüllen, müssen zudem alle Eingaben und Vorgänge durch das Programm protokolliert werden2. Diese Protokollierung, egal ob sie auf Papier oder digital erfolgt, muss während der gesetzlichen Aufbewahrungsfrist dargestellt werden können. Ebenso muss die Ordnung der Geschäftsvorfälle nach Sach- und Per- 45 sonenkonten, kurz die Kontenfunktion der Buchführung, erfüllt sein. Erfolgt dies per Bildschirmanzeige oder durch Darstellung auf Bild- oder anderen Datenträgern, muss auf Anforderung eine ohne Hilfsmittel lesbare Wiedergabe bereitgestellt werden3. Um die Datensicherheit zu gewährleisten, werden in den GoBS auch da- 46 zu nähere Bestimmungen aufgeführt. Ferner werden detaillierte Anforderungen eines internen Kontrollsystems, sowie an die Dokumentation und Prüfbarkeit genannt. b) Anforderungen an die inhaltliche und bildliche Wiedergabe nach § 147 Abs. 2 AO Im Zusammenhang mit der Aufbewahrungspflicht sind vor allem die 47 Ausführungen zu den Anforderungen an die inhaltliche und bildliche Wiedergabe nach § 147 Abs. 2 AO wichtig. Dabei wird auf die unterschiedliche Vorgehensweise bei originär analogen und originär digitalen Dokumenten eingegangen. Handelt es sich um analoge Dokumente, also Dokumente in Papierform, 48 welche digital archiviert werden sollen, muss für den Scanvorgang eine genaue Organisationsanweisung vorliegen (vgl. dazu Beispiel unter Rz. 68 ff.). Das ordnungsgemäß eingescannte Dokument ist sodann mit einem eindeutigen Sortierkriterium zu versehen. Der Index sowie das eingescannte Dokumente selbst dürfen anschließend nicht mehr verändert werden. Diese Unveränderlichkeit muss hard- und softwaremäßig sichergestellt sein4.
1 Vgl. Anlage zum BMF-Schreiben v. 7.11.1995 – IV A 8 – S 0316 – 52/95, 2.2.7, BStBl. 1995, 738. 2 Vgl. Bertram/Brinkmann/Kessler/Müller, Bilanz Kommentar, § 239 Rz. 38. 3 Vgl. Anlage zum BMF-Schreiben v. 7.11.1995 – IV A 8 – S 0316 – 52/95, 2.4, BStBl. 1995, 738. 4 Vgl. BMF-Schreiben v. 7.11.1995 – IV A 8, S 0316 – 52/95, VIII.b), BStBl. 1995, 738. Reitsam/Seonbuchner
989
§ 60
Aufbewahrung und Archivierung von Daten
49
Letzteres gilt auch für die Archivierung originär digitaler Daten. Hier hat die Unveränderbarkeit bereits während der Übertragung der Daten vom Produktivsystem auf den digitalen Datenträger vorzuliegen. Ebenso ist die oben erwähnte Indexierung auf die Speicherung digitaler Daten zu übertragen. Die weitere Bearbeitung darf nur am so archivierten digitalen Dokument erfolgen. Eventuelle Bearbeitungsvorgänge sind zu protokollieren und mit dem Dokument zu speichern1. Ebenso ist die Kennzeichnung als Kopie verpflichtend.
50
Die inhaltliche und gegebenenfalls die bildliche Übereinstimmung (vgl. Rz. 35 f.) der Wiedergabe mit dem Original müssen durch das Archivierungsverfahren sichergestellt sein. Wie die Wiedergabe der auf Bild- oder anderen Datenträgern geführten Unterlagen geschaffen werden kann, ist in einer Arbeitsanweisung, wie z.B. einer Druck- oder COM-Anweisung festzuhalten. Die der Kopie zugrundeliegenden Originalunterlagen dürfen nur vernichtet werden, soweit sie nicht nach anderen Rechtsvorschriften im Original aufzubewahren sind2. 3. Lesbarkeit
51
Neben den oben genannten Anforderungen ist die jederzeitige Lesbarkeit und maschinelle Auswertbarkeit der digitalen Daten zu gewährleisten3. Die Kosten hierfür trägt der Steuerpflichtige4. Den GoBS folgend ist es notwendig, die Überprüfung der Lesbarkeit der Datenträger in regelmäßigen Zeitabständen vorzunehmen5.
52
Werden die Dokumente im pdf-Format gespeichert, ist die maschinelle Auswertbarkeit im Sinne der Finanzverwaltung grundsätzlich nicht gegeben. Damit würde diese, in der Praxis bedeutsame Aufbewahrungsform gegen die gesetzlichen Vorgaben verstoßen. Nach Ansicht des BFH ist die Archivierung von ursprünglich in Papierform erstellten Dokumenten als graphische Datei dagegen zulässig, da die maschinelle Auswertbarkeit beim Originaldokument selbst nicht gegeben war. Die maschinelle Auswertbarkeit muss folglich nicht durch die digitale Archivierung hergestellt werden6 und gilt somit ausschließlich für originär digitale Daten.
1 Vgl. BMF-Schreiben v. 7.11.1995 – IV A 8 – S 0316 – 52/95, VIII.b), BStBl. 1995, 738. 2 Vgl. BMF-Schreiben v. 7.11.1995 – IV A 8 – S 0316 – 52/95, VIII.c), BStBl. I 1995, 738. 3 §§ 146 Abs. 5 AO, 147 Abs. 2 Nr. 2 AO. 4 § 147 Abs. 5 AO. 5 Vgl. Anlage zum BMF-Schreiben v. 7.11.1995 – IV A 8 – S 0316 – 52/95, 5.5.2, BStBl. I 1995, 738. 6 Vgl. Fragen und Antworten zum Datenzugriff der Finanzverwaltung 2009, III.5., BFH v. 26.9.2007 – I B 53, 54/07, BStBl. II 2008, 415.
990
Reitsam/Seonbuchner
§ 60
IV. Aufbewahrung von Unterlagen auf Datentrgern
Die Lesbarkeit und maschinelle Auswertbarkeit hat im Zusammenhang 53 mit dem am 1.1.2002 eingeführten Recht der Finanzverwaltung auf Einsicht in die gespeicherten Daten im Rahmen einer Außenprüfung an Bedeutung gewonnen. Nach § 147 Abs. 6 AO darf der Außenprüfer elektronisch in die mit Hilfe eines Datenverarbeitungssystems erstellten Unterlagen Einsicht nehmen und sie zur Prüfung nutzen. Der elektronische Datenzugriff ist ausdrücklich auf originär digitale Daten mit steuerlicher Relevanz begrenzt1. Wann steuerliche Relevanz anzunehmen ist, wurde bereits in den vorliegenden Ausführungen unter Rz. 14 ff. diskutiert). Den GDPdUs zufolge ist es Aufgabe des Steuerpflichtigen, steuerrelevan- 54 te Daten von anderen Daten abzugrenzen. Sofern dem Steuerpflichtigen eine Abgrenzung aus systemtechnischen oder anderen Gründen nicht möglich ist, weitet sich das Zugriffsrecht des Prüfers automatisch aus. Um den Zugriff nicht weiter als nötig zuzulassen, wäre für den Steuerpflichtigen eine verlässliche Definition des Begriffes „steuerrelevant“ notwendig. Grundsätzlich gibt es drei Möglichkeiten des Datenzugriffs. Die Anwen- 55 dung dieser richtet sich nach dem Ermessen des Prüfers, wobei er nicht auf die Anwendung einer Variante beschränkt ist2. Der Prüfer hat sich jedoch am Grundsatz der Verhältnismäßigkeit zu orientieren3. a) Unmittelbarer Datenzugriff Wählt der Prüfer den unmittelbaren Datenzugriff, hat er in Form des 56 Nur-Lesezugriffs Einblick auf die gespeicherten Daten und kann sie unter Anwendung der vom Steuerpflichtigen eingesetzten Hard- und Software lesen, filtern und sortieren. Die Anwendung anderer Auswertungsmodule durch den Prüfer ist nicht gestattet, des Weiteren ist die Fernabfrage durch Online-Zugriff untersagt. Der unmittelbare Datenzugriff muss demnach beim geprüften Unternehmen vor Ort durchgeführt werden. b) Mittelbarer Datenzugriff Der mittelbare Datenzugriff stellt eine Abänderung des Nur-Lesezugriffs 57 in der Form dar, dass die Finanzverwaltung verlangen kann, dass der Steuerpflichtige oder von ihm beauftragte Dritte die Auswertung der Daten vornehmen und dem Prüfer zum Nur-Lesezugriff zur Verfügung stellt.
1 Vgl. §§ 147 Abs. 6, 147 Abs. 1 AO. 2 Vgl. BMF-Schreiben v. 16.7.2001 – IV D 2 - S 0316 – 136/01, I.1. ff., BStBl I 2001, 415. 3 Vgl. FG Rheinland-Pfalz v. 20.1.2005 – 4 K 2167/04, DStRE 2005, 417. Reitsam/Seonbuchner
991
§ 60
Aufbewahrung und Archivierung von Daten
c) Datenträgerüberlassung 58
Die Datenträgerüberlassung ist die weitreichendste Form des Datenzugriffs nach § 147 Abs. 6 AO. Hier hat das Unternehmen die originär steuerrelevanten Daten dem Finanzamt auf einem maschinell verwertbaren Datenträger zur Auswertung zu überlassen. 4. Modernisierung der GoBS und der GDPdU – Einführung der Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff (GoBD)
59
Am 9.4.2013 hat das BMF den Entwurf eines BMF-Schreibens zu den Grundsätzen zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff veröffentlicht1. Dieses BMF-Schreiben fasst im Wesentlichen die 1995 eingeführten GoBS und die seit Anfang 2002 gültigen GDPdU sowie den dazu zuletzt im Januar 2009 aktualisierten Fragenund Antwortenkatalog zum Datenzugriffsrecht der Finanzverwaltung zusammen. Ebenso sollen die bisherigen Regelungen, welche mittlerweile durch die gängige Praxis der Finanzverwaltung bzw. durch die FG konkretisiert wurden, angepasst werden.
60
Eine Modernisierung der bestehenden Regelwerke wurde seitens der Wirtschaft und der Steuerberaterverbände zwar seit Jahren gefordert, jedoch konnte durch den am 9.4.2013 veröffentlichten Entwurf keine wirkliche Zustimmung gefunden werden, da es auch an Mitwirkungsmöglichkeiten fehlte.
61
Nach Veröffentlichung haben der Deutsche Steuerberaterverband e.V. sowie die Bundessteuerberaterkammer (BStBK) zum Entwurf Stellung genommen. Darin bitten sie – neben der bloßen Änderung einzelner Formulierungen oder Ausdrücke – auch um die Überarbeitung bzw. Streichung einzelner Regeln. Nach ihrer Ansicht entsprächen die Regelungen teilweise nicht den modernen betrieblichen Gegebenheiten oder ließen zu viel Interpretationsspielraum, wodurch beim Steuerpflichtigen weiterhin viele Unsicherheiten blieben. Beide Stellungnahmen sehen die in den GoBD vorgeschriebene Zeitspanne zwischen Geschäftsvorfall und Buchung von nur zehn Tagen als praxisfern und nicht sinnvoll an, da durch die starre Grenze die besonderen Unternehmensverhältnisse nicht berücksichtigt werden können. Ebenso wird kritisiert, dass weiterhin die Kontierung der Belege zur Erfüllung der Belegfunktion gefordert wird. Einerseits sei dies nicht zeitgemäß und darüber hinaus ist die Zuordnung von Buchungssatz und Beleg auch ohne Kontierung möglich. Als praxisfern wird auch die weiterhin geforderte Angabe einer eindeutigen Belegnummer sowie des ausführlichen Buchungstexts gesehen. 1 Vgl. Entwurf eines BMF-Schreibens v. 9.4.2013 – IV A 4 – S 0316/13/10003.
992
Reitsam/Seonbuchner
§ 60
IV. Aufbewahrung von Unterlagen auf Datentrgern
Im Zusammenhang mit der Aufbewahrung von Unterlagen ist die ge- 62 plante Verpflichtung zur Aufbewahrung der Anschaffungsbelege bis zum Ende der Nutzungsdauer interessant. Diese Forderung widerspricht dem geforderten Bürokratieabbau und ebenso der geplanten Verkürzung der Aufbewahrungsfristen. Des Weiteren sind sich beide Seiten einig, dass es den modernen Gegebenheiten widerspricht und auch nicht zumutbar ist, vom Steuerpflichtigen zu verlangen, Unterlagen auf eigene Kosten ausgedruckt zur Verfügung zu stellen. Dies sei nicht konsequent in Hinsicht auf die zunehmende Bedeutung der Digitalisierung. Zugleich wird der Regelung, dass das Anbringen von Buchungsvermerken, farblichen Hervorhebungen etc. keinen Einfluss auf die Lesbarmachung des Originalzustands haben darf, Praxisuntauglichkeit attestiert. Die BStBK ist der Meinung, dass es Rechnungsempfängern möglich sein muss, Anmerkungen anzubringen, ohne zusätzlich eine nicht bearbeitete Rechnung speichern zu müssen. Im Zusammenhang mit der Aufbewahrung von Unterlagen fordert die Bundessteuerberaterkammer darüber hinaus einen Positivkatalog, welche originär analogen Dokumente nach dem Scanvorgang vernichtet werden dürfen. Zur Beseitigung von Unsicherheiten würden zudem eine positive Stellungnahme oder verbindliche Auskünfte in Bezug auf die Konformität von DV-Systemen seitens der Finanzverwaltung helfen1. Inwieweit die Anregungen vom Gesetzgeber beherzigt werden, bleibt ab- 63 zuwarten und wird sich mit Erlassen der GoBD herausstellen. 5. Aufbewahrungssysteme a) Anforderung an das Aufbewahrungssystem Die Frage nach dem Aufbewahrungssystem ergibt sich hauptsächlich bei 64 (originär) digitalen Daten. Welche Speichermedien oder -techniken der Steuerpflichtige für die Aufbewahrung und Archivierung anwendet, ist ihm überlassen, sofern sie die steuerrechtlichen Anforderungen erfüllen. So wäre auch die Aufbewahrung der Daten im Produktivsystem, das für die laufende Buchführung genutzt wird zulässig2. Vor allem bei Großunternehmen würde dies aber zur Überlastung der Buchführungssysteme führen. Eine Auslagerung in ein Archiv ist daher erforderlich. Wichtig hierbei ist vor allem, dass durch die Archivierung der Daten deren Auswertbarkeit nicht verloren geht. In den Fragen und Antworten zum Datenzugriffsrecht der Finanzverwaltung werden die Voraussetzungen genannt, unter welchen ein Archivsystem „GDPdU-konform“ ist. Danach
1 Vgl. Stellungnahme S04/13 des Deutschen Steuerberaterverbandes e.V. 2013, Stellungnahme der Bundessteuerberaterkammer 2013. 2 Vgl. Hintemann/Kriesel, Bitkom-Leitfaden zum elektronischen Datenzugriff der Finanzverwaltung 2006, 22. Reitsam/Seonbuchner
993
§ 60
Aufbewahrung und Archivierung von Daten
müssen im Archivierungssystem die gleichen Auswertungen in quantitativer und qualitativer Hinsicht möglich sein wie im Produktivsystem1. 65
Die einfache Ablage der Dokumente auf der Festplatte eines Rechners ist damit diesbezüglich ungenügend. Zur Einhaltung der Vorschriften der GoBS ist meist vielmehr ein funktionales Dokumentenmanagementsystem nötig, da hier die Verknüpfungen zwischen den verschiedenen Datensätzen nachvollzogen werden können2.
66
Wird diese Voraussetzung erfüllt, bleibt dem Unternehmer die Wahl bezüglich der Art der Aufbewahrung und Archivierung. Es sollte jedoch darauf geachtet werden, dass die gewählte Archivierungslösung von verschiedenen Hardware-Typen unterstützt wird und Zukunftssicherheit bietet. Wichtig sind auch eine benutzerfreundliche Gestaltung und eine leichte Installationstechnik3. Eine Zertifizierung der angewandten Aufbewahrungstechniken über die Konformität mit den GDPdUs seitens der Finanzverwaltung ist leider nicht möglich4. b) Worauf ist bei einem Systemwechsel zu achten?
67
Wird im Betrieb des Steuerpflichtigen ein Systemwechsel durchgeführt, z.B. in Form eines anderen ERP- oder auch nur Betriebssystems, muss nach den Vorschriften der GDPdU die maschinelle Auswertbarkeit der seit 2002 bis dato archivierten Daten und Unterlagen weiterhin gesichert sein. Dies bedeutet, dass entweder die Auswertungsmöglichkeit im Altsystem erhalten wird oder die Daten in das neue System eingespeist werden. Für die Übertragung der Altdaten auf die neuen Systeme ist die Rückwärtskompatibilität des neuen Systems Voraussetzung. Dies schränkt die Auswahl der neuen Hard- und Softwarelösung jedoch stark ein. Entscheidet man sich dennoch für diese Variante und die Auswertung im neuen System ist gegeben, kann die alte Hard- und/oder Software entsorgt werden. Ist die maschinelle Auswertbarkeit im neuen System hingegen nicht gegeben, müssen die Altsysteme behalten und in betriebsbereitem Zustand gehalten werden. Dies kann unter Umständen aber zu sehr hohen Kosten führen. Ein vom Quellsystem unabhängiges Auswertungssystem könnte dieses Problem lösen5.
1 Vgl. Fragen und Antworten zum Datenzugriff der Finanzverwaltung 2009, III.12. 2 Vgl. Engelberth, NWB 2010, 2311. 3 Vgl. Hintemann/Kriesel, Bitkom-Leitfaden zum elektronischen Datenzugriff der Finanzverwaltung 2006, 36 ff. 4 Vgl. Fragen und Antworten zum Datenzugriff der Finanzverwaltung 2009, I.17. 5 Vgl. Groß/Matheis/Lindgens, DStR 2003, 925.
994
Reitsam/Seonbuchner
V. Organisationsanweisung als aufbewahrungspflichtiges Dokument
§ 60
V. Organisationsanweisung als aufbewahrungspflichtiges Dokument Wie bereits oben beschrieben können nach § 147 Abs. 2 AO bestimmte 68 Dokumente, welche ursprünglich in Papierform vorliegen, auch digital aufbewahrt werden. Dazu ist es notwendig, diese Dokumente zu scannen. Anschließend können die nunmehr digitalen Dokumente archiviert werden. Die unter den Bestimmungen der GoBS erforderliche Organisationsanweisung über den Scanvorgang muss Angaben über folgende Kriterien enthalten: 1. Wer darf Scannen? 2. Zu welchem Zeitpunkt wird gescannt? 3. Was wird gescannt – welche Art von Dokument? 4. Welche Anforderungen bzgl. § 147 Abs. 2 AO sind einzuhalten? 5. Wie wird die Lesbarkeit und Vollständigkeit kontrolliert? 6. Wie werden mögliche Fehler protokolliert? Folgendes Beispiel zeigt auf, wie eine ordnungsmäßige Scan-Anweisung 69 aussehen kann1. Organisationsanweisung über den Scan-Vorgang der aufbewahrungspflichtigen Dokumente der Eingangspost in der Vertriebsabteilung Zuständigkeit
Die eingehenden, zu scannenden Dokumente werden von einem Mitarbeiter der Fachabteilung gescannt. Der jeweilige Mitarbeiter muss von der Fachabteilung benannt werden. Der ausgewählte Mitarbeiter sowie eine Vertretung muss auf der Organisationsanweisung der einzelnen Abteilung namentlich festgehalten werden.
Welches Schriftgut wird gescannt?
Folgende Dokumente müssen gescannt werden: – eingehende Aufträge bzw. Angebotsbestätigungen, – Reklamationen und sämtliche in diesem Zusammenhang eingehenden Briefe, – unterschriebene Verträge. Die Originale werden anschließend an den jeweiligen Sachbearbeiter weitergegeben.
Zeitpunkt des Scannens
Die Erfassung der o.g. Dokumente durch das Scannen soll unmittelbar nach Posteingang erfolgen.
Bildliche oder inhaltliche Wiedergabe
Da es sich bei den zu scannenden Dokumenten um Handelsbriefe handelt, ist die bildliche Übereinstimmung mit dem Original erforderlich.
1 Eigene Darstellung. Reitsam/Seonbuchner
995
§ 60
Aufbewahrung und Archivierung von Daten
Qualitätskontrolle
Nach dem Einscannen müssen die produzierten digitalen Kopien überprüft werden. Dabei ist zunächst darauf zu achten, ob das Dokument problemlos geöffnet werden kann. Ist dies der Fall muss das Dokument auf Vollständigkeit und Lesbarkeit geprüft werden. Der jeweilige Sachbearbeiter muss darauf achten, ob die Kopie alle Seiten des Originals enthält und ob alle Merkmale lesbar sind. Des Weiteren ist auf die vollständige Farbwiedergabe zu achten. Weist das Dokument Fehler auf, müssen diese im dafür vorliegenden Fehlerbuch protokolliert werden, und das Dokument muss nochmals gescannt werden. Daraufhin ist eine erneute Qualitätskontrolle erforderlich. Im Fehlerbuch sind das fehlerhafte Dokument, der jeweilige Bearbeiter sowie die Art des Fehlers festzuhalten. Des Weiteren muss nach dem nochmaligen Scannen vermerkt werden, ob nun ein fehlerfreies Dokument vorliegt. Ist das Dokument fehlerfrei, erfolgt die weitere Bearbeitung des Geschäftsvorfalles ausschließlich mit der Kopie. Ebenso wird die Kopie über die Dauer der Aufbewahrungsfrist im Archiv aufbewahrt. Das Original kann vernichtet werden.
weitere Informationen
Sobald ein Dokument fehlerfrei eingescannt wurde, darf das Original nicht mehr verändert werden. Wird das Original dennoch verändert muss eine neue Kopie erstellt werden.
996
Reitsam/Seonbuchner
§ 61 Erstellung eines internen Verfahrensverzeichnisses Rz. I. Überblick . . . . . . . . . . . . . . . . . . . . II. Begriffsbestimmungen und Abgrenzungen . . . . . . . . . . . . . . . . 1. Begriff „Automatisiert“ . . . . . . . . 2. Begriff „Verfahren“ . . . . . . . . . . . . 3. Begriff „Verzeichnis“ . . . . . . . . . . 4. Begriff „Zugriffsberechtigte Personen“. . . . . . . . . . . . . . . . . . . . 5. Begriff „Führen“ . . . . . . . . . . . . . . 6. Abgrenzung des Verfahrensverzeichnisses nach § 4e Satz 1 BDSG und nach § 4g Abs. 2 Satz 1 BDSG; Zusammenhang zwischen Meldepflicht und Verfahrensverzeichnis. . . . . . . . . . a) Abgrenzung . . . . . . . . . . . . . . . . b) Zusammenhang zwischen Meldepflicht und Verfahrensverzeichnis . . . . . . . . . . . . . . . . III. Das öffentliche Verfahrensverzeichnis . . . . . . . . . . . . . . . . . . . 1. Mindestinhalte und Abstrahierungen . . . . . . . . . . . . . . . . . . . . . . 2. Form des externen Verfahrensverzeichnisses . . . . . . . . . . . . . . . . 3. Pflicht zur Erstellung . . . . . . . . . . 4. Verfügbarmachungspflicht . . . . . .
1 6 9 13 14 19 22
26 26 29 30 30 32 33 34
Rz. 1. Zielsetzung des internen Verfahrensverzeichnisses . . . . . . . . . . 2. Inhaltliche Anforderungen, Abstraktionsgrad des Verzeichnisses . 3. Form des internen Verfahrensverzeichnisses . . . . . . . . . . . . . . . . 4. Pflicht zur Erstellung . . . . . . . . . . 5. Zugriffs- bzw. Einsichtsrechte . . . V. Vorgehensweise bei der Erstellung und Pflege eines internen Verfahrensverzeichnisses (Projektorganisation) . . . . . . . . . . . 1. Vorlagen, Hilfen und Empfehlungen . . . . . . . . . . . . . . . . 2. Internes Projekt . . . . . . . . . . . . . . . a) Initiierungs- und Planungsphase . . . . . . . . . . . . . . . . . . . . . b) Konzept- und Definitionsphase einschließlich Entwicklung der Tools für die Erstellung . . . c) Entwurfs- und Fertigstellungsphase . . . . . . . . . . . . . . . . . . . . . d) Pflege- und Überwachungsphase . . . . . . . . . . . . . . . . . . . . . 3. Formulierungsbeispiele: MusterTabellenblatt für einen operativen Bereich bzw. eine Unternehmensabteilung . . . . . . . . . . . . .
37 39 44 45 46
48 48 53 55 61 75 84
85
IV. Gesetzliche Vorgaben und Anforderungen an das interne Verfahrensverzeichnis . . . . . . . . . . . . . . . 37
I. Überblick Das Bundesdatenschutzgesetz (BDSG) stellt (mehr oder weniger eindeuti- 1 ge) Anforderungen an den betrieblichen Datenschutz1, der insbesondere die Einhaltung des Datenschutzes bei der betrieblichen Datenerhebung, Datenverarbeitung und Datennutzung (einschließlich Prüfung und Sicherstellung der Rechtmäßigkeit) sowie die technischen und organisatorischen Sicherheitsmaßnahmen zum Gegenstand hat. Daneben gibt es aber eine Reihe von organisatorischen Datenschutz-Compliance-Pflichten, zu denen neben der Bestellung des betrieblichen Beauftragten für den Datenschutz (bDSB) nach § 4f BDSG und ggf. der Meldepflichten nach § 4d BDSG, vor allem die Dokumentationen der Verfahren auto1 Zu den Unsicherheiten vor allem auch im Hinblick auf das interne Verfahrensverzeichnis s. Petri, RDV 2003, 267. Senftner
997
§ 61
Erstellung eines internen Verfahrensverzeichnisses
matisierter Verarbeitungen nach § 4e BDSG (sog. öffentliches oder externes Verfahrensverzeichnis)1 und § 4g Abs. 2 Satz 1 BDSG (internes Verfahrensverzeichnis oder Verfahrensübersicht2 genannt) zählen3. 2
Die Anforderungen an ein externes Verfahrensverzeichnis bzw. besser an den Mindestinhalt sind in § 4e BDSG normiert; gleichwohl ergeben sich im Hinblick auf § 4e BDSG in der Praxis häufig Fragen was den Abstraktionsgrad bzw. die erforderliche Detaillierung der Angaben betrifft. Zum öffentlichen Verfahrensverzeichnis gibt es vergleichsweise viel Literatur, teilweise auch mit konkreten Beispielen für die Darstellung von Verfahren4. Dagegen ist vielen Unternehmen oft sehr unklar, wie ein internes Verfahrensverzeichnis überhaupt praktisch aussehen soll und wie die Erstellung – was gerade in größeren Unternehmen ein viele Monate dauerndes Projekt sein kann – bewerkstelligt werden soll.
3
Angesichts der stetig zunehmenden Datenverarbeitungsvorgänge in Unternehmen ist für ein effizientes IT-Sicherheitsmanagement die Erstellung eines internen Verfahrensverzeichnisses unumgänglich. Das interne Verfahrensverzeichnis besitzt somit nicht nur für die tägliche Praxis betrieblicher Datenschutzbeauftragter Relevanz. Vielmehr ist es als „Basis eines gesetzeskonformen Datenschutzmanagements5“ von erheblicher Bedeutung für die Geschäftsführungsebene, nicht zuletzt wegen der Rechtsfolgen fehlender oder mangelhafter interner Verfahrensverzeichnisse. Wird das Verfahrensverzeichnis nicht oder nicht ordnungsgemäß geführt, können sich für jedes Unternehmen rechtliche Probleme ergeben. Kann ein Unternehmen der Aufforderung der zuständigen Aufsichtsbehörde6, das Verfahrensverzeichnis vorzulegen, nicht innerhalb einer angemessenen Zeitspanne7 nachkommen, so kann dies nicht nur zur Verhängung eines
1 Auch „Jedermanns-Verzeichnis“ genannt, vgl. § 4g Abs. 2 Satz 2 BDSG, s. auch Taeger/Gabel (Hrsg.), BDSG, § 4g Rz. 4. 2 Petri, RDV 2003, 267; Weniger, RDV 2005, 153 (154); Gola/Schomerus, BDSG, § 4g Rz. 23. 3 Die Unterscheidung zwischen „internem Verfahrensverzeichnis“ und „externem Verfahrensverzeichnis“ trifft das Gesetz nur indirekt, indem unterschieden wird, wer welche Teile des Verfahrensverzeichnisses einsehen darf und welche nicht, s. dazu auch Rz. 26. Auch die Begrifflichkeit Verfahrensverzeichnis, Verfahrensübersicht, extern/öffentlich oder intern gibt das Gesetz nicht vor. 4 Däubler/Klebe/Wedde/Weichert, BDSG, § 4e Rz. 2–5; Gola/Schomerus, BDSG, § 4e Rz. 5–13; Plath (Hrsg.), BDSG, § 4e Rz. 6–14; Simitis (Hrsg.), BDSG, § 4e Rz. 4–13; Taeger/Gabel (Hrsg.), BDSG, § 4e Rz. 6–12; Wolff/Brink, BDSG, § 4e Rz. 1–16. 5 Petri, RDV 2003, 267; BITKOM, S. 8. 6 Solche Anfragen der Aufsichtsbehörde werden zumeist von Dritten ausgelöst, die sich an die Aufsichtsbehörde wenden, wenn z.B. eine eigene Anfrage auf Einsichtnahme in das externe Verfahrensverzeichnis vom Unternehmen nicht oder nicht in angemessener Zeit beantwortet wird. 7 Grundsätzlich hat die Geschäftsleitung der verantwortlichen Stelle ihren Auskunftspflichten sogar unverzüglich nachzukommen, vgl. Plath (Hrsg.), BDSG, § 38 Rz. 43.
998
Senftner
§ 61
II. Begriffsbestimmungen und Abgrenzungen
Zwangsgeldes führen. Wie das Urteil des VG Gießen vom 16.7.20041 zeigt, kann die Verarbeitung personenbezogener Daten rechtswidrig sein, wenn eine gesetzlich erforderliche Vorabkontrolle nicht durchgeführt werden konnte, weil das Unternehmen kein ordnungsgemäßes Verfahrensverzeichnis führt. Die rechtmäßige Verarbeitung personenbezogener Daten setzt in vielen Fällen ein ordnungsgemäßes internes Verfahrensverzeichnis voraus. Die Aufsichtsbehörden haben bei der Ausübung ihres Anspruchs auf Ein- 4 sicht des internen Verfahrensverzeichnisses das Recht, Grundstücke und Geschäftsräume der verantwortlichen Stelle durch beauftragte Personen zu betreten und dort Prüfungen und Besichtigungen während der Betriebs- und Geschäftszeiten vorzunehmen2. Die folgenden Ausführungen erläutern im Überblick Begriffsbestimmun- 5 gen, Zielsetzungen, vorgeschriebene und übliche Inhalte sowie insbesondere die Vorgehensweise zur Erstellung und Pflege eines internen Verfahrensverzeichnisses3 und können als Leitfaden in der betrieblichen Praxis dienen.
II. Begriffsbestimmungen und Abgrenzungen Gemäß § 4d Abs. 1 BDSG sind „Verfahren automatisierter Verarbeitun- 6 gen vor ihrer Inbetriebnahme durch nicht-öffentliche verantwortliche Stellen der zuständigen Aufsichtsbehörde nach Maßgabe von § 4e BDSG zu melden“, soweit keine der Ausnahmen nach § 4d Abs. 2 und Abs. 3 BDSG vorliegen. Im Falle des Bestehens der Meldepflicht4, sind gegenüber der Behörde die 7 in § 4e Satz 1 Nr. 1 bis 9 BDSG genannten Angaben zu machen. § 4g Abs. 2 Satz 1 BDSG verpflichtet die verantwortliche Stelle „eine 8 Übersicht über die in § 4e Satz 1 BDSG genannten Angaben sowie über die zugriffsberechtigten Personen zur Verfügung zu stellen“. Auf Antrag hat der bDSB die zur Erfüllung der Meldepflicht erforderlichen Angaben gem. § 4e BDSG „jedermann in geeigneter Weise verfügbar zu machen“, § 4g Abs. 2 Satz 2 BDSG.
1 VG Gießen v. 16.7.2004 – 22 L 2286/04, RDV 2004, 275. 2 Vgl. § 38 Abs. 4 Satz 1 und Satz 2 BDSG; zu den Zutritts- und Einsichtsrechten der Aufsichtsbehörden zur Wahrnehmung ihrer Aufsichtsaufgabe s. auch Plath (Hrsg.), BDSG, § 38 Rz. 50. 3 Die Darstellung erfolgt primär anhand der Anforderungen, die für nicht-öffentliche Stellen gelten. 4 Zum Verhältnis der Meldepflicht zur Pflicht zum Führen eines Verfahrensverzeichnisses s. unten Rz. 29. Senftner
999
§ 61
Erstellung eines internen Verfahrensverzeichnisses
1. Begriff „Automatisiert“ 9
Der Begriff „automatisierte Verarbeitung“ ist in § 3 Abs. 2 BDSG definiert als Erhebung, Verarbeitung oder Nutzung personenbezogener Daten unter Einsatz von Datenverarbeitungsanlagen. Auch wenn der Einzelbegriff „automatisiert“ nicht erläutert ist, kann aus der Verwendung innerhalb des BDSG die Bedeutung „dateigebunden“ abgeleitet werden1.
10
„Automatisiert“ wird zudem in § 1 Abs. 2 Nr. 3 BDSG bei der Regelung des Anwendungsbereichs des BDSG für nicht-öffentliche Stellen aufgeführt, dort aber in Zusammenhang mit „nicht automatisierten Dateien“ verwendet. Auch in § 32 Abs. 2 BDSG wird von der „nicht automatisierten Datei“ gesprochen. Der Anwendungsbereich des BDSG im nicht-öffentlichen Bereich2 wurde u.a. durch die Datenschutznovelle 20093 auch auf herkömmliche Papierakten ausgeweitet, soweit Beschäftigtendaten betroffen sind4.
11
Die Meldepflicht nach § 4e BDSG betrifft nur „Verfahren automatisierter Verarbeitung“. Nach wohl h.M.5 gilt das auch für den Inhalt des öffentlichen Verfahrensverzeichnisses. Fraglich ist, ob man aus der Funktion des internen Verfahrensverzeichnisses (Grundlage und Werkzeug für die Kontrolle durch den bDSB, insbesondere für Vorabkontrollen nach § 4d Abs. 5 BDSG)6 ableiten kann, dass das interne Verfahrensverzeichnis auch umfassen muss: – Verfahren in Bezug auf nicht-automatisierte Dateien nach § 1 Abs. 2 Nr. 3 BDSG und – Verfahren in Bezug auf personenbezogene Beschäftigtendaten, ohne dass sie automatisiert oder in oder aus einer nicht-automatisierten Datei verarbeitet werden (§ 32 Abs. 2 BDSG).
1 Gola/Schomerus, BDSG, § 1 Rz. 22a. 2 Vor den Novellen 2009 war der Anwendungsbereich im nicht-öffentlichen Bereich auf den Umgang mit Daten „in oder aus Dateien“ (d.h. dateigebunden bzw. automatisiert) begrenzt, s. auch Gola/Schomerus, BDSG, § 1 Rz. 22a.; Taeger/ Gabel (Hrsg.), BDSG, § 1 Rz. 21. 3 Gesetz v. 14.8.2009, BGBl. I, 2814, sog. BDSG-Novelle II. 4 Gola/Schomerus, BDSG, § 32 Rz. 7: „Die ansonsten geltende Eingrenzung der Anwendung auf dateigebundene bzw. automatisierte Verarbeitungen wird aufgehoben“. Taeger/Gabel (Hrsg.), BDSG, § 1 Rz. 21 und § 32 Rz. 4: „Die neue Regelung geht auch bei der Definition des Anwendungsbereichs in § 32 Abs. 2 BDSG über die Vorgabe EG-DSRL hinaus. Es werden nun auch Daten erfasst, die nicht unter dem Einsatz von Datenverarbeitungsanlagen oder nicht-automatisierten Dateien verarbeitet werden“; Simitis (Hrsg.), BDSG, § 1 Rz. 135. 5 Simitis (Hrsg.), BDSG, § 4g Rz. 67; Taeger/Gabel (Hrsg.), BDSG, § 4g Rz. 23; Gola/Schomerus, BDSG, § 4g Rz. 23; Bergmann/Möhrle/Herb, BDSG, § 4g Rz. 42; Wolff/Brink, BDSG, § 4g Rz. 26. 6 S. VG Gießen v. 16.7.2004 – 22 L 2286/04, RDV 2004, 275.
1000
Senftner
§ 61
II. Begriffsbestimmungen und Abgrenzungen
Nach wohl überwiegender Ansicht1 – auch wenn dies aus dem Wortlaut 12 der Vorschrift nicht klar wird – muss die „Übersicht“ nach § 4g BDSG alle datenschutzrelevanten Verfahren einbeziehen. § 4g Abs. 2 Satz 1 BDSG verweist zwar auf § 4e Satz 1 BDSG, spricht aber lediglich von den dort genannten Angaben. Das Gesetz sieht also ausdrücklich davon ab, die Einschränkung der Meldepflicht auf automatisierte Verarbeitungen zu übernehmen2. 2. Begriff „Verfahren“ Der Begriff „Verfahren“ wird in § 3 BDSG nicht definiert3, wenn auch in 13 § 3 Abs. 4 BDSG erwähnt. Auch der Gesamtbegriff „Verfahren automatisierter Verarbeitung“ ist im Gesetz nicht näher erläutert. Art. 18 Abs. 1 EG-Datenschutzrichtlinie4 definiert den Gegenstand eines Verfahrens als „die Verarbeitung oder eine Mehrzahl von Verarbeitungen bzw. als eine Gesamtheit von Verarbeitungen zur Realisierung einer oder mehrerer verbundener Zweckbestimmungen“5. Damit ist der Begriff des „Verfahrens“ richtlinienkonform dahingehend zu verstehen, dass nicht jede einzelne Erhebung, Verarbeitung und Nutzung personenbezogener Daten ein eigenständiges Verfahren darstellt6. Verfahren i.S.v. § 4e BDSG sind demnach beispielsweise Arbeitszeiterfassungs-, Personalverwaltungs-, Abrechnungs-, Informations- und Telekommunikationssysteme, Teledienste oder sonstige IT-Systeme. Kennzeichnend ist, dass diese IT-Systeme eine abgegrenzte Struktur von Datenverarbeitungen aufweisen, d.h. die im jeweiligen Verfahren stattfindenden Datenverarbeitungen strukturell einer übergeordneten Sinneinheit zugeordnet werden können7. Gemeldet und damit im externen Verzeichnis gelistet werden müssen somit nur das übergreifende Verfahren bzw. die zusammengefassten Datenverarbeitungsabläufe an sich, nicht gelistet werden muss aber jeder individuelle, einzelne Datenverarbeitungsvorgang8. Dabei ist darauf zu achten, dass die Darstellung des Verfahrens die inhaltlichen Anforderun1 Simitis (Hrsg.), BDSG, § 4g Rz. 67; Taeger/Gabel (Hrsg.), BDSG, § 4g Rz. 23; Gola/Schomerus, BDSG, § 4g Rz. 23; Bergmann/Möhrle/Herb, BDSG, § 4g Rz. 42; Wolff/Brink, BDSG, § 4g Rz. 26. 2 Simitis (Hrsg.), BDSG, § 4g Rz. 67, m.w.N.; Gola/Schomerus, BDSG, § 4g Rz. 23. 3 Plath (Hrsg.), BDSG, § 4d Rz. 6. 4 EU-RL 95/46 EG des Europäischen Parlaments und des Rates v. 24.10.1995; ein Verfahren kann danach eine Vielzahl von Datenverarbeitungs-Dateien umfassen. 5 Plath (Hrsg.), BDSG, § 4d Rz. 6. 6 Taeger/Gabel (Hrsg.), BDSG, § 4d Rz. 13; Plath (Hrsg.), BDSG, § 4d Rz. 6 m.w.N.; Gola/Schomerus, BDSG, § 4d Rz. 9a. 7 Däubler/Klebe/Wedde/Weichert, BDSG, § 4d Rz. 2; Plath (Hrsg.), BDSG, § 4d Rz. 6. 8 Plath (Hrsg.), BDSG, § 4d Rz. 6: „es liegt im Ermessen der verarbeitenden Stelle, welche einzelnen Verarbeitungsvorgänge zu einem Verfahren zusammenzufassen sind; Weniger, RDV 2005, 153 (154); Däubler/Klebe/Wedde/Weichert, BDSG, § 4d Rz. 2. Senftner
1001
§ 61
Erstellung eines internen Verfahrensverzeichnisses
gen des § 4e BDSG erfüllt, mithin u.a. betroffene Personengruppen und Datenweitergaben im Unternehmen benennt. 3. Begriff „Verzeichnis“ 14
Unter einem Verzeichnis wird im allgemeinen Sprachgebrauch eine übersichtliche, meist nach bestimmten Strukturen gegliederte, listenartig darstellbare Anordnung von Informationen verstanden.
15
Das BDSG verwendet den Begriff „Verzeichnis“ etwa in § 29 Abs. 3 BDSG im Zusammenhang mit der Aufnahme personenbezogener Daten in elektronische oder gedruckte Adress-, Rufnummern-, Branchen- oder vergleichbare Verzeichnisse, nicht aber im Regelungszusammenhang mit dem internen Verfahrensverzeichnis. Besondere gestalterische Anforderungen an das „Verzeichnis“ finden sich im Gesetzestext ebenso wenig.
16
Unternehmen gehen die Erstellung eines Verfahrensverzeichnisses häufig so an, dass zunächst das externe Verfahrensverzeichnis auf Basis der inhaltlichen Vorgaben nach § 4e BDSG erstellt wird. Ergebnis ist eine meist in tabellarischer Form und ca. eine bis drei Seiten umfassende Übersicht über die wesentlichen Datenverarbeitungsverfahren1. Dieses Verzeichnis wird von Unternehmen in aller Regel bewusst knapp gehalten, da jedermann auf Anfrage Einsicht nehmen darf. Zu detaillierte Angaben – auch wenn das externe Verfahrensverzeichnis keine Angaben über Sicherheitsmaßnahmen2 enthalten muss – wecken bei den Verantwortlichen oft die Befürchtung, es könnten als vertraulich erachtete Informationen über das Unternehmen an die Öffentlichkeit gelangen.
17
Ausgehend von dem externen Verfahrensverzeichnis entwickeln Unternehmen häufig ein internes Verfahrensverzeichnis, indem sie den bereits erfassten Pflichtangaben nach § 4e BDSG lediglich die nach § 4g Abs. 2 BDSG3 geforderten Informationen über „zugriffsberechtigte Personen“ hinzufügen.
18
Das BDSG gibt nicht vor, dass ein Verfahrensverzeichnis von dem anderen abgeleitet oder aus diesem heraus entwickelt werden muss. Dennoch dürfte es sinnvoll sein, das externe Verfahrensverzeichnis aus dem internen Verfahrensverzeichnis zu entwickeln4. Das interne Verfahrensverzeichnis soll den bDSB in die Lage versetzten, seiner nach § 4g BDSG vorgesehenen Kontrolltätigkeit auch wirklich nachgehen zu können. Dazu ist es erforderlich, dass die automatisierten Datenverarbeitungsverfahren so ausführlich dargestellt werden, dass die Prüfung von neu einzuführenden Datenverarbeitungsverfahren oder die Prüfung der Änderung 1 S. dazu unten Rz. 28. 2 S. dazu unten Rz. 36. 3 Eine allgemeingültige Aussage über den notwendigen Umfang des Verfahrensregisters lässt sich jedoch nur schwer treffen (vgl. auch Möller, Kapitel C IV). 4 BITKOM, S. 11.
1002
Senftner
§ 61
II. Begriffsbestimmungen und Abgrenzungen
bestehender Datenverarbeitungsverfahren möglich wird. Der Detaillierungsgrad ist daher ein anderer als der für die externe Verfahrensübersicht. 4. Begriff „Zugriffsberechtigte Personen“ Der Begriff der „Zugriffsberechtigten Personen“ wird weder in Art. 19 19 EG-Datenschutzrichtlinie noch in § 4e Satz 1 BDSG erwähnt. § 4g Abs. 1 Satz 1 Halbs. 2 BDSG sieht aber für das interne Verfahrensverzeichnis vor, dass das Unternehmen als verantwortliche Stelle zusätzlich zu den Angaben nach § 4e BDSG auch für jedes Verfahren die „Zugriffsberechtigten Personen“ benennt. Unklar ist, ob lediglich Mitarbeiter der verarbeitenden Stelle aufgeführt 20 werden müssen1, oder ob auch Außenstehende und damit ggf. auch Auftragsdatenverarbeiter erfasst werden sollen, die aufgrund gesetzlicher oder vertraglicher Befugnisse eine ständige Möglichkeit des Zugriffs haben2. Fraglich ist in diesem Zusammenhang ferner, ob ausschließlich diejenigen Personen der verantwortlichen Stelle „zugriffsberechtigt sind“, die personenbezogene Daten speichern, ändern oder nutzen (z.B. Auftragsdatenverarbeiter im Rahmen der klassischen Auftragsdatenverarbeitung i.S.d. § 11 BDSG) oder ob auch Personen zu nennen sind, bei denen (z.B. nach § 11 Abs. 5 BDSG im Rahmen der Wartung) eine Zugriffsmöglichkeit zwar nicht auszuschließen ist, aber der Zweck des Zugriffs nicht in der Speicherung, Änderung oder Nutzung von personenbezogenen Daten liegt. Die Festlegung der „Zugriffsberechtigten Personen“ innerhalb des inter- 21 nen Verfahrensverzeichnisses ist von erheblicher Bedeutung3, denn ohne Kenntnis der Zugriffsberechtigten lassen sich Ausmaß und Folgen der Verarbeitung für den bDSB nicht ausreichend abschätzen. In der Praxis besteht häufig ein Widerspruch bzw. Zielkonflikt zwischen Zugriffsberechtigungen auf ein System und Zugriffsberechtigungen auf ein Verfahren. So sind Zugriffsrechte regelmäßig softwareproduktbezogen (z.B. Zugriffsrechte auf das SAP-System bzw. einzelne Module), nicht jedoch „verfahrensbezogen“, woraus sich die Schwierigkeit ableitet, „Verfahren“ in Abgrenzung zu Software (IT- und Kommunikationssystemen) zu identifizieren.
1 So Simitis (Hrsg.), BDSG, § 4g Rz. 69 m.w.N., der die Zugriffsberechtigten von den in § 4e Satz 1 Nr. 6 BDSG erwähnten Übermittlungsempfängern unterscheidet und darunter nur Beschäftigte der verantwortlichen Stelle fasst. 2 So Plath (Hrsg.), BDSG, § 4g Rz. 20 m.w.N.; Bergmann/Möhrle/Herb, BDSG, § 4g Rz. 47; zur Zugriffskontrolle s. Nr. 3 Anlage zu § 9 Satz 1 BDSG. 3 Simitis (Hrsg.), BDSG, § 4g Rz. 66; die „zugriffsberechtigten Personen“ sind namentlich zu benennen, die nur abstrakte Angabe des entsprechenden Arbeitsplatzes oder Dienstpostens ist nicht ausreichend. Senftner
1003
§ 61
Erstellung eines internen Verfahrensverzeichnisses
5. Begriff „Führen“ 22
Der Begriff des „Führens“1 eines Verzeichnisses ist von der Pflicht zur Erstellung und Aktualisierung des Verzeichnisses zu trennen.
23
Führen bedeutet so viel wie „in Verwahrung haben“.
24
Gemäß § 4g Abs. 2 Satz 1 BDSG ist die verantwortliche Stelle verpflichtet, dem bDSB eine Übersicht über die in § 4e Satz 1 BDSG genannten Angaben sowie über die zugriffsberechtigten Personen zur Verfügung zu stellen. Auch wenn nach diesem eindeutigen Wortlaut des BDSG (und entgegen der Überschrift des § 4g BDSG) die Erstellung des Verfahrensverzeichnisses grundsätzlich der verantwortlichen Stelle und gerade nicht dem bDSB obliegt, wird diese Aufgabe in der Praxis sehr oft an den bDSB delegiert2. Dies läuft dem Hauptzweck des Verfahrensverzeichnisses, dem bDSB ein erstes verlässliches Bild der konkreten Verarbeitungsbedingungen als Ausgangspunkt seiner Kontrolltätigkeit zu vermitteln, zuwider3.
25
Hiervon abstrahiert ist das „Führen“ des Verzeichnisses zu betrachten, das in der Tat eine originäre Pflicht des bDSB ist. Dies ist aus § 4g Abs. 2 Satz 2 BDSG ableitbar, da der bDSB die ihm vom Unternehmen zur Verfügung gestellten Informationen i.S.d. § 4e BDSG jedermann in geeigneter Weise verfügbar machen muss und ein Verfügbarmachen sinnvollerweise ein aktuell geführtes Verzeichnis voraussetzt. 6. Abgrenzung des Verfahrensverzeichnisses nach § 4e Satz 1 BDSG und nach § 4g Abs. 2 Satz 1 BDSG; Zusammenhang zwischen Meldepflicht und Verfahrensverzeichnis a) Abgrenzung
26
Auf den ersten Blick scheint sich die Unterscheidung des „externen bzw. öffentlichen Verfahrensverzeichnisses“ nach § 4e Satz 1 BDSG i.V.m. § 4g Abs. 2 Satz 2 BDSG vom „internen Verfahrensverzeichnis“ nach § 4g Abs. 2 Satz 1 BDSG nur darauf zu beschränken, dass nach dem Gesetz im internen Verzeichnis neben den Angaben des externen Verzeichnisses noch die Zusatzangaben der „zugriffsberechtigten Personen“ (s. Rz. 19 ff.) zu nennen sind4.
1 Das BDSG verwendet diese Begrifflichkeit nicht, hingegen aber Art. 18 Abs. 2 der EU-RL 95/46 EG des Europäischen Parlaments und des Rates v. 24.10.1995. 2 Simitis (Hrsg.), BDSG, § 4g Rz. 60; Plath (Hrsg.), BDSG, § 4g Rz. 23; Däubler/ Klebe/Wedde/Weichert, BDSG, § 4g Rz. 19; Taeger/Gabel (Hrsg.), BDSG, § 4g Rz. 21. 3 Simitis (Hrsg.), BDSG, § 4g Rz. 60; Möller, Kapitel C IV. 4 Auch wenn Angaben zu zugriffsberechtigten Personen und zu technischen und organisatorischen Sicherheitsmaßnahmen beim internen Verfahrensverzeichnis nicht zugänglich zu machen sind.
1004
Senftner
§ 61
II. Begriffsbestimmungen und Abgrenzungen
Faktisch sind beide Verzeichnisse aber sehr unterschiedlich1. Das BDSG 27 trifft zwar keine Aussage zum Detaillierungsgrad der Angaben in den Verzeichnissen oder der Verfahrensverzeichnisse selbst. Die unterschiedlichen Zweckrichtungen des öffentlichen Verfahrensverzeichnisses einerseits (Transparenz von unternehmensinternen Datenverarbeitungsprozessen2, Verfügbarmachung für jedermann3 unabhängig davon, ob das Unternehmen personenbezogene Daten des Anfragenden überhaupt verarbeitet) und des internen Verfahrensverzeichnisses andererseits (betriebsinterne Selbstkontrolle, Bedingung für Vorabkontrolle4 und Grundlage für sonstige Prüf- und Kontrolltätigkeit durch den bDSB), wie auch die unterschiedlichen Einsichtsrechte5, zeigen jedoch, dass es eine Differenzierung beim Detaillierungsgrad geben muss. In der Praxis geht damit oft ein Zielkonflikt einher, zwischen den zur Verschwiegenheit6 verpflichteten bDSBen, die eine hohe Detaillierung und Spezifikation der Verzeichnisse wünschen und den Unternehmensleitungen, die den Detaillierungsgrad mit dem Geheimnisschutz und der Informationssicherheit des Unternehmens abwägen müssen. Im Gegensatz zum öffentlichen Verzeichnis, in dem die Angaben zu den 28 Verfahren und verantwortlichen Personen in einem Hauptblatt zusammengefasst werden, werden die Angaben in einem internen Verfahrensverzeichnis in der Regel je Einzelverfahren bzw. je operativem Unternehmensbereich aufgeführt. b) Zusammenhang zwischen Meldepflicht und Verfahrensverzeichnis Das BDSG geht gem. § 4e BDSG im Grundsatz von der Meldepflicht aus, 29 d.h. dass Unternehmen verpflichtet sind, Verfahren automatisierter Verarbeitungen vor ihrer Inbetriebnahme der zuständigen Aufsichtsbehörde zu melden. Die Meldepflicht entfällt zwar, wenn das Unternehmen einen bDSB bestellt hat. Das Unternehmen bleibt jedoch auch bei Entfallen der Meldepflicht dazu verpflichtet, die Angaben aus § 4e BDSG zu erheben und zu dokumentieren. Darüber hinaus obliegt es den Unternehmen auch in diesen Fällen – trotz des Vorliegens einer Ausnahme von der Meldepflicht – ein internes wie auch ein externes Verfahrensverzeichnis zu führen7. Dies kommt auch in § 4g Abs. 2a BDSG zum Ausdruck, wonach der Leiter der verantwortlichen Stelle die Aufgaben nach § 4g Abs. 2 Satz 1 und Satz 2 BDSG zu übernehmen hat, d.h. eine ent1 S. auch Plath (Hrsg.), BDSG, § 4g Rz. 24. 2 BITKOM, S. 10; BfDI, Datenschutz-Wiki, s. Einleitung. 3 S. auch § 38 Abs. 2 BDSG, wonach das von der Aufsichtsbehörde zu führende Register der nach § 4d meldepflichtigen automatisierten Verarbeitungen mit den Angaben nach § 4e Satz 1 BDSG von jedem eingesehen werden kann. 4 Weniger, RDV 2005, 153 (156). 5 S. dazu Rz. 34 (für das öffentliche Verfahrensverzeichnis) und Rz. 46 f. (für das interne Verfahrensverzeichnis). 6 S. § 4f Abs. 4 BDSG. 7 Vgl. § 4g Abs. 2 i.V.m. § 4d Abs. 2 BDSG; s. auch BITKOM, S. 9. Senftner
1005
§ 61
Erstellung eines internen Verfahrensverzeichnisses
sprechende Übersicht führen und zur Einsicht bereithalten muss, selbst wenn keine Pflicht zur Bestellung eines bDSB besteht.
III. Das öffentliche Verfahrensverzeichnis 1. Mindestinhalte und Abstrahierungen 30
Den Mindestinhalt des öffentlichen Verfahrensverzeichnisses definiert § 4e Satz 1 BDSG. Danach muss das öffentliche Verfahrensverzeichnis mindestens die folgenden Angaben umfassen1: Die Offenlegung der für die Verarbeitung personenbezogener Daten verantwortlichen Stellen und Personen (Name und Anschrift), die Zweckbestimmung der Verarbeitung, die betroffenen Personengruppen, die betroffenen Daten bzw. Datenkategorien, die Empfänger der Daten, die Regelfristen für die Löschung der Daten, geplante Datenübermittlungen in Drittstaaten sowie eine allgemeine Beschreibung zur Prüfung der Maßnahmen nach § 9 BDSG. Entsprechend der Zielsetzung des externen Verzeichnisses als „Jedermanns-Verzeichnis“ und im Hinblick darauf, dass die genannten gesetzlichen Vorgaben lediglich Mindestinhalte definieren, gewährt das externe Verzeichnis nur einen groben Überblick über die Gesamtheit der Verfahren eines Unternehmens. Die Verfahren werden in der Regel zwar einzeln benannt, sind jedoch hinsichtlich der Verarbeitungsmethoden summarisch bzw. gruppenartig beschrieben2.
31
Das externe wie auch das interne Verzeichnis enthalten keine Angaben über die konkret gespeicherten Datensätze. 2. Form des externen Verfahrensverzeichnisses
32
Die äußere Form des externen bzw. öffentlichen Verfahrensverzeichnisses ist gesetzlich nicht vorgegeben. Die Form kann vom Ersteller daher frei gewählt werden. 3. Pflicht zur Erstellung
33
Die Erstellpflicht tritt ab dem Zeitpunkt ein, ab dem beabsichtigt wird, (ein) Verfahren automatisierter Verarbeitung(en) in Betrieb zu nehmen, § 4d Abs. 1 BDSG, d.h. vor der tatsächlichen Inbetriebnahme. 4. Verfügbarmachungspflicht
34
Gemäß § 4g Abs. 2 Satz 2 BDSG sind die Angaben gem. § 4e Satz 1 Nr. 1 bis 8 BDSG in dem Verfahrensverzeichnis auf „Antrag jedermann in geeigneter Weise verfügbar zu machen“. Nähere Angaben trifft das Gesetz 1 S. dazu ausführlicher unter Rz. 39 ff. 2 BITKOM, S. 12.
1006
Senftner
§ 61
IV. Gesetzliche Vorgaben und Anforderungen
nicht. So bleiben Art und Weise der Veröffentlichung des Verzeichnisses der verantwortlichen Stelle überlassen. Als mögliche Veröffentlichungswege kommen neben einer mündlichen Auskunft oder Einsichtnahme vor Ort sowohl die Veröffentlichung im Internet als auch die schriftliche Weitergabe auf Anfrage (z.B. in Form eines Formulars)1 in Betracht. Zu erwähnen ist hierbei, dass der Begriff „zur Verfügung stellen“ nicht über ein Einsichtsrecht hinausgeht. Das Recht auf elektronische Zusendung ist folglich davon nicht umfasst, d.h. der Interessent kann nicht verlangen, dass ihm die Angaben übermittelt werden, so dass er sie per Internet abrufen kann. Nachdem die Informationspflicht nur das Informationsrecht (Einsichtsrecht) des § 38 Abs. 2 Satz 2 BDSG ersetzen soll, ist die Verfügbarkeit auch durch Gewährung der Einsichtnahme gegeben. Es bleibt also im Ergebnis dem bDSB überlassen, wie er das Verzeichnis zur Verfügung stellt bzw. „verfügbar macht“. Einen Anspruch auf Verfügbarmachung hat aber „jedermann“, d.h. nicht 35 nur der Betroffene selbst, sondern jede natürliche Person, die den Zugang begehrt2. Ein berechtigtes Interesse muss nicht nachgewiesen werden und die verantwortliche Stelle darf den Nachweis eines solchen auch nicht fordern. Ebenso wie für das Melderegister gem. § 38 Abs. 2 BDSG ist die Einsicht 36 in die Angaben über die technischen und organisatorischen Maßnahmen nach § 4e Satz 1 Nr. 9 BDSG beim öffentlichen Verfahrensverzeichnis ausgeschlossen.
IV. Gesetzliche Vorgaben und Anforderungen an das interne Verfahrensverzeichnis 1. Zielsetzung des internen Verfahrensverzeichnisses Das interne Verfahrensverzeichnis dient dem bDSB als Voraussetzung 37 und Vorbereitung zur Aufgaben- und Pflichterfüllung und soll dem bDSB hierzu einen umfassenden Überblick über die Struktur der in einem Betrieb eingesetzten Datenverarbeitungshardware und -software verschaffen3. Denn erst die Bestandsaufnahme der eingesetzten IT-Systeme und vorhandenen Geschäftsprozesse bzw. automatisierten Verarbeitungen ermöglicht eine Gesamtbetrachtung und die Sicherung der Gesetzeskonformität aller Datenverarbeitungsvorgänge4. Ziel des internen Verzeich1 BITKOM, S. 12. 2 Das Gesetz baut aber drei generell geltende Sperren auf: Die Antragsverpflichtung, die sehr weite Regelung der Verfügbarmachung in „geeigneter Weise“ und den Ausschluss der „Angaben zur Datensicherheit“ (§ 4e Satz 1 Nr. 9) von der Bekanntmachungspflicht, s. Simitis (Hrsg.), BDSG, § 4g Rz. 73 ff. 3 S. dazu auch Rz. 27. 4 BITKOM, S. 8. Senftner
1007
§ 61
Erstellung eines internen Verfahrensverzeichnisses
nisses ist es, dem bDSB eine Dokumentation zur Verfügung zu stellen, die darüber Auskunft gibt, welche personenbezogenen Daten unter Verwendung welcher automatisierten Verfahren auf welche Weise verarbeitet oder genutzt werden und welche technischen und organisatorischen Maßnahmen zur Gewährleistung des Datenschutzes getroffen wurden. 38
Mit dem Verzeichnis soll folglich innerhalb der verantwortlichen Stelle Transparenz bei der Verarbeitung personenbezogener Daten geschaffen werden. Auch unterstützt das interne Verfahrensverzeichnis die verantwortliche Stelle bei der Erteilung von Auskünften gegenüber Betroffenen und den Aufsichtsbehörden, gibt es doch den aktuellen Umfang personenbezogener Datenverarbeitung wieder. Zudem ist das Verfahrensverzeichnis für die Datenschutzaufsichtsbehörde die erste Anlaufstelle bei Vorort-Besuchen. 2. Inhaltliche Anforderungen, Abstraktionsgrad des Verzeichnisses
39
Wie bereits unter Rz. 30 f. geschildert, ergeben sich die gesetzlichen Mindestinhalte – auch für das interne Verfahrensverzeichnis – aus § 4e BDSG.
40
Das Verzeichnis muss zumindest folgende Angaben enthalten1: a) Name oder Firma der verantwortlichen Stelle: Zu listen ist der vollständige Name, d.h. Vor- und Zuname bei natürlicher Person bzw. Firma, Handelsregisternummer und Registergericht bei einer juristischen Person/einem Kaufmann; b) Inhaber, Vorstände, Geschäftsführer oder sonstige gesetzliche oder nach der Verfassung des Unternehmens berufene Leiter und die mit der Leitung der Datenverarbeitung beauftragten Personen: Zu nennen sind die geschäftsleitenden Personen sowie die EDV-Leiter; c) Anschrift der verantwortlichen Stelle; d) Zweckbestimmungen der Datenerhebung, -verarbeitung oder -nutzung: Davon ist der Geschäftszweck der verantwortlichen Stelle gemäß Satzung oder Gesellschaftsvertrag sowie der Zweck der eigentlichen Datenverarbeitung umfasst. Hier kann auf die Struktur der §§ 28 bis 30 BDSG zurückgegriffen werden, die nach „eigenen Zwecken“, „geschäftsmäßigen Zwecken“ und „geschäftsmäßigen Zwecken aber anonymisierte Übermittlung“ unterscheiden2;
1 S. hierzu auch das Tabellenblatt leer für einen operativen Bereich als Beispiel unter Ziff. V 3. 2 Simitis (Hrsg.), BDSG, § 4e Rz. 7; Plath (Hrsg.), BDSG, § 4e Rz. 7–9.
1008
Senftner
§ 61
IV. Gesetzliche Vorgaben und Anforderungen
e) Beschreibung der betroffenen Personengruppen und der diesbezüglichen Daten oder Datenkategorien: Anzugeben ist die Art der Personengruppen (z.B. Kunden, Lieferanten, Mitarbeiter, Auftraggeber, Kreditnehmer etc.) sowie der typischen Daten und Datenarten (z.B. Name, Adresse, Telefonnummer, E-MailAdresse, Konto-Nr., Personal-Nr., Geburtsdatum, Einkommen, Beruf und insbesondere auch sensible Daten oder besondere Arten personenbezogener Daten i.S.d. § 3 Abs. 9 BDSG (wie z.B. Gesundheitsdaten); f) Empfänger oder Kategorien von Empfängern, denen die Daten mitgeteilt werden können: Empfänger ist jeder, der Daten erhält, vgl. § 3 Abs. 8 Satz 1 BDSG, d.h. alle Geschäftspartner der verantwortlichen Stelle, auch Dritte, der Betroffene sowie Auftragnehmer im Inland und EWR-Ausland1. Mitteilung bedeutet dabei „Übermittlung“ i.S.v. § 3 Abs. 4 Satz 2 Nr. 3 BDSG2; g) Regelfristen für die Löschung der Daten: Zu nennen sind Löschkonzepte und Löschfristen, d.h. Fristen, nach denen die Daten bei sog. abgeschlossenen Fällen (§ 35 Abs. 2 Satz 2 BDSG) zu sperren oder löschen sind, z.B. wenn die Kenntnis der Daten zur Zweckerfüllung nicht mehr erforderlich ist3. Dabei sind gesetzliche, satzungsmäßige und vertragliche Aufbewahrungsfristen4 zu beachten, § 35 Abs. 3 Nr. 1 BDSG. Zu berücksichtigen ist, dass die Fristen u.U. für eine Datenart unterschiedlich sein können. Sie sind daher je nach Zweck der Einzelanwendung zu bestimmen; h) eine geplante Datenübermittlung in Drittstaaten: Bei einer Datenübermittlung ist grundsätzlich zu unterscheiden zwischen einer Übermittlung im Inland, innerhalb oder außerhalb der EU/ des EWR und einer Übermittlung in Drittstaaten. Zu differenzieren ist sodann in einem zweiten Schritt, ob in dem Drittstaat ein angemessenes Datenschutzniveau herrscht (z.B. in der Schweiz oder in Ungarn) oder nicht (z.B. USA oder Japan). Im Negativfall hängt die Zulässigkeit der Datenübermittlung von der Genehmigung der Aufsichtsbehörde nach § 4c Abs. 2 BDSG ab;
1 Bergmann/Möhrle/Herb, BDSG, § 4e Rz. 1; Plath (Hrsg.), BDSG, § 4e Rz. 11; Simitis (Hrsg.), BDSG, § 4e Rz. 10. 2 Bergmann/Möhrle/Herb, BDSG, § 4e Rz. 12. 3 Bergmann/Möhrle/Herb, BDSG, § 4e Rz. 13; Simitis (Hrsg.), BDSG, § 4e Rz. 11; Plath (Hrsg.), BDSG, § 4e Rz. 12. 4 Aufbewahrungsfristen ergeben sich insbesondere aus handels- und steuerrechtlichen Vorgaben des Handelsgesetzbuches (insbesondere §§ 238, 257, 325 (2a) HGB) und der Abgabenordnung (insbesondere § 147 AO). Senftner
1009
§ 61
Erstellung eines internen Verfahrensverzeichnisses
i) eine allgemeine Beschreibung, die es ermöglicht, vorläufig zu beurteilen, ob die Maßnahmen nach § 9 zur Gewährleistung der Sicherheit der Verarbeitung angemessen sind: Diese Beschreibung soll die Aufsichtsbehörde in die Lage versetzen, nachprüfen zu können, ob die Maßnahmen auf der Grundlage eines Sicherungskonzeptes festgelegt wurden, ob vorher eine Risikoanalyse vorgenommen wurde und ob die Maßnahmen angemessen sind1. 41
Im internen Verfahrensverzeichnis sind zusätzlich (zu den Angaben im öffentlichen Verzeichnis) für jedes Verfahren jeweils Informationen zu den zugriffsberechtigten Personen, zur Datenherkunft, zu Auftragsdatenverarbeitungen i.S.d. § 11 BDSG, zur Rechtsgrundlage der Verarbeitung (Verarbeitungsverbot mit Erlaubnisvorbehalt)2, zu Berechtigungskonzepten3 sowie detaillierte Angaben zu den getroffenen Datenschutzmaßnahmen bzw. zur Umsetzung der technischen und organisatorischen Maßnahmen i.S.v. § 9 BDSG und der dazugehörigen Anlage zu erfassen (vgl. § 4e Satz 1 Nr. 9 i.V.m. § 4g Abs. 1 Satz 1 BDSG im Gegensatz zu § 4g Abs. 1 Satz 2 BDSG, der sich nur auf § 4e Satz 1 Nr. 1 bis 8 BDSG bezieht)4. Die Anlage zu § 9 BDSG nennt die nachfolgenden Gruppen technischer und organisatorischer Sicherheitsmaßnamen5: Maßnahmen zur Zutrittskontrolle (Verhinderung des unbefugten Zutritts zu Datenverarbeitungsanlagen/Räumen/Gebäuden), Zugangskontrolle (Verhinderung des unbefugten Zugangs zu Datenverarbeitungssystemen), Zugriffskontrolle (Verhinderung des unbefugten Zugriffs auf/der unbefugten Nutzung von Datenverarbeitungssystemen), Weitergabekontrolle (Verhinderung der unbefugten Weitergabe personenbezogener Daten), Eingabekontrolle (Prüfbarkeit/Rückverfolgbarkeit der Eingabe, Veränderung oder Löschung personenbezogener Daten), Auftragskontrolle (Durchführung von § 11 BDSG), Verfügbarkeitskontrolle (Sicherstellung der Verfügbarkeit personenbezogener Daten) sowie das Zwecktrennungsgebot (Sicherstellung der Datentrennung bei unterschiedlicher Zweckbestimmung).
42
Natürlich kann die verantwortliche Stelle der oder dem Datenschutzbeauftragten darüber hinaus weitere Informationen zu einzelnen Datenverarbeitungsverfahren zur Verfügung stellen, die über die gesetzlichen Anforderungen des § 4e BDSG weit hinausgehen können. Solche ergänzenden Angaben sind betriebsinterne Informationen, bei denen ein Anspruch auf Einsichtnahme durch Außenstehende nicht besteht6. 1 Bergmann/Möhrle/Herb, BDSG, § 4e Rz. 15; Plath (Hrsg.), BDSG, § 4e Rz. 14; Simitis (Hrsg.), BDSG, § 4e Rz. 13. 2 BITKOM, S. 14; Weniger, RDV 2005, 153 (155). 3 BITKOM, S. 14; Taeger/Gabel (Hrsg.), BDSG, § 4e Rz. 3; Weniger, RDV 2005, 153 (155). 4 BITKOM, S. 14. 5 S. dazu ausführlich bei Simitis (Hrsg.), BDSG, § 9 Rz. 68 bis 163. 6 BfDI, Datenschutz-Wiki.
1010
Senftner
§ 61
IV. Gesetzliche Vorgaben und Anforderungen
Auch wenn die Art der Angaben gesetzlich vorgegeben ist, bleibt unklar, 43 welchen Umfang die erforderlichen Angaben haben müssen. Es empfiehlt sich, den Abstraktionsgrad an der Komplexität der Verfahren, der Größe des Unternehmens und der Zielsetzung des Verzeichnisses zu orientieren. Werden zu viele Details aufgenommen, besteht die Gefahr, dass das Verfahrensverzeichnis zu unübersichtlich und damit schwer handhabbar wird. Eine zu geringe Informationsdichte gefährdet den Zweck des internen Verfahrensverzeichnisses (Informationsmittel und Grundlage der Analyse-, Prüf- und Kontrollaufgaben des bDSB). 3. Form des internen Verfahrensverzeichnisses Für die äußere Form des internen Verfahrensverzeichnisses existieren 44 ebenfalls keine gesetzlichen Vorgaben. Das Verzeichnis kann sowohl in Papierform als auch in elektronischer Form erstellt und geführt werden, wobei ein elektronisches Verzeichnis zwecks einfacherer Aktualisierbarkeit zu empfehlen ist (s. Rz. 84). 4. Pflicht zur Erstellung Die Erstellpflicht tritt auch beim internen Verfahrensverzeichnis ab dem 45 Zeitpunkt ein, ab dem beabsichtigt wird, (ein) Verfahren automatisierter Verarbeitung(en) in Betrieb zu nehmen, § 4e BDSG, d.h. bereits vor der tatsächlichen Inbetriebnahme. 5. Zugriffs- bzw. Einsichtsrechte Einsichtsrechte in das interne Verfahrensverzeichnis haben jedenfalls der 46 bDSB, der zur Geheimhaltung verpflichtet ist (§ 4f Abs. 4 BDSG) sowie die Datenschutzbehörden. So ist – wie vorstehend beschrieben – insbesondere bei Betriebsprüfungen das interne Verfahrensverzeichnis auf Anfrage vorzulegen, um die Pflicht nach § 4g Abs. 1 BDSG zu erfüllen. In der Regel ist der Ersteller des Verfahrensverzeichnisses bei der Erstellung auf die Mitarbeit der Leiter der operativen Bereiche bzw. der Personen, die zur Mitarbeit und Unterstützung abgestellt werden, angewiesen. Folglich werden neben den eingangs genannten Einsichtsberechtigten auch diese Personen Einblick in die sie betreffenden Verfahren (das Verzeichnis ist in der Regel abteilungsweise gegliedert) erhalten. Wem die Geschäftsführer der verantwortlichen Stelle darüber hinaus 47 Einsichtsrechte gewähren bzw. wem die verantwortliche Stelle darüber hinaus Einsichtsrechte gewährt, liegt in der alleinigen Entscheidung des Geschäftsführers bzw. der verantwortlichen Stelle.
Senftner
1011
§ 61
Erstellung eines internen Verfahrensverzeichnisses
V. Vorgehensweise bei der Erstellung und Pflege eines internen Verfahrensverzeichnisses (Projektorganisation) 1. Vorlagen, Hilfen und Empfehlungen 48
Auch wenn es nur sehr wenig Literatur und wenig konkrete gesetzliche Vorgaben zur Ausgestaltung eines internen Verfahrensverzeichnisses gibt, sind im Internet zahlreiche Muster und Vorlagen für Verfahrensverzeichnisse auffindbar, deren Verwertbarkeit jedoch im Einzelfall zu prüfen ist. Da es bei der Erstellung der Verzeichnisse darauf ankommt, dass die Angaben eine hinreichende Aussagekraft besitzen und das (gesetzlich) erforderliche Maß an Präzision erfüllt wird, sind die verfügbaren Muster und Vorlagen aufgrund ihrer Abstraktheit oft nicht brauchbar. Mithin bieten diese Vorlagen regelmäßig keine Anleitung zur Erstellung von Verfahrensverzeichnissen bzw. zur genauen Vorgehensweise bei der Erstellung eines Verfahrensverzeichnisses, worin in der Praxis aber die größte Hürde zu sehen ist.
49
Als Hilfestellung für kleinere und mittlere Unternehmen haben die Datenschutzaufsichtsbehörden Formulare und Hinweise für die Erstellung des internen Verfahrensverzeichnisses entwickelt1.
50
Als sinnvolles Hilfsmittel können ggf. auch Verfahrensbeschreibungen von Auftragsdatenverarbeitern dienen, vorausgesetzt, dass Dritte als Auftragsdatenverarbeiter gem. § 11 BDSG (z.B. DATEV) für die verantwortliche Stelle tätig werden. In diesem Fall ist das Verfahren im Verfahrensverzeichnis aufzunehmen (s. oben Ziff. IV.2). Die zur Verfügung gestellten Verfahrensbeschreibungen sind dem Verfahrensverzeichnis nur noch anzupassen und beizufügen2.
51
Mittlerweile sind auch verschiedene elektronische Lösungen3 für die Erstellung und Führung eines Verfahrensverzeichnisses verfügbar. Die Entscheidung, solche Lösungen zu nutzen oder alternativ beispielsweise das Verzeichnis auf Papier in einem einfachen Ordner zu führen, liegt beim Ersteller.
52
Die Erfahrung hat gezeigt, dass die Erstellung eines individuellen Verfahrensverzeichnisses unter Berücksichtigung unternehmensspezifischer Kennzeichen (z.B. Unternehmensgröße, Anzahl, Umfang und Komplexität der Verfahren, Anzahl der operativen Bereiche etc.) sehr gut unter Verwendung von Excel bewerkstelligt werden kann, ohne dass hierfür unter1 Petri, RDV 2003, 267 (269) m.w.N.; so auch Möller, Kapitel C IV zu den Mustern auf www.datenschutz.de. 2 Möller, Kapitel C IV. 3 S. die Übersicht bei BITKOM, S. 26 mit detaillierten Analysen der Tools: BDSG Basic von Demal GmbH; DPROREG von Software Objects GmbH; DSBbrain 2000 von Black Brain Medien Dienste und MaVLight von Weisser + Böhle GmbH; ferner gibt es das Excel-Tool „Verfahrensverzeichnis-Manager“ von Weka Media GmbH & Co. KG.
1012
Senftner
§ 61
V. Vorgehensweise bei der Erstellung und Pflege
stützende Programme erforderlich wären. Ein Verzeichnis im Excel-Format, bestehend aus mehreren einzelnen Tabellenblättern (zumindest je eines für jedes Verfahren mit ggf. unterschiedlichen farblichen Markierungen), bietet den Vorteil, dass Änderungen schnell und einfach eingearbeitet werden können und erleichtert damit die Pflege des Verfahrensverzeichnisses. 2. Internes Projekt Angesichts des nicht zu unterschätzenden inhaltlichen wie auch zeitli- 53 chen Aufwandes, den die Erstellung eines internen Verfahrensverzeichnisses erfordert, ist es sinnvoll, für die Erstellung ein Projekt aufzusetzen. Das Projekt „Erstellung eines internen Verfahrensverzeichnisses“ kann 54 in vier Projektphasen gegliedert werden: Die Initiierungs- und Planungsphase, die Konzept- und Definitionsphase, die Entwurfs- und Fertigungsphase sowie die Pflege- und Überwachungsphase. In allen Phasen hat der Ersteller darauf zu achten, dass er die Mitwirkenden (die in der Regel die gesetzlichen Grundlagen des internen Verfahrensverzeichnisses nicht kennen) ausreichend unterstützt, informiert und für Rückfragen zur Verfügung steht. a) Initiierungs- und Planungsphase Am Beginn des Projektes sollte eine Initiierungs- und Planungsphase ste- 55 hen. Ziel der Initiierungs- und Planungsphase ist der Entwurf eines groben schriftlichen Projektplans in Abstimmung mit der Unternehmensleitung, der sowohl die nachfolgenden, durchzuführenden Projektschritte und -phasen, als auch einen groben Zeit- und Budgetplan umfasst. Unabhängig davon, ob das Verzeichnis von einer externen (z.B. externer 56 Datenschutzbeauftragter) oder internen Stelle (z.B. bDSB) gefertigt wird, sind Geschäftsführung/Geschäftsleitung, Abteilungsleiter bzw. Leiter der operativen Bereiche (insbesondere auch der Leiter der Rechtsabteilung) sowie – falls bestellt und im Falle eines externen Erstellers – der bDSB frühzeitig, d.h. bereits bei Start der Initiierungs- und Planungsphase in das Projekt einzubinden. Diese Personen bilden das engere Projektteam. Da die Erstellung des internen Verzeichnisses in Unternehmen oft nachrangig zum operativen Geschäft eingestuft wird, der Ersteller jedoch maßgeblich auf die Mitwirkung und Unterstützung der Mitarbeiter der verantwortlichen Stelle angewiesen ist, ist es für eine effektive Durchführung des Projekts unumgänglich, das engere Projektteam vor Durchführung der nächsten Projektschritte in angemessenem Umfang über das Projekt in Kenntnis zu setzen und entsprechend zu informieren und sensibilisieren.
Senftner
1013
§ 61
Erstellung eines internen Verfahrensverzeichnisses
57
Die Informationen sollen insbesondere den datenschutzrechtlichen Hintergrund, sonstige relevante gesetzliche Anforderungen, das Ziel des Projektes sowie die vorläufige Beschreibung des Projektinhalts und -umfangs umfassen.
58
Mangelnde Kenntnis der Bedeutung des Verfahrensverzeichnisses bzw. der datenschutzrechtlichen Grundlagen und/oder die entstehende Zusatzarbeit für die verantwortlichen Personen reduzieren die Bereitschaft der Mitarbeiter zur Mitwirkung, weshalb die Sensibilisierung von erheblicher Bedeutung für den Projekterfolg ist.
59
Für die Erstellung des internen Verfahrensverzeichnisses sollte ein Zeitraum von mehreren Monaten eingeplant werden. Es sind realistische Meilensteine vorzusehen, die mit den Abteilungsleitern im Vorfeld abzustimmen sind.
60
Liegt ein abgestimmter und freigegebener grober Projekt-, Zeit- und Budgetplan vor, kann mit der Konzept- und Definitionsphase begonnen werden. b) Konzept- und Definitionsphase einschließlich Entwicklung der Tools für die Erstellung
61
Die Konzept- und Definitionsphase setzt sich aus den folgenden Projektschritten zusammen: Allgemeine Informationssammlung im engeren Projektteam (nur erforderlich bei externen Erstellern), Festlegung der operativen Bereiche und Verantwortlichkeiten, Erstellung eines detaillierten Projekt- und Zeitplans, Information und Sensibilisierung aller Projektbeteiligten und verantwortlichen Personen, Entwurf von Checklisten sowie Vorbereitung von Interviews.
62
Schritt 1 (für externe Ersteller): Sammlung allgemeiner, unternehmensbezogener Informationen. Sofern die Erstellung des Verzeichnisses von einer externen Person (z.B. externer Rechtsanwalt oder externer Datenschutzbeauftragter) vorgenommen wird, ist die Sammlung allgemeiner unternehmensbezogener Informationen (z.B. welche operativen Bereiche gibt es, wie groß ist der Mitarbeiterstamm, an welchen Unternehmensstandorten ist das Unternehmen tätig, welche vorhandenen datenschutzrelevanten Unterlagen sind verfügbar etc.) zu Beginn des Projektes unerlässlich. Denn üblicherweise hat die externe Person keinen Einblick in alle datenschutzrelevanten Verfahren des Unternehmens. Die Sammlung dieser allgemeinen Informationen kann mittels telefonischer oder persönlicher Einzelgespräche oder alternativ mittels eines einführenden Workshops erfolgen.
63
Bei Abschluss dieses Projektschrittes sollte der externe Ersteller über alle allgemeinen, unternehmensbezogenen Informationen verfügen, die er zur Erstellung des detaillierten Projekt- und Zeitplans und zur Bestimmung der verantwortlichen Personen, Ansprechpartner und sonstigen 1014
Senftner
§ 61
V. Vorgehensweise bei der Erstellung und Pflege
Projektbeteiligten benötigt. Auf Basis dieser Informationen sind sodann die nächsten Projektschritte durchzuführen. Schritt 2: Festlegung der einzubeziehenden operativen Bereiche. Im 64 nächsten Schritt sind die operativen Bereiche des Unternehmens zu definieren, die in die Erstellung des Verzeichnisses einzubeziehen sind. In der Regel werden dies alle Abteilungen eines Unternehmens sein, wobei Abteilungen, in denen eine Verarbeitung personenbezogener Daten von Anfang an völlig ausgeschlossen ist, ausgenommen werden können. Hierbei ist allerdings Vorsicht geboten. Die Beurteilung, ob in einer Abteilung die Verarbeitung personenbezogener Daten stattfindet oder nicht, sollte vom Ersteller in jedem Fall eigenständig geprüft werden. Sich lediglich auf die Aussage von Mitarbeitern der betreffenden Abteilung zu verlassen, kann sich als unzureichend erweisen. Dies zum einen, weil häufig den betreffenden Personen bereits nicht klar ist, was unter personenbezogenen Daten zu verstehen ist, oder aber weil, um vermeintlich unnötige Mehrarbeit zu vermeiden, unrichtige Angaben zum Umfang der personenbezogenen Datenverarbeitung gemacht werden. Es empfiehlt sich, die einzubeziehenden operativen Bereiche im späteren 65 Verfahrensverzeichnis gesondert auf einem (Tabellen-)Blatt und einleitend im Überblick unter Nennung der Einzelverfahren (nur Bezeichnungen der Verfahren) aufzulisten. Aus diesem Grund ist es wichtig, zunächst die betreffenden operativen Bereiche des Unternehmens – wie beschrieben – zu gliedern und zu definieren. Schritt 3: Definition von Projektverantwortlichkeiten und Ansprechpart- 66 nern. Neben dem engerem Projektteam sind in Abstimmung mit der Geschäftsleitung während der Definitions- und Konzeptphase auch die sonstigen Ansprechpartner und Personen zu benennen, deren Mitwirkung für die Erstellung des Verzeichnisses erforderlich ist (beispielsweise weitere Mitarbeiter aus der IT-Abteilung, da dort regelmäßig die meisten Verfahren zur Anwendung kommen; Mitarbeiter ohne Leitungsfunktion oder Stellvertreter bei zeitlicher Verhinderung der Abteilungsleiter über einen längeren Zeitraum etc.). Je nach Unternehmensgröße und Umfang der Datenverarbeitungstätigkeit sind ggf. nur die Abteilungsleiter, oder zusätzlich – soweit erforderlich – auch weitere Personen aus einer Abteilung einzubeziehen. Nach Auswahl und Festlegung aller Personen, die vom Unternehmen im 67 Rahmen des Projektes zur Mitwirkung und Unterstützung abgestellt werden, sind die Verantwortlichkeiten aller Projektbeteiligten zu definieren. Es wird empfohlen, je Abteilung einen Verantwortlichen zu benennen, um eine effektive Projektdurchführung zu gewährleisten. Die Ersteller werden bei der Anfertigung des Verzeichnisses wiederholt auf die Zurverfügungstellung von Informationen durch die mitwirkenden Personen (in der Regel Abteilungsleiter) sowie Zwischen- und Endkontrollen durch die genannten Personen angewiesen sein. Der InformationsSenftner
1015
§ 61
Erstellung eines internen Verfahrensverzeichnisses
fluss sollte deshalb während der gesamten Projektdauer sichergestellt sein. Dafür sollte nur jeweils eine verantwortliche Person je Bereich verantwortlich sein. 68
Schritt 4: Information und Sensibilisierung aller Projektbeteiligten und verantwortlichen Personen. Wichtig ist, vor der Zusammenarbeit mit den Projektbeteiligten (z.B. vor der Durchführung von Interviews) auch diese zu sensibilisieren und mit einem angemessenen Informationsgrad über das Projekt, v.a. die gesetzlichen Vorgaben, das Ziel des Projektes, die Vorgehensweise und die folgenden Projektschritte zu informieren.
69
Schritt 5: Erstellung eines detaillierten Projekt- und Zeitplans. Sodann ist ein detaillierter Projekt- und Zeitplan zu erstellen, der konkrete Termine und Fristen für Schritte 6 und 7 sowie für alle Schritte der Entwurfs- und Fertigstellungsphase (beispielsweise in Form einer Roadmap) für die konkrete Ausführung beinhaltet.
70
In dieser Phase soll insbesondere auch die Form des Verzeichnisses (Papierform, elektronische Form etc.) festgelegt werden, die zu verwendenden Programmtools sowie die konkrete Vorgehensweise der Informationssammlung (z.B. mittels Telefoninterview, Vorort-Interviews, schriftlichen Checklisten oder Workshops).
71
Der Projektplan ist allen Projektbeteiligten bei Abschluss dieser Phase zur Verfügung zu stellen.
72
Schritt 6: Erstellung und Versand von abteilungsbezogenen Checklisten bzw. Fragenkatalogen. Um eine umfassende Informationssammlung bzgl. der in einem Verzeichnis gem. § 4e BDSG zu tätigenden Angaben zu gewährleisten, ist es erforderlich, die verantwortlichen Personen der einbezogenen Abteilungen des Unternehmens zu befragen. Dies kann beispielsweise mittels Checklisten oder Fragenkatalogen erfolgen, die von den verantwortlichen Personen auszufüllen sind. Der Ersteller hat die Checklisten je Abteilung (abteilungsbezogen) vorzubereiten und nach Fertigstellung den verantwortlichen Personen zuzusenden, unter Vereinbarung von Rücksendeterminen und unter Berücksichtigung des Zeitplans.
73
Die Checklisten sollen folgende Punkte enthalten (entsprechend den Vorgaben in § 4e BDSG): Betroffene Verfahren, Zweckbestimmung der Verfahren bzw. der der Datenerhebung, -verarbeitung oder -nutzung, betroffene Datenkategorien Datenempfänger, Übermittlung der Daten, Auftragsdatenverarbeitung, Aufbewahrung und Löschung der betroffenen Daten, technische und organisatorische Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung. Darüber hinaus sind in die Checklisten (zur Orientierung und Unterstützung bzw. als Hilfestellung der auszufüllenden Personen) typische Verfahren aufzunehmen, die üblicherweise in der konkreten Abteilung vorkommen oder denkbar sind. Die Listen sollen ferner inhaltlich so ausgestaltet sein, dass sie für Laien ver1016
Senftner
§ 61
V. Vorgehensweise bei der Erstellung und Pflege
ständlich und nachvollziehbar sowie durch Ankreuzen ausfüllbar sind. Empfohlen wird daher die Nennung von (wenn möglich bereichsspezifischen) Beispielen je vorgenanntem Punkt, sowie die Aufnahme von Alternativen und Auswahlfeldern, die von den verantwortlichen Personen anzukreuzen sind. Ziel ist es, mit der beschriebenen Gestaltung der Listen einen möglichst vollständigen und inhaltlich richtigen Input zu erhalten. Schritt 7: Vorbereitung von Interviews. Als Alternative oder ergänzend 74 zur Verwendung von Checklisten, die den Nachteil mit sich bringen, dass die verantwortliche Person oft nicht genau weiß, wie die Listen auszufüllen sind, kommen Telefoninterviews oder Interviews vor Ort in Frage. Die Interviews sind vorzubereiten, d.h. es sind Termine mit den Projektbeteiligten bzw. Gesprächspartnern zu vereinbaren und ggf. E-Mails mit konkreten Fragen oder Checklisten (s. Schritt 6) vorab an die betreffenden Personen zu übersenden. Ferner wird empfohlen, dass der Ersteller einen konkreten Fragenkatalog erstellt, der Grundlage des zu führenden Interviews wird. c) Entwurfs- und Fertigstellungsphase In der Entwurf- und Fertigstellungsphase werden die erforderlichen Infor- 75 mationen gesammelt, ausgewertet, aufbereitet und in das zu erstellende Verfahrensverzeichnis überführt. Wenn die Vorgehensweise mittels Checklisten gewählt wurde, sind die 76 Rückläufe der Checklisten auszuwerten und alle verwertbaren Ergebnisse zu sammeln. Soweit verantwortliche Personen Schwierigkeiten mit dem Ausfüllen der Checklisten haben, kann das Ausfüllen in Bezug auf ein konkretes Einzelverfahren beispielhaft mit dem Ersteller gemeinsam vorgenommen werden. Soll die Informationsgewinnung alternativ oder zusätzlich über das Füh- 77 ren von Interviews erfolgen, sind diese mit den verantwortlichen Personen der operativen Unternehmensbereiche durchzuführen. Sofern die Erstinterviews nicht aussagekräftig waren oder sich Zusatzfragen stellen, dienen zweite Befragungsrunden dazu, letzte Unklarheiten zu beseitigen. Die Vorgehensweise bei der Durchführung der Interviews ist individuell an die Gesprächspartner sowie die jeweiligen operativen Bereiche anzupassen. So kann es sinnvoll sein, dass die Gesprächspartner – nach einer kurzen Einleitung durch den Interviewführer ggf. mit Bezug zu datenschutzrechtlichen Grundlagen oder mittels Vorlage eines beispielhaften Tabellenblattes eines Verfahrensverzeichnisses – zunächst ihren typischen Tagesablauf schildern. In anderen Fällen mag es effektiver sein, wenn die Interviewpartner zunächst ihre Aufgaben innerhalb der Abteilung kursorisch schildern. Die Befragung ist sodann auf Basis der erstellten Checklisten oder Fragenkataloge fortzusetzen und zu spezifizieren.
Senftner
1017
§ 61
Erstellung eines internen Verfahrensverzeichnisses
Die Ergebnisse der Interviews sind ebenfalls auszuwerten und entsprechend zu separieren. 78
Ergänzend können – sofern im Unternehmen vorhanden – Unterlagen zu bestehenden Zertifizierungsverfahren (z.B. ISO 9000 ff.) sowie sonstige Unterlagen mit Datenschutzrelevanz für das Verfahrensverzeichnis (z.B. IT-Sicherheitskonzept) ausgewertet und die Informationen aufbereitet werden. Aufgrund der Tatsache, dass der Datenschutz mit weiteren Schnittstellen (z.B. IT-Sicherheit, Telekommunikationssicherheit, Teledienste, Mediendienste) eng verflochten ist, ist es auch vor diesem Hintergrund ratsam, „möglichst viele Synergieeffekte“ zu nutzen1.
79
Nach Abschluss dieser Schritte sollten dem Ersteller alle unternehmensbezogenen, detaillierten Informationen vorliegen, die angesichts der aufzunehmenden Angaben (§ 4e BDSG) relevant sein könnten. Diese Informationsgewinnung stellt eine der aufwendigsten Tätigkeiten im Rahmen der Erstellung des Verzeichnisses dar2.
80
Nach Durchsicht und Aufbereitung der gesammelten Informationen sind alle verwertbaren Informationen in Einzelverzeichnisse (empfohlen werden einzelne, abteilungsbezogene Excel-Tabellenblätter) zu überführen. Ein unausgefülltes, beispielhaftes Tabellenblatt, das die erforderlichen Inhalte und eine vorgeschlagene Struktur auflistet, ist als Muster angehängt (s. Rz. 85 ff.). Daneben empfiehlt es sich, das Verfahrensverzeichnis einleitend um allgemeine Übersichten zu ergänzen (Abteilungen, Namen/Telefonnummern/E-Mail-Adressen der Ansprechpartner und des bDSB – der den Betroffenen jederzeit als Ansprechpartner zur Verfügung stehen muss3 –, die Standorte des Unternehmens4, ein aktualisierbares Versionierungsregister, eine allgemeine Verfahrensübersicht je Abteilung (mit den Überschriften der Einzelverfahren) sowie allgemeine technische und organisatorische Maßnahmen, die für alle Verfahren gelten5. Wie bereits erläutert, liegt die Hauptschwierigkeit bei der Verfassung des Verfahrensverzeichnisses letztlich darin, das richtige Maß an Präzision und Abstraktion zu treffen6. Das Verzeichnis darf einerseits nicht so knapp gefasst sein, dass es dem bDSB nicht mehr als Arbeitshilfe dienen kann. Die Angaben sind andererseits zu präzise und detailliert, wenn sie aufgrund der Menge der Einzelangaben ihre Übersichtlichkeit verlieren oder
1 2 3 4 5
Weniger, RDV 2005, 153 (156). Weniger, RDV 2005, 153 (156). Taeger/Gabel (Hrsg.), BDSG, § 4e Rz. 3. Eine dezentrale Führung des Verzeichnisses wird in jedem Falle empfohlen. Die allgemeinen technischen und organisatorischen Maßnahmen sind wegen ihrer Redundanz in den meisten Einzelverzeichnissen gesondert aufzulisten und zu führen. In dem jeweiligen Einzelverzeichnis können sodann besondere Sicherheitsmaßnahmen je Verfahren ergänzt werden, die neben den allgemeinen technischen und organisatorischen Maßnahmen umgesetzt werden. 6 Petri, RDV 2003, 267 (269).
1018
Senftner
§ 61
V. Vorgehensweise bei der Erstellung und Pflege
gar Geschäftsgeheimnisse preisgeben1. Der Detaillierungsgrad ist folglich nicht allgemeingültig festzuschreiben, sondern vielmehr an den konkreten Erfordernissen und der individuellen Unternehmensstruktur auszurichten. Das Ergebnis sollte ein Erstentwurf des gesamten Verfahrensverzeichnis- 81 ses sein. Die Einzelverzeichnisse sind zur finalen Kontrolle, Klärung von Einzel- 82 fragen und ggf. Änderungsanmerkungen an die verantwortlichen Personen zu senden. Wiederum sind feste Termine für den Rücklauf zu vereinbaren. Nach Erhalt, Durchsicht und Auswertung der Rückläufe sind eventuelle Änderungs- und/oder Ergänzungsanmerkungen in den Erstentwurf einzuarbeiten. Die Finalisierung (einschließlich redaktioneller Überarbeitung) des Ver- 83 zeichnisses als Version 1.0 kann vorgenommen werden. Der finale Stand ist ggf. – auf Betreiben der verantwortlichen Stelle – zur Information der Mitarbeiter im firmeninternen Intranet einzustellen. d) Pflege- und Überwachungsphase Der bDSB hat auf Antrag gem. § 4g Abs. 2 Satz 2 BDSG eine stets aktuel- 84 le Version des Verzeichnisses zu „führen“ und zur Verfügung zu stellen. Zu definieren ist daher ferner, wie die praktische Durchführung der Pflege und Aktualisierung, beispielsweise bei Änderung oder Ergänzung von Verfahren, erfolgt. Denn das Anlegen eines Verzeichnisses ist keine einmalige Tätigkeit, erfordert vielmehr eine ständige Pflege. Die Aktualisierung kann unterjährig jeweils direkt im Anschluss an eine Verfahrensänderung oder -einführung erfolgen. Empfohlen wird jedoch, die Aktualisierungen gesammelt vorzunehmen, um den Pflegeaufwand überschaubar und praktikabel zu halten. Zu diesem Zwecke sind feste Aktualisierungszeiträume vorzusehen (in der Regel ein bis zwei Mal jährlich). Zur Meldung von Änderungen sind wiederum abteilungsbezogene Checklisten vorzubereiten, mittels derer die verantwortlichen Personen Änderungen – mit Relevanz für das Verfahrensverzeichnis – an eine zentrale Anlaufstelle innerhalb der verantwortlichen Stelle senden können. Die zentrale Anlaufstelle sammelt alle Änderungsmitteilungen und wertet diese zum definierten Aktualisierungszeitpunkt aus. Eine entsprechende zentrale Anlaufstelle mit den erforderlichen datenschutzrechtlichen Kenntnissen ist im Vorfeld zu bestimmen und den verantwortlichen Personen mitzuteilen. Ferner sind die verantwortlichen Personen über die konkrete Vorgehensweise bezüglich der Pflege und Aktualisierung zu informieren.
1 Petri, RDV 2003, 267 (269). Senftner
1019
1020
Senftner
10
9
8
7
6
5
4
3
2
1
Bezeichnung des Verfahrens
Beschreibung des Verfahrens inkl. Zweckbestimmung
Geltungsbereich des Verfahrens
Status des Verfahrens Checkliste
VorabDaten- Betrofkonkategofene trolle rien ggf. Perso§ 4d besonnen Abs. 5 dere bzw. BDSG Arten Perso(ja/nein) personennenbe- gruppen zogener Daten
Stand: TT.MM.JJ
Zugriffsberechtige, Empfänger und Datenkategorien Datenübermittlung in Drittstatten Genutzte Software bzw. IT-Systeme
Lösch-, Sperrund und/ oder Aufbewahrungsfristen, Konzepte
Spezielle technische und organisatorische Maßnahmen (s. auch Tabellenblatt „Allg. TOMs“)
85
LfdNr.
Datenschutzrelevante Verfahren
Operativer Bereich/Abteilung: xxx
§ 61 Erstellung eines internen Verfahrensverzeichnisses
3. Formulierungsbeispiele: Muster-Tabellenblatt für einen operativen Bereich bzw. eine Unternehmensabteilung
§ 61
V. Vorgehensweise bei der Erstellung und Pflege
Erläuterungen: Spalte 1/Verfahrensbezeichnung: Hier sind Oberbegriffe für die Bezeich- 86 nung des Verfahrens zu verwenden wie etwa Lohnabrechnung, Mitarbeiter-/Lichtbildausweis etc. Spalte 2/Verfahrensbeschreibung und Zweckbestimmung: Neben der all- 87 gemeinen Kennzeichnung des Verfahrens mit Mitteln des allgemeinen Sprachgebrauchs ist auch die Zieldefinition der Verarbeitung z.B. Übermittlung, Adresshandel, Marktforschung etc. anzugeben. Bei diesen Angaben ist es besonders schwierig, den richtigen Detaillierungsgrad zu treffen, s. auch Rz. 18, 27 f. und 43 (zur Zweckbestimmung s. Rz. 40, lit. d). Optional kann der Ersteller hier auf vorliegende Dokumente verweisen, die datenschutzrelevante Verfahrensbeschreibungen enthalten, wie beispielsweise auf ein betriebsinternes IT-Sicherheitskonzept oder auf ISOZertifizierungsunterlagen (z.B. gemäß ISO 9000 ff.). Zur Erleichterung kann bei der Verwendung von ISO Zertifizierungsunterlagen ergänzend auf die Verfahrensnummer gemäß ISO-Zertifizierung Bezug genommen werden. Zur Verwendung von ISO-Zertifizierungsunterlagen s. auch Rz. 78. Spalte 3/Geltungsbereich des Verfahrens (Optional bei mehreren Unter- 88 nehmensstandorten): Es sind alle Standorte des Unternehmens zu nennen, an denen die Verfahren in Kraft sind bzw. wo die Verfahren Anwendung finden. Spalte 4/Verfahrensstatus: Der Status des Verfahrens ist zu listen, z.B. ge- 89 plant, in Kraft oder außer Kraft. Spalte 5/Checkliste (Optional bei Verwendung von Checklisten): Hier ist 90 der Stand der Checkliste bzw. der Stand der Rückmeldungen aus den jeweiligen einzelnen Bereichen und/oder Abteilungen anzugeben, z.B. Rücksendung erfolgt/nicht erfolgt, Ausfüllen erfolgt/nicht erfolgt (zu den Checklisten s. Rz. 72 ff. Schritt 6). Spalte 6/Vorabkontrolle: Im Falle von besonderen Risiken für Rechte und 91 Freiheiten der Betroffenen (z.B. bei besonderen Arten von personenbezogenen Daten oder besonders sensiblen Daten wie beispielsweise im Falle einer Videoüberwachung, Gesundheitsdaten etc.), sind Angaben zur Durchführung von Vorabkontrollen i.S.d. § 4d Abs. 5 BDSG zu tätigen. Die entsprechende Prüfung des Erfordernisses einer Vorabkontrolle ist vor Beginn der Verarbeitung durchzuführen. Spalte 7/Datenkategorien: Anzugeben sind die Datenarten, d.h. z.B. Kun- 92 dendaten, Lieferantendaten, Personaldaten, Vertragsstammdaten, Nutzungsdaten etc. und – sofern relevant – ggf. Nennung besonderer Arten personenbezogener Daten (s. dazu auch Rz. 40, lit. e).
Senftner
1021
§ 61
Erstellung eines internen Verfahrensverzeichnisses
93
Spalte 8/Betroffene Personen: Zu nennen sind hier die konkreten Personen bzw. Personengruppen, d.h. z.B. Kunden, Lieferanten, Mitarbeiter, Interessenten oder u.U. auch namentliche Nennung (s. dazu auch Rz. 40, lit. e).
94
Spalte 9/Zugriffsberechtigte und Empfänger: Damit ist jede Stelle oder Person gemeint, die Daten erhält, z.B. Beschäftigte, Abteilungsleiter, Dritte wie Rechenzentrum, Auftragsdatenverarbeiter, Vertragspartner, Behörden oder sonstige Dritte; ebenfalls sind hier Zugriffsrechte und Berechtigungskonzepte zu listen (zu „Zugriffsberechtigte“ s. Rz. 19 f., Rz. 40, lit. f und Rz. 41; zu Empfänger s. Rz. 40, lit. f).
95
Spalte 10/Datenübermittlung: Zu nennen sind geplante Datenübermittlungen außerhalb der EU bzw. des EWR, wobei idealerweise alle geplanten Übermittlungen aufzunehmen sind, differenziert nach Übermittlungen innerhalb der EU/des EWR und Übermittlungen in Drittstaaten. Ferner sind auch hier Zweck der Übermittlung und Empfänger anzugeben (s. dazu auch Rz. 40, lit. h).
96
Spalte 11/Software bzw. IT-Systeme: Hier sind etwaige, bei der Datenverarbeitung eingesetzte IT-Systeme bzw. eingesetzte Software z.B. Lotus Notes, MS-Office, Outlook etc. zu nennen. Ferner sind eingesetzte Schnittstellen zu anderen Systemen und Verfahren zu listen.
97
Spalte 12/Aufbewahrungsfristen, Löschfristen: Neben den vertraglichen oder gesetzlichen (gemäß AO oder HGB) Aufbewahrungsfristen, sind interne Löschvorschriften und -konzepte sowie die Fristen für das Löschen/ Sperren von Daten zu beschreiben. Siehe dazu auch § 35 Abs. 2 Nr. 4 BDSG und Rz. 40, lit. g.
98
Spalte 13/spezielle technische und organisatorische Maßnahmen: Zu nennen sind hier, welche einzelnen technischen und organisatorischen Maßnahmen des allgemeinen Tabellenblatts „allgemeine technische und organisatorische Maßnahmen“ in Bezug auf das konkrete Verfahren umgesetzt werden und welche besonderen Schutzvorkehrungen neben den allgemeinen Vorkehrungen i.S.d. Anlage zu § 9 BDSG getroffen werden, z.B. spezielles Berechtigungskonzept etc. (s. dazu auch Rz. 40, lit. i, Rz. 41).
1022
Senftner
§ 62 Meldepflichten Rz. I. Ausgangslage . . . . . . . . . . . . . . . . . II. Sinn und Zweck von Meldepflichten bei Verstößen gegen Datenschutz und sonstige Pflichten bei der Datenverarbeitung . . . III. Entwicklung der Meldepflichten in den USA . . . . . . . . . . . . . . . . . . . 1. Kaliforniens SB-1386 und andere Bundesstaaten . . . . . . . . . . . . . . . . 2. Sarbanes Oxley § 404 . . . . . . . . . . 3. HIPAA und § 13402 HITECH. . . . IV. Die allgemeine Meldepflicht nach § 42a BDSG. . . . . . . . . . . . . . 1. Pflichten aus § 42a BDSG . . . . . . . a) Tatbestand . . . . . . . . . . . . . . . . . b) Benachrichtigungspflichten . . . 2. Die Umsetzung von § 42a BDSG .
1
3 4 5 7 9 13 14 15 19 25
V. Weitere allgemeine Meldepflichten . . . . . . . . . . . . . . . . . . . . . 34 1. Landesgesetze . . . . . . . . . . . . . . . . 35 2. Vertragliche Informationspflichten . . . . . . . . . . . . . . . . . . . . . 36 VI. Sektorspezifische Meldepflichten 40 1. ePrivacy und Telekommunikation . . . . . . . . . . . . . . . . . . . . . 41
Rz. a) § 15a TMG. . . . . . . . . . . . . . . . . b) § 93 Abs. 3 TKG und § 109a TKG . . . . . . . . . . . . . . . . . . . . . . c) Technische Durchführungsmaßnahmen durch die EUVerordnung 611/2013 vom 23.6.2013 . . . . . . . . . . . . . . . . . . aa) Meldefristen . . . . . . . . . . . . bb) Meldepflicht auch bei Verschlüsselung . . . . . . . . . cc) Sub-Dienstleister . . . . . . . . 2. Sozialdaten – § 83a SGB X . . . . . . 3. Energiesektor – § 21h Abs. 2 EnWG . . . . . . . . . . . . . . . . . . . . . . . VII. Entwurf der EU-DatenschutzGrundverordnung . . . . . . . . . . . . . 1. Der Entwurf der Kommission 2012 . . . . . . . . . . . . . . . . . . . . . . . . 2. Der Albrecht-Bericht . . . . . . . . . . . 3. Vergleich mit VO 611/2013 . . . . .
42 44
51 52 58 59 60 61 63 64 70 75
VIII. Entwurf der Richtlinie zur Netzund Informationssicherheit und Referentenentwurf des BMI . . . . . 76 IX. Praktisches Vorgehen . . . . . . . . . . 80
I. Ausgangslage Die Pflichten zur Meldung von Verstößen gegen Datenschutz und sons- 1 tige Pflichten bei der Datenverarbeitung rücken immer mehr in das Zentrum der Aufmerksamkeit von Unternehmen. Denn nicht nur die Meldung im Fall der konkreten Datenpanne bindet Ressourcen und fordert Entscheidungen, sondern bereits die Einrichtung von Strukturen im Unternehmen, die es überhaupt erst ermöglichen, den Meldepflichten rechtzeitig und im gebotenen Umfang nachzukommen (als Aufgabe der Compliance), kann sehr aufwendig werden. Die Koordination von Meldungen bei verschiedenen nationalen Behörden und nach verschiedenen gesetzlichen Anforderungen kann zur Herausforderung werden. Dazu kommt, dass die Meldung meist mit den für die externe Kommunikation des Unternehmens zuständigen Stellen (z.B. Public Relation) abzustimmen ist. Ferner wird die Meldung auch auf ihre Auswirkung auf zu erwartende Streitigkeiten mit Vertragspartnern oder Endkunden zu prüfen sein. Ungern gesteht ein Unternehmen bereits eine Schuld ein, bevor der Prozess begonnen hat. Schuppert
1023
§ 62 2
Meldepflichten
Diese wenigen Stichpunkte zeigen, dass die Pflicht zur Meldung von Datenschutzverstößen vom Unternehmen sorgsam in die Planung von Compliance-Strukturen einzubeziehen ist. Dies wird gravierender, wenn die Meldungen sehr kurzfristig (z.B. innerhalb von 24 Stunden nach Kenntnisnahme) erfolgen müssen.
II. Sinn und Zweck von Meldepflichten bei Verstößen gegen Datenschutz und sonstige Pflichten bei der Datenverarbeitung 3
Meldepflichten sollten von Anfang an zunächst einen Anreiz für Unternehmen schaffen, personenbezogene Daten mit höherer Sicherheit zu behandeln1. Daneben tritt das Interesse der Datenschutzbehörden, ihre Aufgaben besser wahrnehmen zu können, indem eine aktive Berichtspflicht der Unternehmen besteht, und dafür „so früh und so vollständig wie möglich“ informiert zu werden2. Mit der Transparenz soll gleichzeitig Vertrauen der Datenschutzsubjekte in ausreichende Sicherheit ihrer Daten (jedenfalls solange sie keine Meldung erhalten) geschaffen werden3.
III. Entwicklung der Meldepflichten in den USA 4
Die ersten gesetzlichen Meldepflichten bei Datenverstößen entstanden in den USA4. 1. Kaliforniens SB-1386 und andere Bundesstaaten
5
Nachdem personenbezogene Daten von 265 000 Angestellten des Bundesstaats Kalifornien von Dritten gehackt wurden, führten die Verzögerungen bei Entdeckung und Benachrichtigung der Betroffenen, wie auch die finanziellen Schäden durch das Hacking zu dem ersten Gesetz in Ka-
1 S. Bericht „Security Breach Notification Laws: Views from Chief Security Officers“, University of California – Berkeley School of Law, December 2007, http://www.law.berkeley.edu/files/cso_study.pdf (Berkeley-Studie 2007), S. 7. 2 Erwägungsgrund (7) der Verordnung (EU) Nr. 611/2013 der Kommission vom 24.6.2013 über die Maßnahmen für die Benachrichtigung von Verletzungen des Schutzes personenbezogener Daten gemäß der Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates (Datenschutzrichtlinie für elektronische Kommunikation), VO 611/2013. 3 S. Bericht „Data breach notifications in the EU“, European Network and Information Security Agency (enisa), undatiert, veröffentlicht am 13.1.2011, http:// www.enisa.europa.eu/activities/identity-and-trust/library/deliverables/dbn, enisa-Bericht 2011. 4 Duisberg/Picot, CR 2009, 823 (827).
1024
Schuppert
§ 62
III. Entwicklung der Meldepflichten in den USA
lifornien mit Wirkung ab 1.7.20031, dem Security Breach Information Act, oder AB 700, oder Senate Bill 1386 (SB-1386)2. Als Frist für die Benachrichtigung sieht das Gesetz vor: „in the most expedient time possible and without unreasonable delay“, soweit von Ermittlungsbehörden keine Verzögerung wegen laufender Ermittlungen angeordnet wird3. Die Pflicht wird eingeschränkt durch die Definition der personenbezogenen Daten, die unter dieses Gesetz fallen: Dies sind Vor- und Nachname, die aber mit weiteren Daten kombiniert sein müssen, wie etwa die Sozialversicherungsnummer oder Kreditkartendaten4, also Daten, deren Offenlegung eine besondere Gefährdung für den Betroffenen schaffen. Mittlerweile haben 46 US-Bundesstaaten, der District of Columbia, 6 Guam, Puerto Rico und die Virgin Islands entsprechende Gesetze verabschiedet: Die National Conference of State Legislatures (NCSL) veröffentlicht auf ihrer Website die aktuelle Liste mit Links zu den jeweiligen Landesgesetzen5. Dabei gibt es Unterschiede in den einzelnen Pflichten. So verlangt Florida eine Meldung innerhalb von 45 Tagen6. 2. Sarbanes Oxley § 404 Neben den allgemeinen Meldepflichten im Recht der einzelnen Bundes- 7 staaten bestehen Meldepflichten in bestimmten Sektoren aufgrund von Bundesgesetzen, wenn auch die Pflichten weniger auf die Meldung von konkreten Verstößen zielen. So besteht nach § 404 des Sarbanes-Oxley Gesetzes7 die Pflicht, ein aus- 8 reichendes System interner Kontrolle aufzusetzen, das die Sicherung von Vermögensgütern betrifft, insbesondere die zeitnahe Aufdeckung von unberechtigtem Erwerb, Nutzung oder Vernichtung von Vermögensgütern, die eine materielle Wirkung auf die Finanzangaben haben könnten. Zu solchen Vermögensgütern sind wohl auch die personenbezogenen Daten von Mitarbeitern und Kunden zu zählen. Im jährlichen Bericht ist dieses interne Kontrollsystem zu beschreiben; Verstöße sind zu melden8.
1 Berkeley-Bericht 2007, S. 8. 2 http://info.sen.ca.gov/pub/01-02/bill/sen/sb_1351-1400/sb_1386_bill_20020926_ chaptered.html. 3 Section 2, 1798.29(a) der SB-1386. 4 Sections 1798.29 und 1798.82 bis 1798.84. 5 http://www.ncsl.org/issues-research/telecom/security-breach-notification-laws. aspx. 6 Section 817.5681 (1)(a), http://www.leg.state.fl.us/Statutes/index.cfm?App_mode =Display_Statute&Search_String=&URL=0800-0899/0817/Sections/0817.5681. html. 7 http://www.gpo.gov/fdsys/pkg/PLAW-107publ204/html/PLAW-107publ204.htm. 8 Berkeley-Bericht 2007, S. 38. Schuppert
1025
§ 62
Meldepflichten
3. HIPAA und § 13402 HITECH 9
Eine spezifische Pflicht zur Meldung von Datenschutzverstößen besteht auf Bundesebene für Unternehmen, die als Krankenkasse oder als sonstige Anbieter von Krankenversicherungen dem HIPAA (Health Insurance Portability and Accountability Act) unterliegen. Section 13402 des Health Information Technology for Economic and Clinical Health (HITECH) Act sieht eine Berichtspflicht dieser Unternehmen bei dem Verlust oder der unberechtigten Offenlegung von personenbezogenen Gesundheitsdaten vor1. Seit 2009 hat die US Gesundheitsbehörde hierzu Ausführungsregelungen veröffentlicht2.
10
Ausdrücklich ausgenommen von der Meldepflicht sind Daten, die ausreichend verschlüsselt sind. Damit kann ein weiterer Regelungszweck bestimmt werden, nämlich die betroffenen Unternehmen anzuhalten, eine ausreichende Verschlüsselung der Daten vorzusehen. Als ausreichend unter HITECH gilt die Verschlüsselungstechnik, wie sie in den behördlichen Leitlinien3 vorgegeben werden. Diese verweisen auf die technischen Standards des Computer Security Resource Center des NIST (National Institute of Standards and Technology)4.
11
Die Meldung muss unverzüglich („without unreasonable delay“) und spätestens innerhalb von 60 Tagen nach Entdeckung des Verlusts erfolgen.
12
Vorgeschrieben ist auch ein jährlicher Bericht an den US Kongress, insbesondere zu den Fällen, in denen über 500 Personen betroffen waren. Der erste Bericht war derjenige zu den Jahren 2009 und 20105. Die Hauptursache der Offenlegung von Daten waren Diebstähle von Computern und Laptops mit unverschlüsselten Daten, oder von Back-Up Bändern6.
1 S. auch: http://www.hipaasurvivalguide.com/hitech-act-13402.php. 2 http://www.hhs.gov/ocr/privacy/hipaa/administrative/breachnotificationrule/in dex.html. 3 Guidance Specifying the Technologies and Methodologies That Render Protected Health Information Unusable, Unreadable, or Indecipherable to Unauthorized Individuals for Purposes of the Breach Notification Requirements Under Section 13402 of Title XIII (Health Information Technology for Economic and Clinical Health Act) of the American Recovery and Reinvestment Act of 2009, http:// www.hhs.gov/ocr/privacy/hipaa/understanding/coveredentities/federalregister breachrfi.pdf. 4 http://csrc.nist.gov/. 5 Annual Report to Congress on Breaches of Unsecured Protected Health Information For Calendar Years 2009 and 2010 (Annual Report HITECH), http://www. hhs.gov/ocr/privacy/hipaa/administrative/breachnotificationrule/breachrept.pdf. 6 Annual Report HITECH, S. 6.
1026
Schuppert
§ 62
IV. Die allgemeine Meldepflicht nach § 42a BDSG
IV. Die allgemeine Meldepflicht nach § 42a BDSG Mit der Aufnahme der allgemeinen Meldepflicht in das BDSG mit Gesetz 13 vom 3.7.20091 nahm Deutschland eine Vorreiterstellung ein. Auf europäischer Ebene wurde gerade die Änderung der ePrivacy Richtlinie 2002/58 diskutiert und erst mit der Richtlinie 2009/136/EG am 25.11.2009 beschlossen, und zwar mit den Regelungen zu Meldepflichten von Anbietern von öffentlichen elektronischen Kommunikationsdiensten in dem neuen Art. 4 Abs. 3 und 4 Abs. 4 der Richtlinie 2002/58. Noch vor dieser sektorspezifischen europäischen Regelung in einer Richtlinie, die bis zum 25.5.2011 in nationales Recht umzusetzen war, so Art. 4 der Richtlinie 2009/136, nahm der deutsche Gesetzgeber dies ohne Beschränkung auf den TK-Sektor in das allgemeine Datenschutzrecht auf. 1. Pflichten aus § 42a BDSG Die Regelungen zu den Meldepflichten aus § 42a BDSG sind bereits un- 14 mittelbar während und nach der Gesetzgebung in der Literatur diskutiert worden2. a) Tatbestand Es muss sich um bestimmte personenbezogene Daten handeln, deren 15 Verlust oder Offenlegung als besonders gefährlich eingestuft wurde, also die „besonderen“ personenbezogenen Daten i.S.v. § 3 Abs. 9 BDSG (Gesundheit etc.), oder die einem Berufsgeheimnis unterliegen (entsprechend § 39 Abs. 1 BDSG und insbesondere § 203 StGB), die sich auf Straftaten und Ordnungswidrigkeiten oder auf den Verdacht von Straftaten und Ordnungswidrigkeiten beziehen, oder Daten zu Bank- oder Kreditkartenkonten. Diese Daten müssen entweder unrechtmäßig übermittelt oder auf sons- 16 tige Weise Dritten unrechtmäßig zur Kenntnis gelangt sein. Streitig ist dabei, ob aus Sicht der verarbeitenden Stelle die hohe Wahrscheinlichkeit für eine Kenntnisnahme durch Dritte ausreicht3. Angesichts des klaren Wortlauts wird – gegen die h.M. – eine positive Kenntnisnahme erforder1 Gesetz zur Änderung datenschutzrechtlicher Vorschriften v. 3.7.2009. 2 Duisberg/Picot, CR 2009, 823; Gabel, BB 2009, 2045; Grentzenberg/Schreibauer/ Schuppert, K&R 2009, 368; Hornung, NJW 2010, 1841; Eckard/Schmitz, DuD 2010, 390. 3 Bejahend: Gola/Schomerus, BDSG, § 42a Rz. 4; Dix in Simitis, BDSG, § 42a Rz. 8; Gabel in Taeger/Gabel, BDSG, § 42a Rz. 17, so auch die Bundesregierung in ihrem Bericht vom 4.1.2013, BT-Drucks. 17/12319 (Bericht der Bundesregierung), S. 4 („wenn eine Kenntniserlangung mit hoher Wahrscheinlichkeit vorliegt“); verneinend: Grentzenberg/Schreibauer/Schuppert, K&R 2009, 368 (374); Hornung, NJW 2010, 1841 (1842): „muss tatsächlich vorliegen“; so auch Hanloser, CCZ 2010, 25 (26) unter Hinweis auf die ausdrücklich anderslautenden Regelungen im Ausland. Schuppert
1027
§ 62
Meldepflichten
lich sein. Allerdings trägt die verantwortliche Stelle das Risiko der falschen Einschätzung: wer kann voraussehen, ob der Dieb des Laptops die Daten wirklich dauerhaft löscht und überspielt, weil es ihm nur um die Hardware ging? 17
Ferner müssen schwerwiegende Beeinträchtigungen für die Rechte oder die schutzwürdigen Interessen der Betroffenen drohen. Dies können finanzielle Verluste, aber auch immaterielle Beeinträchtigungen etwa als Persönlichkeitsrechtsverletzung sein1.
18
Unstreitig wirkt die ausreichende Verschlüsselung tatbestandsausschließend. Dies wird in der Regel darin gesehen, dass die Verschlüsselung die Kenntnisnahme durch Dritte verhindert2. In der Variante „in sonstiger Weise Dritten unrechtmäßig zur Kenntnis gelangt“ ist dies eindeutig. Aber auch die speziellere Variante „unrechtmäßig übermittelt“ setzt eine Kenntnisnahme voraus, da die Übermittlung nach § 3 Abs. 4 Nr. 3 BDSG das „Bekanntgeben“ von Daten erfordert. b) Benachrichtigungspflichten
19
Aus dem Tatbestand folgen zwei Pflichten: die Benachrichtigung des Betroffenen und die Benachrichtigung der Aufsichtsbehörde.
20
Der Betroffene ist zu benachrichtigen, (1) dass Daten, die unter den Katalog des § 42a BDSG fallen, (2) unrechtmäßig übermittelt oder auf sonstige Weise Dritten unrechtmäßig zur Kenntnis gelangt sind, (3) und ihm schwerwiegende Beeinträchtigungen für seine Rechte oder seine schutzwürdigen Interessen drohen3, (4) samt einer Darlegung der Art der unrechtmäßigen Kenntniserlangung, (5) und Empfehlungen für Maßnahmen zur Minderung möglicher nachteiliger Folgen4.
21
Die Benachrichtigung der Aufsichtsbehörde muss zusätzlich enthalten: (6) eine Darlegung möglicher nachteiliger Folgen der unrechtmäßigen Kenntniserlangung und (7) eine Darlegung der von der Stelle daraufhin ergriffenen Maßnahmen5. 1 Gola/Schomerus, BDSG, § 42a Rz. 4. 2 Gola/Schomerus, BDSG, § 42a Rz. 4. 3 Dieser Inhalt ergibt sich aus dem Wortlaut „dies … mitzuteilen“ in § 42a Satz 1 BDSG. 4 § 42a Satz 3 BDSG. 5 § 42a Satz 4 BDSG.
1028
Schuppert
§ 62
IV. Die allgemeine Meldepflicht nach § 42a BDSG
Vorgaben für die Form der Benachrichtigung enthält § 42a BDSG nicht. 22 Eine Benachrichtigung per Brief oder per E-Mail wird als erforderlich und ausreichend angesehen1. Bei unverhältnismäßigem Aufwand einer solchen individuellen Benachrichtigung (also als Vergünstigung für den Verpflichteten) kann diese durch Veröffentlichung in Zeitungen ersetzt werden (§ 42a Satz 5 BDSG). Im Jahresbericht des Berliner Beauftragten für den Datenschutz wird ein Fall vorgestellt, in dem die Veröffentlichung im Internet als ausreichend angesehen wurde2. Der Zeitpunkt der Benachrichtigung unterscheidet sich im Hinblick auf 23 die Meldung bei der Aufsichtsbehörde und bei dem Betroffenen: Die Aufsichtsbehörde ist unverzüglich nach Kenntnisnahme zu informieren. Dabei kommt es nicht auf das „Kennenmüssen“ an, allerdings muss sich die verantwortliche Stelle die Kenntnis derjenigen Mitarbeiter zurechnen lassen, zu deren Aufgabenkreis die innerbetriebliche Kommunikation einer Datenschutzverletzung gehört, also etwa des Verantwortlichen für die IT oder des internen Datenschutzbeauftragten3. Für die Benachrichtigung des Betroffenen gilt nach § 42a Satz 2 BDSG 24 eine „Responsible Disclosure“4, das heißt, dass erst angemessene Sicherungsmaßnahmen ergriffen werden können, um weitere Zugriffe auszuschließen, bevor die Betroffenen benachrichtigt werden. Weiterhin können laufende Ermittlungen der Strafverfolgungsbehörden den Aufschub einer Benachrichtigung des Betroffenen begründen. 2. Die Umsetzung von § 42a BDSG Bereits nach den ersten 18 Monaten gaben die Datenschutzbehörden laut 25 Pressemitteilung des Bundesbeauftragten ein positives Echo und verwiesen auf 90 Meldungen, meist Diebstahl oder Verlust von mobilen Datenträgern, Fehlleitungen von E-Mails und das Ausspähen von Bankdaten5. Die BDSG Novelle II, mit der § 42a BDSG eingeführt wurde, sah eine 26 Pflicht der Bundesregierung vor, bis zum 31.12.2012 über die Auswirkungen auch des § 42a BDSG zu berichten. Dieser Bericht wurde am 4.1.2013 veröffentlicht6. Vier Kommentare der Datenschutzbehörden griff die Bundesregierung 27 mit Erläuterungen auf7: 1 Gola/Schomerus, BDSG, § 42a Rz. 7. 2 Jahresbericht 2012 des Berliner Beauftragten für Datenschutz und Informationsfreiheit, S. 150, http://www.datenschutz-berlin.de/attachments/942/2012-JB-Da tenschutz.pdf?1363963098. 3 Hanloser, CCZ 2010, 25 (27). 4 Bericht der Bundesregierung, S. 2. 5 BfDI zur Informationspflicht bei Datenschutzpannen, RDV 2011, 263. 6 Bericht der Bundesregierung, S. 1; hierzu auch Eckhardt, ZD-Aktuell 2013, 03494. 7 Bericht der Bundesregierung, S. 3 f. Schuppert
1029
§ 62
Meldepflichten
28
Unterschiedliche Interpretationen der Frage, wann eine schwerwiegende Rechts- und Interessenbeeinträchtigung drohe, durch Unternehmen einerseits und Aufsichtsbehörden andererseits seien typische Auslegungsfragen, die keine Gesetzesergänzung oder weitere Richtlinien erfordern.
29
Die allgemeinen Stellvertretungsregelungen gelten auch für § 42a BDSG, so dass die Meldung auch durch einen anderen als den Benachrichtigungspflichtigen erfolgen kann, z.B. durch eine Versicherung stellvertretend für selbständige Makler.
30
Im Spannungsfeld zwischen Ermittlungsinteresse und Benachrichtigungspflicht soll es im gesamtgesellschaftlichen Interesse dabei bleiben, dass der Strafverfolgung zunächst Vorrang vor der Schadensminderung durch die Benachrichtigung zukommt.
31
Die Abgrenzung zwischen § 42a BDSG und den sektoralen Normen in § 15a TMG und § 93 Abs. 3 TKG sieht die Bundesregierung auch laut der Begründung des Gesetzesentwurfs im Schutz der Bestands- und Verkehrsdaten (die nicht über § 42a BDSG geschützt sind). Ein Wertungswiderspruch bestünde nicht, da auch hier das zusätzliche Kriterium der schwerwiegenden Rechts- oder Interessenbeeinträchtigung besteht.
32
Das Bayerische Landesamt für Datenschutzaufsicht berichtete im April 2013 für die Jahre 2010, 2011 und 2012 insgesamt 33 Meldungen mit dem Schwerpunkt auf dem Hacking von Internetdiensteanbietern und dem Kopieren von EC-Kartendaten an Geldautomaten (Skimming) mit jeweils 10 Meldungen1.
33
Der Berliner Beauftragte für Datenschutz und Informationsfreiheit verweist in seinem Jahresbericht 2012 zum einen auf die häufige Praxis, die Aufsichtsbehörden „vorsorglich“ über Vorkommnisse in Kenntnis zu setzen, dass dies jedoch die eigene Wertung, ob die Betroffenen auch in Kenntnis zu setzen sind, nicht ersetze. Zum anderen wird auf die sektoralen Meldepflichten im Telemedien-, Telekommunikations- und Sozialrecht außerhalb von § 42a BDSG hingewiesen, die häufig übersehen werden2.
V. Weitere allgemeine Meldepflichten 34
Neben § 42a BDSG bestehen sonstige allgemeine Meldepflichten.
1 5. Tätigkeitsbericht 2011/2012, http://www.lda.bayern.de/lda/datenschutzauf sicht/lda_daten/dsa_Taetigkeitsbericht20112012.pdf. 2 Jahresbericht 2012 Berlin BfDSuIF, S. 149 f.
1030
Schuppert
§ 62
V. Weitere allgemeine Meldepflichten
1. Landesgesetze Meldepflichten, die zudem nicht auf bestimmte Kategorien von Daten 35 beschränkt sind, sondern allgemein bei allen personenbezogenen Daten zum Tragen kommen, sind in einzelnen Landesgesetzen geregelt. Dies ist der Fall für Berlin (§ 18a BerlinDSG), Rheinland-Pfalz (§ 18a LDSG Rheinland-Pfalz) und Schleswig-Holstein (§ 27a LDSG SH). 2. Vertragliche Informationspflichten Pflichten zur Information über einen unberechtigten Zugang zu per- 36 sonenbezogenen Daten können sich auch aus Vertrag ergeben. So muss bereits nach § 11 Abs. 2 Ziff. 8 BDSG jeder Vertrag über eine 37 Auftragsdatenverarbeitung auch Festlegungen enthalten über „mitzuteilende Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen Vorschriften zum Schutz personenbezogener Daten oder gegen die im Auftrag getroffenen Festlegungen“. Eine Offenlegung an unberechtigte Dritte oder der durch unzureichende Sicherung oder Verschlüsselung ermöglichte Zugriff eines Dritten können ein solcher Verstoß sein. Berechtigter aus diesem Anspruch ist nur der Auftraggeber als verantwortliche Stelle, nicht (auch nicht als Drittbegünstigter) die betroffene Person als Datensubjekt. Empfohlen wird eine vertragliche Regelung, die eine Benachrichtigungspflicht insbesondere bei unrechtmäßiger Übermittlung i.S.v. § 42a BDSG vorsieht, und eine Unterstützungspflicht des Auftragnehmers enthält1. Daraus kann zumindest der Schluss gezogen werden, dass ohne ausdrückliche Regelung eine solche Pflicht nicht in derselben Klarheit aus der Vergabe der Auftragsdatenverarbeitung abgeleitet werden kann. Eine ausdrückliche vertragliche Pflicht ergibt sich für den Nicht-EU-Da- 38 tenverarbeiter, der auf der Grundlage der Standardvertragsklauseln für Auftragsdatenverarbeiter arbeitet: Bereits in den 2001 beschlossenen Standardvertragsklauseln ist eine Pflicht des Importeurs (also des außerhalb der EU ansässigen Dienstleisters) vorgesehen, den Exporteur (also die in der EU belegene verantwortliche Stelle) über „any accidental or unauthorized access“ zu benachrichtigen2. Dies wurde gleichlautend in die 2010 beschlossenen Standardvertragsklauseln übernommen3.
1 Gola/Schomerus, BDSG, § 11 Rz. 18g. 2 Clause 5 (d) (ii) der Standardvertragsklauseln, Commission Decision of 27 December 2001 on standard contractual clauses for the transfer of personal data to processors established in third countries, under Directive 95/46/EC (notified under document number C(2001) 4540) (Text with EEA relevance) (2002/16/EC), http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2002:006:0052:0062: en:PDF. 3 Commission Decision of 5 February 2010 on standard contractual clauses for the transfer of personal data to processors established in third countries under Directive 95/46/EC of the European Parliament and of the Council (notified unSchuppert
1031
§ 62 39
Meldepflichten
Schließlich kann sich allein aus den dienst- oder werkvertraglichen Pflichten eines Vertrages, die den Umgang mit personenbezogenen Daten betreffen, eine stillschweigende Pflicht ergeben, die andere Vertragspartei auf Vorfälle hinzuweisen, die sich in der Sphäre einer Vertragspartei ereignet haben, die zu einem unberechtigten Zugriff oder Nutzung von personenbezogenen Daten geführt haben, und an deren Kenntnisnahme ein legitimes und überwiegendes Interesse der anderen Vertragspartei besteht. Ob allein schon Meldepflichten der anderen Vertragspartei dieses Interesse auslösen können, wäre überlegenswert. Denn die Bösgläubigkeit nach Kenntniserlangung setzt dann auch die Fristen zur Meldung in Gang.
VI. Sektorspezifische Meldepflichten 40
Sektorale Meldepflichten neben § 42a BDSG bestehen im Telekommunikations-, Sozial- und Energierecht. 1. ePrivacy und Telekommunikation
41
Die umfangreichsten und ältesten Regelungen hierzu bestehen für Anbieter von Internet- und Telekommunikationsdiensten. Der noch bekannteste wird § 15a TMG sein. Ausführlichere Regelungen finden sich in der Umsetzung der ePrivacy Richtlinie nach ihrer Ergänzung 2009 im deutschen Recht in §§ 93 und 109a TKG. Die dort vorgesehenen technischen Umsetzungsmaßnahmen sind im Juni 2013 mit der VO 611/2013 mit Wirkung zum 25.8.2013 vorgegeben. a) § 15a TMG
42
§ 15a TMG (wie auch § 93 Abs. 3 TKG a.F.) wurde zeitgleich mit dem § 42a BDSG verabschiedet. Er verweist auf § 42a BDSG („gilt entsprechend“), erweitert die Meldepflichten aber auf Bestands- und Nutzungsdaten, die bei einem Anbieter von Diensten nach dem TMG gespeichert sind.
43
Da auch § 15a TMG erfordert, dass schwerwiegende Rechts- oder Interessenbeeinträchtigungen drohen, werden die Meldepflichten nicht wesentlich erweitert. b) § 93 Abs. 3 TKG und § 109a TKG
44
Die Regelungen im aktuellen § 93 Abs. 3 TKG und in § 109a TKG sind im Zuge der TKG-Reform 2012 in das TKG aufgenommen worden1 und der document C(2010) 593), http://ec.europa.eu/justice/policies/privacy/docs/mo delcontracts/c_2010_593/c_2010_0593_en.doc. 1 Mit Gesetz v. 3.5.2012 (BGBl. I, 958), in Kraft seit 10.5.2012.
1032
Schuppert
§ 62
VI. Sektorspezifische Meldepflichten
setzen die Vorgaben von Art. 4 Abs. 5 der ePrivacy Richtlinie 2002/58 nach Ergänzung dieser Richtlinie durch die Richtlinie 2009/136 um1. Der durch die Richtlinie 2009/136 neu eingeführte Art. 4 Abs. 3 bis 4 45 Abs. 5 der ePrivacy Richtlinie 2002/58 sieht eine Meldepflicht für „Betreiber der öffentlich zugänglichen elektronischen Kommunikationsdienste“ vor. § 109a TKG betrifft nur den Betreiber „öffentlich zugänglicher Telekom- 46 munikationsdienste“. Die Anbieter von Diensten in geschlossenen Benutzergruppen fallen also nicht unter § 109a TKG. Allerdings verweist § 93 Abs. 3 TKG auf § 109a TKG, so dass vertreten wird, dass die Meldepflicht aus § 109a TKG für alle „Diensteanbieter“ i.S.d. § 93 TKG gilt2. Berechtigt sind nach dem Wortlaut der Richtlinie und des TKG „Teilneh- 47 mer oder Personen“. Darunter sind weit gefasst alle Personen zu verstehen, sowohl Teilnehmer und Nutzer von geschlossenen Benutzergruppen als auch von öffentlichen Telekommunikationsdiensten und sonstige Personen. Im Unterschied zu § 42a BDSG und § 15a TMG ist die Meldung bei der 48 Aufsichtsbehörde bei jeder Datenschutzverletzung erforderlich; eine Einschränkung auf die Fälle, in denen schwerwiegende Rechts- oder Interessenbeeinträchtigungen drohen, besteht nicht. Damit geht das TKG – im Einklang mit der Richtlinie – für die Diensteanbieter im TK-Bereich von deutlich umfangreicheren und belastenderen Meldepflichten als bei sonstigen verantwortlichen Stellen aus. Die drohenden schwerwiegenden Rechts- oder Interessenbeeinträchti- 49 gungen sind erst in der zweiten Stufe Auslöser der Benachrichtigungspflichten gegenüber den Teilnehmern und sonstigen betroffenen Personen nach § 109a Abs. 1 Satz 2 TKG. Die Benachrichtigung sowohl der Aufsichtsbehörde wie auch der Teil- 50 nehmer und sonstigen Personen muss nach Richtlinie und TKG jeweils „unverzüglich“ erfolgen. c) Technische Durchführungsmaßnahmen durch die EU-Verordnung 611/2013 vom 23.6.2013 Die Richtlinie 2009/136 fügte einen Art. 4 Abs. 5 in die ePrivacy-Richt- 51 linie ein, dass die Kommission „technische Durchführungsmaßnahmen in Bezug auf Umstände, Form und Verfahren der in diesem Artikel vorgeschriebenen Informationen und Benachrichtigungen erlassen“ kann. 1 Geppert/Schütz, Beck’scher TKG-Kommentar, TKG § 93 Rz. 56; Pokutnev/ Schmid, CR 2012, 360. 2 Geppert/Schütz, Beck’scher TKG-Kommentar, TKG § 93 Rz. 58; Pokutnev/ Schmid, CR 2012, 360 (364). Schuppert
1033
§ 62
Meldepflichten
Die EU Kommission veröffentlichte am 24.6.2013 den Text der Verordnung über die Meldung von Datenpannen bei Anbietern von Telekommunikationsdiensten1. aa) Meldefristen 52
Danach ist innerhalb von 24 Stunden nach Kenntnisnahme der Verlust oder der unberechtigte Zugriff auf Daten bei den Aufsichtsbehörden zu melden. Wenn noch Informationen fehlen, muss spätestens drei Tage später nachgemeldet werden. Die betroffenen Personen sind bei drohenden Nachteilen (insbesondere bei Verlust von Bank- und Kreditkartendaten) „unverzüglich“ zu informieren. Will der Anbieter von dieser Information der Kunden absehen, braucht er die Genehmigung der Aufsichtsbehörde. Auch eine einfache Verschlüsselung der Daten reicht nicht unbedingt aus, um dieser Benachrichtigung der Betroffenen zu entgehen. Die Verordnung trat am 25.8.2013 in Kraft2.
53
Als Verordnung hat diese Regelung nun unmittelbare Wirkung, ohne dass es weiterer nationaler Umsetzungsakte bedarf. Damit ist das „unverzüglich“ in § 109a Abs. 1 TKG über § 109 Abs. 4 TKG („Vorbehaltlich technischer Durchführungsmaßnahmen der Europäischen Kommission nach Art. 4 Abs. 5 der Richtlinie 2002/58“) i.V.m. Art. 2 Abs. 2 der VO 611/2013 so auszulegen, dass dies „24 Stunden“ meint.
54
Da die VO 611/2013 jedoch nicht für alle „Diensteanbieter“ i.S.v. § 93 TKG gilt, sondern nur für „Betreiber öffentlich zugänglicher elektronischer Kommunikationsdienste“ (Art. 1 der VO 611/2013), ergeben sich für § 93 TKG zwei unterschiedliche Fristen, je nachdem, ob Dienste in geschlossenen Nutzergruppen („unverzüglich“) oder öffentlich („24 Stunden“) angeboten werden.
55
Grundregel ist, dass der Diensteanbieter innerhalb von 24 Stunden die Datenpanne der Behörde melden muss. Der Inhalt der Meldung ist in der Anlage zu der Verordnung aufgelistet. Fehlen dem Diensteanbieter noch Einzelheiten, entgeht er dennoch nicht der kurzfristigen Meldung: Dafür ist in Art. 2 Abs. 3 der VO 611/2013 eine erste Meldung innerhalb von 24 Stunden vorgesehen, der dann innerhalb von drei Tagen nach dieser ersten Meldung eine zweite Meldung mit den weiteren Einzelheiten folgen muss. Wenn selbst dann noch keine genauen Erkenntnisse vorliegen, muss der Diensteanbieter zumindest die ihm dann bekannten Umstände der Behörde und eine Begründung für die verspätete Mitteilung der ver1 VO (EU) Nr. 611/2013 der Kommission v. 24.6.2013 über die Maßnahmen für die Benachrichtigung von Verletzungen des Schutzes personenbezogener Daten gemäß RL 2002/58/EG des Europäischen Parlaments und des Rates (Datenschutzrichtlinie für elektronische Kommunikation), ABl. Nr. L 173/2 v. 26.6.2013. 2 Hierzu Schuppert, EU Kommission: Meldung von Datenpannen bei TK-Anbietern innerhalb von 24 Stunden, http://www.hldatenschutz.de/2013/07/02/eukommission-meldung-bei-datenpannen-innerhalb-von-24-stunden/#more-619.
1034
Schuppert
§ 62
VI. Sektorspezifische Meldepflichten
bleibenden Angaben mitteilen. Die verbleibenden Angaben müssen dann „so bald wie möglich“ nachgereicht werden. Bei drohenden schwerwiegenden Nachteilen muss auch die betroffene 56 Person vom Diensteanbieter informiert werden. Solche Nachteile sind insbesondere zu befürchten, wenn Kreditkarteninformationen, sensible Daten wie z.B. Gesundheitsdaten oder ortsbezogene Daten, Internet-Logdateien, Webbrowser Ablaufdaten (‚histories“), E-Mail-Daten oder Listen mit Einzelanrufen an unberechtigte Dritte gelangen. Die Frist zur Benachrichtigung der betroffenen Personen bleibt in Art. 3 57 Abs. 3 der VO 611/2013 „ohne unangemessene Verzögerung“ nach Feststellung der Verletzung, und ist unabhängig von der Meldung bei der Aufsichtsbehörde. Es ist nicht zu erkennen, dass „ohne unangemessene Verzögerung“ anders auszulegen ist als das „unverzüglich“ im § 109a TKG. Wenn der Diensteanbieter jedoch die Datenpanne noch weiter untersuchen will, und deshalb eine Benachrichtigung der Betroffenen hinauszögern möchte, braucht er die Genehmigung der Aufsichtsbehörde. bb) Meldepflicht auch bei Verschlüsselung Bislang galt, dass bei einer Verschlüsselung der Daten in der Regel keine 58 Meldepflicht besteht. Dies greift auch die Verordnung in Art. 4 auf, soweit der Diensteanbieter „zur Zufriedenheit der Behörde“ darlegen kann, dass (1.) er geeignete technische Schutzmaßnahmen getroffen hat, und (2.) diese Maßnahmen auf die von der Sicherheitsverletzung betroffenen Daten angewendet wurden. Durch diese Maßnahmen „müssen“ die Daten für Unbefugte „unverständlich“ gemacht werden. Beispiele für solche Maßnahmen sollen noch veröffentlicht werden. Als „unverständlich“ gelten dabei nach Art. 4 Abs. 2 der VO 611/2013 dabei Daten, wenn sie so verschlüsselt sind, dass der Schlüssel zur Entschlüsselung mit „derzeit verfügbaren technischen Mitteln“ von keiner unberechtigten Person bestimmt werden kann. Anders als z.B. § 3 Abs. 6 BDSG findet sich kein Hinweis auf eine Entschlüsselungsmöglichkeit nur mit unverhältnismäßigem hohem Aufwand. Es erscheint zumindest sehr fraglich, ob ein normaler Anbieter von Internet- oder Telekommunikationsdienstleistungen einen solch hohen Standard verwendet. cc) Sub-Dienstleister In Art. 5 der VO 611/2013 werden die Benachrichtigungspflichten der 59 vorgeschalteten oder ansonsten tätigen Sub-Dienstleister, die kein eigenes Vertragsverhältnis zum Endkunden haben, geregelt. Dies können Dienstleister im Bereich der Abrechnung oder der Verwaltungsfunktion, aber auch elektronische Kommunikationsdienste auf der Vorleistungsebene sein1. Für sie gilt die Pflicht, den Betreiber „sofort“ zu informieren. 1 Erwägungsgrund (18) der VO 611/2013. Schuppert
1035
§ 62
Meldepflichten
In den Erwägungsgründen findet sich keine Erklärung, ob dieses „sofort“ zumindest so zu verstehen ist, dass der Sub-Dienstleister selbst Nachforschungen anstellen kann und muss, welcher Art die Verletzung ist, und vor allem welche seiner Kunden als Betreiber von der Verletzung betroffen sind. Da die Benachrichtigung des Kunden als Betreiber dann dessen kurzfristige, 24-stündige Meldefrist auslöst, sollte der Sub-Dienstleister zumindest die Nachforschungen anstellen können, die den Kunden als Betreiber in die Lage versetzen, seine eigene Meldepflicht prüfen und bestätigen zu können. Dies gilt insbesondere deshalb, weil die Möglichkeit einer abgestuften Benachrichtigung, wie sie bei dem Betreiber gegenüber der Meldebehörde vorgesehen ist, in Art. 5 der VO 611/2013 dem SubDienstleister nicht eingeräumt wird, die Information also vollständig zu erfolgen hat. Dieser Zeitraum für die Information durch den Sub-Dienstleister kann also durchaus auch länger als 24 Stunden sein. 2. Sozialdaten – § 83a SGB X 60
Ein häufig nicht gesehener Bereich des Datenschutzes ist der Sozialdatenschutz im Sozialgesetzbuch1. Er sieht mit § 83a SGB X auch eine Meldepflicht bei Datenschutzverstößen vor: Relevante Daten sind besondere personenbezogene Daten nach § 67 Abs. 12 SGB X, die mit denen in § 3 Abs. 9 BDSG übereinstimmen. Verpflichtet sind die in § 35 SGB I genannten Leistungsträger und weitere aufgezählte Personen, die Zugang zu Sozialdaten haben. Anknüpfungspunkt ist auch bei § 83a SGB X die unrechtmäßige Übermittlung oder die Kenntniserlangung Dritter auf sonstige Weise. Die Meldepflicht wird nur bei drohenden schwerwiegenden Rechts- und Interessenbeeinträchtigungen ausgelöst. Gemeldet werden muss neben der Datenschutzaufsichtsbehörde und den Betroffenen gegenüber auch an die nach § 90 SGB IV zuständige Aufsichtsbehörde des Leistungsträgers. Als Rechtsfolge wird auf § 42a Abs. 2 bis 6 BDSG verwiesen. 3. Energiesektor – § 21h Abs. 2 EnWG
61
Eine weitere sektorale Meldepflicht besteht für „Messstellenbetreiber“ nach § 21 EnWG. Hintergrund dieser Norm ist die Einführung von „Smart-Metern“, also intelligenten Energie-Verbrauchsmessern, die zu dem Energieverbrauch personenbezogene Daten speichern und von berechtigten Dritten, insbesondere den Betreibern der Messstellen, zu den in § 21g EnWG aufgelisteten Zwecken ausgelesen, genutzt und verarbeitet werden können2.
62
§ 21h Abs. 2 EnWG verweist auf § 42a BDSG in ähnlicher Weise wie § 15a TMG: Relevante Daten sind dabei „gespeicherte Vertrags- oder Nutzungsdaten“. Diese müssen „unrechtmäßig gespeichert, verarbeitet 1 So auch der Jahresbericht BlnBDI 2012, 149. 2 Roßnagel/Volland/Jandt, ZD 2011, 99.
1036
Schuppert
§ 62
VII. Entwurf der EU-Datenschutz-Grundverordnung
oder übermittelt worden oder auf sonstige Weise Dritten unrechtmäßig zur Kenntnis gelangt“ sein. Damit umfasst der Wortlaut mehr Vorgänge als § 42a BDSG und § 15a TMG, da neben der Übermittlung auch die Speicherung und Verarbeitung erfasst wird. Weitere Voraussetzung ist die drohende schwerwiegende Rechts- und Interessenbeeinträchtigung. Als Rechtsfolge wird auf § 42a BDSG verwiesen.
VII. Entwurf der EU-Datenschutz-Grundverordnung Meldepflichten sind auch in dem Entwurf der Kommission für eine neue 63 Datenschutz-Grundverordnung (DS-GVO-E) vorgesehen, die an die Stelle der Datenschutzrichtlinie 95/46 treten soll, und deren Entwurf am 25.1.2012 vorgestellt wurde1. 1. Der Entwurf der Kommission 2012 In dem Art. 31 DS-GVO-E wird die Meldung an die Aufsichtsbehörde ge- 64 regelt, in Art. 32 DS-GVO-E die Meldung an den Betroffenen2. Die Pflicht gilt nach Art. 31 Abs. 1 DS-GVO-E bei Verletzung des Schut- 65 zes aller personenbezogener Daten, ohne dass eine Einschränkung auf besonders sensible Daten erfolgt. Darin liegt ein wesentlicher Unterschied zu bekannten Regelungen aus dem allgemeinen Datenschutzrecht. Es ist auch keine drohende schwerwiegende Rechts- oder Interessenbeeinträchtigung erforderlich; selbst wenn diese ausgeschlossen ist, besteht die Pflicht zur Meldung bei der Aufsichtsbehörde. Eine solche Meldepflicht zumindest gegenüber der Aufsichtsbehörde auch bei „harmlosen“ Verletzungen besteht bislang nur sektorspezifisch für die Anbieter von Telekommunikationsdienstleistungen nach Art. 4 der Richtlinie 2002/58. Die Meldung muss „ohne unangemessene Verzögerung und nach Möglichkeit binnen 24 Stunden nach Feststellung der Verletzung“ erfolgen. Falls die Meldung nicht innerhalb von 24 Stunden erfolgt (z.B., wenn die Einhaltung der 24-Stunden-Frist außerhalb der „Möglichkeit“ liegt), ist „dieser eine Begründung beizufügen“: damit ist wohl gemeint, dass die Nichteinhaltung der 24-Stunden-Frist zu begründen ist; dies führt zumindest der Erwägungsgrund (67) mit den klareren Worten „Gründe für die Verzögerung“ aus. Diese Meldung ist zudem mit einer Vielzahl von Informationen zu füllen: über die Art der Verletzung, die Kategorien der Daten, die Zahl der Betroffenen, die Zahl der Kategorien, die Zahl der Datensätze, Empfehlungen für die Eindämmung negativer Auswirkungen, die Beschreibung der Folgen der Verletzung und der durch den für 1 Vorschlag für Verordnung des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz-Grundverordnung), KOM(2012) 11 endg. 2 Hierzu Kaufmann, ZD 2012, 358; Härting, BB 2012, 459 (465). Schuppert
1037
§ 62
Meldepflichten
die Verarbeitung Verantwortlichen vorgeschlagenen und bereits ergriffenen Maßnahmen1. 66
Vergleichbar mit den Regelungen in der VO 611/2013 sieht auch der DS-GVO-E in Art. 31 Abs. 2 eine Regelung zu den (eigentlich vertraglich zu regelnden) Berichtspflichten zwischen dem für die Verarbeitung Verantwortlichen und einem Auftragsdatenverarbeiter vor: Letzterer muss „unmittelbar nach Feststellung“ der Verletzung den für die Verarbeitung Verantwortlichen alarmieren und informieren.
67
Art. 32 DS-GVO-E regelt die Benachrichtigung der betroffenen Personen. Hier besteht nach Art. 32 Abs. 1 DS-GVO-E die Pflicht nur, wenn die Wahrscheinlichkeit besteht, dass der Schutz der personenbezogenen Daten oder die Privatsphäre der betroffenen Person beeinträchtigt wird. Der Benachrichtigung sind deutlich weniger Informationen beizufügen; als Mindestinformation sind Kontaktdaten des Datenschutzbeauftragten des für die Verarbeitung Verantwortlichen und Empfehlungen für Maßnahmen zur Eindämmung der negativen Auswirkungen nach Art. 32 Abs. 2 i.V.m. Art. 31 Abs. 3b und Abs. 3c DS-GVO-E gefordert. Die Benachrichtigung muss nach Art. 32 Abs. 1 DS-GVO-E auch erst nach der Meldung bei der Aufsichtsbehörde und „ohne unangemessene Verzögerung“ erfolgen.
68
Von der Benachrichtigung kann nach Art. 32 Abs. 3 DS-GVO-E abgesehen werden, wenn z.B. durch Verschlüsselung der Daten geeignete technische Sicherheitsvorkehrungen getroffen wurden, allerdings nur, wenn dies „zur Zufriedenheit der Aufsichtsbehörde“ nachgewiesen wurde.
69
Die DS-GVO-E sieht damit sehr umfangreiche Meldepflichten bei den Aufsichtsbehörden vor, die weit über bestehende Regelungen hinausgehen, sogar Regelungen übertreffen, die für bestimmte Sektoren, wie den Telekommunikationsbereich, angesichts der technischen Versiertheit der Anbieter und Sensibilität der Daten vielleicht noch nachvollziehbar sind. Die Meldung gegenüber den Behörden wird stark in den Vordergrund gestellt, die Benachrichtigung gegenüber den Betroffenen gerät dabei in den Hintergrund2. 2. Der Albrecht-Bericht
70
Am 17.12.2012 stellte Jan Philipp Albrecht, der Berichterstatter des LIBE Ausschuss für bürgerliche Freiheiten, Justiz und Inneres des Europäischen Parlaments, seinen Bericht zu den vorgeschlagenen Änderungen der DS-GVO-E vor3. Die Änderungen betreffen auch die Meldepflichten. 1 Art. 31(3) DS-GVO-E. 2 So auch Härting, BB 2012, 459 (465). 3 Draft Report on the proposal for a regulation of the European Parliament and of the Council on the protection of individual with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation) (COM(2012)0011 – C7-0025/2012 – 2012/0011(COD)) Committee on Civil
1038
Schuppert
§ 62
VII. Entwurf der EU-Datenschutz-Grundverordnung
Der wichtigste Änderungsvorschlag ist dabei – wohl aus einem Redak- 71 tionsversehen – nicht in den Text der zu ändernden Vorschriften aufgenommen worden, sondern nur in den Erwägungsgründen begründet: die Verlängerung der Meldefrist von 24 Stunden auf 72 Stunden. In dem Vorschlag für den geänderten Erwägungsgrund (67) heißt es: „the controller should notify the breach to the supervisory authority without undue delay and, where feasible, within 72 hours“1. Für die maßgebliche inhaltliche Regelung in Art. 31 Abs. 1 ist dann jedoch keine Änderung vorgeschlagen. Die erste, Art. 31 DS-GVO-E betreffende Änderung ist Amendment 198 mit dem Vorschlag für einen neuen Art. 31 Abs. 4a, der die Aufsichtsbehörde verpflichtet, ein öffentliches Verzeichnis mit den Arten der notifizierten Verletzungen einzurichten. Für die Benachrichtigung des Betroffenen schlägt der Albrecht-Bericht ei- 72 ne Klarstellung der Beeinträchtigung der Rechte oder Interessen des Betroffenen vor. Nach dem Amendment 201 sollen die Beispiele „identity theft or fraud, physical harm, significant humiliation or damage to reputation“ eingefügt werden. Als Grund hierfür wird angegeben, dass ansonsten ein „notification fatigue“ bei Betroffenen einsetzen kann, die nach vielen Benachrichtigungen auch zu unerheblichen Verletzungen dann diese nicht mehr wahrnehmen. Die sehr wenigen Informationen, die dem Betroffenen gegeben werden, sollen nach dem Amendment 202 erweitert werden um Informationen zu den Rechten des Betroffenen, einschließlich möglicher Rechtsmittel („redress“). Die sonstigen Änderungen betreffen das Verfahren für die delegierten 73 Rechtsakte, mit denen die Kommission nach den Art. 31 und 32 Einzelheiten regeln kann; hier wird eine Mitbestimmung des European Data Protection Board (der Nachfolgeorganisation der Artikel-29-Arbeitsgruppe) gefordert2. Die im Albrecht-Entwurf vorgeschlagenen Änderungen lassen die Melde- 74 pflichten durch die Verlängerung der Meldefrist von 24 auf 72 Stunden etwas praxisnäher und befolgbarer werden. Allerdings sind auch hier alle Verletzungen jeglicher personenbezogener Daten stets an die Aufsichtsbehörde zu melden. Insgesamt wird dies mit der Flut von Meldungen eher zu einer „notification fatigue“ bei der Behörde führen, und schafft die Gefahr, dass keine Kapazitäten für die wesentlichen Fälle mehr bestehen. Insgesamt erscheint damit die DS-GVO-E auch mit den Änderungen im Albrecht-Entwurf noch nicht als allgemein sinnvolle und praktikable Lösung.
Liberties, Justice and Home Affairs, Rapporteur: Jan Philipp Albrecht, Dokument 2012/0011(COD), 17.12.2012, http://www.europarl.europa.eu/meetdocs/2009_ 2014/documents/libe/pr/922/922387/922387en.pdf (Albrecht-Bericht). 1 Albrecht-Bericht, Amendment 45. 2 Albrecht-Bericht, Amendments 199, 200, 203, 204. Schuppert
1039
§ 62
Meldepflichten
3. Vergleich mit VO 611/2013 75
Interessant ist der Vergleich der DS-GVO-E mit der 2013 erlassenen VO 611/2013. Die im Entwurf der Kommission vorgesehene Frist von 24 Stunden ist im Bericht von Jan Philipp Albrecht1 so nicht wieder aufgegriffen worden, da sie als zu kurz empfunden wurde. Interessanterweise verweist die jetzt veröffentlichte Verordnung auf den ursprünglichen Entwurf der Kommission und sieht beide Texte als konsistent an2. Die Datenschutz-Grundverordnung würde dabei für jegliche verantwortliche Stelle gelten, die VO 611/2013 gilt nur für Anbieter von Telekommunikationsdienstleistungen, die unter die e-Privacy-Richtlinie 2002/58/EG fallen. In dem Entwurf für die Datenschutzverordnung ist das Recht der Kommission enthalten, entsprechende delegierte Rechtsakte auch für die allgemein geltende Meldepflicht bei Datenpannen zu erlassen. Die jetzt erlassene Verordnung ist ein gutes Indiz dafür, was die Kommission auch in dem allgemeinen Bereich für sinnvoll halten könnte.
VIII. Entwurf der Richtlinie zur Netz- und Informationssicherheit und Referentenentwurf des BMI 76
Weitere Meldepflichten erscheinen am gesetzgeberischen Horizont mit den vorgeschlagenen Texten zur Netzsicherheit auf europäischer und deutscher Ebene3.
77
Den Entwurf einer neuen Regelung zur Cybersicherheit und zur Netzund Informationssicherheit hat die Kommission am 7.2.2013 vorgestellt4. Teil des Entwurfs ist auch ein Art. 14 Abs. 2, nach dem die Mitgliedstaaten gewährleisten, dass öffentliche Verwaltungen und Marktteilnehmer den zuständigen Behörden Sicherheitsvorfälle melden, die erhebliche Auswirkungen auf die Sicherheit der von ihnen bereitgestellten Kerndienste haben. Nach Art. 14 Abs. 4 des Entwurfs kann die zuständige Behörde die Öffentlichkeit unterrichten, oder die öffentliche Verwaltung oder den Marktteilnehmer zur Unterrichtung verpflichten, wenn sie zu dem Schluss gelangt, dass die Bekanntmachung im öffent1 Draft Report on the proposal for a regulation of the European Parliament and of the Council on the protection of individual with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation) (COM(2012)0011 – C7-0025/2012 – 2012/0011(COD)) Committee on Civil Liberties, Justice and Home Affairs, Rapporteur: Jan Philipp Albrecht, Dokument 2012/0011(COD), 17.12.2012, http://www.europarl.europa.eu/meetdocs/2009_ 2014/documents/libe/pr/922/922387/922387en.pdf (Albrecht-Bericht). 2 Erwägungsgrund (19) der VO 611/2013. 3 Niclas/von Blumenthal, ITRB 2013, 73. 4 Vorschlag für eine Richtlinie des Europäischen Parlaments und des Rates über Maßnahmen zur Gewährleistung einer hohen gemeinsamen Netz- und Informationssicherheit in der Union, 7.2.2013, COM(2013) 48 final, (zitiert als NISRichtlinie-E), http://ec.europa.eu/dgs/home-affairs/what-is-new/news/news/2013/ docs/1_directive_20130207_de.pdf.
1040
Schuppert
§ 62
IX. Praktisches Vorgehen
lichen Interesse liegt. Die Kommission kann, nach Art. 14 Abs. 5 und 18 des Entwurfs ermächtigt, hierzu delegierte Rechtsakte zu erlassen. Die verpflichteten „Marktteilnehmer“ sind nach Art. 3 Abs. 8 die Anbie- 78 ter von Diensten der Informationsgesellschaft (z.B. Cloud-Dienste oder Suchmaschinen) und Betreiber kritischer Infrastrukturen, zu Letzterem gehören Anbieter aus den Bereichen Energie, Verkehr, Banken und Gesundheit1. Hierzu hat das BMI einen Referentenentwurf für ein Gesetz zur Erhöhung 79 der Sicherheit informationstechnischer Systeme vorgestellt, der derzeit mit einem Bearbeitungsstand 5.3.2013 verfügbar ist2. Kernpunkt ist eine Ergänzung des § 109a TKG, der eine Pflicht zur Meldung bei Beeinträchtigungen vorsieht, die zu „einer Störung der Verfügbarkeit“ der Dienste oder „zu einem unerlaubten Zugriff auf Telekommunikations- und Datenverarbeitungssystemen der Nutzer oder Teilnehmer“ führen können.
IX. Praktisches Vorgehen Wer sich erst nach Kenntnis einer unrechtmäßigen Übermittlung oder 80 sonstiger Kenntnis eines unberechtigten Dritten von personenbezogenen Daten aus dem eigenen Unternehmen Gedanken darüber macht, welche Pflichten bestehen, hat schon verloren. Sinn und Zweck der Meldepflichten ist gerade auch, dass Unternehmen ein funktionierendes System der Erkennung und der Reaktion, einschließlich einer klaren Berichtslinie, in Vorbereitung auf solche Datenpannen aufsetzen. Zu berücksichtigen ist dabei auch, in welchen Ländern und an welche 81 Aufsichtsbehörden Berichtspflichten bestehen. In Deutschland können bei mehreren verarbeitenden Stellen mehrere Landesaufsichtsbehörden zuständig sein, die teilweise auch nach Meldepflichten aus Landesgesetzen berechtigt sind. Im Bereich der Telekommunikation, des Sozialrechts und des Energierechts bestehen Zuständigkeiten weiterer Aufsichtsbehörden neben den oder an Stelle der Datenschutzbehörden. Innerhalb Europas bestehen unterschiedliche Umsetzungen der bisherigen ePrivacy-Richtlinie oder sogar eigenständige Meldepflichten. Die Aufsichtsbehörden haben dabei auch – teilweise politisch bedingt – unterschiedliche Ansätze der Durchsetzung und Verfolgung, einschließlich der Verhängung von Bußgeldern, bei Missachtung der Meldepflichten. Dies gilt auch für Länder außerhalb Europas, insbesondere die USA und die einzelnen Bundesstaaten der USA3. 1 NIS-Richtlinie-E, Anhang II mit Beispielen. 2 Referentenentwurf des Bundesministeriums des Innern Entwurf eines Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme, Stand 5.3.2013; http://www.bmi.bund.de/SharedDocs/Downloads/DE/Gesetzestexte/Entwuerfe/ Entwurf_it-sicherheitsgesetz.pdf?__blob=publicationFile. 3 Karger, ITRB 2010, 161 (163). Schuppert
1041
§ 63 Mediation im Datenschutzrecht?
I. Ausgangslage . . . . . . . . . . . . . . . . . II. 1. 2. 3. 4. 5. 6. 7. 8.
Rz.
Rz.
1
3. Behördliche Aufsichtsmaßnahme versus Unternehmensinteresse . . . . . . . . . . . . . . . . 16 4. Unternehmen und Kunde . . . . . . . 17 5. Unbestimmte Rechtsbegriffe und Ermessensvorschriften . . . . . . . . . 18
Begriffsklärung . . . . . . . . . . . . . . . 4 Freiwilligkeit . . . . . . . . . . . . . . . . . 5 Neutralität, Allvertretung . . . . . . 6 Ergebnisoffenheit . . . . . . . . . . . . . 7 Autonomie der Beteiligten, Non-Direktivität . . . . . . . . . . . . . . 8 Herrschaftsfreies Gespräch. . . . . . 9 Akzeptanz aller Perspektiven. . . . 10 Lösungsorientiertheit . . . . . . . . . . 11 Lebensdienlichkeit . . . . . . . . . . . . 12
III. Denkbare Einsatzmöglichkeiten . 13 1. Konflikte des betrieblichen Beauftragten für den Datenschutz . . 14 2. Konzern . . . . . . . . . . . . . . . . . . . . . 15
IV. Grundsätzliche Bedenken . . . . . . 20 1. Freiwilligkeit . . . . . . . . . . . . . . . . . 21 2. Ergebnisoffenheit. . . . . . . . . . . . . . 24 V. Parallele Steuerrechtsstreit. . . . . . 25 1. Disponibilität und Rechtsstaatsprinzip. . . . . . . . . . . . . . . . . . 26 2. Ermessen und unbestimmte Rechtsbegriffe . . . . . . . . . . . . . . . . 29 VI. Fazit und Ausblick . . . . . . . . . . . . 30
I. Ausgangslage 1
Nach langem Hin und Her ist am 26.7.2012 das „Gesetz zur Förderung der Mediation und anderer Verfahren der außergerichtlichen Konfliktbeilegung“ in Kraft getreten. Seitdem gibt es hymnische Kommentare – manche sprechen von dem endgültigen Ritterschlag für die Mediation. Es gibt auch viel hämische Kritik1, und manche sprechen angesichts des neuen kostenfreien Güterichtermodells nach Klageerhebung2 sogar von dem endgültigen Todesstoß für die freie Mediation. Manche halten die ganze Übung nur für ein Gesetz zur Arbeitsentlastung der Justiz bzw. vice versa zur Arbeitsbeschaffung für Ausbildungsinstitute, die den Titel „Zertifizierter Mediator“ verkaufen wollen. Manche sprechen auch von des Kaisers neuen Kleidern und halten Mediation für ein Kompilat verschiedenster Aspekte produktiven Verhandelns, gerne unter dem Schlagwort Harvard Konzept3.
2
Es gab von jeher viele Zweifel an diesem neuen Modell. Die Freiheit und Freiwilligkeit des Prozesses schien willkürliche Regeln zuzulassen. Die spezielle Neutralität des Mediators schien es zu verbieten, dass dieser sich schützend vor eine Partei stellte oder offenkundig ungerechte Ergebnisse verhinderte. Es wurde auch darauf hingewiesen, dass der Prozess immer die ohnehin stärkere Partei begünstige (z.B. den geschickteren Verhandler). Es hieß in diesem Zusammenhang auch, dass das Media1 Ewer, AnwBl 2012, 18. 2 Buschmann, AnwBl. 2013, 508. 3 Schlieffen in Haft/Schlieffen (Hrsg.), Handbuch der Mediation, S. 182.
1042
Schiffer
§ 63
II. Begriffsklrung
tionsverfahren die Schutzmechanismen unterlaufe, die das „offizielle“ justizförmige Verfahren aller Verfahrensordnungen vorsehe, oder dass jeder „vernünftige“ Anwalt, Richter oder Schiedsrichter ohnedies seit jeher auf „vernünftige“ Vergleichsregelungen hin arbeite1. Andererseits gibt es natürlich seit langem elaborierte Verhandlungskon- 3 zepte – ob diese nun den Namen Mediation führen oder nicht – die in komplexen Fällen eingesetzt wurden und auch zum Erfolg geführt haben. Lapp ist der Meinung, dass die von ihm hervorgehobenen Vorzüge und Stärken des Mediationsverfahrens“2 „insbesondere bei Konflikten und Projektkrisen in IT-Projekten … zum Tragen“ kommen3.
II. Begriffsklärung „Mediation ist ein freiwilliges Verfahren zur außergerichtlichen Lösung 4 von festgefahrenen Konflikten. In diesem Verfahren sollen die Konfliktparteien unter Hinzuziehung eines neutralen (allparteilichen) Dritten – hier des Mediators – versuchen, selbstbestimmte und von allen Beteiligten akzeptierte Problemlösungen zu erarbeiten. Im Gegensatz zum gerichtlichen Verfahren liegt das Ergebnis dieses Verfahrens allein in den Händen der beteiligten Parteien …“4 1. Freiwilligkeit Freiwilligkeit soll die Bereitschaft sicherstellen, sich Problemen zu stel- 5 len und eigene Lösungen zu finden. Formal bedeutet das Definitionsmerkmal der Freiwilligkeit zunächst die freie (freiwillige) Teilnahme als Verfahrensvoraussetzung. Kein Mediant kann juristisch zur Teilnahme gezwungen werden. Konsequenterweise ist eine Mediation auch dann „ausgeschlossen, wenn der Mediant durch Ausübung psychischen Drucks zur Teilnahme gezwungen wird oder wenn die Freiwilligkeit im Laufe des Mediationsverfahrens wegfällt.“5 Insbesondere auf diesen Begriff ist noch zurückzukommen, vor allem darauf, dass Freiwilligkeit zwingend die Absenz von Macht impliziert.
1 Wer in diesem grundsätzlichen Streit endlich „schon immer recht gehabt“ haben wird, wird erst die Zukunft erweisen. Anlass aber, sich mit der Thematik im vorliegenden Rahmen zu beschäftigen, gibt die langjährige Befassung von Jochen Schneider damit. Er hat als einer der Ersten bereits Mitte der Neunzigerjahre nach anderen Einsatzmöglichkeiten für Mediationsverfahren gefragt, als diese generell noch fast unbekannt waren, bzw. allenfalls auf dem Gebiet des Familienrechts eine – bescheidene – Rolle spielten. Wie es naheliegt, hat er auch die Frage nach einem Einsatz der Mediation im Datenschutzrecht gestellt. 2 Dazu noch unten Rz. 29 ff. 3 Lapp, ITRB 2013, 43. 4 § 1 MedG; Schlieffen, Handbuch Mediation, S. 7. 5 Trossen, Handbuch Mediation, S. 987 ff. Schiffer
1043
§ 63
Mediation im Datenschutzrecht?
2. Neutralität, Allvertretung 6
Dieses Merkmal bedeutet, dass der Mediator/die Mediatorin1 nie einen Medianten gegen den anderen vertreten darf, sich auf eine Seite schlagen darf oder der Position einer Seite zum Sieg verhelfen darf2. Zu präzisieren ist hier, dass sich dies nur auf inhaltliche Entscheidungen bezieht. In den Verfahrensablauf darf der Mediator durchaus eingreifen3. Im Übrigen regelt die Mediationsvereinbarung – die wiederum autonom von den Konfliktparteien getroffen worden ist – einzelne Aspekte der Neutralität des Mediators. Auch hier ist darauf zu verweisen, dass dieses Merkmal sich gegen Machtausübung wendet. 3. Ergebnisoffenheit
7
Ergebnisoffenheit heißt, dass Abschluss und Ausgang eines Mediationsverfahrens in keiner Weise vorher festgelegt sind. Im Gegensatz zum Gerichtsverfahren muss das Mediationsverfahren auch nicht zwingend mit einer Entscheidung über den Sachverhalt enden (es kann z.B. auch ohne Angabe von Gründen abgebrochen werden). Dieser Aspekt folgt unmittelbar aus dem Folgenden: 4. Autonomie der Beteiligten, Non-Direktivität
8
Dieses Definitionsmerkmal bedeutet, dass die Parteien im Laufe des Mediationsprozesses keinerlei Anweisungen von autoritär handelnden Dritten, insbesondere dem Mediator unterworfen sind. Im Gegensatz zum Gerichtsverfahren gibt es keine Gerichtspolizei und keine Machtbefugnisse eines Vorsitzenden. Wie sich aus den einleitend wiedergegebenen Definitionen ohne Weiteres ergibt, ist die Autonomie der Parteien umfassend; sie können zum Beispiel sogar darüber entscheiden, ob gesetzliche (z.B. datenschutzrechtliche) Regelungen überhaupt angesprochen werden sollen oder irgend eine Rolle spielen sollen. Der Aspekt steht gegen heteronome Einflüsse, verweist also wiederum auf die Absenz von Machtausübung und Einflussnahme; er folgt also letztlich aus der Freiwilligkeit und Freiheit des Prozesses. 5. Herrschaftsfreies Gespräch
9
Die vorgenannten Aspekte haben unmittelbar oder mittelbar Einfluss auf die Techniken der Gesprächsführung in einem Mediationsprozess und auf die Struktur der Gespräche. Es ist eine der vordringlichen Aufgaben des Mediators, dass alle Parteien gleichberechtigt zu Wort kommen (dass z.B. niemand niedergeschrien oder sonst zum Verstummen gebracht 1 Die Bezeichnung „der Mediator“ wird hier durchgehend geschlechtsneutral verwendet. 2 Problematisierend Montada/Kals, Mediation, S. 38 ff. m.w.N. 3 Kracht, Handbuch Mediation, S. 368.
1044
Schiffer
§ 63
II. Begriffsklrung
wird); ohne freies Gespräch kann keine autonome Vereinbarung der Parteien erreicht werden, sondern immer nur ein einseitiges oder mehrseitiges Diktat. Letztlich geht es auch hier wieder darum, im Gesprächsablauf die Absenz von Macht sicherzustellen. 6. Akzeptanz aller Perspektiven Aus dem Prinzip der „All-Vertretung“ folgt, dass der Mediator die Positi- 10 on jeder einzelnen Konfliktpartei nachvollziehen muss und sie sich zunächst zu Eigen machen muss. Das erfordert eine Abstraktionsleistung, die sich im Wesentlichen daraus motivieren wird, dass die Perspektivität aller „Wahrheiten“, die die Parteien vorbringen, erkannt wird. Dieser dauernde Perspektivenwechsel muss nicht nur dem Mediator gelingen; vielmehr soll sein Beispiel als Katalysator dafür wirken, dass auch die Parteien selbst den Perspektivenwechsel vollziehen können, die Perspektive der Gegenseite erkennen können und dadurch eine neue Ebene von Konfliktlösungsmöglichkeiten erreichen1. Gerade zu Krisen in IT-Projekten haben oft beide Parteien entscheidende „Beiträge zum vorhersehbaren Misserfolg geleistet“2, und den Fokus – in einem kontrollierten Setting – beiderseits hierauf zu richten, kann nur nützlich sein. 7. Lösungsorientiertheit Eine Mediation, die nicht den Anspruch auf Lösung des anliegenden 11 Konflikts erhebt, ist keine Mediation. Weder die vorangestellte Definition, noch – soweit ersichtlich – irgendeine andere kommt ohne das Merkmal dieser Lösungsorientierung aus; in aller Regel steht die praktische Fähigkeit zur Lösung des Konflikts sogar wie selbstverständlich im Mittelpunkt3. Oft wird auch herausgestellt, dass es gerade dieses Merkmal sei, dass die Mediation einem Gerichts- (oder auch Schiedsgerichts-)Verfahren überlegen mache4. Daraus folgt unmittelbar das letzte Merkmal, das wir herausstellen: 8. Lebensdienlichkeit Konflikte entstehen im Leben und können nicht per (z.B. justiziellem) 12 Spruch oder Urteil „erledigt“ werden, sondern nur im Prozess des Lebens selbst. In diesem Sinn ist Mediation ein „lebendiger“, dem Leben und dem sozialen Kontext verpflichteter Prozess. Dem gedeihlichen Leben und Zusammenleben ist allemal ein Verfahren dienlicher, das die Entscheidung den Beteiligten überlässt – es ist, profan ausgedrückt, „schließlich ihr Leben“. 1 Vgl. Mähler, Handbuch Mediation, S. 909 f. 2 Lapp, ITRB 2013, 43 (45) 3 Greiter, Handbuch Mediation, S. 289 ff. widmet der Lösungssuche 77 Denkanstöße und 33 Lösungsbeispiele. 4 Vgl. Schlieffen, Handbuch Mediation, S. 7. Schiffer
1045
§ 63
Mediation im Datenschutzrecht?
III. Denkbare Einsatzmöglichkeiten 13
Die denkbaren Konfliktsituationen gerade im Bereich des Datenschutzrechts sind so mannigfaltig, dass es der Mühe wohl wert ist, die Frage nach Mediationsmöglichkeiten im Datenschutzrecht wohlwollend zu prüfen: 1. Konflikte des betrieblichen Beauftragten für den Datenschutz
14
Konflikte des betrieblichen Beauftragten für den Datenschutz ergeben sich daraus, dass dieser einerseits eine gesetzliche – quasi-behördliche – Kontrollfunktion ausübt und in der Ausübung seines Amtes Weisungsfreiheit genießt. Andererseits hat der sog. interne Beauftragte ein Arbeitsverhältnis mit der verantwortlichen Stelle oder (beim Konzernbeauftragten) mit einer anderen Konzerngesellschaft, oder der Beauftragte ist Externer und ist mit der verantwortlichen Stelle über einen entgeltlichen Geschäftsbesorgungsvertrag verbunden. Vor allem beim internen Beauftragten entsteht also in der Regel ein Spannungsverhältnis aufgrund des Anstellungs- und Loyalitätsverhältnis zu seinem Arbeitgeber. Die Situation ähnelt der des Betriebsrats, der ebenfalls Abberufungs- und Kündigungsschutz hat (§ 4f Abs. 3 BDSG); die betriebliche Realität zeigt allerdings, dass dieser gesetzliche Schutz gegen „klimatische Veränderungen“ recht wirkungslos sein kann. Der Schutz vor negativen Konsequenzen bei unbequemem Verhalten steht mit anderen Worten oft nur auf dem Papier. Bei der Kontrolle der ordnungsgemäßen Anwendung der betrieblichen EDV in Bezug auf personenbezogene Daten oder bei der ihm zugewiesenen Schulung der Mitarbeiter kommt er leicht in Konflikt mit Linien- oder Stabsfunktionen im Unternehmen und deren sich überschneidenden Kompetenzen. Das gleiche gilt, wenn er die ihm zustehende Unterstützung (zum Beispiel durch Stellung von Hilfspersonal, Räumen oder Equipment) einfordert (§ 4f Abs. 5 BDSG). Das Gesamtbild ist hier also stark arbeitsrechtlich eingefärbt, wo die Mediation, wenn nicht etabliert, so doch zumindest weitgehend akzeptiert zu sein scheint. 2. Konzern
15
Ein nicht nur denkbarer, sondern naheliegender Konflikt kann in Konzernen auftreten: da es kein Konzernprivileg gibt, da also die ökonomische/ gesellschaftsrechtliche/steuerliche Einheit eines Konzerns keine datenschutzrechtliche Informationseinheit schafft (erst recht gilt dies im bloß faktischen Konzern) addiert sich das Konfliktpotenzial nicht nur, sondern potenziert sich. Denn zu den internen Linien- bzw. Stabsfunktionen, geschweige Matrixstrukturen mit ihren oft kollidierenden Ansprüchen, tritt hier noch die Schnittstelle zwischen mehreren Datenschutzbeauftragten innerhalb eines Konzerns.
1046
Schiffer
§ 63
III. Denkbare Einsatzmçglichkeiten
3. Behördliche Aufsichtsmaßnahme versus Unternehmensinteresse Ein weiteres großes Konfliktfeld ergibt sich natürlich aus dem Verhältnis 16 zwischen Unternehmen und Aufsichtsbehörde, zum Beispiel im Rahmen von Überprüfungen vor Durchführung einer Datenverarbeitung (Vorabkontrolle, § 4d Abs. 5 BDSG). Streitigkeiten über Sinn und Zweck einer Maßnahme und mögliche Gegenmaßnahmen zur Vermeidung aufsichtsrechtlichen Einschreitens sind an der Tagesordnung. 4. Unternehmen und Kunde Zu nennen ist natürlich auch das Verhältnis zwischen Unternehmen 17 und Kunden sowie zwischen konkurrierenden Unternehmen, wo neben die Problematik des Datenschutzrechts das Recht des unlauteren Wettbewerbs tritt. 5. Unbestimmte Rechtsbegriffe und Ermessensvorschriften Last not least: es liegt in der Natur der Sache und der juristischen Arbeit, 18 dass unbestimmte Rechtsbegriffe und die Ausübung von Ermessensvorschriften maximales Konfliktpotenzial bergen. Augenfällig ist das am Beispiel von zwei zentralen – vielleicht den wichtigsten – Normen des BDSG, §§ 28 und 32: „§ 28: „wenn es für die Begründung eines … Schuldverhältnisses … erforderlich ist“ „soweit es zur Wahrung berechtigter Interessen … erforderlich ist“; … dass das schutzwürdige Interesse … überwiegt (offensichtlich überwiegt) … erforderlich ist“; „zur Wahrung berechtigter Interessen … erforderlich ist“; „das wissenschaftliche Interesse … erheblich überwiegt und der Zweck … nur mit unverhältnismäßigem Aufwand erreicht werden kann …“ „§ 32: „… erforderlich ist … das schutzwürdige Interesse … überwiegt … nicht unverhältnismäßig …“
Die Kette der Beispiele könnte endlos fortgeführt werden. Dass eine der- 19 artige Häufung unbestimmter Rechtsbegriffe, mögen diese auch per definitionem justiziabel sein, in der Realität eben doch dazu führt, dass eine konsistente rechtliche Prüfung auf den Wegen der herkömmlichen Prozessordnungen nicht mehr möglich ist, liegt auf der Hand; bestenfalls ist hier ein Mosaik oder Patchwork von Einzelfallentscheidungen zu erwarten, was unökonomisch ist und den Rechtsfrieden gerade nicht sichert. An dieser Stelle muss man sich erinnern, dass das Bundesverfassungsgericht (zur Einführung eines außergerichtlichen Schlichtungsverfahrens) bereits 2007 festgestellt hat, es sei grundsätzlich vorzugswürdig gegenüber einer richterlichen Streitentscheidung, eine streitige Problemlage durch einvernehmliche Lösung zu bewältigen. Der Gesetzgeber müsse nicht unbedingt nur kontradiktorische Verfahren vorsehen, er könne auch Anreize für eine einverständliche Streitbewältigung schaffen, um die Konfliktlösung zu beschleunigen, den Rechtsfrieden zu för-
Schiffer
1047
§ 63
Mediation im Datenschutzrecht?
dern oder die staatlichen Gerichte zu entlasten1. Eben dies ist auch Anlass und Anliegen des Mediationsgesetzes, und von jeher war es Pflicht der Anwaltschaft, konfliktvermeidend und streitschlichtend tätig zu sein (§ 1 Abs. 3 BORA)2.
IV. Grundsätzliche Bedenken 20
Angesichts der oben genannten zentralen Eigenschaften des Mediationsprozesses drängen sich allerdings Zweifel, ob er in datenschutzrechtlichen Konfliktsituationen überhaupt am Platze sein könnte, zumindest in zwei Bereichen auf: 1. Freiwilligkeit
21
Wenn Freiwilligkeit zwingend die Absenz von Macht impliziert, müsste Mediation auf dem Gebiet des öffentlichen Rechts eigentlich per se ausscheiden. Denn das Verhältnis von öffentlicher Hand zum Bürger ist nicht von Gleichordnung, sondern von Über- und Unterordnung gekennzeichnet sowie vom Machtmonopol des Staates3. Datenschutzrecht berührt viele Rechtsbereiche, ist aber wesentlich öffentliches Recht und das Recht auf informationelle Selbstbestimmung hat Grundrechtscharakter. Diesem Subordinationsverhältnis tritt nun – anscheinend unversöhnlich – das Freiheitspostulat als Definiens der Mediation gegenüber.
22
Die umfassende Freiheit der Parteien, die Regeln eines Mediationsverfahrens zu bestimmen, umfasst auch die Freiheit der anzulegenden Maßstäbe. Das führt zu skurrilen Versuchen4, aber auch zu der spannenden Frage nach der Rolle des Rechts im Mediationsverfahren.
23
Die Parteien können im Mediationsverfahren disponibles Recht selbstverständlich nach ihren eigenen Wünschen umformen und können gerade auf dem Feld unbestimmter Rechtsbegriffe eine eigene Deutungshoheit beanspruchen. Mediation lebt ja gerade davon, dass die Parteien darauf verzichten, ihren Rechtsstandpunkt durchzusetzen. Bis zu einem gewissen Punkt aber ist die Rolle des Rechts natürlich auch im Mediationsverfahren festgeschrieben. Das gilt aber nicht schrankenlos; die Parteien müssen zwangsläufig rechtliche Vorbedingungen (zum Beispiel die Existenz einer Gesellschaft oder das gesetzliche Verbot sittenwidriger 1 2 3 4
BVerfG v. 14.2.2007 – 1 BvR 1351/01. Buschmann, AnwBl. 2013, 508. Werner, StBW 2012, 715 ff. Beispiel: die Parteien einigen sich darauf, ihr jeweiliges Angebot dem Mediator anzuvertrauen, und dieser wählt dann das aus, das seinen eigenen Vorstellungen relativ am besten entspricht. Freilich muss das Mediationsverfahren auf der Basis dieses Auswahlvorschlages dann fortgesetzt werden, und die Gegenpartei wird sich dem Vorschlag jedenfalls dann nicht unterwerfen, wenn dieser zu weit von den eigenen Vorstellungen entfernt liegt.
1048
Schiffer
§ 63
V. Parallele Steuerrechtsstreit
Geschäfte, oder unverrückbare Grenzen wie das Verbot der Durchleuchtung von Personen durch Bewegungs-, Verhaltens- und Persönlichkeitsprofile) akzeptieren, und das gilt bis zum Abschluss des Mediationsverfahrens und darüber hinaus (die Mediationsvereinbarung soll rechtswirksam und womöglich vollstreckbar sein). 2. Ergebnisoffenheit Wie gesagt: Datenschutzrecht ist zu Teilen auch zwingendes Recht. In- 24 wieweit schließt dies das Recht von Beteiligten, sich in einem Mediationsprozess frei zu verständigen, aus?
V. Parallele Steuerrechtsstreit Als Parallele bzw. Demonstrationsobjekt der Untersuchung bietet sich 25 die Mediation im Steuerrecht und in der Finanzgerichtsbarkeit an – hat doch das Mediationsgesetz auch die Finanzgerichtsbarkeit trotz heftiger Kritik und grundsätzlicher Vorbehalte einbezogen. 1. Disponibilität und Rechtsstaatsprinzip Die Einwände gleichen sich zum Teil: Hier wie dort handelt es sich im 26 Kern um öffentliches Recht, und über den Steueranspruch als solchen kann und darf der Staat nicht verhandeln im Sinne von „mit sich handeln lassen“. Schließlich ist die Verwaltung an Gesetz und Recht gebunden, Art. 20 Abs. 3 GG. So verwundert es nicht, dass die Finanzverwaltung der Mediation im 27 außergerichtlichen Rechtsbehelfsverfahren, wohl aber auch dem Güterichterverfahren nach § 278 Abs. 5 ZPO n.F. bzw. dem Verweis auf außergerichtliche Mediation nach § 278a ZPO1, skeptisch bis ablehnend gegenübersteht. In einer Verfügung der Finanzbehörden Hamburg vom 26.9.20122 heißt es süffisant: „Das neue Gesetz soll die Mediation zur außergerichtlichen Konfliktbei- 28 legung fördern. Theoretisch (sic!) kann die Mediation nach diesem Gesetz auch im finanzgerichtlichen Verfahren angewendet werden.“ Zur Frage, „wie die Finanzämter sich verhalten werden“, wenn ein Beteiligter ein Mediationsverfahren beantragt, heißt es: „Konnte durch eine mündliche Erörterung nach § 364a Abgabenordnung die Streitfrage nicht einvernehmlich geklärt werden, dürfte eine Einigung im Rahmen einer Mediation … regelmäßig nicht zu erwarten sein.“3 1 Beide im Finanzgerichtsverfahren anwendbar gem. § 155 FGO n.F. 2 51-S 0600 001/12. 3 Rudolf Mellinghoff, Präsident des Bundesfinanzhofs in München, im Interview zur Frage, ob er Mediation in Steuerverfahren für eine gute Idee hält: „Also damit habe ich große Probleme, man muss dazu allerdings sagen, dass das BundesSchiffer
1049
§ 63
Mediation im Datenschutzrecht?
2. Ermessen und unbestimmte Rechtsbegriffe 29
Gleichwohl gilt es auch hier, die andere Seite zu sehen. Auch das Steuerrecht ist eine Fundgrube schwierigst zu handhabender unbestimmter Rechtsbegriffe und Ermessensvorschriften. Das umfassende Feld von Billigkeitsmaßnahmen (als Beispiel sei hier vor allem § 163 AO genannt, der die abweichende Festsetzung von Steuern aus Billigkeitsgründen ausdrücklich vorsieht), von Ermessensvorschriften (vgl. zum Beispiel § 361 Abs. 2 AO: „die Finanzbehörde … kann die Vollziehung ganz oder teilweise aussetzen“), Erörterungsmöglichkeiten (vergleiche § 364a AO) oder das Institut der tatsächlichen Verständigung oder der vorab zu erteilenden Beratung oder Auskunft (vgl. § 89 AO) legen Zeugnis dafür ab, dass auch auf dem Bereich des Steuerrechts zwingend alternative Lösungsmöglichkeiten gefunden werden müssen. Eine interessante Schnittstelle stellt § 88a Abgabenordnung dar, wonach die Finanzbehörden geschützte Daten (die also dem Steuergeheimnis unterliegen, § 30 AO) „für Zwecke künftiger Verfahren in Dateien oder Akten sammeln dürfen, soweit es zur Sicherstellung einer gleichmäßigen Festsetzung und Erhebung der Steuern erforderlich ist.“
VI. Fazit und Ausblick 30
Vieles spricht dafür, den Einsatz mediativer Verfahren im Datenschutzrecht wenigstens zu erwägen: – Die Möglichkeit der Mediation kann die begonnene Entwicklung von einer hoheitlich verstandenen Aufsichtsverwaltung durch die Datenschutzbehörden hin zu einer kooperativ agierenden Verwaltung verstärken. Kooperatives Verhalten ist aber ein notwendiges Vehikel, um die Akzeptanz datenschutzrechtlicher Probleme im Unternehmensalltag zu heben und zu verbessern. – Hinzuweisen ist auch auf das zeitliche Argument, da die in den meisten anhängigen Datenschutzsachen empfehlenswerte sog. KurzzeitMediation wegen ihrer straffen Verfahrensstruktur eher weniger Zeit in Anspruch nehmen wird als der klassische ausufernde Schriftwechsel. – Das Argument, die Mediation im öffentlichen oder speziell im Datenschutzrecht sei mit dem Legalitätsprinzip nicht zu vereinbaren, kann nicht überzeugen. Denn das Mediationsverfahren wird z.T. ansetzen, bevor das Legalitätsprinzip greift, nämlich im Rahmen der Ermittlung kabinett und die Bundesministerin der Justiz ausdrücklich die Finanzgerichtsbarkeit nicht vorgesehen haben im Mediationsgesetz, sondern das ist im Bundestag in das Gesetz hineingekommen. Ich nehme mal an, dass das ein Versehen ist, das Steuerrecht eignet sich genauso wenig wie das Strafrecht zum Deal, das heißt, zum einvernehmlichen Aushandeln ohne Gesetzesbindung. Das verträgt sich nicht mit dem Grundsatz der Gesetzmäßigkeit und Gleichmäßigkeit der Besteuerung.“
1050
Schiffer
§ 63
VI. Fazit und Ausblick
der tatsächlichen Umstände, an die sich dann anschließend die datenschutzrechtliche Behandlung erst knüpft. Zu wenig erkannt wird wohl auch noch, dass die Mediation bei Datenschutzkonflikten insbesondere zum Einsatz kommen kann, wo gesetzliche Ermessens- und Konkretisierungsspielräume konsensual auszufüllen sind. Bei zahlreichen Konflikten (z.B. Auseinandersetzungen innerhalb des Unternehmens) wird es vorrangiges Ziel der Mediation sein, die Parteien wenigstens „zurück an einen Tisch zu holen“ – eine Berührung mit dem Legalitätsprinzip ist hier ausgeschlossen. – Als besonders vorteilhaft ist es zu bewerten, dass es die Mediation im Gegensatz zu dem auf den Streitgegenstand fixierten formellen Verwaltungs- oder Gerichtsverfahren zulässt, auch über den Streitgegenstand hinausgehende Konfliktpunkte in das Mediationsergebnis einzubeziehen, was sich im Besonderen in Datenschutzsachen z.B. im Hinblick auf weitere Investitionsvorhaben, neue Technologien etc. anbietet. Die Möglichkeit zur umfassenderen Konfliktbeilegung, die die Mediation im Vergleich zur streitigen Entscheidung bietet, eröffnet große Chancen zu einer umfassenden und voraus weisenden Konfliktlösung. Es wäre der freien Mediation zu wünschen, dass sie größeren Erfolg ha- 31 ben wird, als sich bisher abzeichnet. Der Einsatz von Mediationsverfahren, mindestens aber von mediativen Techniken im Bereich des Datenschutzrechts wäre ein Schritt in diese Richtung1.
1 Denn, um zum Abschluss ein Wort von Ortega y Gasset zu zitieren: „Recht setzt die Verzweiflung an der Menschlichkeit voraus“. Der Philosoph Peter Sloeterdijk kommentierte das wie folgt: „Nur Leute, die an dem Versuch verzweifeln, ihre Differenzen mit normalen, menschlichen Mitteln auszuräumen, müssen den verkünstlichten Apparat der Justiz zwischen sich stellen und sich dessen Urteil unterwerfen.“ Schiffer
1051
Zweiter Abschnitt IT-Security, strafrechtliche Aspekte beim Missbrauch von Daten § 64 Grundzüge des Informationssicherheitsrechts
I. Einleitung . . . . . . . . . . . . . . . . . . . II. Prolegomena zu einer Neufassung des Informationssicherheitsrechts . . . . . . . . . . . . . . . . . . . 1. IT-Sicherheit als Teilaspekt der Informationssicherheit . . . . . . . . . 2. Datenschutzrecht als Teilaspekt der Informationssicherheit . . . . . . 3. Das Spannungsverhältnis zwischen IT-Sicherheit und Datenschutz . . . . . . . . . . . . . . . . . . . . . . . 4. Die Anlage zu § 9 BDSG . . . . . . . .
Rz.
Rz.
1
a) Handlungsanweisungen aus § 9 BDSG und seiner Anlage? . 9 b) Empfehlungen des Bundesamts für Sicherheit in der Informationstechnik und des BSIG . . . . . . . . . . . . . . . . . . . 10 c) Andere Quellen für Äußerungen zu Maßnahmen und Fragen der Informationssicherheit . . . . . . . . . . . . . . . . . . . . . . . 13
3 4 5 6 7
III. Kritik und Ausblick . . . . . . . . . . . 14
I. Einleitung Es ist ein Gemeinplatz, dass sich Komplexität und Systemrelevanz von 1 Attacken auf die Informationssicherheit ständig erhöhen und es zunehmend schwieriger wird, sich „sicher“ bei Einrichtung und Betrieb von ITSystemen zu verhalten. Es zeigen sich nämlich erhebliche Veränderungen in Motivlage und Professionalität der Angreifer, so dass es sehr schwierig geworden ist, Angriffe zu antizipieren. Anders als in den 80er, 90er und 00er Jahren, sind Angriffe auf IT-Systeme heute oftmals nicht mehr darauf angelegt, erkannt zu werden; vielmehr geht es darum, die Systemkompromittierung möglichst unentdeckt zu lassen, um so ungestört die eigenen Zwecke verfolgen zu können. Schon 2008 formulierte das BVerfG zutreffend: „Informationstechnische Systeme haben mittlerweile einen derart hohen Komplexitätsgrad erreicht, dass ein wirkungsvoller sozialer oder technischer Selbstschutz erhebliche Schwierigkeiten aufwerfen und zumindest den durchschnittlichen Nutzer überfordern kann.“1 Seither ist es noch schwieriger geworden, überhaupt nur die Lage korrekt 2 einzuschätzen: So bedarf es schon anlässlich des sog. „PRISM-Skandals“der Fortführung einiger Gedanken Jochen Schneiders. Denn insbesondere seit dem Frühjahr 2013 sind aufgrund der gut orchestrierten und stückweise verbreiteten Enthüllungen des Whistleblowers Edward 1 BVerfG v. 27.2.2008 – 1 BvR 370/07, Absatz-Nr. 180. Forg
1053
Zweiter Abschnitt IT-Security, strafrechtliche Aspekte beim Missbrauch von Daten § 64 Grundzüge des Informationssicherheitsrechts
I. Einleitung . . . . . . . . . . . . . . . . . . . II. Prolegomena zu einer Neufassung des Informationssicherheitsrechts . . . . . . . . . . . . . . . . . . . 1. IT-Sicherheit als Teilaspekt der Informationssicherheit . . . . . . . . . 2. Datenschutzrecht als Teilaspekt der Informationssicherheit . . . . . . 3. Das Spannungsverhältnis zwischen IT-Sicherheit und Datenschutz . . . . . . . . . . . . . . . . . . . . . . . 4. Die Anlage zu § 9 BDSG . . . . . . . .
Rz.
Rz.
1
a) Handlungsanweisungen aus § 9 BDSG und seiner Anlage? . 9 b) Empfehlungen des Bundesamts für Sicherheit in der Informationstechnik und des BSIG . . . . . . . . . . . . . . . . . . . 10 c) Andere Quellen für Äußerungen zu Maßnahmen und Fragen der Informationssicherheit . . . . . . . . . . . . . . . . . . . . . . . 13
3 4 5 6 7
III. Kritik und Ausblick . . . . . . . . . . . 14
I. Einleitung Es ist ein Gemeinplatz, dass sich Komplexität und Systemrelevanz von 1 Attacken auf die Informationssicherheit ständig erhöhen und es zunehmend schwieriger wird, sich „sicher“ bei Einrichtung und Betrieb von ITSystemen zu verhalten. Es zeigen sich nämlich erhebliche Veränderungen in Motivlage und Professionalität der Angreifer, so dass es sehr schwierig geworden ist, Angriffe zu antizipieren. Anders als in den 80er, 90er und 00er Jahren, sind Angriffe auf IT-Systeme heute oftmals nicht mehr darauf angelegt, erkannt zu werden; vielmehr geht es darum, die Systemkompromittierung möglichst unentdeckt zu lassen, um so ungestört die eigenen Zwecke verfolgen zu können. Schon 2008 formulierte das BVerfG zutreffend: „Informationstechnische Systeme haben mittlerweile einen derart hohen Komplexitätsgrad erreicht, dass ein wirkungsvoller sozialer oder technischer Selbstschutz erhebliche Schwierigkeiten aufwerfen und zumindest den durchschnittlichen Nutzer überfordern kann.“1 Seither ist es noch schwieriger geworden, überhaupt nur die Lage korrekt 2 einzuschätzen: So bedarf es schon anlässlich des sog. „PRISM-Skandals“der Fortführung einiger Gedanken Jochen Schneiders. Denn insbesondere seit dem Frühjahr 2013 sind aufgrund der gut orchestrierten und stückweise verbreiteten Enthüllungen des Whistleblowers Edward 1 BVerfG v. 27.2.2008 – 1 BvR 370/07, Absatz-Nr. 180. Forg
1053
§ 64
Grundzge des Informationssicherheitsrechts
Snowden Informationen publik geworden, die es noch herausfordernder machen, Informationssicherheit zu garantieren, Gefährdungslagen zu beurteilen und überkommene Vorstellungen des Zusammenspiels von Datenschutz einerseits und Informationssicherheit andererseits aufrechtzuerhalten. Es ist derzeit noch kaum abzusehen, welche Auswirkungen diese neuen Erkenntnisse nicht nur auf das Datensicherheitsrecht im Besonderen, sondern das Datenschutzrecht im Allgemeinen haben werden. Inzwischen muss nämlich davon ausgegangen werden, dass Staaten mit nur Staaten zur Verfügung stehenden Ressourcen planmäßig, systematisch und massenhaft die Vertraulichkeit und Integrität von IT-Systemen unterwandern, um derart Informationen für unterschiedlichste Zwecke zu sammeln. Pressemeldungen wie jene, ein britischer Geheimdienst habe das IT-System eines großen belgischen Providers gehackt1, ein ausländischer Geheimdienst könne bei Bedarf direkt Kommunikationsinhalte beliebiger Zielpersonen auswerten2, Internetkommunikation werde, auch wenn sie verschlüsselt ist, systematisch abgefangen und ausgewertet3, die Betriebssysteme aller großen Smartphone-Unternehmen seien kompromittiert4 usw., waren in dieser Massivität vor 2013 wohl nur für wenige vorstellbar. An ihnen zeigt sich, dass sich ein ohnehin bestehender Zielkonflikt noch weiter verschärft hat: der zwischen Informationssicherheit einerseits und Schutz personenbezogener Daten andererseits.
II. Prolegomena zu einer Neufassung des Informationssicherheitsrechts 3
Informationssicherheit wird gemeinhin verstanden als Ziel, Verfügbarkeit, Integrität und Vertraulichkeit eines Informationssystems sicherzustellen. Entsprechend heißt es auch in § 2 Abs. 2 BSIG: „Sicherheit in der Informationstechnik […] bedeutet die Einhaltung bestimmter Sicherheitsstandards, die die Verfügbarkeit, Unversehrtheit oder Vertraulichkeit von Informationen betreffen, durch Sicherheitsvorkehrungen 1. in informationstechnischen Systemen, Komponenten oder Prozessen oder 2. bei der Anwendung von informationstechnischen Systemen, Komponenten oder Prozessen.“
1 http://www.spiegel.de/netzwelt/web/belgacom-geheimdienst-gchq-hackte-belgi sche-telefongesellschaft-a-923224.html. 2 http://www.heise.de/newsticker/meldung/NSA-Ueberwachungsskandal-VonPRISM-Tempora-XKeyScore-und-dem-Supergrundrecht-was-bisher-geschah-1931 179.html. 3 http://www.spiegel.de/politik/ausland/nsa-und-britischer-geheimdienst-knackensystematisch-verschluesselung-a-920710.html. 4 http://www.spiegel.de/international/world/privacy-scandal-nsa-can-spy-on-smartphone-data-a-920971.html.
1054
Forg
II. Prolegomena zu einer Neufassung des Informationssicherheitsrechts
§ 64
1. IT-Sicherheit als Teilaspekt der Informationssicherheit Der Terminus der Informationssicherheit geht damit über IT-Sicherheit 4 hinaus, weil unter dem Begriff auch die Sicherheit von Informationen verstanden wird, die nicht digital verarbeitet werden. Die Termini „Verfügbarkeit, Unversehrtheit (Integrität) und Vertraulichkeit“ werden vom BSIG nicht weiter definiert, sondern in ihrer Bedeutung vorausgesetzt. Verfügbarkeit meint dabei die Erfüllung der Anforderung, dass das Informationssystem seine Aufgaben zu einem bestimmten Zeitpunkt erfüllt. Da eine 100 %-Verfügbarkeit in der Praxis nicht erreichbar ist, wird Verfügbarkeit gemeinhin mit einem unter 100 % liegenden Wert/Zeiteinheit (also etwa Verfügbarkeit 99.9 %/Jahr) angegeben. Unversehrtheit (Integrität) heißt im Zusammenhang, dass unautorisierte Veränderungen der Information verhindert werden. Von einem Verlust der Integrität ist auszugehen, wenn Daten unautorisiert verändert, Quellenangaben verfälscht oder Zeitangaben manipuliert werden1. Vertraulichkeit meint „Schutz vor unbefugter Preisgabe von Informationen.“2 Informationssicherheitsmanagement koordiniert die Maßnahmen zur Erreichung dieser Ziele. Es wird durch rechtliche Vorgaben, durch technische Möglichkeiten und durch ökonomische Zwänge gesteuert. 2. Datenschutzrecht als Teilaspekt der Informationssicherheit Der Terminus der Informationssicherheit geht auch über das Daten- 5 schutzrecht hinaus, weil auch nicht personenbezogene Daten erfasst werden. Informationssicherheitsmanagement betrifft damit nicht nur personenbezogene Daten, sondern regelmäßig auch nicht personenbezogene Informationen, etwa Betriebs- und Geschäftsgeheimnisse. 3. Das Spannungsverhältnis zwischen IT-Sicherheit und Datenschutz Im Rechtlichen herausfordernd ist dabei jedoch, dass die Ziele der Infor- 6 mationssicherheit einerseits und des Schutzes personenbezogener Daten andererseits zum einen in einem intrinsischen Spannungsverhältnis stehen, weil die Wahrung der Informationssicherheitsinteressen die möglichst umfassende Überwachung von Daten und Personen nahelegt, um derart legitime von illegitimen Nutzungsformen zu unterscheiden. Diese Überwachung lässt sich zum anderen nicht ohne Weiteres mit den datenschutzrechtlichen Rechtspositionen und Interessen der Überwachten in Einklang bringen, insbesondere entstehen Spannungen zu Grundsätzen der Datenvermeidung und Datensparsamkeit (§ 3a BDSG) und der Zweckbindung (insb. § 28 Abs. 1 Satz 2 BDSG). Das Dilemma wird durch § 31 BDSG wegen seines engen Anwendungsbereichs („Daten, die aus1 https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKataloge/ Inhalt/Glossar/glossar_node.html. 2 Bundesamt für Sicherheit in der Informationstechnik (Hrsg.), IT-GrundschutzKataloge, Stand 9. Ergänzungslieferung. Forg
1055
§ 64
Grundzge des Informationssicherheitsrechts
schließlich zu Zwecken der Datenschutzkontrolle, der Datensicherung oder zur Sicherstellung eines ordnungsgemäßen Betriebes einer Datenverarbeitungsanlage gespeichert werden“) sowie seines beschränkten Regelungsgehalts (ausschließlich Formulierung eines engen Zweckbindungsgedankens) nicht aufgelöst, sondern eher noch verschärft. 4. Die Anlage zu § 9 BDSG 7
Gleichzeitig verlangt nämlich gerade auch der Schutz personenbezogener Daten nach adäquaten Informationssicherheitsmaßnahmen, um diese u.a. vor illegitimer Kenntnisnahme und Übermittlung zu schützen. Insbesondere die technischen und organisatorischen Maßnahmen, die in § 9 BDSG und seinem Anhang vorgesehen sind, machen es erforderlich, dass die verantwortliche Stelle personenbezogen Kenntnis von Vorgängen nimmt (technisch-organisatorischer Datenschutz). So verlangen insb. Zutritt-, Zugangs-, Zugriffs- und Weitergabekontrolle die Erhebung personenbezogener Daten, die wiederum datenschutzrechtskonform erfolgen muss.
8
Die Anlage zu § 9 verpflichtet die verantwortliche Stelle, die Organisation der Behörde oder des Unternehmens so zu gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird, und geht damit über die Gestaltung der Datenverarbeitungsanlagen selbst hinaus. Da die Verpflichtung weder delegiert noch ausgelagert werden kann, liegt die Verantwortung regelmäßig bei der Unternehmens- oder Behördenleitung und ist im privaten Bereich durch gesellschaftsrechtliche Anforderungen flankiert1. a) Handlungsanweisungen aus § 9 BDSG und seiner Anlage?
9
Wie sich schnell zeigt, sind die Ziele des § 9 BDSG und seiner Anlage jedoch so abstrakt formuliert, dass sich daraus nicht ohne Weiteres konkret handhabbare Handlungsanweisungen – erst recht nicht für die Unternehmensleitung, die in der Regel weder besonders technikaffin ist, noch nicht output-orientierten Tätigkeitsbereichen ein gesteigertes Interesse entgegenbringt – ergeben. Auch wird schon bei erster Lektüre sichtbar, dass Maßnahmen zur Herstellung von Informationssicherheit nicht absolut, sondern nur relativ geboten sind. Erforderlich sind Maßnahmen nämlich nach § 9 Satz 2 BDSG nur, „wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht.“ Damit kommt der konkreten Ausgestaltung des Verhältnismäßigkeitsprinzips im Bereich des Datensicherheitsrechts2 erhebliche Bedeutung zu. 1 Vgl. etwa § 91 Abs. 2 AktG. 2 Nicht vom Verhältnismäßigkeitsgrundsatz erfasst sind organisatorische Maßnahmen, die zur Erfüllung sonstiger sich aus dem BDSG ergebender Pflichten – etwa der Wahrung der Betroffenenrechte – erforderlich sind, Vgl. dazu etwa Gola/Schomerus, BDSG, § 9 Rz. 8.
1056
Forg
II. Prolegomena zu einer Neufassung des Informationssicherheitsrechts
§ 64
Zugleich liegt in dieser Relativierung, wie Jochen Schneider schon vor 301 Jahren erkannt hat2, ein Problem, weil sich kaum antizipieren lässt, zu welchen Zwecken und mit welchen damit einhergehenden Gefährdungspotentialen Daten verarbeitet werden. In praxi erforderlich ist eine Risikobewertung, bei der Schadenseintrittswahrscheinlichkeit und Schadensfolgen Hinweise auf die gebotenen technischen und organisatorischen Maßnahmen geben. Wegen der Komplexität und Kostenintensität dieser Bewertungen waren diese schon bisher mangels konkreter normativer Vorgaben kaum näher zu bestimmen. Erschwerend kommt hinzu, dass die Anlage zu § 9, sich nicht deutlich erkennbar an den drei Informationssicherheitszielen orientiert, sondern „quer“ dazu acht Maßnahmenbereiche nennt. b) Empfehlungen des Bundesamts für Sicherheit in der Informationstechnik und des BSIG Zwar werden die abstrakten Zielformulierungen des BDSG durch tech- 10 nisch orientierte, im BDSG nicht weiter ausgeführte, aber auch nicht untersagte Instrumente, insbesondere Zertifizierungen, ergänzt. Durch Zertifikate werden (Teil-)Aspekte der Informationssicherheit und der zu ihrer Erreichung ergriffenen Maßnahmen durch eine anerkannte Prüfstelle evaluiert und das Bestehen der Prüfkriterien bestätigt. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist an diesem Prozess beteiligt, u.a. indem die privaten Prüfstellen, die die Zertifikate ausstellen, geprüft und ihrerseits zertifiziert werden3. Das BSI ist die nationale Zertifizierungsstelle der Bundesverwaltung für die IT-Sicherheit (§ 9 Abs. 1 BSIG). Eine Liste der zertifizierten IT-Sicherheitsdienstleister wird auf der Webseite des BSI vorgehalten4. Das BSI, im Geschäftsbereich des BMI angesiedelt (§ 1 Abs. 1 BSIG), ist 11 eine unabhängige, neutrale, seit 1991 bestehende Einrichtung, die die Sicherheit in der Informationstechnik zu fördern hat (§ 3 Abs. 1 BSIG). Zu seinen Aufgaben gehören nicht nur die Abwehr von Gefahren für die Sicherheit der IT des Bundes (§ 3 Abs. 1 Nr. 1 BSIG), sondern u.a. auch die Prüfung, Bewertung und Zertifizierung der IT-Sicherheit (§ 3 Abs. 1 Nr. 4, 5, 6). Daneben unterstützt das BSI u.a. die Polizei, die Geheimdienste und Stellen des Bundes (§ 3 Abs. 1 Nr. 13, 14). Des Weiteren sind 1 Vgl. jedoch auch schon Schneider, DuD 1979, 98 ff. 2 Schneider, NJW 1984, 390 (398): „Die Privilegierung schlechter Organisation ist aufgehoben, wenn der Schutzzweck (informationelle Selbstbestimmung) absolut gesetzt wird und nicht (mehr) durch Aufwand-/Nutzenüberlegungen relativiert werden kann. Umso mehr Bedeutung gewinnen auch die übrigen technisch/organisatorischen Maßnahmen, so z.B. die Anonymisierung und die Differenzierung der Daten […].“ 3 Vgl. https://www.bsi.bund.de/DE/Themen/ZertifizierungundAnerkennung/zerti fizierung.html. 4 https://www.bsi.bund.de/DE/Themen/ZertifizierungundAnerkennung/Konformi taetsbewertung/Stellen/IS_REC_Dienstleister/IS_REV_Dienstleister_node.html. Forg
1057
§ 64
Grundzge des Informationssicherheitsrechts
Public-Private-Partnerships zur Krisenfrüherkennung, Krisenreaktion und Krisenbewältigung sowie zur Koordinierung der Zusammenarbeit zum Schutz der kritischen Informationsinfrastrukturen im Gesetz angelegt (§ 3 Abs. 1 Nr. 15 BSIG). 12
Deutlich wird das zuvor angesprochene Spannungsverhältnis zwischen Datenschutz und Datensicherheit auch im BSIG, darf doch das BSI nach § 5 zur Abwehr von Gefahren für die Kommunikationstechnik des Bundes Protokolldaten, die an den Schnittstellen der Kommunikationstechnik des Bundes anfallen, automatisiert auswerten, soweit dies für die Erkennung und Abwehr von Schadprogrammen erforderlich ist. Da zu diesen Protokolldaten regelmäßig IP-Adressen gehören, die nach herrschender Ansicht als personenbezogene Daten zu qualifizieren sind1, liegt hier eine Ermächtigungsgrundlage für das Erheben und Speichern erheblicher Mengen personenbezogener Daten. Die Daten dürfen für Zwecke der Strafverfolgung, insb. auch von Computerstraftaten, auch übermittelt werden (§ 5 Abs. 5, 6 BSIG), so dass hier erhebliche Eingriffe in Art. 10 GG (vgl. daher auch § 11 BSIG) auftreten können. Aufgrund der von Snowden behaupteten Kompromittierungen „sicherer“ Kommunikationskanäle ist wahrscheinlich, dass in Zukunft noch erheblich häufiger bei Daten von einem Personenbezug auszugehen ist, weil der Betroffene „bestimmbar“ (§ 3 Abs. 1 BDSG) ist. c) Andere Quellen für Äußerungen zu Maßnahmen und Fragen der Informationssicherheit
13
Jedoch evaluiert nicht nur das BSI Maßnahmen der Informationssicherheit und auftretender Gefahren für die Informationssicherheitsziele: Hinzu treten auf deutscher Ebene insb. die Beauftragte der Bundesregierung für Informationstechnik2, die eine Cyber-Sicherheitsstrategie3 verantwortet, sowie der CERT-Verbund4, ein Zusammenschluss deutscher Sicherheits- und Computer-Notfallteams. Auf europäischer Ebene insb. zu erwähnen ist die European Network and Information Security Agency (ENISA)5, die u.a. regelmäßig „Threat Landscapes“ publiziert6. Auch die Art. 29-Arbeitsgruppe äußert sich regelmäßig zu Fragen der Datensicherheit7. 1 Vgl. nur Gola/Schomerus, BDSG, § 3 Rz. 10a. 2 http://www.cio.bund.de/DE/Strategische-Themen/IT-und-Cybersicherheit/it_ und_cybersicherheit_node.html. 3 http://www.cio.bund.de/SharedDocs/Publikationen/DE/Strategische-Themen/css _download.pdf?__blob=publicationFile. 4 http://www.cert-verbund.de/. 5 http://www.enisa.europa.eu/. 6 Vgl. etwa http://www.enisa.europa.eu/activities/risk-management/evolvingthreat-environment/enisa-threat-landscape-mid-year-2013. 7 Vgl. etwa WP 51, Opinion 9/2001 on the Commission Communication on „Creating a safer information society by improving the security of information infrastructures and combating computer-related crime“. Vgl. zum Themenkom-
1058
Forg
§ 64
III. Kritik und Ausblick
III. Kritik und Ausblick In einem NJW-Editorial 2011 unter dem programmatischen Titel „Daten- 14 schutz: Nicht kleckern, sondern klotzen“1 hat Jochen Schneider dem BDSG in mehrfacher Hinsicht ein schlechtes Zeugnis ausgestellt. So moniert er zu Recht, dass schon der Anwendungsbereich des Gesetzes unklar und das Schutzgut (Daten statt Personen) falsch bestimmt seien. In Bezug auf die Thematik Sicherheit sei das Gesetz „völlig veraltet“2. Seither hat sich auch im hier interessierenden Bereich der Datensicher- 15 heit, trotz der hektischen, aber, wie sich nun zeigt, nur kurz verfolgten Aktivitäten zur Neuordnung des Datenschutzrechts, die im Jahr 2009, durch mehrere „Datenschutzskandale“ (die regelmäßig Datensicherheitsskandale gewesen waren, weil die Datensicherheitsmaßnahmen der betroffenen Unternehmen die Korrumpierung der Informationssicherheit nicht verhindert hatten) veranlasst waren und zu gleich vier Novellen in einem Jahr führten, nichts Wesentliches mehr getan. § 9 BDSG samt Anlage ist unverändert, § 9a BDSG mangels Verabschiedung des in § 9a Satz 2 vorgesehenen Datenschutzauditgesetzes weiterhin (wohl mit guten Gründen) so gut wie bedeutungslos. Im öffentlichen Bereich wurde zwar 2013 das E-Government-Gesetz verabschiedet3, dieses jedoch noch vor Inkrafttreten gerade wegen datensicherheitstechnischer Defizite der De-Mail (fehlende Ende zu Ende-Verschlüsselung bei Kommunikation mit Behörden) von vielen4, auch vom Bundesbeauftragten für den Datenschutz5, überzeugend kritisiert. Der Vorschlag der Kommission zu einer Datenschutz-Grundverordnung 16 vom Januar 20126 enthält zwar, ausgehend von Art. 17 der Richtlinie 95/46/EG, wiederum Regeln zur Informationssicherheit, die nun auch den Auftragsdatenverarbeiter selbst7 erfassen sollen. Auch diese Vorgaben sind jedoch weiterhin zunächst (erheblich) abstrakt und auslegungsbedürftig8. Immerhin wird jedoch eine verpflichtende Risikobewertung
1 2 3 4 5 6 7 8
plex „PRISM“ auch das (veröffentlichte) detaillierte Schreiben des Vorsitzenden an Viviane Reding v. 13.8.2013, http://www.hldataprotection.com/files/2013/ 08/20130813_letter_to_vp_reding_final_en1.pdf. NJW 42/2011, online abrufbar unter http://www.ssw-muc.de/mdb/0/647.pdf. Ebd. So auch Schneider, ZD 2011, 6 (7). BGBl. 2013 Teil I Nr. 43 v. 31.7.2013. Vgl. insb. http://ccc.de/system/uploads/126/original/stellungnahme-demail2013. pdf. Vgl. http://www.bfdi.bund.de/DE/Oeffentlichkeitsarbeit/Pressemitteilungen/2013/ 09_EGovernment.html?nn= 408920. KOM(2012) 11 endgültig. Vgl. hingegen bekanntlich § 11 Abs. 2 Nr. 3 BDSG, der hinsichtlich der zu treffenden technischen und organisatorischen Maßnahmen die verantwortliche Stelle verpflichtet, diese im schriftlichen Auftrag festzulegen. Vgl. Art. 30 Abs. 1: „Der für die Verarbeitung Verantwortliche und der Auftragsverarbeiter treffen unter Berücksichtigung des Stands der Technik und der Implementierungskosten technische und organisatorische Maßnahmen, die geeigForg
1059
§ 64
Grundzge des Informationssicherheitsrechts
vorgesehen und wird eine (wenn auch nur sehr lose) Beziehung zu Informationssicherheitszielen hergestellt1. Die Ausgestaltung im Detail soll auch hier durch delegierte Rechtsakte der Kommission erfolgen (Art. 30 Abs. 3, 4), deren Inhalt sich schon deshalb nicht abschätzen lässt, weil derzeit (September 2013) noch nicht einmal klar ist, ob die Verordnung insgesamt überhaupt beschlossen werden wird. 17
Damit bestehen Chance und Anlass, gerade auch wegen der von Edward Snowden behaupteten Kompromittierungen von zentralen Informationssicherheitsanforderungen, (auch) in ganz Europa noch einmal auf nationaler wie auf europäischer Ebene zu evaluieren, wie eine Normierung der Informationssicherheit aussehen könnte. Dieser Vorgang könnte, ausgehend von Überlegungen, die Jochen Schneider geäußert hat, gerade in Deutschland vorangetrieben werden, verlangt hier ja nicht nur das Grundrecht auf informationelle Selbstbestimmung, sondern auch jenes auf die Integrität und Vertraulichkeit informationstechnischer Systeme nach einer einfachgesetzlichen Ausgestaltung2. Im Rahmen dieser Systematisierung wäre insbesondere die Verpflichtung der verantwortlichen Stelle deutlicher herauszuarbeiten, ein nachvollziehbares und dokumentiertes Sicherheitskonzept mit Informationssicherheitszielen nach nachvollziehbarer und dokumentierter Risikoanalyse durchzuführen, die auf Bewertungen von und Zusammenarbeit mit Stellen erfolgt, die mit marktgängigen Datensicherheitsstandards vertraut sind und diese auch bewerten können. Auch wäre näher zu erfassen, welche Folgen Auditierungen und Zertifizierungen als Nachweis (vorläufiger?) Einhaltung von Informationssicherheitsmaßnahmen spielen sollen und ob zur Zielerreichung eine BSI-Zertifizierung der Zertifizierungsstellen tatsächlich erforderlich oder zumindest hilfreich ist. Schließlich wäre auch klarer zu fassen, wie mit neu auftretenden Informationen im Rahmen der Informationssicherheitsbewertung umzugehen ist, die bis dahin gegolten habende Grundannahmen (etwa zur Wirksamkeit von Verschlüsselungsmaßnahmen) erschüttern. Denn es gilt: „Aus den bisherigen Erfahrungen im Umgang mit den neuen technischen Entwicklungen darf es als eine Gesetzmäßigkeit angesehen werden, dass dann, wenn eine Maßgabe zur Lösung eines Problems technisch nicht machbar bzw. abbildbar ist, aber das Problem aus der technischen Welt stammt, die entsprechenden Regeln nicht wirkungsvoll sind.“3 net sind, ein Schutzniveau zu gewährleisten, das den von der Verarbeitung ausgehenden Risiken und der Art der zu schützenden personenbezogenen Daten angemessen ist.“ (Hervorhebungen nicht im Original). 1 Der für die Verarbeitung Verantwortliche und der Auftragsverarbeiter treffen im Anschluss an eine Risikobewertung die in Abs. 1 genannten Maßnahmen zum Schutz personenbezogener Daten vor unbeabsichtigter oder widerrechtlicher Zerstörung oder vor unbeabsichtigtem Verlust sowie zur Vermeidung jedweder unrechtmäßigen Verarbeitung, insbesondere jeder unbefugten Offenlegung, Verbreitung beziehungsweise Einsichtnahme oder Veränderung. 2 Vgl. Schneider, ZD 2011, 6 (8). 3 Schneider, MMR 2009, VII.
1060
Forg
§ 65 Datenvermeidung und Entnetzung als datenschutzrechtliche Sicherheitskonzepte: Zurück in die informationstechnologische Steinzeit? Rz.
Rz.
I. Aktuelle Herausforderungen für den Datenschutz: Big Data und Cyber-Angriffe . . . . . . . . . . . . . . . .
1
5. Grundsatz der Datensparsamkeit: Löschung und das Recht auf Vergessenwerden . . . . . . . . . . . 23
II. Datenvermeidung und Entnetzung als Sicherheitsstrategien . . .
5
III. Datenvermeidung . . . . . . . . . . . . . 7 1. Datenvermeidung als Selbstdatenschutz: Rückkehr in die analoge Welt . . . . . . . . . . . . . . . . . 8 2. Datenvermeidung – ein unbeachteter Programmsatz . . . . . . . . . 12 3. Anonymisierung und Pseudonymisierung . . . . . . . . . . . . . . . . . . . . 17 4. Recht zur Lüge? . . . . . . . . . . . . . . . 21
IV. Entnetzung . . . . . . . . . . . . . . . . . . . 1. Anforderungen des Datenschutzrechts. . . . . . . . . . . . . . . . . . 2. In Betracht kommende technische Maßnahmen. . . . . . . . . . . . 3. Entnetzung als Ultima Ratio . . . . a) Bestimmung des Schutzzwecks . . . . . . . . . . . . . . . . . . . . b) Ermittlung des Aufwands . . . . c) Abwägung zwischen Schutzzweck und Aufwand . . . . . . . . .
24 29 33 37 38 42 46
I. Aktuelle Herausforderungen für den Datenschutz: Big Data und Cyber-Angriffe Der Datenschutz steht vor immer neuen Herausforderungen, gleichzeitig 1 geht es aber mit der überfälligen Modernisierung des nationalen wie des europäischen Datenschutzrechts kaum voran. Zuweilen wird schon die Frage nach dem „Ende des Datenschutzes“ im Zeitalter der „Post-Privacy“ gestellt1. Umso wichtiger sind deshalb diejenigen Stimmen, die die bestehenden Defizite im Datenschutzrecht aufzeigen, es dabei aber nicht belassen, sondern die auch Vorschläge für realisierbare Verbesserungen machen. Jochen Schneider zählt seit Jahr und Tag zu den unverzichtbaren Streitern für einen realisierbaren Datenschutz und setzt sich dabei stets mit den datenschutzrechtlichen Implikationen aktueller Technologien auseinander. Waren dies beispielsweise 1981 die „neuen Medien“, u.a. der Bildschirmtext2, so hat man es heute mit Big Data, Cloud Computing und der Bedrohung durch Cyberattacken zu tun. Vor diesem Hintergrund ist es ein besonderer Verdienst von Jochen Schneider (gemeinsam mit Niko Härting), die herkömmlichen Mechanismen des Datenschutzrechts in Frage zu stellen und Alternativvorschläge zu unterbreiten3.
1 Hoeren, ZD 2011, 145. 2 Schneider, NJW 1984, 390. 3 S. nur Schneider/Härting, ZD 2011, 63; Schneider/Härting, ZD 2012, 199. Karger
1061
§ 65
Datenvermeidung und Entnetzung
2
Zu den zahlreichen aktuellen Problemfeldern zählen u.a. „Big Data“ und die Bedrohung von IT-Infrastrukturen durch Cyber-Attacken und CyberSpionage.
3
„Big Data“ bzw. „Big Data Analytics“ ist die Sammelbezeichnung für den „Einsatz großer Datenmengen aus vielfältigen Quellen mit einer hohen Verarbeitungsgeschwindigkeit zur Erzeugung wirtschaftlichen Nutzens“1. Im Kern geht es um die Sammlung und Auswertung großer Datenbestände verschiedenster Herkunft in Hochleistungsdatenbanken2 und – bezogen auf den Einzelnen – um das individuelle Scoring, Tracking und Profiling3. Cyber-Attacken, Cyber-Spionage und Cyber-Überwachung4 kompromittieren die IT-Systeme und zielen auf die Integrität und Vertraulichkeit der auf diesen verarbeiteten personenbezogenen Daten ab5.
4
Das unlimitierte Sammeln von Daten und die nahezu vollständige globale Vernetzung von IT-Systemen über das Internet und andere Netze bringen zwei zentrale Gefahren mit sich: Die vollständige Transparenz und Auflösung der Privatsphäre bei gleichzeitig ständig ansteigender Gefahr der Ausspähung, Manipulation oder Zerstörung der Datenbasis.
II. Datenvermeidung und Entnetzung als Sicherheitsstrategien 5
Denkt man über Maßnahmen zur Risikoreduzierung nach, so ist hier vieles denkbar. Im Folgenden sollen nur zwei im Grundsatz ebenso einfache wie gegebenenfalls wirksame Konzepte beleuchtet werden: Die Datenvermeidung und die Entnetzung. Die Datenvermeidung hat zum Ziel, dass personenbezogene Daten, bzw. verwertbare personenbezogene Daten erst gar nicht entstehen bzw. erhoben werden, wobei sich die Betrachtung auf die besonders gefährdeten und gefährlichen elektronischen Daten beschränken soll. Mit der Entnetzung ist die Entkoppelung eines IT-Systems von anderen IT-Systemen und damit die Abtrennung vom Internet und anderen Netzen gemeint.
6
Es liegt auf der Hand, dass beide Ansätze ganz automatisch den Vorwurf der Technologie- und Innovationsfeindlichkeit auf sich ziehen. In der Tat kollidieren sie mit Geschäftsmodellen wie Big Data und Cloud Computing. Die Akkumulierung von Daten, die globale Vernetzung und die da1 2 3 4
Zieger/Smirra, MMR 2013, 418. Zieger/Smirra, MMR 2013, 418. Weichert, ZD 2013, 251. S. zur Cyber-Überwachung durch die NSA den Bericht in Heise Online v. 24.9.2013: EU-Bericht warnt vor massiver Gefahr für die Demokratie, abrufbar unter http://www.heise.de/newsticker/meldung/NSA-Affaere-EU-Bericht-warntvor-massiver-Gefahr-fuer-die-Demokratie-1964635.html; sowie Harris, ZD 2013, 369. 5 Hierzu Gaycken/Karger, MMR 2011, 3.
1062
Karger
§ 65
III. Datenvermeidung
mit verbundenen Geschäftsmodelle bringen so viele Vorteile mit sich, dass sie als Gegebenheiten zu akzeptieren sind. Sie sollen hier auch nicht in Frage gestellt werden. Möchte man jedoch den Datenschutz im Sinne eines Post-Privacy-Konzepts und die Datensicherheit nicht völlig über Bord werfen, so muss man über Sicherheitsstrategien nachdenken, auch wenn sie limitierende Effekte für den Fortschritt haben können. Einen Rückfall in die informationstechnologische Steinzeit muss es deshalb nicht geben, nur eben auch keinen völlig ungebremsten Fortschritt. Wirtschaftlich betrachtet sind im Übrigen auch der Schutz der Individualsphäre und die Datensicherheit geldwerte Vorteile, die sich in IT-gestützte Geschäftsmodelle umsetzen lassen.
III. Datenvermeidung Das Prinzip der Datenvermeidung geht Datenschutzprobleme gleichsam 7 an der Wurzel an: Werden erst gar keine personenbezogenen Daten erzeugt, oder sind die Daten nicht oder nicht uneingeschränkt auswertbar, so reduziert sich damit das Gefährdungspotential. Der Grundsatz der Datenvermeidung wurde mit § 3a Satz 1 BDSG als ausdrückliche Zielvorgabe in das BDSG aufgenommen. In § 3a Satz 2 BDSG konkretisiert der Gesetzgeber diese allgemeine Zielvorgabe, indem er die Anonymisierung und Pseudonymisierung personenbezogener Daten als Mittel der Datenvermeidung benennt. 1. Datenvermeidung als Selbstdatenschutz: Rückkehr in die analoge Welt Datenvermeidung ist zu allererst Selbstdatenschutz1. Hat der Betroffene 8 die Möglichkeit, das Entstehen oder die Erhebung personenbezogener Daten zu vermeiden, so sollte er diese Option nutzen. Häufig aber tauschen die Betroffenen ihre personenbezogenen Daten gegen „Convenience“ (etwa beim Online-Shopping) oder gegen die Möglichkeit zur Teilhabe (insbesondere bei sozialen Netzwerken) ein und betätigen sich hierbei freiwillig als „Datenschleudern“2. Der Einzelne hat zahlreiche Möglichkeiten, der elektronischen Erfassung 9 seiner Daten zu entgehen. Wer auf die Convenience elektronischer Medien verzichten kann, findet in der analogen Welt genügend Alternativen. Im Folgenden seien nur die Themen „Korrespondenz“ und „Informationsbeschaffung“ herausgegriffen. Elektronische Korrespondenz: Jedermann weiß seit langem, dass E-Mail 10 nicht sicher ist. Nunmehr scheint sich abzuzeichnen, dass auch die Ver-
1 Vgl. Schreiber in Plath, BDSG, § 3a Rz. 5. 2 Schneider, ZD 2011, 6. Karger
1063
§ 65
Datenvermeidung und Entnetzung
schlüsselung nicht vor Ausspähung schützt1. Als vertrauliches Medium – und das ist die bittere Erkenntnis aus den Veröffentlichungen über die NSA-Aktivitäten – wird die E-Mail mehr und mehr diskreditiert. Als Alternative für besonders vertrauliche Korrespondenz empfiehlt sich – man wagt kaum, es auszusprechen – die Briefpost. Natürlich kann auch diese abgefangen und geöffnet werden, dies ist aber nicht automatisiert und nicht ohne erheblichen logistischen Aufwand möglich. Anders als die E-Mail, deren Weg durch das Netz auch über Router in Staaten führen kann, für deren Sicherheitsdienste deutsches Verfassungsrecht (Art. 10 GG) und das deutsche Telekommunikationsgeheimnis keine Bindungswirkung haben, bleibt die Inlands-Briefpost jedenfalls im Lande und wird in ihrer Vertraulichkeit durch das Briefgeheimnis geschützt. 11
Informationsbeschaffung: Die Nutzung von Online-Medien vermittelt den Diensteanbietern ein klares Bild über die persönlichen Interessen und Einstellungen des Nutzers. Als Alternative empfehlen sich die Printmedien. Vielfach schon totgesagt, verfügen sie gegenüber Onlinediensten jeder Art über ein wertvolles Alleinstellungsmerkmal, was die Vertraulichkeit der Informationsbeschaffung anbelangt: Während bei Nutzung einer Online-Publikation nahezu alle Schritte des Nutzers mitgeloggt werden können und der Diensteanbieter genau erfährt, welche Inhalte aufgerufen werden, weiß bei der Lektüre einer Print-Publikation allein der Leser, welche Informationen er auswählt. 2. Datenvermeidung – ein unbeachteter Programmsatz
12
Nach § 3a BDSG ist die Erhebung, Verarbeitung und Nutzung personenbezogener Daten an dem Ziel auszurichten, so wenig personenbezogene Daten wie möglich zu erheben, zu verarbeiten und zu nutzen. Die verantwortliche Stelle soll die Datenvermeidung als das „erstrebenswerte Optimum“ nach § 3a BDSG ansehen2 und hat deshalb vorrangig zu prüfen, ob eine Datenerhebung und die weitere Verwendung der Daten überhaupt erforderlich ist3. Beispielsweise sollten bei der Bestellung einer Ware nur die zwingend für die Abwicklung der Bestellung erforderlichen Daten des Kunden (Name und Adresse) erhoben werden, nicht aber zusätzlich andere „nützliche“ Angaben wie E-Mail, Telefonnummer oder Geburtsdatum4.
13
Betrachtet man allerdings die Praxis, so hat man den Eindruck, dass für die meisten Anbieter das „erstrebenswerte Optimum“ die Gewinnung von möglichst vielen personenbezogenen Daten im Sinne von „Big Data“ 1 Spiegel Online v. 6.9.2013: Neue Snowden-Enthüllungen: NSA knackt systematisch Verschlüsselung im Internet; abrufbar unter: http://www.spiegel.de/poli tik/ausland/nsa-und-britischer-geheimdienst-knacken-systematisch-verschluesse lung-a-920710.html. 2 Zscherpe in Taeger/Gabel, BDSG, § 3a Rz. 29. 3 Zscherpe in Taeger/Gabel, BDSG, § 3a Rz. 29. 4 Zscherpe in Taeger/Gabel, BDSG, § 3a Rz. 36.
1064
Karger
§ 65
III. Datenvermeidung
ist. So werden häufig Daten als „Pflichtangaben“ des Nutzers abgefragt, obwohl sie nicht erforderlich sind. Gleichzeitig wird der Kunde dazu verleitet, weitere, „freiwillige Angaben“ zu machen, die nur dazu dienen, ein möglichst vollständiges Bild von ihm zu gewinnen. § 3a BDSG hat bislang keine erkennbaren Wirkungen entfaltet, denn die 14 Vorschrift steht „im krassen Gegensatz zur überall wirksamen Tendenz, die Datenverarbeitung für immer mehr Zwecke zu nutzen und dabei einen hohen Grad an Komfort und Ausbeute zu ermöglichen“1. Wie aber kann es sein, dass ein so grundlegender Programmsatz wie die 15 Datenvermeidung so wenig Beachtung findet? Die Antwort ist einfach: Weil es sich eben nur um einen „reinen Programmsatz“2 handelt. Er beinhaltet eine „Rechtspflicht ohne Verpflichtungsqualifikation“3 (!). Eine zwangsweise Durchsetzung dieses Grundsatzes auf der Basis von § 3a BDSG ist nicht möglich4. Vielmehr ist eine Datenverarbeitung, die gegen den Grundsatz der Datenvermeidung verstößt, rechtmäßig5. Eine Ahndung durch Bußgelder ist ebenso wenig möglich wie Zwangsmaßnahmen6. Man muss nicht jede datenschutzrechtliche Bestimmung mit einem 16 Bußgeldtatbestand koppeln, um ihr zur Wirkung zu verhelfen. § 3a BDSG ist aber so schwach ausgestaltet, dass hier über eine Nachbesserung des Gesetzes nachzudenken wäre. 3. Anonymisierung und Pseudonymisierung Gem. § 3a Satz 2 BDSG umfasst der Grundsatz der Datenvermeidung als 17 gebotene Mittel die Anonymisierung und die Pseudonymisierung. § 13 Abs. 6 TMG stellt deren Geltung auch für Telemediendienste ausdrücklich klar. Der Verzicht auf die Angabe von Klarnamen und die Ermöglichung einer 18 anonymen bzw. pseudonymen Kommunikation im Netz ist ein klassisches Instrument des Persönlichkeitsschutzes und des Selbstdatenschutzes7. Vielfach wird dem Einzelnen aber eine Teilhabe unter Nutzung eines Pseudonyms verwehrt. Dies gilt insbesondere für soziale Netzwerke, die – aus deren Blickwinkel verständlich – eine Teilnahme von der Anga-
1 2 3 4 5 6
Bullinger, NVwZ 2011, 257 (259 f.). Schreiber in Plath, BDSG, § 3a Rz. 14. Schreiber in Plath, BDSG, § 3a Rz. 14. Schreiber in Plath, BDSG, § 3a Rz. 14. Zscherpe in Taeger/Gabel, BDSG, § 3a Rz. 55. Schreiber in Plath, BDSG, § 3a Rz. 14; Zscherpe in Taeger/Gabel, BDSG, § 3a Rz. 55 ff.; Scholz in Simitis, BDSG, § 3a Rz. 57 ff. 7 Härting, NJW 2013, 2065. Karger
1065
§ 65
Datenvermeidung und Entnetzung
be des Klarnamens und wahrheitsgemäßer Angaben zur Person abhängig machen1. 19
Allerdings fehlen sowohl im deutschen als auch im europäischen Datenschutzrecht wirksame Anreize für den Verzicht der Diensteanbieter auf Klarnamen2. Solange die Prinzipien der Anonymisierung und der Pseudonymisierung nicht mehr sind als rechtlich nicht durchsetzbare Programmsätze3, werden sie als „weiche Vorgaben“4 auch künftig von vielen Anbietern ignoriert werden.
20
Deswegen ist es in der Tat geboten, differenzierte Regelungsinstrumente zu entwickeln, die eine anonyme und pseudonyme Kommunikation fördern5, wobei hier aber Einschränkungen zu machen sind: Ein umfassendes Recht auf Anonymität ist angesichts des gängigen Cyber-Mobbing, also insbesondere der Beleidigung und Verleumdung Dritter in sozialen Netzwerken, Kurznachrichtendiensten und Foren problematisch, weil dies den Persönlichkeitsschutz dieser Betroffenen konterkarieren würde6. 4. Recht zur Lüge?
21
Zwingt der Anbieter den Betroffenen zur Angabe des Klarnamens und weiterer personenbezogener Daten, so fragt sich, ob der Betroffene unter dem Gesichtspunkt des Selbstdatenschutzes das Recht hat, durch eine gezielte Desinformation eine für den Anbieter inkonsistente und damit für eine Profilbildung unbrauchbare Datenbasis zu generieren. Weitergedacht stellt sich in Bezug auf schlicht unwahre Angaben die heikle Frage, ob das Datenschutzrecht ein „Recht zur Lüge“ kennt.
22
Soweit ersichtlich, wurde dies bislang nur vereinzelt diskutiert. Es gibt aber Stimmen, die ein Recht zur Lüge unter bestimmten Voraussetzungen bejahen und dies mit der gesetzlichen Wertung des § 13 Abs. 6 TMG begründen7. So sollen etwa die Angabe eines Pseudonyms anstatt des Klarnamens sowie unwahre Angaben zu Hobbies, Vorlieben und Konsumverhalten zulässig sein; ebenso sollen Nutzer nicht verpflichtet sein, zutreffende Kontaktdaten vorzuhalten und zu aktualisieren, soweit dies nicht aufgrund der Eigenart des Dienstes erforderlich ist8. Unzulässig wä-
1 Siehe Ziebart, ZD 2013, 375. 2 Härting, NJW 2013, 2065. 3 Härting, NJW 2013, 2065 (2066), Schneider, ZD 2011, 6 (7); Schreiber in Plath, BDSG, § 3a Rz. 14. 4 Scholz in Simitis, BDSG, § 3a Rz. 59. 5 Härting, NJW 2013, 2065. 6 Spindler, GRUR 2013, 996 (1001); Bullinger, NVwZ 2011, 257 (259 f.). 7 Schnabel/Freund, CR 2010, 718 (720 f.). 8 Schnabel/Freund, CR 2010, 718 (721).
1066
Karger
§ 65
IV. Entnetzung
re allerdings die Angabe von Daten anderer, real existierender Personen oder die Einstellung von Bildern Dritter1. 5. Grundsatz der Datensparsamkeit: Löschung und das Recht auf Vergessenwerden Der Vollständigkeit halber sei erwähnt, dass gem. § 3a BDSG zum 23 Grundsatz der Datenvermeidung der Grundsatz der Datensparsamkeit hinzutritt. Dieser Grundsatz verlangt, den Umfang der Daten auf ein Mindestmaß zu reduzieren2. Daten, die nicht mehr für ihren ursprünglichen Verwendungszweck benötigt werden, müssen frühestmöglich gelöscht werden3. Der Grundsatz der Datenvermeidung ist in §§ 20 Abs. 2 Nr. 2, 35 Abs. 2 Nr. 3 BDSG und in § 13 Abs. 4 Nr. 2 TMG reflektiert. Die Verpflichtung zur Löschung steht im engen Zusammenhang mit dem aktuell diskutierten „Recht auf Vergessenwerden“ in der Datenschutz-Grundverordnung4.
IV. Entnetzung Bei der Entnetzung geht es um den Schutz der technischen Infrastruktur, 24 also der IT-Systeme und damit mittelbar um den Schutz der auf diesen Systemen gespeicherten und verarbeiteten personenbezogenen Daten. Damit ist die Datensicherheit angesprochen. Datenschutz und Datensicherheit gehören zusammen und bedingen sich gegenseitig5. Die datenschutzrechtlich geforderte Datensicherheit ist ihrerseits ein 25 Teilaspekt der IT-Sicherheit, die ganz generell die Sicherheit in der Informationstechnik zum Gegenstand hat. Beim Recht der IT-Sicherheit handelt es sich um eine zersplitterte Rechtsmaterie6, die öffentlichrechtliche und zivilrechtliche Normen mit unterschiedlichem Regelungsgehalt umfasst und deren gemeinsamer Nenner die Gewährleistung von Sicherheit in der Informationstechnik ist7. Eine Definition der IT-Sicherheit findet sich in § 2 Abs. 2 BSIG. Dort 26 heißt es: „Sicherheit in der Informationstechnik im Sinne dieses Gesetzes bedeutet die Einhaltung bestimmter Sicherheitsstandards, die die Verfügbarkeit, Unversehrtheit oder Vertraulichkeit von Informationen betreffen, durch Sicherheitsvorkehrungen 1. in informationstechnischen System oder Komponenten oder 2. bei der Anwendung von informationstechnischen Systemen oder Komponenten.“ 1 2 3 4 5 6 7
Schnabel/Freund, CR 2010, 718 (721). Schreiber in Plath, BDSG, § 3a Rz. 9. Schreiber in Plath, BDSG, § 3a Rz. 9. Kodde, ZD 2013, 115. Schneider, ZD 2011, 6. Hierzu Spindler, MMR 2008, 7. Vgl. Heckmann, MMR 2006, 280 (281). Karger
1067
§ 65
Datenvermeidung und Entnetzung
27
Im Kontext von Cyberattacken sind die Schutzziele der Verfügbarkeit und Unversehrtheit von IT-Systemen relevant. Verfügbarkeit meint den Schutz vor Informationsverlust, Informationsentzug, Informationsblockade und Informationszerstörung1. Aus dem Kriterium der Verfügbarkeit resultiert der Einsatz von Schutzprogrammen, Firewalls und vergleichbaren Sicherheitsvorrichtungen2.
28
Mittlerweile wurde erkannt, welche Bedeutung die IT-Sicherheit insbesondere für kritische Infrastrukturen hat, was zu zahlreichen nationalen und internationalen Regulierungsinitiativen führte3. Für Deutschland ist insbesondere der noch in der Diskussion stehende Entwurf eines IT-Sicherheitsgesetzes zu nennen4. 1. Anforderungen des Datenschutzrechts
29
Die Anforderungen an die Datensicherheit sind im BDSG nur rudimentär geregelt5. Die Datensicherheit ist eines der Instrumente des Datenschutzes, wobei dies aus den gesetzlichen Regelungen nicht hinreichend deutlich wird6. Sitz der Materie „Datensicherheit“ ist § 9 BDSG i.V.m der Anlage zu Satz 2. Daneben finden sich Bezüge zur Datensicherheit noch in § 11 Abs. 2 Nr. 3 und Nr. 10 BDSG, in § 31 BDSG sowie bei § 42a BDSG7.
30
Gemäß § 9 BDSG haben Stellen, die selbst oder im Auftrag personenbezogene Daten erheben, verarbeiten oder nutzen, die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um den gesetzlich angeordneten Datenschutz zu gewährleisten. Erforderlich sind nur solche Maßnahmen, deren Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht. Bei automatisierter Datenverarbeitung oder Nutzung müssen die Maßnahmen geeignet sein, die in der Anlage zu § 9 BDSG aufgeführten Anforderungen zu erfüllen.
31
Vorliegend geht es darum, welche technischen und organisatorischen Maßnahmen dazu geeignet sind, Systeme und mit ihnen die betreffenden personenbezogenen Daten vor Cyber-Attacken zu schützen. Im Hinblick auf die Anlage zu § 9 BDSG sind damit primär die Zugangskontrolle (Nr. 2) und die Verfügbarkeitskontrolle (Nr. 7) angesprochen. Im Rahmen der Zugangskontrolle ist nicht nur der interne, sondern auch der externe Zugang zu kontrollieren8.
1 2 3 4 5 6 7 8
Vgl. Heckmann, MMR 2006, 280 (281). Vgl. Heckmann, MMR 2006, 280 (281). Hierzu Beucher/Utzerath, MMR 2013, 362. Hierzu Friedrich, MMR 2013, 273. Schneider, ZD 2011, 6 (7). Schneider, ZD 2011, 6 (7). Schneider, ZD 2011, 6 (7 f.). Schultze-Melling in Taeger/Gabel, BDSG, § 9 Rz. 50.
1068
Karger
§ 65
IV. Entnetzung
Der Begriff der technischen und organisatorischen Maßnahme ist als 32 Sammelbegriff und daher weit zu verstehen1. Erfasst sind alle Maßnahmen, die geeignet sind, den Regelungszweck der Norm, also die Sicherung der Daten und der zu ihrer Verarbeitung eingesetzten Prozesse zu unterstützen. Der Rahmen der tauglichen technischen Maßnahmen ist letztlich nur durch die jeweils aktuell verfügbaren technologischen Möglichkeiten beschränkt2. 2. In Betracht kommende technische Maßnahmen Zu den in Betracht kommenden technischen und organisatorischen Maß- 33 nahmen zählen zunächst die herkömmlicherweise eingesetzten Sicherheitstechnologien, insbesondere also Firewalls sowie Systeme zur Erkennung von Malware. Als weitere geeignete Maßnahmen, den logischen Zugang zu personenbe- 34 zogenen Daten zu beschränken, werden im datenschutzrechtlichen Schrifttum ausdrücklich die Abkapselung von sensiblen Systemen durch getrennte Netzbereiche oder der Betrieb unvernetzter Anlagen (StandAlone-Systeme) genannt3. Ferner wird gefordert, dass vor der Netzanbindung eines Systems zu prüfen ist, ob dies angesichts des Risikos des unbefugten Zugriffs und der Sensitivität der im System verarbeiteten Daten verantwortet werden kann4. In Hinblick auf sehr sensitive personenbezogene Daten kann es erforderlich sein, die betreffenden Systeme nur Stand-Alone oder nur einem isolierten, abgeschotteten Netz zu betreiben5. Entsprechende Überprüfungen und Entscheidungen müssen bei ständiger Marktbeobachtung getroffen werden, da laufend neue und verbesserte Sicherungstechniken bei Hard- und Software auf den Markt kommen6. Bei der „Entnetzung“ sind abgestufte Herangehensweisen denkbar. So 35 werden teilweise sog. „Air Gap“-Systeme eingesetzt. Als Air Gap („Luftspalt“) wird ein Verfahren bezeichnet, das zwei IT-Systeme physisch und logisch voneinander trennt, aber dennoch die Übertragung von Daten zulässt. Das Air Gap wird eingesetzt, um zwei oder mehr unterschiedlich vertrauenswürdige Rechnernetze voneinander zu isolieren, die jedoch Daten des jeweils anderen Systems verarbeiten müssen. Der Einsatzzweck ähnelt dem einer Firewall. Bei der Isolation der Systeme voneinander kann u.a. sichergestellt werden, dass die Datenübertragung nur in einer Richtung erfolgt und dass selbst bei Übertragung von Malware kein Rückkanal zur Verfügung steht, der z.B. die Übertragung von vertrauli1 2 3 4 5 6
Schultze-Melling in Taeger/Gabel, BDSG, § 9 Rz. 16. Schultze-Melling in Taeger/Gabel, BDSG, § 9 Rz. 16. Schultze-Melling in Taeger/Gabel, BDSG, § 9 Rz. 53. Ernestus in Simitis, BDSG, § 9 Rz. 95. Ernestus in Simitis, BDSG, § 9 Rz. 95. Ernestus in Simitis, BDSG, § 9 Rz. 95. Karger
1069
§ 65
Datenvermeidung und Entnetzung
chen Inhalten ermöglichen könnte1. Das Verfahren wird im Hinblick auf militärische Netzwerke, Regierungsnetzwerke sowie im Hinblick auf besonders kritische Systeme wie z.B. bei Kraftwerken, in der Luftfahrt und im medizintechnischen Bereich diskutiert2. Letztlich wird aber hierdurch keine vollstände Abschottung und nur eine „eingeschränkte“ Entnetzung erreicht. 36
Die vollständige Abschottung von Systemen ohne jede technische Verbindung nach außen ist die konsequenteste Form der Entnetzung. Aber auch ein isoliertes System ist nicht völlig unverletzlich. Es kann durch „klassische“ Sabotageakte, insbesondere durch „Insider“ kompromittiert werden. Des Weiteren wird neuerdings im Netz über Technologien berichtet, die darauf abzielen, Air Gaps durch Ferneinwirkung zu überwinden3. 3. Entnetzung als Ultima Ratio
37
Die verantwortliche Stelle ist nicht verpflichtet, jede geeignete Maßnahme ohne Rücksicht auf die Kosten umzusetzen. Vielmehr sind nur solche Maßnahmen zu treffen, die auch erforderlich sind, um den Anforderungen des Datenschutzes gerecht zu werden. Erforderlich sind nur solche Maßnahmen, deren Aufwand in einem angemessenen Verhältnis zum angestrebten Schutzzweck steht. Es ist also eine Verhältnismäßigkeitsprüfung vorzunehmen. Hierbei ist in einem ersten Schritt der Schutzzweck für die relevanten personenbezogenen Daten zu bestimmen. Im zweiten Schritt ist der zur Realisierung des Schutzzwecks erforderliche Aufwand zu ermitteln. Schließlich findet eine Abwägung zwischen Schutzzweck und Aufwand statt. a) Bestimmung des Schutzzwecks
38
Der Schutzzweck bestimmt sich grundsätzlich danach, wie sensibel und wie gefährdet die zu verarbeitenden Daten sind4. Eine allgemeine Bestimmung des Schutzzwecks ist nicht möglich5. Die jeweiligen Datenbestände müssen konkret analysiert werden. Wie sich auch aus dem Wortlaut der Anlage zu § 9 BDSG ergibt, sind hierbei die Art der zu schützenden personenbezogenen Daten und die Datenkategorien zu erfassen.
1 Vgl. http://de.wikipedia.org/wiki/Air_Gap. 2 Vgl. http://en.wikipedia.org/wiki/Air_Gap (Computing). 3 S. den Bericht „DoD Looking to ‚Jump the Gap’ Into Adversaries’ Closed Networks“ v. 15.1.2013, abrufbar unter http://www.defensenews.com/article/ 20130115/C4ISR01/301150010/DoD-Looking-8216-Jump-Gap-8217-Into-Adversa ries-8217-Closed-Networks?odyssey=nav|head. 4 Schultze-Melling in Taeger/Gabel, BDSG, § 9 Rz. 21. 5 Schultze-Melling in Taeger/Gabel, BDSG, § 9 Rz. 20.
1070
Karger
§ 65
IV. Entnetzung
Bei der Prüfung ist insbesondere zu ermitteln, ob es um sensitive Daten 39 geht, ob die Daten einer hohen Schutzstufe zuzuordnen sind oder ob die Daten für sich oder in Kombination mit anderen Daten ein hohes Schadenspotential aufweisen: Sensitive Daten i.S.v. § 3 Abs. 9 BDSG erfordern bereits aufgrund ihrer Qualität generell ein hohes Schutzniveau. Für Daten, die nicht unter § 3 Abs. 9 BDSG fallen, wird zumeist auf ein gängiges Schutzstufenmodel referenziert, das drei Kategorien vorsieht1: – Schutzstufe 1 (gering bis mittel): Personenbezogene Daten in öffentlichen Verzeichnissen und sonstigen offen zugänglichen Quellen. – Schutzstufe 2 (hoch): Daten, die geeignet sind, bei falscher Handhabung den Betroffenen in seiner gesellschaftlichen Stellung zu beeinträchtigen. – Schutzstufe 3 (sehr hoch): Daten, deren Missbrauch unmittelbaren Einfluss auf Leben, Gesundheit oder Freiheit des Betroffenen haben kann. Ein weiteres Kriterium bei der Bestimmung des Schutzzwecks ist das in- 40 dividuelle Schadenspotential der Daten2. Nicht nur sensitive Daten und Daten der höchsten Schutzstufe weisen ein hohes Schadenspotential auf, sondern je nach Fallgestaltung auch Daten, die auf den ersten Blick als nicht besonders schutzbedürftig angesehen werden. So können z.B. Personennamen, E-Mail-Adressen oder Adressdaten in ihrer Kombination einen Identitätsdiebstahl mit weitreichenden Konsequenzen ermöglichen3. Bei der Einschätzung des Schadenspotentials dürfen zukünftige Gefähr- 41 dungslagen, die sich bereits deutlich abzeichnen, nicht ignoriert werden4. Grundsätzlich dürfte es der verantwortlichen Stelle in diesem Zusammenhang obliegen, verfügbare Informationsquellen zur Gefährdungslage, wie insbesondere die Lageberichte, Warnungen und Empfehlungen des Bundesamts für Sicherheit in der Informationstechnik (BSI) zu nutzen. b) Ermittlung des Aufwands Maßnahmen sind nur dann „erforderlich“, wenn ihr Aufwand in einem 42 angemessenen Verhältnis zum angestrebten Schutzzweck steht. Dem Schutzzweck ist also der Aufwand gegenüberzustellen, der zur Sicherstellung des Schutzzwecks anfallen würde5.
1 Ernestus in Simitis, BDSG, § 9 Rz. 29; Schultze-Melling in Taeger/Gabel, BDSG, § 9 Rz. 22 jeweils unter Verweis auf das von der seinerzeitigen Koordinierungsund Planungsstelle der Bundesregierung (KBSt) entwickelte Schutzstufenmodell. 2 Schultze-Melling in Taeger/Gabel, BDSG, § 9 Rz. 23. 3 Schultze-Melling in Taeger/Gabel, BDSG, § 9 Rz. 23. 4 Schultze-Melling in Taeger/Gabel, BDSG, § 9 Rz. 24. 5 Ernestus in Simitis, BDSG, § 9 Rz. 34. Karger
1071
§ 65
Datenvermeidung und Entnetzung
43
Unter „Aufwand“ fallen grundsätzlich sämtliche Kosten, die von der Planungsphase bis einschließlich der Realisierung entstehen. Hierbei sind u.a. folgende Posten zu berücksichtigen: Planungskosten, Entwicklungskosten, Investitionskosten, Betriebskosten, Leistungseinbußen der Verarbeitungskapazität1 und zusätzliche Personalkosten.
44
Maßgeblich ist der Aufwand für diejenigen Maßnahmen, der angesichts des ermittelten Schutzzwecks das „Mittel der Wahl“ darstellen. Im Bereich der IT-Sicherheit wird man hierbei zunächst prüfen, ob die Vernetzung von Systemen grundsätzlich bestehen bleiben kann und das geforderte Sicherheitsniveau durch „klassische“ Vorkehrungen wie Firewalls, Gateways, redundante Systeme und Back-Up/Restore gewährleistet werden kann. Im Hinblick auf vernetzte Systeme ist anerkannt, dass absolute Sicherheit selbst mit erheblichem Aufwand kaum erreichbar ist2. Solange eine Vernetzung der Systeme als noch vertretbar erscheint, gilt es diesbezüglich nur, ausreichende Hürden gegen einen Missbrauch der Systeme und angemessene Vorkehrungen gegen Störungen zu planen, umzusetzen und regelmäßig im Hinblick auf ihre Wirksamkeit zu kontrollieren3.
45
Bei hohem bzw. weiter ansteigenden Gefahrenpotential und hohen Anforderungen an den Schutzzweck kann es allerdings geboten sein, die Vernetzung der Systeme in Frage zu stellen und eine Entnetzung vorzunehmen. Hierbei dürfte der anzusetzende Aufwand im Vergleich zu herkömmlichen Sicherheitsvorkehrungen allerdings extrem hoch sein: Eine vollständige Abkopplung von Systemen kann bedeuten, dass die entsprechenden Stand-Alone-Infrastrukturkomponenten neu beschafft werden müssen. In jedem Fall ist ein gesonderter Betrieb erforderlich. Eine Fernwartung scheidet aus, vielmehr ist die Wartung vor Ort zu erbringen. Der Datenaustausch zwischen dem geschotteten System und anderen Systemen ist allenfalls eingeschränkt und nur unter Einsatz weiteren technischen Equipment sowie unter erhöhtem Personaleinsatz möglich. Schließlich dürfte eine Entnetzung gravierende Produktivitätseinbußen mit sich bringen. c) Abwägung zwischen Schutzzweck und Aufwand
46
Die Bestimmung der rechtlich gebotenen technischen und organisatorischen Maßnahmen hat auf Basis einer Risikoanalyse zu erfolgen4. Angesichts des steigenden Bedrohungspotentials durch Cyber-Angriffe ist jedenfalls im Hinblick auf besonders schutzbedürftige Daten die grund1 2 3 4
Ernestus in Simitis, BDSG, § 9 Rz. 34. Schultze-Melling in Taeger/Gabel, BDSG, § 9 Rz. 28. Schultze-Melling in Taeger/Gabel, BDSG, § 9 Rz. 28. Vgl. Schultze-Melling in Taeger/Gabel, BDSG, § 9 Rz. 28. Eine Anleitung für die Vorgehensweise im Informationssicherheitsmanagement findet sich beispielsweise im BSI-Standard 100-2/IT-Grundschutz-Vorgehensweise; abrufbar unter www.bsi.bund.de/gshb.
1072
Karger
§ 65
IV. Entnetzung
sätzliche Frage zu stellen, ob bei verbleibender Vernetzung der Systeme die verfügbaren technischen Schutz- und Abwehrmechanismen hinreichenden Schutz bieten können. In bestimmten Szenarien ist es durchaus wahrscheinlich, dass den Risiken mit herkömmlichen Sicherheitsstrategien nicht mehr ausreichend begegnet werden kann. Die Entnetzung dürfte angesichts des hierbei entstehenden hohen Aufwands nur bei besonders hoher Gefährdungslage für besonders schutzbedürftige Daten als Ultima Ratio1 in Betracht kommen. Verneint man die Erforderlichkeit einer Entnetzung unter datenschutz- 47 rechtlichen Gesichtspunkten, so heißt dies aber nicht notwendig, dass sie nicht aus anderen Gründen in Betracht gezogen werden muss. Denn die verantwortliche Stelle kann auch aufgrund anderer Rechtspflichten außerhalb des Datenschutzrechts zu einer entsprechenden Maßnahme verpflichtet sein2.
1 Zur Entnetzung als Ultima Ratio Heckmann, Gutachterliche Stellungnahme auf Anfrage der Enquete-Kommission Internet und Digitale Gesellschaft Projektgruppe Zugang, Struktur und Sicherheit im Netz, 2011, S. 17 f. 2 Hierzu Gaycken/Karger, MMR 2011, 3. Karger
1073
§ 66 Verschlüsselung
I. Funktionsweise von Verschlüsselung . . . . . . . . . . . . . . . . . . . . . . . 1. Technische Grundlagen der Verschlüsselung. . . . . . . . . . . . . . . a) Symmetrische Verschlüsselungsverfahren . . . . . . . . . . . . . aa) Stromverschlüsselung . . . . bb) Blockverschlüsselung . . . . b) Asymmetrische Verschlüsselungsverfahren . . . . . . . . . . . . . c) Hybride Verschlüsselungsverfahren . . . . . . . . . . . . . . . . . . d) Homomorphe Verschlüsselungsverfahren . . . . . . . . . . . . . e) Besonderheiten bei allen Verschlüsselungsverfahren . . . . . . 2. Datenbanken und Daten als „Objekt“ der Verschlüsselung . . . a) Die Datenbank-Software . . . . . b) Die Datenbank-Struktur . . . . . c) Die Datenbank-Inhalte . . . . . . II. Verschlüsselung bei Datenbanknutzung . . . . . . . . . . . . . . . . . 1. Verschlüsselung bei Datenbanknutzung in „geschützten“ Umgebungen . . . . . . . . . . . . . . . . . a) Ziel. . . . . . . . . . . . . . . . . . . . . . . b) Methode. . . . . . . . . . . . . . . . . . . c) Besonderheiten . . . . . . . . . . . . . 2. Verschlüsselung bei CloudDiensten. . . . . . . . . . . . . . . . . . . . . a) Ziel. . . . . . . . . . . . . . . . . . . . . . . b) Methode. . . . . . . . . . . . . . . . . . . c) Besonderheiten . . . . . . . . . . . . . 3. Verschlüsselung beim „Streaming“ von Datenbankinhalten . .
Rz.
Rz.
1
a) Ziel . . . . . . . . . . . . . . . . . . . . . . . 52 b) Methode. . . . . . . . . . . . . . . . . . . 53 c) Besonderheiten . . . . . . . . . . . . . 54
3 5 7 10 14 16 18 20 25 29 32 33 35 41 41 43 44 45 45 46 49
III. Einzelaspekte von Verschlüsselung . . . . . . . . . . . . . . . . . . . . . . . 1. Vor- und Nachteile von Verschlüsselung. . . . . . . . . . . . . . . a) Vorteile . . . . . . . . . . . . . . . . . . . b) Nachteile . . . . . . . . . . . . . . . . . . 2. Einzelaspekte . . . . . . . . . . . . . . . . . a) Angreifbarkeit von HTTPS Verbindungen . . . . . . . . . . . . . . b) Kontrolle des Source-Codes von Verschlüsselungssoftware . c) Verlust des Zugangs bei Schlüsselverlust . . . . . . . . . . . . d) Aufbewahrungspflichten und Technologiefortschritt . . . . . . . 3. Besondere gesetzliche Regelungen. . . . . . . . . . . . . . . . . . . a) § 88 TKG . . . . . . . . . . . . . . . . . . b) § 203 StGB . . . . . . . . . . . . . . . . . c) § 202a StGB . . . . . . . . . . . . . . . . d) § 202b StGB . . . . . . . . . . . . . . . . e) § 202c StGB . . . . . . . . . . . . . . . . f) § 303a StGB . . . . . . . . . . . . . . . . IV. Verschlüsselung als Datenschutz? . . . . . . . . . . . . . . . . . . . . . . 1. Verschlüsselung als Anonymisierung oder Pseudonymisierung? . . 2. Verschlüsselung und § 11 BDSG . 3. Verschlüsselung und § 9 BDSG . . 4. Besonderer Schutz durch § 43 Abs. 1 Ziffer 3 BDSG . . . . . . . . . . .
55 58 58 59 62 62 66 68 70 72 73 74 77 79 81 83 85 88 92 95 96
52
I. Funktionsweise von Verschlüsselung 1
Verschlüsselung nennt man den Vorgang, bei dem ein klar lesbarer Text (Klartext) (oder auch Informationen anderer Art, wie Ton- oder Bildaufzeichnungen) mit Hilfe eines Verschlüsselungsverfahrens (Kryptosystem) in eine „unleserliche“, das heißt nicht einfach interpretierbare Zeichenfolge (Geheimtext) umgewandelt wird. Als entscheidend wichtige Parameter der Verschlüsselung werden hierbei ein oder auch mehrere Schlüssel verwendet.
1074
Kast
§ 66
I. Funktionsweise von Verschlsselung
Wichtig ist im Rahmen der Verschlüsselung, dass das Originalobjekt (bei- 2 spielsweise eine Zeichenfolge) nach der Entschlüsselung keine Veränderung des Inhaltes erfährt beziehungsweise Operationen, die im verschlüsselten Raum1 durchgeführt werden, korrekte Ergebnisse liefern. Das bedeutet also, dass der Ver- und Entschlüsselungsvorgang keinen Einfluss auf das Objekt der Verschlüsselung haben darf2. 1. Technische Grundlagen der Verschlüsselung Die kryptographische Stärke der Verschlüsselung ist für die Einordnung 3 des Sicherheitsgewinnes wesentlich. Ein hohes Sicherheitslevel wird zum Bespiel dadurch erreicht, dass jeder Buchstabe des Textes mit einem neuen Alphabet verschlüsselt wird (polyalphabetische Verschlüsselung). Auf diese Weise wird die bei monoalphabetischen Verfahren Rückschlüsse auf die Verschlüsselungsmethode zulassende, erkennbare Häufung von Buchstaben- oder Wortwiederholungen vermieden und klassische Angriffe zur Entzifferung des Geheimtextes, wie statistische Analysen oder Mustersuche, sind zum Scheitern verurteilt. Wird die Länge des zu verschlüsselnden Textes dann jeweils noch begrenzt und für jeden Textblock eine eigene polyalphabetische Verschlüsselung gewählt, so ist die Periodensuche mit Hilfe des Koinzidenzindexes als übliche Angriffsmethode auf polyalphabetische Verschlüsselungen, wie beispielsweise der Vigenere-Chiffre, ebenso weitgehend aussichtslos. Ausgehend von diesen sehr technischen Grundprinzipien haben sich ver- 4 schiedene Verschlüsselungsverfahren entwickelt, die in unterschiedlichen Bereichen eingesetzt werden. a) Symmetrische Verschlüsselungsverfahren Bei symmetrischen Verschlüsselungsverfahren benutzen sowohl Sender 5 wie Empfänger stets den gleichen Schlüssel3 oder der eine Schlüssel kann aus dem anderen Schlüssel leicht berechnet werden4. Der Vorteil symmetrischer Verschlüsselungsverfahren ist, dass diese weitgehend schneller arbeiten als asymmetrische Verschlüsselungsverfahren und mit vergleichsweise kürzeren Schlüsseln eine hohe Sicherheit erreichen können. Der systembedingte Nachteil symmetrischer Verschlüsselungsverfahren 6 liegt in der Nutzung eines Schlüssels sowohl für die Verschlüsselung als auch die Entschlüsselung. Damit muss also zusätzlich zur verschlüssel1 Siehe Rz. 18 homomorphe Verschlüsselung. 2 Menezes/van Oorschot/Vanstone, Handbook of Applied Cryptography, 1996. 3 So z.B. beim „Advanced Encryption Standard“ (AES), der bis heute als AES-192 und AES-256 in den USA für staatliche Dokumente mit höchster Geheimhaltungsstufe zugelassen ist. 4 So z.B. beim „International Data Encryption Algorithm“ (IDEA), der ursprünglich 1990 eingeführt wurde. Kast
1075
§ 66
Verschlsselung
ten Information der Schlüssel selbst dem Empfänger übermittelt werden. Dazu ist ein sicherer Übertragungsweg notwendig, denn jeder, der über den Schlüssel verfügt, kann sowohl das ursprüngliche Dokument entschlüsseln, als auch neue Dokumente verschlüsseln. Um einen sicheren Übertragungsweg zu gewährleisten, muss daher entweder die Schlüsselübertragung ihrerseits durch ein sicheres System erfolgen oder – dies wird in der Praxis bis heute häufig genutzt – der Schlüssel persönlich an den Empfänger übergeben werden. aa) Stromverschlüsselung 7
Eine Stromverschlüsselung1 ist ein kryptographischer Algorithmus zur symmetrischen Verschlüsselung, bei dem die zu verschlüsselnde Information einzeln mit den Zeichen eines Schlüsselstroms verknüpft wird. Der Schlüsselstrom ist in der Regel eine pseudozufällige Zeichenfolge, die durch den Schlüsselalgorithmus generiert wird2. Bei selbstsynchronisierenden Stromchiffren gehen außer dem Schlüssel auch Teile der Nachricht in die Berechnung des Schlüsselstroms ein.
8
Vorteil der Stromverschlüsselung ist, dass jedes einzelne Zeichen, das verschlüsselt werden soll, jederzeit verschlüsselt werden kann, da – anders als bei der Blockverschlüsselung – nicht zunächst ein Block mit Daten „aufgefüllt“ werden muss. Damit eröffnet sich für die Stromverschlüsselung insbesondere der Anwendungsbereich von laufenden Datenströmen, die auch laufend verschlüsselt werden sollen. Eine der Implementierungen der Stromverschlüsselung ist das WEP Protokoll3, die Verschlüsselung in Bluetooth-Verbindungen sowie als A54-Algorithmus für die Echtzeitübertragung von verschlüsselten Daten im Mobilfunk. Vorteil dieser Verschlüsselungsmethode ist also die Schnelligkeit der Verschlüsselung in einem laufenden Datenstrom.
9
Nachteil der Methode ist jedoch, dass sobald ein Dritter gleichzeitig Zugriff auf den ursprünglichen Datenstrom wie auch den verschlüsselten Datenstrom hat, der Schlüsselstrom rekonstruiert werden kann. Nachfolgende Nachrichten könnten dann, solange der Schlüsselstrom fortläuft, entschlüsselt werden. Aufgrund dieser Schwachstelle kann beispielsweise die Verschlüsselung von drahtlosen Netzen mittels WEP mitgelesen und dann der nachfolgende Datenstrom entschlüsselt werden5.
1 In englisch „stream cipher“. 2 Berbain/Gilbert, On the Security of IV Dependent Stream Ciphers in Fast Software Encryption 2007. 3 Wired Equivalent Privacy (WEP, engl. „Verdrahteten (Systemen) entsprechende Privatsphäre“) ist das ehemalige Standard-Verschlüsselungsprotokoll für WLAN. 4 A5 ist ein Satz von Chiffren zur Sicherung der Kommunikation in Mobilfunknetzen nach dem GSM-Standard. 5 Rafik Chaabouni, Break WEP Faster with Statistical Analysis, Kapitel 4, Semesterarbeit an der EPFL.
1076
Kast
§ 66
I. Funktionsweise von Verschlsselung
bb) Blockverschlüsselung Im Gegensatz zur Stromverschlüsselung wird bei der Blockverschlüsse- 10 lung jeweils ein ganzer Block an Daten gleichzeitig verschlüsselt. Die genaue Verschlüsselungsmethode wird dabei durch den Schlüssel-Algorithmus bestimmt, wobei die jeweilige Methode als Betriebsmodus bezeichnet wird1. Der gängigste Betriebsmodus ist dabei der sog. „Cipher-Block-Chaining- 11 Mode“, bei dem jeweils der zu verschlüsselnde Block vor dem Verschlüsseln mit dem vorhergehenden bereits verschlüsselten Block verknüpft wird; so entsteht einerseits eine klare Verschlüsselungskette, die ein Vertauschen einzelner Blöcke unmöglich macht, und andererseits führt dies dazu, dass selbst zwei gleiche Nachrichten mit dem gleichen Schlüssel nie gleich verschlüsselt werden, da die Aneinanderreihung der Blöcke zufällig ist. Moderne Blockchiffren2 sind dabei häufig als iterierte Blockchiffren kon- 12 zipiert, deren Verarbeitung also in mehreren Schritten erfolgt. Dazu werden aus jedem Schlüssel mehrere Unterschlüssel generiert, die dann in der jeweiligen Runde zur Verschlüsselung genutzt werden. Somit wird jeder Block beziehungsweise jede Blockkette mehrfach mit verschiedenen Schlüsseln verschlüsselt. Dies hat zum Ziel, die Information an einer Stelle des Klartextblocks über den gesamten Geheimtextblock zu verteilen, und damit Angriffe auf die Verschlüsselung zu erschweren. Die entsprechenden Fachbegriffe sind: – Diffusion:
die Verteilung der Daten im Block
– Permutation: Austausch der Blöcke in den einzelnen Verschlüsselungsschritten – Konfusion:
die Anwendung verschiedener Schlüssel
Relevant ist das auf Blockverschlüsselung basierende AES-Verschlüsse- 13 lungssystem, das unter anderem vom Verschlüsselungsstandard IEEE 802.11i/IEEE802.16m für Wireless LAN und dem Wi-Fi-Verschlüsselungsstandard WPA2 sowie im Rahmen der SSH-Verschlüsselung, die auch für die HTTPS – Verschlüsselung verwendet wird, genutzt wird. Auch in der IP-Telefonie kommt AES sowohl in offenen Systemen wie SRTP als auch beispielsweise bei Skype zum Einsatz. Mac OS X benutzt AES als Standardverschlüsselungsmethode für Disk-Images und für den Dienst FileVault. Außerdem wird der Algorithmus zur Verschlüsselung diverser komprimierter Dateiarchive verwendet3.
1 Menezes/van Oorschot/Vanstone, Handbook of Applied Cryptography, Sect. 7.12. 2 Z.B. AES und DES. 3 Z.B. bei 7-Zip und RAR. In PGP und GnuPG. Kast
1077
§ 66
Verschlsselung
b) Asymmetrische Verschlüsselungsverfahren 14
Bei asymmetrischen Verschlüsselungsverfahren1 benutzt der Sender zum Verschlüsseln einer Nachricht einen öffentlichen Schlüssel des Empfängers; der Empfänger verwendet dann zur Entschlüsselung seinen privaten Schlüssel, der nur ihm bekannt ist2. Das Prinzip der asymmetrischen Verschlüsselungsverfahren kann mit einer Schachtel verglichen werden, in die jedermann etwas durch eine Klappe einlegen kann, aber nur der Berechtigte die Dinge wieder entnehmen kann3.
15
Der Vorteil asymmetrischer Verschlüsselungsverfahren ist, dass das „Schlüsselübermittlungsproblem“ der symmetrischen Verschlüsselungsverfahren entfällt, da der öffentliche Schlüssel nur zum Verschlüsseln, nicht aber zum Entschlüsseln verwendbar ist. Nachteil ist jedoch, dass asymmetrische Verschlüsselungsverfahren relativ langsam sind. c) Hybride Verschlüsselungsverfahren
16
Um die Nachteile der symmetrischen Verschlüsselungsverfahren (die Schlüsselverteilung) und die Nachteile der asymmetrischen Verschlüsselungsverfahren (Geschwindigkeit des Verschlüsselungsvorganges) auszugleichen, werden hybride Verschlüsselungsverfahren4 eingesetzt. Hierbei werden der eigentliche Text zunächst mit einem symmetrischen Sitzungs-Schlüssel und dann der Sitzungs-Schlüssel mit dem öffentlichen Schlüssel des Empfängers verschlüsselt. Der Empfänger entschlüsselt zunächst den Sitzungsschlüssel mit seinem asymmetrischen Schlüssel und kann mit dem so gewonnenen Sitzungs-Schlüssel den verschlüsselten Text entschlüsseln.
17
Bei diesen Verfahren ist zur Einhaltung der Sicherheit der Verschlüsselung darauf zu achten, dass aus dem Sitzungs-Schlüssel nicht auf den eigentlichen, symmetrischen Schlüssel geschlossen werden kann und tatsächlich auch ein Sitzungsschlüssel und nicht der symmetrische (Haupt-)Schlüssel verwendet wird, da sonst erneut das Geheimhaltungsproblem der symmetrischen Verfahren entsteht5. 1 Asymmetrische Verschlüsselung wird beispielsweise bei E-Mail-Verkehr (OpenPGP, S/MIME) ebenso wie in kryptografischen Protokollen wie SSH oder SSL/TLS (letzteres als Grundlage für das HTTPS Protokoll) genutzt. 2 Rivest/Shamir/Adleman, CACM 1978, 120–126. 3 Häufig wird auch das Bild einer Falltür verwendet und daher für diese Verfahren der Begriff „Falltürpermutation“ verwendet. 4 Hybride Verfahren werden bei den Netzwerkprotokollen IPsec und TLS/SSL und zum Verschlüsseln von E-Mails mit PGP oder GPG verwendet. 5 Die an der Standardsuite für Real-Time-Kommunikation im Web arbeitende Gruppe (WebRTC) der Internet Engineering Task Force (IETF) empfiehlt in ihrer Sitzung im August 2013 z.B. nicht mehr das abhörfreundlichere Security Description-Protokoll (SDES). Stattdessen soll nur das DTLS-SRTC-Protokoll zum Einsatz kommen (Datagram Transport Layer Security (DTLS) Secure Real-time Transport Protocol (SRTP)), ein hybrides Verschlüsselungsverfahren.
1078
Kast
§ 66
I. Funktionsweise von Verschlsselung
d) Homomorphe Verschlüsselungsverfahren Homomorphe Verschlüsselungsverfahren sind asymmetrische Verschlüs- 18 selungsverfahren, die es ermöglichen, Berechnungen von verschlüsselten Daten durchzuführen1. Vorteil dieser Verfahren ist, dass die Daten außer beim Berechtigten nur in verschlüsselter Form vorliegen, das heißt sowohl während der Bearbeitung als auch bei der Übertragung und Speicherung von Daten. Daher entfallen Risiken der anderen Verschlüsselungsverfahren im Hinblick auf eine mögliche Überwachung des Datenverkehrs oder Einsichtnahme in die Server oder Speichermedien, auf welchen die Daten verarbeitet und gespeichert werden2. Daher werden die ersten homomorphen Verschlüsselungsverfahren in Cloud-Umgebungen eingesetzt, dies ist jedoch bisher nur für einfache Operationen effizient möglich3. Nachteil dieser Verfahren ist jedoch, dass durch die Bearbeitung von ver- 19 schlüsselten Daten Fehler der Bearbeitung nicht direkt sichtbar werden und sich daher Fehler auch in der Bearbeitung fortsetzen können. Dies führt so einer sog. „Verschmutzung“ der Daten, da den späteren Klardaten möglicherweise „kryptographische Schnipsel“ aus der verschlüsselten Verarbeitung „beigemischt“ werden. Bei einfachen Operationen wie beispielsweise Extraktion von Metadaten aus Dokumenten und Speicherung in Datenbanken ist dieser Effekt jedoch begrenzt4. e) Besonderheiten bei allen Verschlüsselungsverfahren Eine Besonderheit aller Verschlüsselungsverfahren ist, dass der Vorgang 20 der Verschlüsselung selbst Ressourcen des Anwendungsrechners beziehungsweise des Servers beansprucht. Es werden daher in der Praxis Software-Operationen im Rahmen der Verschlüsselung auf spezielle KryptoChips5 ausgelagert oder durch spezielle Hardware6 ergänzt. Soweit neben der reinen Verschlüsselung durch eines der genannten Ver- 21 fahren auch noch die Sicherung der Identität der Beteiligten erfolgen soll, erfolgt diese üblicherweise durch sog. Zertifikate. Diese Zertifikate, die durch unabhängige Zertifizierungsinstanzen erstellt und verwaltet werden, bestätigen zum Beispiel, dass ein bestimmter öffentlicher Schlüssel 1 Craig Gentry, A FULLY HOMOMORPHIC ENCRYPTION SCHEME, Dissertation, 2009, S. 169–178. 2 Mark Bedner, Cloud Computing: Technik, Sicherheit und rechtliche Gestaltung, S. 214 ff. (339 ff.). 3 Gilbert Brands, Verschlüsselung, Signaturen, Angriffsmethoden, S. 380 ff. 4 T. Euting, Homomorphe Verschlüsselung, in Strategie und Technik 54 (2011), Nr. 4, S. 90. 5 Der Kryptoprozessor Pluto ist beispielsweise ein Chip, der die Grundfunktionen für die sichere Datenkommunikation wie die Kryptografie, die Authentisierung und die Verwaltung von Kryptologie-Schlüsseln in sich vereinigt. 6 So nutzen SIM-Karten in Mobiltelefonen den DES Verschlüsselungsstandard oder neuere Standards. Kast
1079
§ 66
Verschlsselung
zu einer bestimmten Person gehört. Die tatsächliche Identität zwischen der angegebenen Person und dem tatsächlichen Empfänger ergibt sich jedoch jeweils aus der Verfügungsgewalt über den privaten Schlüssel. 22
Dieses Zertifikatsystem ist ein wichtiger Bestandteil des Vertrauens im internetgestützten Datenverkehr, da mit dem Besitz eines solchen Zertifikats Rechte verbunden werden können, beispielsweise der Zugang zu Webseiten oder der Aufbau einer verschlüsselten Verbindung, wie dies zum Beispiel durch das Zertifikatsystem des Betriebssystems Windows geschieht.
23
Schließlich spielt bei den Verschlüsselungsverfahren auch noch die Länge des jeweiligen Schlüssels eine Rolle, da von der Läge des Schlüssels die Rechen- beziehungsweise „Probier“-Leistung abhängt, die zum entchiffrieren des Schlüssels erforderlich ist. So wird derzeit eine Schlüssellänge von 128 Bit für symmetrische und von 2048 Bit für das asymmetrische RSA-Verfahren als sicher angesehen.
24
In der Praxis spielt für die Beratung von Unternehmen, die Software und/ oder Hardware herstellen oder erwerben, die kryptographische Verfahren implementiert haben, eine große Rolle, dass insbesondere in den USA Export- und gegebenenfalls Meldevorschriften für solche Produkte bestehen. Derzeit beginnen diese Pflichten ab einer Schlüssellänge von 64 Bit1. 2. Datenbanken und Daten als „Objekt“ der Verschlüsselung
25
Objekt der Verschlüsselung kann zunächst jede Information sein, egal in welcher Form sie vorliegt. Bei den ersten modernen, technikbasierten Verschlüsselungsanwendungen war Ausgangspunkt der Verschlüsselung ein Text auf Papier, der dann durch eine mechanische Verschlüsselungseinheit verschlüsselt, die verschlüsselte Information drahtlos übertragen und dann wieder durch eine mechanische Einheit entschlüsselt und schließlich wieder auf Papier wiedergegeben wurde2.
26
Nachteil dieses Vorganges ist, dass in jedem Schritt eine Übertragung in das jeweils andere Medium erfolgen musste. Objekt der aktuellen Verschlüsselungsverfahren sind die unmittelbar elektronisch vorliegenden Daten, so dass Medienbrüche nicht mehr entstehen. Herausforderung ist jedoch nunmehr, eine große Anzahl von Daten sicher zu verschlüsseln, wie sie zum Beispiel in der IP Telefonie, im mobilen Datenverkehr (z.B. W-Lan) und in großen Datenbanken (Stichwort Big Data) vorliegen oder anfallen.
1 Zuständig für die Export Administration Regulations (EAR) ist das Bureau of Industry and Security http://www.bis.doc.gov/. 2 So bei der Rotor-Schlüsselmaschine ENIGMA.
1080
Kast
§ 66
I. Funktionsweise von Verschlsselung
Eine Datenbank, zutreffender eigentlich ein Datenbanksystem, ist ein 27 elektronisches System zur Datenverwaltung, dessen Aufgabe es ist, große Datenmengen effizient, widerspruchsfrei und dauerhaft zu speichern und benötigte Daten in unterschiedlichen, bedarfsgerechten Darstellungsformen ganz oder in Teilen strukturiert für die Nutzung bereitzustellen. Das Datenbanksystem besteht dabei aus der Datenbank-Software, der Struktur der Datenbank und den Datenbank-Inhalten, also den Daten selbst. Soweit die Daten in Datenbanken abgelegt werden, werden auch so genannte „Meta-Daten“ erzeugt, die es der Datenbanksoftware ermöglichen, die Daten wieder aufzufinden, oder zum Beispiel Berechtigungen zur Nutzung der Daten durch Nutzer oder Anwendungsprogramme beinhalten1. Alle drei Ebenen von Datenbanksystemen können dabei Objekt der Ver- 28 schlüsselung sein. a) Die Datenbank-Software Die Datenbank-Software ist dabei der Teil des Datenbanksystems, das 29 die Struktur und die Daten selbst aufnimmt und verwaltet. Die Datenbank-Software ist in der Praxis selten direktes Objekt der Verschlüsselung, da die Datenbank-Software selbst nur aus dem Objektcode der Software besteht, die nicht primäres Schutzobjekt von Verschlüsselung ist. Die Anwendung von Verschlüsselung auf die Datenbank-Software selbst 30 erfolgt als Ausnahme davon üblicherweise nur dann, wenn die Datenbank-Software selbst – zum Beispiel zum Schutz der in der Software verkörperten softwaretechnischen Prinzipien – verschlüsselt wird. Inwieweit die Nutzung homomorpher Verschlüsselungsverfahren die 31 Anwendung von Verschlüsselung auf die Datenbank-Software selbst erfordert, um sichere, ausschließlich im Verschlüsselungsraum stattfindende Operationen auszuführen, ist technisch noch offen, da die Entwicklung hier noch am Anfang steht2. b) Die Datenbank-Struktur Grundlage für die Strukturierung der Daten und ihrer Beziehungen zuei- 32 nander ist das Datenbankmodell, aus dem dann durch den individuellen Nutzer die jeweilige Datenbank-Struktur entwickelt wird. Diese Datenbank-Struktur kann dabei – insbesondere bei objektorientierten Datenbankmodellen – Aufschluss über die Beziehungen von Daten zueinander geben und daher auch schützenswerte Inhalte aufweisen, die durch Verschlüsselung abgeschirmt werden sollen. Daher ist die Datenbank-Struktur häufig Objekt der Verschlüsselung, insbesondere dann, wenn die 1 Kemper/Eickler, Datenbanksysteme – Eine Einführung, passim. 2 Gilbert Brands, Verschlüsselung, Signaturen, Angriffsmethoden, S. 380 ff. Kast
1081
§ 66
Verschlsselung
Struktur zum Beispiel Unternehmensprozesse abbildet. In einem solchen Fall dient die Verschlüsselung als „wirksame technische Maßnahme“ i.S.v. § 95a UrhG. Hier ist also neben dem Schutz gegen Nachahmung oder das Kopieren i.S.v. § 95a UrhG primär der Schutz der spezifischen Inhalte gegen eine Kenntnisnahme durch Dritte Schutzziel. c) Die Datenbank-Inhalte 33
Kernobjekt von Verschlüsselung sind die Datenbank-Inhalte, also die Daten selbst, denn diese enthalten im Kern auch die schützenswerten Inhalte. Dabei können die Datenbank-Inhalte die originalen Daten sein, wie sie in die Datenbank-Software eingespielt werden, aber auch MetaDaten zu den einzelnen Datensätzen.
34
Grundsätzlich können Datenbank-Inhalte aber auch schon verschlüsselte Daten selbst sein, wobei in einem solchen Fall den Informationen aus der Datenbank-Struktur eine besondere Rolle zukommt, da das Datenbanksystem in diesem Fall aus dem Datensatz selbst keine Informationen beziehen kann, denn diese ist ja gerade verschlüsselt.
II. Verschlüsselung bei Datenbanknutzung 35
Ordnungsmäßigkeit und Sicherheit von Datenverarbeitung bedeutet auch in Bezug auf die Nutzung von Datenbanken, dass die Vertraulichkeit, die Integrität und die Authentizität von Daten sowie die Nichtabstreitbarkeit von Verarbeitungsvorgängen Ziel der kryptographischen Verfahren ist. Das BSI stellt im Grundschutzhandbuch1 dazu folgende – hier auf die Nutzung von Verschlüsselung bei Datenbanken angepassten – Gefährdungsbereiche fest:
36
Organisatorische Mängel – Fehlende oder unzureichende Regelungen (insbesondere Rollenmodelle/Berechtigungssysteme) – Unzureichende Kenntnis über Regelungen (insbesondere Rollenmodelle/Berechtigungssysteme) – Unzureichende Kontrolle der Sicherheitsmaßnahmen – Unzureichendes Schlüsselmanagement bei Verschlüsselung
37
Menschliche Fehlhandlungen – Vertraulichkeits- oder Integritätsverlust von Daten durch Fehlverhalten – Verstoß gegen rechtliche Rahmenbedingungen beim Einsatz von kryptographischen Verfahren – Fehlbedienung der Verschlüsselungssoftware 1 BSI Grundschutzhandbuch, B 1.7.
1082
Kast
§ 66
II. Verschlsselung bei Datenbanknutzung
Technisches Versagen
38
– Software-Schwachstellen oder -Fehler in der Datenbank- oder Verschlüsselungssoftware – Fehlende oder unzureichende technische Umsetzung von Rollenmodellen/Berechtigungssystemen – Fehlende oder unzureichende technische Umsetzung von NutzungsProtokollen – Schlechte oder fehlende Authentifikation – Ausfall einer Verschlüsselungssoftware – Unsichere kryptographische Algorithmen – Fehler in verschlüsselten Daten – Fehlende „Transportsicherheit“ in internen und externen Netzen Vorsätzliche Handlungen
39
– Nichtanerkennung einer Nutzungshandlung in eine Datenbank – Vertraulichkeitsverlust schützenswerter Informationen – Unautorisierte Benutzung einer Verschlüsselungssoftware – Manipulation eines Kryptomoduls/Verschlüsselungssoftware – Kompromittierung kryptographischer Schlüssel – Gefälschte Zertifikate – Integritätsverlust schützenswerter Informationen Grundsätzlich sind die vorstehenden Aspekte für alle Bereiche der Ver- 40 schlüsselung im Rahmen der Datenbanknutzung relevant, es ergeben sich jedoch Besonderheiten im Hinblick auf Ziel, Methode und Besonderheiten beim Einsatz in speziellen Umgebungen oder Zugriffsmethoden1. 1. Verschlüsselung bei Datenbanknutzung in „geschützten“ Umgebungen a) Ziel Ziel der Verschlüsselung bei Datenbanknutzung in geschützten Umge- 41 bungen wie beispielsweise internen Unternehmensnetzen oder virtuellen privaten Netzwerken (VPN) ist primär, unbefugten Zugriff im Unternehmen auf Daten zu verhindern und Sicherheitsarchitekturen sowie Rollensysteme wirksam umzusetzen2. Objekt der Verschlüsselung ist dabei häufig nur die Ebene der Daten, da 42 Datenbanksoftware und Datenbankstruktur ja grundsätzlich schon in ei1 BSI Grundschutzhandbuch M 2.163. 2 Bsp. dazu im BSI Grundschutzhandbuch M 2.162. Kast
1083
§ 66
Verschlsselung
ner geschützten Umgebung betrieben werden. Die Verschlüsselung auf Datenebene erfolgt zur Umsetzung von Zugriffsmodellen und Rollensystemen häufig dann, wenn es sich entweder um besonders unternehmenskritische und möglicher Weise durch besondere Geheimhaltungsvereinbarungen1 geschützte Informationen handelt. Auch Daten, die einen besonderen gesetzlichen Schutz genießen, wie Arbeitnehmerdaten oder Gesundheitsdaten zum Beispiel aus dem betriebsmedizinischen Bereich, werden häufig verschlüsselt, um neben der Berechtigungsebene der Datenbanksoftware selbst eine weitere Schutzebene durch die Verschlüsselung zu erreichen. b) Methode 43
In gesicherten Unternehmensnetzwerken bieten sich üblicherweise symmetrische Verschlüsselungsverfahren an, da die Schlüsselverteilung in einem Unternehmen sicher organisierbar ist und diejenigen, welche die Schlüssel einsetzen müssen, ja grundsätzlich bekannt sind2. Da es sich in diesem Bereich um Daten handelt, die blockweise entstehen und hohe Datenbestände vorliegen, bietet sich die Blockverschlüsselung an. c) Besonderheiten
44
Der Einsatz von Verschlüsselungstechnologien in geschützten Netzwerken ist dann sehr risikobehaftet, wenn in die Integrität des eigenen Netzwerkes zu hohes Vertrauen gesetzt wird und daher verschlüsselungsrelevante Daten oder Informationen, insbesondere Informationen zu den Schlüsseln oder gar die Schlüssel selbst, ungeschützt im Unternehmensnetzwerk verfügbar sind; daher sind geeignete technische und organisatorische Maßnahmen zu treffen3. 2. Verschlüsselung bei Cloud-Diensten a) Ziel
45
Anders als beim Einsatz in geschützten Umgebungen ist bei der Nutzung von Daten und Cloud-Diensten sowohl der „Transport“ zur Datenbank wie auch die „Hoheit“ über die Datenbank zu berücksichtigen4. Denn sowohl das Transportnetz für die Daten als auch der Computer, auf dem die Datenbank betrieben wird, sind ja nicht unter der Kontrolle des „Inhabers“ der Daten, sondern werden durch Dritte bereitgestellt. Dabei 1 In vielen Geheimhaltungsvereinbarungen findet sich nämlich eine Regelung, die dem Empfänger vertraulicher Daten die Pflicht auferlegt, diese Daten nur solchen Personen im Unternehmen zugänglich zu machen, die diese Daten auch benötigen. 2 BSI Grundschutzhandbuch M 2.46. 3 BSI Grundschutzhandbuch M 2.166. 4 BSI Eckpunktepapier, Sicherheitsempfehlungen für Cloud Computing Anbieter.
1084
Kast
§ 66
II. Verschlsselung bei Datenbanknutzung
wird auch der Betrieb des Computers einschließlich der Software durch das Cloud-Unternehmen durchgeführt, was dazu führt, dass dieses Unternehmen jedenfalls zur Wartung der jeweiligen Datenverarbeitungseinheit Zugriff auf das System benötigt. b) Methode Bei der Nutzung von Cloud-Diensten werden derzeit üblicherweise hy- 46 bride Verschlüsselungssysteme verwendet; der Einsatz echter homomorpher Verschlüsselungsverfahren steht noch am Anfang. Die beim Cloud-Computing eingesetzten Verschlüsselungssysteme soll- 47 ten dabei sowohl den Transportweg als auch die Speicherung auf dem Server umfassen. So wird derzeit als Transportprotokoll HTTPS mit SSL/ TLS Verschlüsselung verwendet, für die Sicherung der Daten auf dem Server Blockverschlüsselungssysteme mit asynchronen Schlüsselpaaren. Problematisch ist dabei, dass die Daten im Zeitpunkt der Verarbeitung auf dem Server entschlüsselt werden müssen, da ansonsten keine Verarbeitung stattfinden kann. Erste im Einsatz befindliche homomorph angelegte Systeme verwenden 48 zur Verarbeitung und Speicherung Blocksysteme, wobei beide Vorgänge in einem verschlüsselten Speicherblock ablaufen, der sowohl nach außen wie auch gegenüber dem Systemadministrator verschlüsselt bleibt, so dass hier auch während der Verarbeitung kein Zugriff auf Klardaten möglich ist. c) Besonderheiten Wesentliche Besonderheit beim Einsatz von Verschlüsselung bei Cloud- 49 Nutzung ist die Zahl der Beteiligten, die bei fast allen Cloud-Modellen, insbesondere bei echten Public Clouds, hoch und für den Nutzer nicht bestimmbar ist. Daher muss, um die Verschlüsselungsziele zu erreichen, einerseits das Management der Schlüssel1 und andererseits die Netz- und Plattformsicherheit gewährleistet werden2. Höchste Sicherheit würde es hier bieten, die Daten lokal auf dem Com- 50 puter des Anwenders zu bearbeiten und die so bearbeiteten Daten zu verschlüsseln und dann in der Cloud zu speichern. Dies ist für einfache Anwendungen oder reine Speichervorgänge denkbar, soweit aber die Intelligenz der Cloud-Lösung gerade in der Bearbeitung auf dem Server liegt, ist dieser Weg nicht gangbar. Hierin liegt also ein Zielkonflikt zwischen Sicherheit einerseits und Einfachheit der Datenverarbeitung und -nutzung andererseits. 1 BSI Eckpunktepapier, Sicherheitsempfehlungen für Cloud Computing Anbieter, S. 39 ff. 2 BSI Eckpunktepapier, Sicherheitsempfehlungen für Cloud Computing Anbieter, S. 28 ff. Kast
1085
§ 66 51
Verschlsselung
Es empfiehlt sich daher, bei Erstellung eines Konzeptes für die CloudNutzung die Art der Verarbeitung und der Daten im Hinblick auf das Geheimhaltungsbedürfnis zu analysieren und dann entsprechend den Sicherheitsanforderungen vorzugehen und die mögliche Lösung auszuwählen. Dabei sind besondere Schutzgesetze für die Daten und Inhalte zu beachten1. 3. Verschlüsselung beim „Streaming“ von Datenbankinhalten a) Ziel
52
Das Streaming von Datenbanken ist ein Sonderfall, der unabhängig von den vorstehend erläuterten Nutzungsformen steht; denn hier ist das Ziel nicht die Verarbeitung und Speicherung der Daten durch einen Nutzer, sondern es liegt eine „flüchtige“ Nutzung von Inhalten, die in Datenbanken gespeichert sind, vor2. Das Ziel des Anbieters eines solchen Datenstromes ist dabei, dass der Datenstrom zwar „flüchtig“ genutzt werden kann, die Daten aber einer Abspeicherung oder sonstigen weiteren Nutzung nicht zugänglich sind. Weiteres Ziel ist aber – insbesondere bei industriellen Anwendungen – die Integrität des Dateninhaltes und die Abschottung vor Zugriffen von außen in den Datenstrom. b) Methode
53
Beim Streaming von Datenbankinhalten werden synchrone Stromverschlüsselungen eingesetzt, wobei der Schlüssel zum Entschlüsseln des Datenstroms üblicherweise in der Software selbst abgelegt wird. Alternativ werden Übertragungsprotokolle verwendet, die selbst eine Verschlüsselung des Datenstromes vorsehen3. c) Besonderheiten
54
Im Falle des Streamings von Datenbankinhalten wird die Verschlüsselung also neben dem Sicherheitsaspekt auch als RechtemanagementInstrument eingesetzt und stellt dann – die Wirksamkeit des Verfahrens vorausgesetzt – eine technische Maßnahme i.S.v. § 95a UrhG dar, deren Umgehung nicht zulässig ist4.
1 S. Rz. 72 ff. 2 Beispiele sind YouTube für Videos oder Spotify oder andere Musikdienste sowie die Echtzeitüberwachung von Produktionsprozessen. 3 Z.B. über RTMPE (Real Time Messaging Protocol), das eine proprietäre Anwendung eines Softwareherstellers ist. 4 LG Hamburg v. 25.4.2013 – 310 O 144/13, CR 2013, 544.
1086
Kast
§ 66
III. Einzelaspekte von Verschlsselung
III. Einzelaspekte von Verschlüsselung Die Betrachtung der Einzelaspekte der Verschlüsselung von Daten hat ei- 55 nen Ausgangspunkt in der Wahrnehmung verschlüsselter Verbindungen und Inhalte durch den Nutzer; denn grundsätzlich wird das Vorhandensein von Verschlüsselung vom Nutzer als besonders sicher empfunden, ohne dass über die tatsächliche Sicherheit nachgedacht wird. Dies hat sich zwar durch die Diskussion über das Ausspähen von Daten durch nationale Geheimdienste und Organisationen etwas verändert, trotzdem ist das Vertrauen, gerade in softwareimplementierte Verschlüsselungsmechanismen und Verschlüsselungszertifikate immer noch hoch1. Ausgangspunkt einer juristischen Betrachtungsweise von Verschlüsse- 56 lung muss sich darüber hinaus stets auch an den technischen Umsetzungen von Verschlüsselung orientieren und berücksichtigen, welches juristische Ziel mit der Verschlüsselung erreicht werden soll, und ob dieses Ziel technisch erreichbar ist. Dies gilt zum Beispiel bei der Prüfung, ob nach § 203 StGB besonders geschützte Inhalte in einer Cloud-Lösung verarbeitet oder gespeichert werden können; denn nur dann, wenn eine Kenntnisnahme durch Dritte ausgeschlossen ist, wäre die Nutzung einer Cloud-Lösung unter diesem Gesichtspunkt zulässig. Eine Bewertung, wie sicher eingesetzte Verschlüsselungssysteme sind, 57 muss neben der rein technischen Seite, dann auch besondere Risiken2 beachten, insbesondere welche Parteien bei der Entwicklung, Implementierung und Nutzung der Verschlüsselungstechnologie beteiligt sind, denn jeder Beteiligte stellt grundsätzlich ein Risiko dar3. 1. Vor- und Nachteile von Verschlüsselung a) Vorteile Vorteil der Verschlüsselung ist die Absicherung des Zugriffes auf die ge- 58 schützten Daten gegen unberechtigte Dritte und ist damit ein wesentlicher Aspekt der Datensicherheit4. Werden nur verschlüsselte Daten verwendet, so ist beispielsweise die Nutzung von Drittservices wie Cloud-Anwendungen oder die Nutzung von Speicherplatz oder Backupressourcen bei Dritten insoweit im Prinzip unproblematisch, als ein Zugriff auf die Daten nicht erfolgen kann. Auch Unternehmenskommunikation ist damit unabhängig von eigenen, abgesicherten Netzen möglich.
1 Wie z.B. in die browserimplementierten Schutzmechanismen oder die WindowsSicherheitszertifikate. 2 Sharma/Nakamura, Wireless Data Services, S. 239 ff., Table 10.4. 3 C’t Dossier „Raus aus der Cloud-Falle“, c’t eBook 2013. 4 BSI-Standard 100-1: Managementsysteme für Informationssicherheit (ISMS), S. 2.9. Kast
1087
§ 66
Verschlsselung
b) Nachteile 59
Nachteile der Verschlüsselung ist neben der „Aufmerksamkeit“, die verschlüsselter Datenverkehr bei Dritten erzeugen kann, ein „falsches Gefühl von Sicherheit“ beim Nutzer, der sich voll auf die Verschlüsselung verlässt und möglicher Weise dadurch höhere Risiken eingeht1. Hierzu zählt insbesondere die nicht sichere Aufbewahrung von Schlüsseln oder mangelnde Sicherheit der verwendeten Computer oder Endgeräte auf Nutzerseite.
60
Auch die Software selbst, die zur Verschlüsselung eingesetzt wird, kann einen Nachteil der Verschlüsselung darstellen, da – wie es im Rahmen der Diskussion um die Überwachung durch Geheimdienste oder sonstige staatliche und nichtstaatliche Stellen immer wieder behauptet wird – Verschlüsselungssysteme in Betriebssystemen und gesonderter Software möglicherweise sog. „Backdoors“ aufweisen, also Hintertüren, durch die eine Überwachung trotz Verschlüsselung und ohne Kenntnis des Schlüssels möglich ist.
61
Aber auch Systeme, die über keine Backdoor verfügen, können dann unsicher sein, wenn die Vergabe oder Verwaltung von Schlüsseln oder Schlüsselzertifikaten über zentrale Stellen/Unternehmen erfolgt; denn werden die Systeme solcher zentraler Schlüsselinstanzen inkriminiert, hat dies eine Unsicherheit und Verletzbarkeit aller darauf basierenden Schlüssel und Zertifikate zur Folge. 2. Einzelaspekte a) Angreifbarkeit von HTTPS Verbindungen
62
Grundlage der Verschlüsselung bei HTTPS Verbindungen ist das Transport Layer Security (TLS)2, ein hybrides Verschlüsselungsprotokoll das sowohl Blockverschlüsselung als auch Stromverschlüsselung nutzt. Dabei erfolgt die Kommunikation über mehrere Ebenen (Protokollstapel): – Anwendungsebene: HTTPS, IMAPS, POP3S, SMTPS
63
– Transportebene:
SSL/TLS, TCP
– Internet:
IP
– Netzzugang:
Ethernet, Token Bus, Token Ring, FDDI
Der Einsatz von SSL erfolgt dabei im vorstehenden TCP/IP-Protokollstapel nach dem Grundprinzip, dass ausgehend von der Anwendung (zum Beispiel der Browser), die vom Nutzer aufgerufen wird, das SSL/TLS-Protokoll die Transportverschlüsselung zur Gegenstelle (z.B. Server einer Bank) übernimmt. SSL/TLS verschlüsselt dabei nur die Kommunikation 1 S. Risikoauflistung oben II. Einleitung, BSI Grundschutzhandbuch, Kapitel B 1.7. 2 Auch bekannt unter der Vorgängerbezeichnung Secure Sockets Layer (SSL).
1088
Kast
§ 66
III. Einzelaspekte von Verschlsselung
zwischen zwei Stationen. Es sind jedoch auch Szenarien (insbesondere in serviceorientierten Architekturen) denkbar, in denen eine Nachricht über mehrere Stationen gesendet wird. Die Möglichkeit innerhalb eines Netzwerkes den SSL/TLS-Verkehr über 64 mehrere Stationen zu leiten, kann durch eine sog. „Man-in-theMiddle“-Attacke oder durch technische Überwachungstools genutzt werden und ermöglicht damit, die Inhalte innerhalb der Verbindung automatisiert technisch zu überwachen. Dies kann innerhalb von Unternehmensnetzwerken positiv genutzt werden1, um beispielsweise innerhalb von gesicherten Verbindungen nach Viren, Malware, Trojanern und vergleichbarer Schadsoftware zu scannen und gegebenenfalls die Verbindung bei Auftreten einer solche Schadsoftware zu unterbrechen, bevor sie beim Nutzer, der die ursprüngliche Anfrage ausgelöst hat, ankommt. Bei „Man-in-the-Middle“-Attacken wird die HTTPS-Verbindung durch 65 einen unbefugten Dritten abgehört, dem damit die durch die Verbindung übertragenen Daten insoweit unverschlüsselt zugänglich sind, da die Attacke bereits vor Beginn des Verschlüsselungsvorganges der HTTPS-Verbindung erfolgt. b) Kontrolle des Source-Codes von Verschlüsselungssoftware Vor dem Einsatz von Verschlüsselungssoftware in Unternehmen sollte 66 die Kontrolle des Source-Codes der jeweiligen Software2 stehen. Dies führt zu einer erhöhten Sicherheit, dass die Software selbst keine technischen Mängel, aber auch keine Hintertür oder einen ähnlichen Mechanismus enthält. In der Praxis kann jedoch eine solche Untersuchung möglicherweise 67 nicht jede Kompromittierung der Software ausschließen, insbesondere wenn Module im Programmablauf geladen werden, die nicht vollständig einsehbar sind. c) Verlust des Zugangs bei Schlüsselverlust Bei Verschlüsselungssystemen, bei welchen nur ein „Hauptschlüssel“ 68 für das Verschlüsselungssystem existiert, stellt der Verlust dieses Schlüssels auch den Verlust des Zugangs dar. Dabei kann der Verlust durch technischen Defekt des Schlüsselmediums3 oder dem physikalischen Verlust des Schlüsselmediums erfolgen. In diesem Fall wäre der gesamte verschlüsselte Inhalt nicht mehr verfügbar; dies ist insbesondere proble1 Wobei allerdings auf die notwendige Einwilligung zur Überwachung des Datenverkehrs durch die Nutzer zu achten ist. 2 Das BSI eröffnet diese Möglichkeit ausdrücklich für die von Bundesamt mitentwickelte Software „Gpg4win“ und versichert beispielsweise in der Pressemeldung v. 30.7.2013, die Software enthalte keine Hintertür. 3 Der Datenträger, auf dem der Schlüssel gespeichert ist. Kast
1089
§ 66
Verschlsselung
matisch, wenn aufgrund technischer oder organisatorischer Besonderheiten keine unverschlüsselten Sicherungskopien der verschlüsselten Daten existieren1. Auch bei Tod des Schlüsselinhabers stellt sich die gleiche Problematik2. 69
Bei der Umsetzung von Verschlüsselungstechnologien, gerade im Bereich von Echtzeitdaten, ist daher darauf zu achten, dass die Möglichkeit der Echtzeiterstellung von Sicherungskopien in einem gesonderten Schlüsselbereich möglich ist. d) Aufbewahrungspflichten und Technologiefortschritt
70
Zu beachten ist im Rahmen der Verschlüsselung auch, welche Aufbewahrungspflichten für die verschlüsselten Daten bestehen. Für die Zeitdauer der Aufbewahrungspflicht müssen die Daten weiterhin entschlüsselbar bleiben, damit der gesetzlich vorgeschriebene Zugriff weiterhin möglich ist3.
71
Dies bedeutet, dass nicht nur die Daten selbst – unabhängig von ihrem Speicherort4 – für die Dauer der Aufbewahrungspflicht verfügbar sein müssen, sondern auch die Software, mit der die Verschlüsselung vorgenommen wurde, sowie der Schlüssel. Dabei ist auch zu beachten, ob die Komponenten aufgrund des eintretenden Technologiefortschrittes noch auf der jeweils eingesetzten Hardware- und Betriebssystemumgebung einsetzbar sind. Üblicherweise wird eine Portierung von Verschlüsselungssoftware und Daten auf die jeweils aktuelle Umgebung sowie ein Test zumindest mit ausgewählten Daten empfohlen. 3. Besondere gesetzliche Regelungen
72
Da Verschlüsselung, die der Verschlüsselung unterworfene Daten dem Zugriff unberechtigter Dritter grundsätzlich entzieht und den Zugriff nur einem genau festgelegten Personenkreis gestattet, kann über Verschlüsselung eine besondere Vertraulichkeit der Daten geschaffen werden. Verschiedene gesetzliche Regelungen setzen eine solche besondere Vertraulichkeit voraus oder schützen sie besonders. a) § 88 TKG
73
Die Vorschrift schützt den Inhalt der Telekommunikation und ihre näheren Umstände, insbesondere die Tatsache, ob jemand an einem Telekommunikationsvorgang beteiligt ist oder war, als einfachgesetzliche Ausprä1 Dies kann z.B. bei Echtzeitdaten passieren, die über Stromverschlüsselung direkt in einem System verschlüsselt werden. 2 Brisch/Müller-ter Jung, CR 2013, 446 ff. (448 f.). 3 S. zur Aufbewahrung und Archivierung von Daten näher bei Reitsam, § 60 und Schmidt, § 7. 4 Insbesondere bei der Nutzung von Cloud-Lösungen.
1090
Kast
§ 66
III. Einzelaspekte von Verschlsselung
gung des Fernmeldegeheimnisses nach Art. 10 GG1. Daher ist die Anwendung von Verschlüsselungssystemen auf diesen Schutzbereich des § 88 TKG weit verbreitet und insbesondere dann wesentlich, wenn die Telekommunikationsverbindung nicht mehr über Einzelleitung und Vermittlungszentrale, sondern über „Voice Over IP“-Telefonie abgewickelt wird. Zur Verschlüsselung solcher Daten wird üblicherweise die Stromverschlüsselung im synchronen Schlüsselsystem verwendet, da der Schlüssel im Endgerät und in der Gegenstelle des Dienstanbieters hinterlegt werden kann. b) § 203 StGB Die §§ 203 und 204 StGB erfassen im Schutzbereich den Eingriff in Da- 74 ten, die Personen anvertraut werden, die Katalogberufe des § 203 Abs. 1 Ziffern 1 bis 6 ausüben2. Dabei ist der persönliche Lebens- und Geheimbereich des Offenbarenden geschützt, also solche Tatsachen, die nicht allgemein bekannt sind und vom Offenbarenden auch nicht allgemein bekanntgegeben werden wollen3. Hierbei sind vom Schutzbereich sämtliche Informationen (ein- und aus- 75 gehend sowie gespeichert) umfasst sowie schon das Bestehen einer Kommunikationsverbindung, die auf eine Vertragsbeziehung oder beispielsweise Inanspruchnahme eines Katalogberufes hindeutet4. Mit einer technisch wirksamen und sicheren Verschlüsselungsmethode, 76 die den Eingriff in solche speziell geschützten Daten verhindert, können also auch Daten, die unter § 203 StGB fallen, zum Beispiel durch Drittanbieter gespeichert werden. c) § 202a StGB5 Die Vorschrift schützt nicht nur den persönlichen und den Geheim- 77 bereich des Nutzers, sondern auch das Interesse des Berechtigten, die in den übertragenen und/oder gespeicherten Daten verkörperten Informationen vor unberechtigtem Zugriff zu schützen6. Die Vorschrift steht dabei in möglicher Tateinheit mit § 43 BDSG, soweit die übermittelten Daten personenbezogene Daten sind7. 1 Munz, in Taeger/Gabel, BDSG, § 88 Rz. 1. 2 Die Tätigkeit als Syndikusanwalt ist von den Katalogberufen nicht umfasst, EuGH C-550/07, AnwBl. 2010, 796. 3 Fischer in Fischer/Schwarz/Dreher/et al., StGB, § 203 Rz. 2; somit sind z.B. auch Informationen aus Webformularen, über die Kontakt aufgenommen werden kann, nach dieser Vorschrift geschützt. 4 Fischer in Fischer/Schwarz/Dreher/et al., StGB, § 203 Rz. 6. 5 Zur strafrechtlichen Verantwortung bei Daten-Hacking s. näher I. Hassemer, § 67. 6 Fischer in Fischer/Schwarz/Dreher/et al., StGB, § 202a Rz. 2. 7 Fischer in Fischer/Schwarz/Dreher/et al., StGB, § 202a Rz. 15. Kast
1091
§ 66 78
Verschlsselung
Die Vorschrift ist auf elektronische Datenübermittlungen in Netzwerken und Fernmeldenetzen anwendbar1 und greift dann ein, wenn die übermittelten Daten durch besondere Sicherungen geschützt sind. Die Verschlüsselung durch das SSL/TLS Protokoll ist beispielsweise eine solche besondere Sicherung2. d) § 202b StGB
79
Die Vorschrift schützt Daten, die Gegenstand einer nicht öffentlichen Datenübermittlung sind3. Die Regelungen der §§ 89, 148 TKG sind gegenüber § 202b StGB subsidiär, genauso wie § 202b StGB zu §§ 201, 202a StGB in Subsidiarität steht4.
80
Die Vorschrift ist auf elektronische Datenübermittlungen in Netzwerken und Fernmeldenetzen anwendbar5, wenn und soweit die Übermittlung noch nicht abgeschlossen ist6, und greift unabhängig davon ein, ob die übermittelten Daten durch besondere Sicherungen geschützt sind. Für das Tatbestandsmerkmal des Verschaffens ist es notwendig, dass die Daten abgefangen, kopiert oder umgeleitet werden oder jedenfalls in einen Arbeitsspeicher zur Darstellung auf einem Monitor geladen werden7. Der Eingriff in eine laufende, verschlüsselte Datenübermittlung, unterfällt daher dem Schutzbereich des § 202b StGB, ohne dass es auf die Frage der Verschlüsselung und deren Wirksamkeit besonders ankommen würde. e) § 202c StGB
81
Tatbestandsmerkmal des § 202c StGB ist, dass eine Straftat nach § 202a und/oder § 202b StGB vorbereitet werden soll, also der „Täter“, der eine Software i.S.v. § 202c StGB erwirbt, einen auf die Begehung einer Straftat nach §§ 202a, 202b, 303a, 303b StGB gerichteten Vorsatz hat8. Die Vorbereitung der Straftat muss also gerade vom Vorsatz umfasst sein9. Dabei ist davon auszugehen, dass sog. Dual-Use-Software, also Software die sowohl für rechtmäßige wie auch für rechtswidrige Zwecke eingesetzt werden kann, vom Anwendungsbereich des § 202c StGB nicht umfasst ist10.
1 2 3 4 5 6 7 8 9 10
Fischer in Fischer/Schwarz/Dreher/et al., StGB, § 202a Rz. 5. Fischer in Fischer/Schwarz/Dreher/et al., StGB, § 202a Rz. 9a. Fischer in Fischer/Schwarz/Dreher/et al., StGB, § 202b Rz. 3. Ernst, NJW 2007, 2661 (2662 f.); Fischer in Fischer/Schwarz/Dreher/et al., StGB, § 202b Rz. 11. Fischer in Fischer/Schwarz/Dreher/et al., StGB, § 202b Rz. 3. Hassemer, Beck’sches Mandatshandbuch IT-Recht, § 36 Rz. 64. Hassemer, Beck’sches Mandatshandbuch IT-Recht, § 36 Rz. 66. Fischer in Fischer/Schwarz/Dreher/et al., StGB, § 202c Rz. 8. Ernst, NJW 2007, 2661 (2664). BVerfG v. 18.5.2009 – 2 BvR 2233/07, Rz. 60.
1092
Kast
§ 66
IV. Verschlsselung als Datenschutz?
Diese Vorschrift hat eine hohe Relevanz für den Bereich der Verschlüsse- 82 lung, da dadurch schon die genannten Vorbereitungshandlungen unter Strafe gestellt werden und auf Grundlage der Vorschrift die Herstellung und Verbreitung von Schadprogrammen möglicher Weise unterbunden werden kann. f) § 303a StGB § 303a StGB erfasst im Schutzbereich das Löschen, Unterdrücken, Un- 83 brauchbarmachen und Verändern von fremden Daten1. Anwendbar ist die Vorschrift nur für gespeicherte Daten, nicht jedoch auf den Eingriff in den Datenübermittlungsvorgang als solchen, auch wenn eine technisch bedingte Zwischenspeicherung auf Arbeitsspeichern oder in Netzwerken erfolgt2. Speziell im Bereich der Verschlüsselung kann der Anwendungsbereich 84 des § 303a StGB auch dann eröffnet sein, wenn durch den Versuch der unbefugten Entschlüsselung von gespeicherten, verschlüsselten Daten, diese Daten verändert oder unbrauchbar gemacht werden.
IV. Verschlüsselung als Datenschutz? Die starke und fast lückenlose Durchdringung von Arbeitsplatz und Pri- 85 vatleben mit IT-Technologie und die (fast) ständige Anbindung an das Internet führt zum Entstehen einer Unmenge von beruflichen und privaten Daten. Dadurch kann – und dies zeigt die in 2013 geführte Debatte um die Überwachung durch Geheimdienste deutlich – eine Totalerfassung als Vollbild des Einzelnen erfolgen3, die aber nach deutschen Datenschutz- und Verfassungsgrundsätzen nicht zulässig ist4. Die Anwendbarkeit des Datenschutzrechts steht und fällt derzeit mit der 86 Personenbezogenheit von Daten. Sind Daten personenbezogen, gilt das strenge Regime des Datenschutzrechts. Fehlt es am Personenbezug, sind Daten nicht geschützt. Auch wenn dieses „Schwarz-Weiß-Schema“ angegriffen wird und danach das Datenschutzrecht einen weiten Anwendungsbereich haben und für alle Informationen gelten sollte, die Persönlichkeitsrechte beeinträchtigen können5, kann Verschlüsselung jedoch dazu dienen, ein Mehr an Datenschutz durch Technik zu gewinnen6. Idee ist dabei, die Verhaltensregeln des BDSG und der weiteren Daten- 87 schutzgesetze, die ja grundsätzlich ein menschliches Verhalten betreffen, 1 2 3 4 5 6
Hassemer, Beck’sches Mandatshandbuch IT-Recht, § 36 Rz. 153. Fischer in Fischer/Schwarz/Dreher/et al., StGB, § 303a Rz. 3. Schneider, Handbuch des EDV Rechts, B Rz. 150. BVerfG v. 11.5.2007 – 2 BvR 543/06, CR 2007, 496 ff. (500 [2]). These aus Schneider/Härting, ZD 2012, 199. Rossnagel, MMR 2005, 71 ff., (74 [2]). Kast
1093
§ 66
Verschlsselung
durch Technik und nicht durch persönliches Handeln des DatenschutzVerpflichteten umzusetzen. 1. Verschlüsselung als Anonymisierung oder Pseudonymisierung? 88
Nach der Definition in § 3 Abs. 6 BDSG ist anonymisieren das Verändern personenbezogener Daten mit der Folge, dass die Einzelangaben über persönliche oder sachliche Verhältnisse nicht mehr oder nur mit einem unverhältnismäßig großen Aufwand einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können.
89
Verschlüsselung kann daher, wird sie durch die Person angewendet, die die personenbezogenen Daten betreffen, jedenfalls dann als Anonymisierung1 gesehen werden, wenn die Verschlüsselung der personenbezogenen Daten vor der Weitergabe an Dritte erfolgt. Denn jeder Dritte, der die Daten sieht, sieht nur noch die verschlüsselten Daten. Der Dritte kann nur mit dem Schlüssel auf die Daten zugreifen, der aber durch die verschlüsselnde Person selbst verwahrt wird. Wird allerdings die Verschlüsselung der personenbezogenen Daten erst nach Erhebung durch einen Dritten vorgenommen, liegt keine Anonymisierung vor, da der Dritte die Daten jederzeit unter Verwendung des Schlüssels entschlüsseln kann2.
90
Pseudonymisierung liegt nach § 3 Abs. 6a BDSG dann vor, wenn bei Daten der Name und andere Identifikationsmerkmale durch ein Kennzeichen zu dem Zweck ersetzt werden, die Bestimmung des Betroffenen auszuschließen oder wesentlich zu erschweren.
91
Hier gilt gleiches wie bei der Anonymisierung, nur bezogen auf den Namen und die anderen Identifikationsmerkmale; werden diese vor Weitergabe an einen Dritten durch den Betroffenen selbst verschlüsselt, so liegt eine Pseudonymisierung vor. Eine Verschlüsselung von Namen und anderen Identifikationsmerkmalen durch den Dritten ist keine Pseudonymisierung, da eine Wiederherstellung der Daten mit dem Schlüssel jederzeit möglich ist und damit diese nicht ausgeschlossen oder wesentlich erschwert ist3. 2. Verschlüsselung und § 11 BDSG
92
Anwendungsbereich des § 11 BDSG ist die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten im Auftrag anderer Stellen. Werden vom Auftraggeber jedoch keine personenbezogenen Daten übermittelt, sondern – zum Beispiel bei Anwendung homomorpher Verschlüsselungsverfahren in Cloud -Anwendungen – nur verschlüsselte Daten übertragen
1 Dammann in Simitis, BDSG, § 3 Rz. 196. 2 Dammann in Simitis, BDSG, § 3 Rz. 200. 3 Dammann in Simitis, BDSG, § 3 Rz. 215.
1094
Kast
§ 66
IV. Verschlsselung als Datenschutz?
und verbleibt der Schlüssel beim Auftraggeber, wäre schon der generelle Anwendungsbereich des BDSG insoweit nicht eröffnet. Problematisch bleibt jedoch, dass auch die verschlüsselten Daten poten- 93 tiell personenbezogen bleiben, denn bei Verlust des Schlüssels oder Umgehung der Verschlüsselung beim Auftragnehmer würde erneut Personenbezug hergestellt werden. Da das BDSG kein „erlaubtes Risiko“ kennt1, ist hier jeweils eine Abwägung vorzunehmen. Aus Sicht des Autors ist jedoch dann von einem Ausschluss des Per- 94 sonenbezuges auszugehen, wenn sich der Schlüssel ausschließlich beim Betroffenen befindet, die technischen Schutzmaßnahmen hoch sind und dem Stand der Technik entsprechen und damit alle an der Verarbeitung oder Speicherung der Daten Beteiligten nur mit so verschlüsselten Daten arbeiten. 3. Verschlüsselung und § 9 BDSG Verschlüsselungstechnologien stellen im Rahmen der technischen und 95 organisatorischen Maßnahmen gemäß der Anlage zu § 9 BDSG eine technische Möglichkeit dar, die Zugriffskontrolle (zum Beispiel durch Umsetzung eines Rollenmodells mit Verschlüsselung der Daten) und die Weitergabe-Kontrolle (beispielsweise durch Verschlüsselung von Kommunikationswegen) von Daten zu ermöglichen2. 4. Besonderer Schutz durch § 43 Abs. 1 Ziffer 3 BDSG Einen besonderen Schutz genießen verschlüsselte Daten nicht nur auf- 96 grund der vorgenannten strafrechtlichen Vorschriften, sondern auch nach dem BDSG. Denn gemäß § 43 Abs. 1 Ziffer 3 BDSG handelt der ordnungswidrig, der vorsätzlich oder fahrlässig unbefugt personenbezogene Daten, die nicht allgemein zugänglich sind, abruft oder sich oder einem anderen aus automatisierten Verarbeitungen oder nicht automatisierten Dateien verschafft. Dabei kommt es weder auf die unmittelbare „Entnahme“ von personenbezogenen Daten noch sonst auf einen bestimmten Kommunikationsweg oder eine bestimmte Darstellung an, sondern nur darauf, dass die Information einer nur beschränkten Personenzahl bekannt oder zugänglich ist3, was bei Einsatz von Verschlüsselungstechnologie auf solche Daten gegeben ist. Soweit ein Eingriff in die Verschlüsselung daher solche Daten zugänglich macht, ist der Schutzbereich dieser Regelung eröffnet.
1 Dammann in Simitis, BDSG, § 3 Rz. 38. 2 Ernestus in Simitis, BDSG, § 9 Rz. 108/112. 3 Ehrmann in Simitis, BDSG, § 43 Rz. 54/61. Kast
1095
§ 66 97
Verschlsselung
Eine Strafbarkeit nach §§ 44, 43 BDSG wegen der Verwendung personenbezogener Daten kommt dabei nur dann in Betracht, wenn eine vorsätzliche Verwirklichung einer in § 43 Abs. 2 BDSG aufgezählten Tathandlung in Bereicherungs- beziehungsweise Schädigungsabsicht begangen wird1. Eine Ordnungswidrigkeit i.S.v. § 43 BDSG kann jedoch auch fahrlässig begangen werden.
1 Ehrmann in Simitis, BDSG, § 44 Rz. 3, 5 ff.; Hassemer in Beck’sches Mandatshandbuch IT-Recht, § 36 Rz. 94.
1096
Kast
§ 67 Der unbefugte Zugriff auf gesicherte Daten und Datenbanken unter näherer Betrachtung des § 202a StGB Rz. I. Entwicklungsgeschichte und Überblick . . . . . . . . . . . . . . . . . . . .
1
II. Schutz der Verfügungsbefugnis über besonders gesicherte Daten und Datenbanken . . . . . . . . . . . . .
8
III. Objektiver Tatbestand . . . . . . . . . 1. Tatobjekt . . . . . . . . . . . . . . . . . . . . a) Daten . . . . . . . . . . . . . . . . . . . . . b) Für den Täter nicht bestimmt . c) Gegen unberechtigten Zugang besonders gesichert. . . . . . . . . . 2. Tathandlung. . . . . . . . . . . . . . . . . .
Rz. 2. Externe Zugriffe/Interne Zugriffe
9 10 10 11 12 13
IV. Rechtswidrigkeit . . . . . . . . . . . . . . 14 1. Befugnis . . . . . . . . . . . . . . . . . . . . . 14
15
V. Subjektiver Tatbestand . . . . . . . . . 21 1. Vorsatz . . . . . . . . . . . . . . . . . . . . . . 21 2. Irrtum . . . . . . . . . . . . . . . . . . . . . . . 22 VI. Verhältnis zu anderen Strafnormen . . . . . . . . . . . . . . . . . . . . . . 23 VII. Strafantragserfordernis . . . . . . . . . 1. Grundsätzliches zum Strafantrag. 2. § 205 Abs. 1 Satz 2 StGB-relatives Strafantragsdelikt . . . . . . . . . . 3. Strafantragsfrist . . . . . . . . . . . . . . .
24 24 25 26
VIII. Rechtsprechungsbeispiel: BGHBeschluss vom 6.7.2010 . . . . . . . . 27
I. Entwicklungsgeschichte und Überblick Bereits vor Aufkommen computergestützter Informations- und Kom- 1 munikationssysteme haben Unternehmen Informationen gesammelt, geordnet, aufbewahrt und aktualisiert1. Diesen Sammlungen wurde schon vor ihrer Digitalisierung auch ein wirtschaftlicher Wert zugesprochen. Listen mit Kundenadressen, niedergeschriebene Informationen zu Lieferanten oder Unterlagen zu Bilanzen waren (und sind) wesentliche Aspekte der Wertermittlung eines Betriebs. Das unbefugte Ausspähen solch schriftlich fixierter Informationen kann eine Strafbarkeit nach § 202 StGB (Verletzung des Briefgeheimnisses) nach sich ziehen, vorausgesetzt, das betroffene Schriftstück war entweder selbst verschlossen (§ 202 Abs. 1 Nr. 1 oder Nr. 2 StGB) oder wurde verschlossen aufbewahrt (§ 202 Abs. 2 StGB). Mit zunehmender Digitalisierung dieser Informationen ergab sich auf- 2 grund des im Strafrecht vorherrschenden Analogieverbots2 eine Strafbarkeitslücke, die im Rahmen des 2. WiKG mit dem neu geschaffenen und im Rahmen des 41. Strafrechtsänderungsgesetzes nochmals geänderten § 202a StGB (Ausspähen von Daten) geschlossen wurde3. Ein, dem Brief1 Allgemein zur Thematik „Rechtsschutz für Datenbanken“; Schneider, Handbuch des EDV-Rechts, Kap. IX Rz. 565 ff. 2 Zum Analogieverbot: Eider/Hecker in Schönke/Schröder, StGB, § 1 Rz. 25 ff. 3 Eingefügt durch das 2. Gesetz zur Bekämpfung der Wirtschaftskriminalität v. 14.5.1986, BGBl. 1721; Die erste Fassung lautete: „Wer unbefugt Daten, die nicht für ihn bestimmt und die gegen unberechtigten Zugang besonders gesichert sind, sich oder einem anderen verschafft, wird mit Freiheitsstrafe bis zu drei Jahren I. Hassemer
1097
§ 67
Unbefugter Zugriff auf gesicherte Daten und Datenbanken
geheimnis vergleichbarer strafrechtlich sanktionierter Schutz der digitalisierten Information kann nur erreicht werden, indem die Daten mittels Sicherung vor unbefugtem Zugang geschützt werden. 3
Daten und Datenbanken sind als begehrtes Gut naturgemäß auch Ziel krimineller Machenschaften1. Vornehmlich finanziell motivierte Zugriffe auf gesicherte und ungesicherte Unternehmensdaten spielen seit einigen Jahren eine nicht unerhebliche Rolle in der polizeilichen Kriminalstatistik (PKA)2. Kommt es zu einer Weiterveräußerung entsprechender Daten bzw. wurde die Tat in Bereicherungs- oder Schädigungsabsicht ausgeführt, so soll nach derzeitigen Planungen in Zukunft nicht nur der neu zu schaffende § 202d StGB (Datenhehlerei) sondern auch eine Erweiterung des bestehenden § 202a StGB für den strafrechtlich geeigneten Schutz sorgen. Der Gesetzesentwurf des Bundesrats vom 7.6.2013 sieht dabei im Einzelnen folgende ergänzenden Regelungen für § 202a StGB vor3: „(3) Handelt der Täter in den Fällen des Absatzes 1 in der Absicht, sich oder einen anderen zu bereichern oder einen anderen zu schädigen, so ist die Strafe Freiheitsstrafe bis zu fünf Jahren oder Geldstrafe. (4) Handelt der Täter in den Fällen des Absatzes 3 gewerbsmäßig oder als Mitglied einer Bande, die sich zur fortgesetzten Begehung von Straftaten nach den §§ 202a, 202b, 202d, 263 bis 264, 267 bis 269, 303a oder 303b verbunden hat, so ist die Strafe Freiheitsstrafe von sechs Monaten bis zu zehn Jahren. (5) Der Versuch ist strafbar. (6) In den Fällen des Absatzes 4 ist § 73d anzuwenden.“
4
Nach dem Willen des Gesetzgebers soll demnach als „zweites Kernstück“4 des Gesetzes nicht nur die Versuchsstrafbarkeit des § 202a StGB
1 2
3
4
oder mit Geldstrafe bestraft“ wo, nach damals h.M. das sog. „White Hat Hacking“ also die Überwindung von Zugangssicherungen, ohne dass es zu weiteren Handlungen in Bezug auf die gesicherten Daten kommt, nicht sanktioniert war. In der Folge wurde § 202a dann wiederum durch das 41. Strafrechtsänderungsgesetz v. 7.8.2007 (BGBl. 1786) abgeändert, so dass auch diese Art des Hackens tatbestandsmäßig wurde. Vgl. weitere Nachweise zur Entstehungsgeschichte: Lenkner/Eisele in Schönke/Schröder, StGB, § 202a Rz. 1. Zur Thematik der Hackertechniken s. auch: Ernst/Pierrot, Kap. 5 Rz. 38 ff.; Mitnick, Die Kunst des Einbruchs. Risikofaktor IT. Gemäß Tabelle 05 der Polizeilichen Kriminalstatistik wurden 11 287 Fälle für den Berichtszeitraum 2012 unter der Tatbezeichnung: Ausspähen von Daten gem. § 202a StGB registriert, abrufbar unter: http://www.bka.de/DE/Publikatio nen/PolizeilicheKriminalstatistik/2012/2012Standardtabellen/pks2012Standard tabellenFaelleUebersicht.html zuletzt aufgerufen am 16.7.2013. Entwurf eines Gesetzes zur Strafbarkeit der Datenhehlerei, Gesetzentwurf des Bundesrates v. 13.6.2013, BT-Drucks. 17/14362 v. 10.7.2013; Elektronische Vorab-Fassung: http://dip21.bundestag.de/dip21/btd/17/143/1714362.pdf zuletzt aufgerufen am 16.7.2013. So bezeichnet auf S. 2 des Entwurfs eines Gesetzes zur Strafbarkeit der Datenhehlerei, Gesetzentwurf des Bundesrates v. 13.6.2013, BT-Drucks. 17/14362 v. 10.7.2013; Elektronische Vorab-Fassung: http://dip21.bundestag.de/dip21/btd/ 17/143/1714362.pdf zuletzt aufgerufen am 16.7.2013.
1098
I. Hassemer
§ 67
II. Schutz der Verfgungsbefugnis
eingeführt werden, sondern im Falle des Handelns mit Bereicherungsoder Schädigungsabsicht bzw. banden- oder gewerbsmäßigen Vorgehens zudem eine Erhöhung des Strafrahmens erfolgen, sowie im Fall des 4. Absatzes auch die Folge des § 73d StGB (Erweiterter Verfall) eintreten1. Kommt es in einem Unternehmen zu unbefugten Übergriffen auf Daten 5 oder Datenbanken, sollte zügig wegen der regelmäßig sehr kurzen Strafantragsfristen sowie aus versicherungsrechtlichen Gründen die Einschaltung von Polizei und Staatsanwaltschaft in Erwägung gezogen werden. Vor Erstattung einer Strafanzeige in Kombination mit einem Strafantrag ist dennoch eine Vorabprüfung der in Frage kommenden Straftatbestände empfehlenswert. Wenngleich die Nennung der einschlägigen Strafvorschrift nicht zwin- 6 gende Voraussetzung für ein Ermittlungsverfahren ist, so ist es dennoch dem Verfahren insgesamt dienlich, zumindest den Vortrag entsprechend der Tatbestandsvoraussetzungen auszugestalten. Bei Hackerangriffen beispielsweise wird irrtümlich häufig davon aus- 7 gegangen, dass der sog. Hackerparagraph (§ 202c StGB) die einschlägige Rechtsnorm sei. Als Offizialdelikt ausgestaltet, bedarf es in diesen Fällen keiner Einhaltung von Strafantragsfristen. Das geschädigte Unternehmen würde unter Umständen verspätet Strafanzeige stellen, da das unbefugte Ausspähen von Daten tatsächlich unter § 202a StGB fällt, und diese Norm gem. § 205 Abs. 1 Satz 2 StGB als relatives Strafantragsdelikt ausgestaltet ist. Folglich muss in jedem Fall innerhalb der Dreimonatsfrist des § 77b StGB Strafantrag gestellt werden.
II. Schutz der Verfügungsbefugnis über besonders gesicherte Daten und Datenbanken Geschütztes Rechtsgut des § 202a StGB ist nach h.M. die „formelle Ver- 8 fügungsbefugnis“ desjenigen, der als „Herr der Daten“ – d.h. kraft seines Rechts an ihrem gedanklichen Inhalt und damit unabhängig von den Eigentumsverhältnissen am Datenträger – darüber bestimmen kann, wem diese zugänglich gemacht sein sollen.“2 Nach dem ursprünglichen Ge-
1 Die Ausgestaltung der Tatbestände der §§ 202a, 202b und 202d StGB erfolgt nach dem Gesetzgeberwillen insoweit im Wesentlichen gleichlaufend, vgl. Entwurf eines Gesetzes zur Strafbarkeit der Datenhehlerei, Gesetzentwurf des Bundesrates v. 13.6.2013, BT- Drucks. 17/14362 v. 10.7.2013; Elektronische Vorab-Fassung: http://dip21.bundestag.de/dip21/btd/17/143/1714362.pdf zuletzt aufgerufen am 16.7.2013. 2 Zitat aus Lenkner/Eisele in Schönke/Schröder, StGB, § 202a Rz. 1 m.w.N. zu Rechtsprechung und Literaturfundstellen. I. Hassemer
1099
§ 67
Unbefugter Zugriff auf gesicherte Daten und Datenbanken
setzesentwurf gilt es, dem formellen Geheimhaltungsinteresse des Verfügungsberechtigten gerecht zu werden1.
III. Objektiver Tatbestand 9
Nach § 202a Abs. 1 StGB handelt im objektiven Sinne tatbestandsgemäß, wer unbefugt sich oder einem anderen Zugang zu Daten, die nicht für ihn bestimmt und die gegen Zugang besonders gesichert sind, unter Überwindung der Zugangssicherung verschafft. 1. Tatobjekt a) Daten
10
Während im Urhebergesetz nach Daten und Datenbanken differenziert wird (§§ 4 UrhG, 87a UrhG), das Bundesdatenschutzgesetz den Personenbezug verlangt (§§ 1 Abs. 1, 3 Abs. 1 BDSG) oder das Gesetz gegen den unlauteren Wettbewerb ein Geschäfts- und Betriebsgeheimnis voraussetzt (§ 17 UWG), reicht nach § 202a Abs. 2 StGB bereits aus, wenn Daten betroffen sind, „die elektronisch, magnetisch oder sonst nicht unmittelbar wahrnehmbar gespeichert sind oder übermittelt werden“. Die herrschende Lehre in der strafrechtlichen Literatur geht dabei grundsätzlich von einem weiten Datenbegriff aus, der „alle durch Zeichen oder kontinuierlichen Funktionen dargestellte Informationen erfasst, die sich als Gegenstand oder Mittel der Datenverarbeitung für eine Datenverarbeitungsanlage codieren lassen oder die das Ergebnis eines Datenverarbeitungsvorgangs sind“ unabhängig davon, ob die Daten noch einer weiteren Verarbeitung bedürfen2. Allerdings kommt es weder auf den Inhalt der Daten an, noch besteht eine Beschränkung auf Computerdaten3. Die Einschränkungen des weiten Datenbegriffes mittels gesetzlich normierter Voraussetzungen, dass die Daten „nicht unmittelbar wahrnehmbar gespeichert oder übermittelt“ sein dürfen (§ 202a Abs. 2, 2. Halbs. StGB) führt nach überwiegender Rechtsansicht dazu, dass manuell er-
1 Vgl. BT-Drucks. 10/5058, 28 f.; ausführlich zum Schutzgut auch: Gercke in Gercke/Brunst, Kap. 3 Rz. 90. 2 Zitat aus Lenkner/Eisele in Schönke/Schröder, StGB, § 202a Rz. 3 m.w.N. zu Rechtsprechung und Literaturfundstellen. 3 Nachzulesen bei Fischer, § 202a Rz. 4 sowie in den Ausführungen anlässlich des Gesetzgebungsverfahrens zum 41. Strafrechtsänderungsgesetz, BT-Drucks. 16/3656: „Wie beim bisherigen Tatbestand soll es nicht erforderlich sein, dass es sich bei den geschützten Daten um Computerdaten handelt, also solche, die in einer EDV-Anlage gespeichert oder in eine solche oder aus einer solchen übermittelt werden … Insoweit geht die vorgeschlagene Vorschrift über die Vorgaben des Europarat-Übereinkommens und des EU-Rahmenbeschlusses hinaus, die auf den Zugang zu einem Computer- und Informationssystem abstellen.“
1100
I. Hassemer
§ 67
III. Objektiver Tatbestand
stellte Datensammlungen, die unmittelbar visuell wahrnehmbar sind, nicht vom Tatbestand erfasst werden1. b) Für den Täter nicht bestimmt Weiteres wesentliches Tatbestandsmerkmal in Bezug auf die Daten ist, 11 dass diese nicht für den Handelnden bestimmt sein dürfen. Um diese Frage zu klären, bedarf es einer Vorabprüfung darüber, wer die Berechtigung, über die fraglichen Daten zu verfügen, innehat. Erst dann kann in einem weiteren Schritt aus dessen Perspektive beurteilt werden, ob nach seinem Willen im Zeitpunkt der Tathandlung die Daten für den Täter bestimmt waren oder nicht2. Wenngleich die geschützte Rechtsposition nicht mit der des § 303a StGB identisch ist, so gibt es doch bei der Frage nach der Datenverfügungsbefugnis Überschneidungen3. Es geht nicht in erster Linie darum, ob die Daten fremd sind. Denkbar ist auch der Fall, dass es sich bei den betreffenden Daten um solche handelt, die den Täter betreffen – beispielsweise seine Personaldaten. Folgt man der h.M. kommt es jedenfalls auf die Rechtsmacht zur Verfügung über die Daten an4. Darf der Handelnde grundsätzlich über die Daten verfügen und handelt dann gegen Willen des Berechtigten, so ist kein Fall des § 202a StGB gegeben. c) Gegen unberechtigten Zugang besonders gesichert Will ein Unternehmen seine Daten und Datenbanken möglichst effektiv 12 vor unbefugten Zugriffen schützen, so wird es mit dem einfachen Passwortschutz nicht getan sein. Aus strafrechtlicher Perspektive hingegen bedarf es keiner sehr hohen Ansprüche an die besondere Sicherung der Daten. Sie ist bereits gegeben, sobald „Vorkehrungen getroffen sind, die objektiv geeignet und in subjektiver Hinsicht nach dem Willen des Berechtigten dazu bestimmt sind, den Zugriff auf die Daten auszuschließen
1 Lenkner/Eisele in Schönke/Schröder, StGB, § 202a Rz. 4 m.w.N. Anschauliche Beispiele finden sich bei Hilgendorf/Valerius, Computer- und Internetstrafrecht, Rz. 539; vertiefend und hinsichtlich der Frage ob die Zwischenspeicherung im Arbeitsspeicher vom Datenbegriff des § 202a StGB erfasst ist: Gercke in Gercke/ Brunst, Kap. 3 Rz. 92. 2 Vgl. insoweit Lenkner/Eisele in Schönke/Schröder, StGB, § 202a Rz. 6. 3 Sowohl bei § 202a als auch bei § 303a StGB stellt sich die Frage, mit welchen Kriterien die Datenverfügungsbefugnis begründet werden soll. Diskutiert wird u.a. die originäre Datenverfügungsbefugnis in Abhängigkeit von der sachenrechtlichen Zuordnung, bei der der Verfügungsberechtigte aber die Befugnis der Datennutzung auf schuldrechtlicher Grundlage einem Dritten einräumen kann oder aber das Abstellen auf die Urheberschaft der Daten als maßgebliches Zuordnungskriterium (Skripturakt). Hierzu OLG Nürnberg v. 23.1.2013 – 1 Ws 445/12 (zum Schutzbereich von § 303a StGB), m.w.N. 4 Vertiefend zur Thematik: Lenkner/Eisele in Schönke/Schröder, StGB, § 202a Rz. 5 ff.; zur Frage der Datenverfügungsbefugnis ausführlich: Stree/Hecker in Schönke/Schröder, StGB, § 303a Rz. 3 ff. I. Hassemer
1101
§ 67
Unbefugter Zugriff auf gesicherte Daten und Datenbanken
oder zumindest nicht unerheblich erschweren“1. Weder bedarf eines erhöhten Sicherungsgrads i.S.d. § 9 BDSG2 noch eines ausgeklügelten Sicherheitssystems. Ähnlich wie der eigentlich leicht zu öffnende verschlossene Brief dem Berechtigten den Schutz des Briefgeheimnisses nach § 202 StGB gewährt, geht es bei § 202a StGB um die Signalwirkung der Sicherung nach außen. Derjenige, der auf die Daten zugreift, erhält, sobald er die Zugangssicherung zur Kenntnis nimmt, die Botschaft, dass ein Zugriff auf die Daten bzw. den Datenträger nicht dem Willen des Berechtigten entspricht, und dieser mit hoher Wahrscheinlichkeit ein Interesse an der Geheimhaltung der Daten hat. Aus diesem Grund reichen auch kurze und aus technischer Sicht eher ungeeignete Passworte, wie beispielsweise Geburtsdaten und Namen für eine Sicherung im Sinne des Tatbestands aus3. Generell kommen als taugliche Zugangssicherungen i.S.d. § 202a StGB sowohl hard- als auch softwareintegrierte Sicherungen in Betracht. Darüber hinaus ist nach h.M. auch die Verschlüsselung der Daten ein geeignetes Mittel im Sinne der Vorschrift4. 2. Tathandlung 13
§ 202a StGB erfasste in seiner alten Fassung vor August 2007 nur das unbefugte Sich-Verschaffen zugangsgesicherter Daten unter Überwindung der Zugangssicherung5. Die Neufassung bestraft (bereits) denjenigen, der sich oder einem Dritten unbefugt den Zugang zu geschützten Daten unter Überwindung der Zugangssicherung verschafft6.
IV. Rechtswidrigkeit 1. Befugnis 14
Wesentliche Voraussetzung der Strafbarkeit ist die Frage, ob der Täter befugt war, auf die zugangsgesicherten Daten zuzugreifen. Liegt beispielsweise eine ausreichende Einwilligung des Berechtigten vor – etwa anläss1 Vgl. insoweit Lenkner/Eisele in Schönke/Schröder, StGB, § 202a Rz. 7; BTDrucks. 16/3656, Teil B Ziff. 3. 2 Fischer, StGB, § 202a Rz. 4 ff.; Lenkner/Eisele in Schönke/Schröder, StGB, § 202a Rz. 5 ff.; Tabelle entnommen aus Hassemer in Auer-Reinsdorff/Conrad, Beck’sches Mandatshandbuch IT-Recht, Kap. 36, Strafrecht im Bereich der Informationstechnologien, Rz. 55. 3 Lenkner/Eisele in Schönke/Schröder, StGB, § 202a Rz. 7 m.w.N.; a.A. Malek, Kap. III Rz. 154. 4 Zahlreiche Beispiele finden sich bei Fischer, § 202a Rz. 9a und Lenkner/Eisele in Schönke/Schröder, StGB, § 202a Rz. 8. 5 Während nach alter Rechtslage das Hacken bzw. Cracken eines zugangsgesicherten Systems (als reine Zugangsverschaffung, ohne Daten auszulesen) nicht einhellig als strafbare Handlung beurteilt wurde, ist gerade dieser Fall von der neuen Rechtslage explizit erfasst worden. 6 Eine Reihe anschaulicher Beispiele zur Strafbarkeit eines Software-Ingenieurs findet sich bei Wohlwend, JurPC Web-Dok. 180/2008.
1102
I. Hassemer
§ 67
IV. Rechtswidrigkeit
lich einer Sicherheitsprüfung des Unternehmensnetzes – so schließt diese in der Regel die Rechtswidrigkeit aus1. Wird vom Berechtigten bereits der Zugang zu den Daten gestattet, so sind die Daten für den Handelnden bestimmt. In diesem Falle ist die Strafbarkeit nach § 202a StGB nicht gegeben, da es bereits an einem objektiven Tatbestandsmerkmal „nicht für ihn bestimmt“ fehlt. 2. Externe Zugriffe/Interne Zugriffe Betrachtet man § 202a StGB unter dem Blickwinkel „Recht der Daten 15 und Datenbanken im Unternehmen“, muss einerseits die Thematik der unbefugten Zugriffe von außen auf entsprechende Unternehmensdaten, und andererseits diejenige der unbefugten Zugriffe von innen näher betrachtet werden. Letztere können wiederum in die Fallgruppen unbefugte Zugriffe der Unternehmen auf Daten ihrer Mitarbeiter und in umgekehrter Richtung auf unbefugte Zugriffe der Mitarbeiter auf Daten des Unternehmens aufgeteilt werden. Gestattet die Unternehmensleitung den Beschäftigten die private Nut- 16 zung von Internet und E-Mail und kommt es dann von Seiten des Unternehmens zu einem Zugriff auf gesicherte Daten, indiziert dies in der Regel eine Strafbarkeit nach § 202a StGB. Die Argumentation, es sei schließlich ein Rechner des Unternehmens und die Daten seien somit auch für den Arbeitgeber bestimmt, kann dann nicht mehr überzeugen. Allenfalls der Weg über die Rechtfertigungsgründe kann für diese Fälle noch beschritten werden. Anders verhält es sich bei einem Verbot privater Nutzung. Hier gibt es 17 kaum Probleme mit dem Tatbestand, da das Unternehmen jedenfalls Herr über die Daten ist und nicht damit rechnen muss, dass der Beschäftigte private Daten auf den Datenspeichern des Unternehmens hinterlegt. Wenn Beschäftige eine Zugangssicherung eingerichtet haben, darf der Arbeitgeber sie dennoch jederzeit überwinden und auf die Daten zugreifen. Das Tatbestandsmerkmal „nicht für den Täter bestimmt“ ist nicht gegeben. Für Unternehmen, die sich auf die Tätigkeitsbereiche Soft- und Hard- 18 wareservices, wie EDV-Wartung, Software-Pflege und IT-Sicherheit spezialisiert haben, ist eine Kundenbetreuung ohne vorherige umfangreiche schriftliche Vertragsvereinbarungen eine riskante Angelegenheit. Schließlich erfolgt bei diesen Tätigkeiten regelmäßig auch der Zugriff auf besonders gesicherte Systeme und Daten, die möglicherweise nicht dem (ausschließlichen) Herrschaftsbereich des Kunden zuzuordnen sind (beispielsweise bei erlaubter Privatnutzung).
1 Lenkner/Eisele in Schönke/Schröder, StGB, § 202a Rz. 11. I. Hassemer
1103
§ 67
Unbefugter Zugriff auf gesicherte Daten und Datenbanken
19
Wesentlich ist die Frage der ausreichenden und wirksamen Einwilligung des jeweiligen Rechteinhabers. Will ein Unternehmen die Passwortsicherheit der Mitarbeiterarbeitsplätze überprüfen und ist die private Nutzung des Internet und des Computers den Angestellten erlaubt, so reicht die pauschale Einwilligung der Unternehmensleitung grundsätzlich nicht aus, um auf die einzelnen vom Mitarbeiter zugangsgesicherten Arbeitsplätze zuzugreifen. Die Aufträge sollten daher klar umrissen und schriftlich fixiert sein. Die Einwilligung der Berechtigten sollte in jedem Falle schriftlich vorliegen. EDV-Berater und IT-Sicherheitsunternehmen ist zu empfehlen, in ihren Verträgen den Auftraggeber hinsichtlich der Einwilligungen seiner Mitarbeiter in die Pflicht zu nehmen bzw. sich von diesem bestätigen zu lassen, dass alle Betroffenen informiert sind, und die entsprechenden Einverständniserklärungen vorliegen.
20
Auch das beauftragende Unternehmen kann sich in diesen Fällen strafbar machen. Es muss dafür Sorge tragen, dass der Auftrag den einschlägigen Gesetzen und Richtlinien zur Sicherheitsprüfung entspricht und (selbstverständlich) schriftlich nur an zuverlässige Auftragnehmer erteilt wird. Die Mitarbeiter sind entsprechend zu informieren.
V. Subjektiver Tatbestand 1. Vorsatz 21
Eventualvorsatz reicht für eine Strafbarkeit nach § 202a StGB aus. Der Straftatbestand verlangt kein zielgerichtetes, absichtliches Handeln. Der Täter handelt vorsätzlich, wenn er den Taterfolg als Folge seines Handelns ernsthaft für möglich hält und zugleich billigend in Kauf nimmt und sich damit abfindet (bedingter Vorsatz)1. Geht der Täter hingegen irrtümlich davon aus, dass die Daten für ihn bestimmt sind, so handelt er nicht vorsätzlich2. 2. Irrtum
22
Vor allem bei Fällen interner Zugriffe des Unternehmens auf gesicherte Daten seiner Mitarbeiter (bei erlaubter privater Nutzung) herrscht viel Unsicherheit in Bezug auf die Rechtfertigungs- bzw. Erlaubnistatbestände. Geht die Unternehmensleitung fälschlicherweise davon aus, im Rahmen von Compliance-Maßnahmen nicht nur berechtigt, sondern vielmehr verpflichtet zu sein, regelmäßig auf Daten ihrer Mitarbeiter zuzugreifen, und ist die private Nutzung erlaubt, bleiben ohne Erlaubnis der Betroffenen im Rahmen der Güterabwägung nur wenige Fallkonstellationen übrig, die ein entsprechendes Vorgehen rechtfertigen können. 1 Lenkner/Eisele in Schönke/Schröder, StGB, § 202a Rz. 12; vertiefend zur Frage des dolus eventualis und zu den einzelnen Theorien: Sternberg-Lieben in Schönke/Schröder, StGB, § 15 Rz. 72 ff. 2 Allerdings kommt dann ein Verbotsirrtum gem. § 17 StGB in Betracht, vgl. Rz. 23.
1104
I. Hassemer
§ 67
VII. Strafantragserfordernis
Ein Irrtum über das Vorliegen von Rechtfertigungs- bzw. Erlaubnisgründen führt in der Regel nicht zur Straffreiheit. Vielmehr kommt es allenfalls zu einer Strafmilderung. Glaubt beispielsweise der Täter sich irrtümlich für berechtigt hinsichtlich der zugangsgeschützten Daten, so kommt ein Verbotsirrtum gem. § 17 StGB in Betracht1. Nach § 17 Satz 2, 1. Halbs. StGB gilt es dann zu prüfen, inwieweit für den Handelnden der Irrtum vermeidbar gewesen wäre. Für diese Fälle kann die Strafe nach § 49 Abs. 1 StGB gemildert werden (§ 17 Satz 2, 2. Halbs. StGB).
VI. Verhältnis zu anderen Strafnormen Kommt gleichzeitig eine Strafbarkeit nach § 202b StGB, nach den Vor- 23 schriften des TKG (§§ 89, 148) oder BDSG (§§ 44, 43 Abs. 2) in Betracht, so treten diese gegenüber § 202a StGB zurück2. Kommt zudem Hausfriedensbruch (§ 123 StGB) oder Diebstahl eines Datenträgers (§ 242 StGB) in Betracht, stehen diese Taten in Idealkonkurrenz zu § 202a StGB3. Gleiches gilt, wenn durch die Tathandlung nach § 202a StGB gleichzeitig § 17 UWG (Verrat von Geschäfts- und Betriebsgeheimnissen) oder strafbare Verstöße gegen das Urhebergesetz (§§ 106, 108a UrhG) in Betracht kommen4.
VII. Strafantragserfordernis 1. Grundsätzliches zum Strafantrag Bei Straftaten im Bereich der Informationstechnologien handelt es sich 24 zumeist um relative oder absolute Antragsdelikte. In beiden Fällen ist der Antragsbefugte (§ 77 StGB) gut beraten, form- und fristgemäß Strafantrag zu stellen. Ein absolutes Antragsdelikt liegt vor, wenn der Strafantrag Prozessvoraussetzung ist. Der Strafantragsberechtigte muss in diesen Fällen form- und fristgemäß Strafanzeige bei Polizei oder Staatsanwaltschaft stellen, (§§ 77, 77b StGB, 158 Abs. 1, 2 StPO), ansonsten wird die Tat nicht verfolgt (§ 77b Abs. 1 Satz 1 StGB). Beim relativen Antragsdelikt ist der Strafantrag zwar nicht Prozessvoraussetzung, denn die Staatsanwaltschaft kann in diesen Fällen – auch nach Ablauf der Strafantragsfrist – von Amts wegen die Strafverfolgung aufnehmen, wenn sie das öffentliche Interesse für gegeben erachtet. Anders, als bei Offizialdelikten, ist sie jedoch nicht gezwungen, bei einer Strafanzeige tätig zu werden. Deshalb ist auch in diesen Fällen der fristgemäße Strafantrag unbedingt zu empfehlen.
1 2 3 4
Lenkner/Eisele in Schönke/Schröder, StGB, § 202a Rz. 12. Eisele in Schönke/Schröder, StGB, § 202b Rz. 12, § 1 Abs. 3 BDSG. Lenkner/Eisele in Schönke/Schröder, StGB, § 202a Rz. 13. Lenkner/Eisele in Schönke/Schröder, StGB, § 202a Rz. 13. I. Hassemer
1105
§ 67
Unbefugter Zugriff auf gesicherte Daten und Datenbanken
2. § 205 Abs. 1 Satz 2 StGB-relatives Strafantragsdelikt 25
§ 202a StGB wurde gem. § 205 Abs. 1 Satz 2 StGB als relatives Strafantragsdelikt ausgestaltet. Daher sollte immer fristgemäß nach § 77b StGB innerhalb 3 Monaten nach Kenntnis von Tat und Täter durch den Antragsberechtigten Strafantrag gestellt werden. Falls diese Frist bereits überschritten ist, kann dennoch eine Strafanzeige erstattet werden. Der Sachverhalt sollte dann allerdings möglichst sorgfältig dargestellt werden. Empfehlenswert sind auch Ausführungen zur Schadenshöhe. Ist die Beeinträchtigung für das betroffene Unternehmen erheblich und lag gegebenenfalls eine hohe kriminelle Energie des Täters vor, so spricht dies für die Bejahung des öffentlichen Interesses auf Seiten der Staatsanwaltschaft und kann bereits deshalb zur Aufnahme entsprechender Ermittlungen führen. 3. Strafantragsfrist
26
Die Fristberechnung bei Strafantragsdelikten wird in § 77b StGB geregelt. Danach muss die Tat innerhalb von 3 Monaten nach Kenntnisnahme von Tat und Täter angezeigt werden. Hier gilt es in jedem Falle, den denkbar frühesten Zeitpunkt zu bestimmen, in welchem die Voraussetzungen der Kenntnisnahme von Tat und Täter vorliegen könnten, und sodann vor Ablauf von 3 Monaten nach § 77b StGB den Strafantrag bei der zuständigen Staatsanwaltschaft (oder Polizeidienststelle) einzureichen. Anderenfalls muss damit gerechnet werden, dass die Strafverfolgungsbehörden die Ermittlungen ablehnen.
VIII. Rechtsprechungsbeispiel: BGH-Beschluss vom 6.7.20101 27
Im Zusammenhang mit dem Tatbestandsmerkmal: „gegen Zugang besonders gesichert“ hatte der BGH über die Frage zu entscheiden, wie das unbefugte Auslesen von auf dem Magnetstreifen einer Zahlungskarte gespeicherten Daten strafrechtlich zu beurteilen ist.
28
Auszug aus den Leitsätzen der Entscheidung: „1. Das bloße Auslesen der auf dem Magnetstreifen einer Zahlungskarte mit Garantiefunktion gespeicherten Daten, um mit diesen Daten Kartendubletten herzustellen (sog. Skimming), erfüllt nicht den Tatbestand des § 202a Abs. 1 StGB. Soweit beim Auslesen die zur Berechnung der PIN verschlüsselt gespeicherten Daten in verschlüsselter Form erlangt werden, wird die in der Verschlüsselung liegende Zugangssicherung nicht überwunden.“ …
1 BGH v. 6.7.2010 – 4 StR 555/09, NStZ 2011, 154.
1106
I. Hassemer
§ 67
VIII. Rechtsprechungsbeispiel: BGH-Beschluss vom 6.7.2010
„3. Dass Daten magnetisch und damit nicht unmittelbar wahrnehmbar gespeichert sind, stellt keine besondere Sicherung gegen unberechtigten Zugang dar“. … „Erforderlich ist, dass der Verfügungsberechtigte – hier das Unternehmen, das die Zahlungskarte mit Garantiefunktion ausgegeben hat – Vorkehrungen getroffen hat, um den Zugriff auf die auf dem Magnetstreifen der Zahlungskarte gespeicherten Daten auszuschließen oder wenigstens nicht unerheblich zu erschweren. Eine Schutzvorkehrung ist jedoch nur dann eine Zugangssicherung i.S.d. § 202a Abs. 1 StGB, wenn sie jeden Täter zu einer Zugangsart zwingt, die der Verfügungsberechtigte erkennbar verhindern wollte.“
I. Hassemer
1107
§ 68 Die strafrechtliche Beurteilung des Ankaufs von nach ausländischem Recht rechtswidrig erlangten Informationen, insbesondere der Ankauf von Steuer-CDs aus der Schweiz Rz. I. Einleitung . . . . . . . . . . . . . . . . . . . II. Keine Strafbarkeit gem. § 202a StGB, § 44 BDSG, wegen Untreue, Hehlerei oder Begünstigung . . . . . . . . . . . . . . . . . . . . . . .
1
2
III. Strafbarkeit gem. § 17 UWG bzw. § 17 UWG i.V.m. § 27 StGB . . . . . 6 1. Geschäfts- oder Betriebsgeheimnis. . . . . . . . . . . . . . . . . . . . 8 2. „Unbefugtheit“ der Handlung . . . 9 3. Recht zum Ankauf aus § 34 StGB 11
Rz. a) § 34 StGB als Verrechtlichung des moralischen Prinzips der Solidarität . . . . . . . . . . . . . . . . . b) Interessenabwägung: Staatliche Steueransprüche vs. Bankgeheimnis . . . . . . . . . . . . . aa) Steueransprüche . . . . . . . . . bb) Bankgeheimnis? . . . . . . . . . c) Angemessenheit . . . . . . . . . . . . d) Strafbarkeit des Ankaufenden als Teilnehmer . . . . . . . . . . . . . 4. Schlussbemerkung . . . . . . . . . . . .
15 18 18 19 25 28 29
I. Einleitung 1
Der Ankauf von Steuer-CDs ist derzeit ein beliebtes Mittel zur Aufklärung von Steuerstraftaten. Zwei zentrale Probleme stellen sich hierbei: Einerseits ist zu fragen, ob der Ankauf strafrechtliche Normen verletzt, andererseits ist zu thematisieren, ob die so gewonnenen Informationen im Steuerstrafverfahren verwertet werden dürfen. Es soll hier ausschließlich auf die Frage eingegangen werden, wie der Ankauf rechtswidrig, d.h. unter Verstoß gegen ausländische Gesetze1, erlangter Informationen nach deutschem Strafrecht zu beurteilen ist2. Die Verwertbarkeit der hierdurch erlangten Daten in einem späteren Strafverfahren bleibt außer Betracht3.
II. Keine Strafbarkeit gem. § 202a StGB, § 44 BDSG, wegen Untreue, Hehlerei oder Begünstigung 2
Zunächst ist zu sagen, dass in den fraglichen Fällen der Ankaufende im Regelfall § 202a StGB, das Verbot des Ausspähens von Daten, nicht verletzt. Auch der Ankauf selbst kann nicht als spätere Beihilfehandlung zu 1 Zur Strafbarkeit der Datenkopierer und Datenanbieter nach Schweizer Recht Ostendorf, ZIS 2010, 301 ff. 2 Zur strafrechtlichen Beurteilung vgl. auch Stahl/Demuth, DStR 2008, 600 f. und Trüg/Habetha, NJW 2008, 887 ff. 3 Zur strafprozessualen Verwertbarkeit vgl. vielmehr Schroth in Hilpert/Schroth (Hrsg.), Politik – Recht – Ethik: Vergewisserungen aus der Vergangenheit und Perspektiven für die Zukunft, S. 186–209; Kaspar, GA 2013, 206–225; Tormöhlen, AO-StB 2012, 380–384; Lucke, HRRS 2011, 527–531.
1108
Schroth
§ 68
II. Keine Strafbarkeit gem. § 202a StGB, § 44 BDSG
diesem Tatbestand klassifiziert werden, denn zumeist hat sich der Verkäufer zum Zeitpunkt der Kontaktaufnahme mit dem potentiellen Käufer schon längst Zugang zu den Daten verschafft – die Tat ist somit bereits beendet. Weiter gilt es darauf hinzuweisen, dass dann, wenn der Verkäufer aus ei- 3 nem für die Aufklärung von Steuerstraftaten mitbestimmten Haushaltstitel bezahlt wird, der Untreuetatbestand (§ 266 StGB) ebenfalls nicht einschlägig ist. Auch eine Strafbarkeit nach § 44 Abs. 1 BDSG i.V.m. § 43 Abs. 2 Nr. 1 BDSG, wonach derjenige bestraft wird, der gegen Entgelt oder in Bereicherungs- oder Schädigungsabsicht unbefugt personenbezogene, nicht allgemein zugängliche Daten, erhebt oder verarbeitet, scheidet aus. Maßgeblicher Anknüpfungspunkt ist die unbefugte Datenverarbeitung: So ist die Verarbeitung der Daten aus Unternehmen, die die Aufklärung einer Steuerstraftat erleichtern, durch die jeweiligen Steuerbeamten gerade deren Aufgabe und stellt daher eben kein „unbefugtes“ Handeln dar1. Zudem kann die Zahlung eines Gehalts nicht als „Entgelt“ i.S.d. § 44 Abs. 1 BDSG qualifiziert werden, da hierfür die Rechtswidrigkeit der (angestrebten) Bereicherung erforderlich ist2. Der vielfach angeführte Hehlereitatbestand ist immer dann einschlägig, 4 wenn ein Täter Sachen ankauft, die aus einem Diebstahl oder einer sonstigen Vermögensstraftat stammen. Allerdings sind Informationen keine Sachen. Somit wäre § 259 StGB nur einschlägig, wenn der Täter CDs oder USB-Sticks gestohlen hätte und der Staat diese Datenträger ankauft3. Der Staat möchte jedoch keinen CD-Rohling erwerben – es geht ihm vielmehr um die darauf enthaltenen Informationen bzw. Daten4. Ebenso ist es fraglich, ob überhaupt eine taugliche Vortat vorliegt5. Zur Beurteilung des Ankaufs wird stets auch der Tatbestand der Begüns- 5 tigung, § 257 StGB, angeführt. Allerdings ist nach herrschender Strafrechtsdogmatik § 257 StGB nicht verletzt. So könnte zum einen bereits der Umstand, dass die Vortat nicht der deutschen Staatsgewalt unterliegt, einer Anwendung des § 257 StGB entgegenstehen6. Darüber hinaus müssen nach dem Gesetzeswortlaut die Vorteile, bei deren Sicherung der Täter der Begünstigung helfen will, unmittelbare Vorteile der Tat sein7. Dies ist beim Ankauf jedoch eindeutig nicht der Fall. Stattdessen stammt der Gewinn hier aus dem Verkauf der rechtswidrig erlangten Informatio1 Ostendorf, ZIS 2010, 305. 2 Ambs in Erbs/Kohlhaas, Strafrechtliche Nebengesetze, § 44 BDSG Rz. 2. 3 Ebenso Trüg/Habetha, NJW 2008, 887 f. Zur „Datenhehlerei“ und diese im Ergebnis ablehnend: Stahl/Demuth, DStR 2008, 600. 4 Jungbluth/Stepputat, DStZ 2010, 778–788. 5 Jungbluth/Stepputat, DStZ 2010, 778–788. 6 So LG Bochum v. 22.4.2008, HRRS 2009, Nr. 1111. Zu Recht zweifelnd Ostendorf, ZIS 2010, 303. 7 BGH v. 16.6.1971 – 2 StR 191/71, BGHSt 24, 166; BGH v. 24.10.1989 – 1 StR 504/89, BGHSt 36, 281. Schroth
1109
§ 68
Strafrechtliche Beurteilung des Ankaufs von Steuer-CDs
nen. Damit werden durch den Ankauf nicht die Vorteile der Tat gesichert, sondern die Vorteile präsentieren sich vielmehr erst als Produkt des Ankaufs. Nach dem Wortlaut des § 257 StGB ist dies nicht ausreichend. Mit Blick auf den steuerlichen Handlungsauftrag entsteht außerdem ein rechtmäßiger Zustand; die Wiederherstellung des gesetzmäßigen Zustandes wird also gerade nicht gehindert, sondern sogar beabsichtigt. Demnach erfährt auch der Schutzzweck des § 257 StGB keine Beeinträchtigung. Der Ankauf rechtswidrig erlangter Informationen erfüllt somit nicht den Tatbestand der Begünstigung. Auf die Frage der Rechtfertigung muss nicht mehr eingegangen werden. Denn im Gegensatz zum Regelsystem der Moral verlangt das Recht, dass das strafwürdige Verhalten im Wortlaut eines Tatbestandes enthalten sein muss, wenn es als strafwürdig klassifiziert werden soll; es gilt der Grundsatz „nullum crimen, nulla poena sine lege“.
III. Strafbarkeit gem. § 17 UWG bzw. § 17 UWG i.V.m. § 27 StGB 6
Zu klären bleibt eine mögliche Strafbarkeit wegen des Verrats von Geschäfts- und Betriebsgeheimnissen nach § 17 UWG1. Diese Norm enthält unterschiedliche Tatbestände:
7
Zum einen wird der Geheimnisverrat durch einen Beschäftigten eines Unternehmens bestraft (§ 17 Abs. 1 UWG). Weiter steht das Ausspähen eines Geheimnisses durch Anwendung technischer Mittel oder durch Wegnahme einer Sache, in der das Geheimnis verkörpert ist, unter Strafe (§ 17 Abs. 2 Nr. 1 UWG). Schließlich wird die Geheimnisverwertung, d.h. die unbefugte Verwertung eines nach § 17 Abs. 1 oder Abs. 2 Nr. 1 UWG erlangten Geheimnisses sowie eines sonst unbefugt verschafften Geheimnisses sanktioniert (§ 17 Abs. 2 Nr. 2 UWG). Nach einer Ansicht, die aber abzulehnen ist2, ist im Falle des Ankaufs von Informationen, die unter Verletzung des Bankgeheimnisses erlangt wurden und anschließend verwertet werden sollen, der Verkäufer Täter einer verbotenen Geheimnisverwertung gem. § 17 Abs. 2 Nr. 2 UWG, weil das Beschaffen von Daten zugunsten eines Dritten, beispielsweise des deutschen Fiskus, den Tatbestand erfüllen soll3. 1. Geschäfts- oder Betriebsgeheimnis
8
Fraglich ist, ob es sich bei den Informationen, die unter Verletzung des Bankgeheimnisses erlangt und verwertet wurden, um Geschäfts- oder Betriebsgeheimnisse handelt. Ein Geschäfts- oder Betriebsgeheimnis ist je1 Zu § 17 UWG, vor allen Dingen zum geschützten Rechtsgut, vgl. Köhler, Gesetz gegen den unlauteren Wettbewerb, 2010. Vgl. außerdem Diemer in Erbs/Kohlhaas, Strafrechtliche Nebengesetze, § 17 UWG. 2 S. hierzu Rz. 10 unten. 3 Vgl. Stahl/Demuth, DStR 2008, 600.
1110
Schroth
§ 68
III. Strafbarkeit gem. § 17 UWG bzw. § 17 UWG i.V.m. § 27 StGB
de im Zusammenhang mit einem Betrieb stehende Tatsache, die nicht offenkundig, sondern nur einem eng begrenzten Personenkreis bekannt ist und nach dem bekundeten Willen des Betriebsinhabers, der auf einem ausreichenden wirtschaftlichen Interesse beruht, geheim gehalten werden soll1. Unter dem Gesichtspunkt des Geheimhaltungsinteresses stellt sich dabei wiederum die Frage, ob auch Tatsachen, die rechtswidrig erlangt worden sind bzw. die Straftaten begründen, von § 17 UWG geschützt werden. Dies wird von der h.M. bejaht2. Meines Erachtens ist das aber abzulehnen3. Dies schon deshalb, da jedem das Recht zusteht, den Strafverfolgungsbehörden einen strafbaren Sachverhalt anzuzeigen. Das ergibt sich aus § 158 StPO, der besagt, dass jedermann, gleichgültig, ob von der Straftat betroffen oder nicht, Strafanzeige erstatten darf4. Außerdem erscheint es nicht zeitgemäß, strafbare Sachverhalte durch einen strafrechtlichen Tatbestand zu schützen. Arbeitsrechtlich mag es durchaus geboten sein, strafbare Sachverhalte zunächst intern aufzuklären. Es sollte jedoch nicht strafbar sein, strafbare Sachverhalte auch nur indirekt Strafverfolgungsbehörden zur Kenntnis zu bringen (wenn auch aus eigenem Interesse). Folgt man dieser Auffassung, scheidet eine Strafbarkeit gem. § 17 UWG bereits hier aus. Beurteilt man dies anders, stellt sich aber die Frage, ob die Mitteilung in einem solchen Falle „unbefugt“ ist. 2. „Unbefugtheit“ der Handlung Schutzgut des § 17 UWG ist das Geheimhaltungsinteresse des Geheim- 9 nisträgers bezüglich Geschäfts- und Betriebsgeheimnissen, also des Inhabers des Geschäftsbereichs5. Dieser Geschäftsbereich ist lediglich gegen unredliche Eingriffe geschützt. Es ist daher fraglich, wann ein solcher unredlicher Eingriff in den Geschäftsbereich vorliegt. Die Antwort, die der Gesetzgeber in § 17 UWG gibt, ist die, dass nur die unbefugte Mitteilung § 17 UWG erfüllen kann. Zugegebenermaßen ist dies keine sehr präzise Beschreibung der Handlungen, die verboten sind. An dieser Stelle soll nicht untersucht werden, ob die Tathandlung als in Teilen verfassungswidrig zu bewerten ist. Hierüber lässt sich zwar trefflich – gewiss aber 1 Vgl. BGH v. 1.7.1960 – I ZR 72/59, NJW 1960, 1999 (2000); Ohly in Piper/Ohly/ Sosnitza, UWG, § 17 Rz. 5. 2 Koch, ZIS 2008, 500 (503); Ohly in Piper/Ohly/Sosnitza, UWG, § 17 Rz. 12. Anknüpfend an Ohly mag man zwar diskutieren, ob es bzgl. sittenwidriger Geschäftsgeheimnisse ein Geheimhaltungsinteresse gibt. Jedenfalls besteht aber in Bezug auf Geheimnisse, die eindeutig als rechtswidrig anzusehen sind, kein Geheimhaltungsinteresse. Dies gilt insbesondere, wenn Banken mit ihren Kunden auch noch im Hinblick auf die Hinterziehung von Steuern kooperieren. 3 So auch Diemer in Erbs/Kohlhaas, Strafrechtliche Nebengesetze, § 17 UWG Rz. 16; Rützel, GRUR 1995, 557; Erb in Heinrich/Jäger/Schünemann et al., FS Claus Roxin zum 80. Geburtstag am 15.5.2011, S. 1103, 1105; vgl. auch Wittig, Wirtschaftsstrafrecht, § 30 Rz. 43. 4 Griesbaum in Hannich, Karlsruher Kommentar zur StPO, § 158 Rz. 4. 5 BGH v. 24.1.2006 – XI ZR 384/03, NJW 2006, 830 (838); vgl. auch Wittig, Wirtschaftsstrafrecht, § 33 Rz. 30. Schroth
1111
§ 68
Strafrechtliche Beurteilung des Ankaufs von Steuer-CDs
rahmensprengend – streiten. Zu untersuchen ist hier aber, wie das Merkmal „unbefugt“ zu verstehen ist, wenn das Unternehmen, dessen Bankgeheimnis verletzt wird, selbst unredlich handelt. 10
Stellt also der Ver- bzw. Ankauf von – durch Handlungen i.S.v. § 17 Abs. 1 oder Abs. 2 Nr. 1 UWG erlangten – Informationen zur Geltendmachung berechtigter Steueransprüche ein „unbefugtes“ Verwerten bzw. eine Beihilfe hierzu gem. § 27 StGB dar? Dagegen lässt sich anführen, dass diejenigen, die rechtswidrig erlangte Informationen zur Geltendmachung des staatlichen Steueranspruchs bzw. zur Strafverfolgung verkaufen bzw. ankaufen, die Daten jedenfalls zu einem Zweck verwenden, der vom Gesetzgeber als legitim angesehen wird1. Die Finanzbehörden haben Steuerstraftaten aufzuklären, wie § 208 AO zeigt. In diesem Zusammenhang ist auf die Rechtsprechung des Reichsarbeitsgerichts zu verweisen: „Die Mitteilung begangener unerlaubter Handlungen an die zur Verfolgung zuständige Behörde oder eine mit ihr in Verbindung stehende Behörde ist kein Verrat von Geschäftsgeheimnissen“2. Diese Rechtsprechung geht von der Annahme aus, dass „unbefugt“ ein Tatbestandsmerkmal darstellt. Die h.M. der Kommentierung des UWG sieht dies anders: Sie sieht „unbefugt“ als Verweis auf die Rechtfertigungsgründe3. Keiner der Autoren begründet dies auch nur mit einem Halbsatz. Es spricht m.E. mehr dafür, „unbefugt“ als Tatbestandsmerkmal anzusehen. Hierfür lässt sich anführen, dass mit einem Straftatbestand jedenfalls nicht sanktioniert werden sollte, wenn ein Einzelner dem Staat hilft, Steuerstraftaten aufzuklären. Der Gesetzgeber sieht als staatliche Aufgabe auch die Steuerfahndung an, § 208 AO. Das Merkmal der „Unbefugtheit“ als Tatbestandsmerkmal anzusehen, erlaubt auch eine Interessenabwägung, die im Rahmen des Verrats von „Geheimnissen“ durchaus angemessen erscheint. Bankangestellte sind aber (im Gegensatz etwa zu Ärzten oder Rechtsanwälten) keine Geheimnisträger und demnach auch nicht zeugnisverweigerungsberechtigt. Sie sind vielmehr befugt und – wenn sie als Zeugen geladen werden – sogar verpflichtet, strafbare Sachverhalte den Strafverfolgungsbehörden mitzuteilen. Der Informationsankauf von Sachverhalten, die Steuerstraftaten begründen, stellt damit keine unbefugte Verwertung i.S.d. § 17 UWG dar. Für die Einstufung des Merkmals „unbefugt“ als Tatbestandsmerkmal spricht sich – völlig zu Recht – auch Ohly aus4. Hiergegen ließe sich einwenden, dass damit der Tatbestand unbestimmter würde. Allerdings ist anerkannt, dass negative Tatbestandsmerkmale nicht die hinreichende Bestimmtheit aufzuweisen haben wie Tatbestandsmerkmale, die positiv gegeben sein müssen, damit ein staat1 Maßgeblich ist dabei die Bewertung nach deutschem und nicht nach schweizerischem Recht. Ebenso Ostendorf, ZIS 2010, 304. 2 RAG, JW 1931, 490. Man expliziert dann „unbefugt“ als Tatbestandsmerkmal. 3 Vgl. u.a. Köhler in Köhler/Bornkamm, UWG, § 17 Rz. 43; Diemer in Erbs/Kohlhaas, Strafrechtliche Nebengesetze, UWG, § 17 Rz. 23–25, 40; Harte-Bavendamm in Harte-Bavendamm/Henning-Bodewig, UWG, § 17 Rz. 11. 4 Ohly in Piper/Ohly/Sosnitza, UWG, § 17 Rz. 26.
1112
Schroth
§ 68
III. Strafbarkeit gem. § 17 UWG bzw. § 17 UWG i.V.m. § 27 StGB
licher Strafanspruch besteht. Man mag hiergegen noch einwenden, dass damit der Zweck die Mittel heiligt. Dieses Gegenargument ist nicht völlig von der Hand zu weisen. Jedoch ist das Strafrecht nicht dazu da, jede nicht überzeugende Anwendung von Mitteln unter Strafe zu stellen. Die Angemessenheit der Mittel kann auch durch andere rechtliche Teilgebiete garantiert werden1. Strafrecht dient nur in subsidiärer Weise dem Rechtsgüterschutz. 3. Recht zum Ankauf aus § 34 StGB Doch selbst dann, wenn man dieser Auffassung von der Tatbestandslosig- 11 keit nicht folgt, ergibt sich aus § 34 StGB ein Recht des Staates, rechtswidrig erlangte Informationen anzukaufen2. Zwar wird gegen die Anwendbarkeit des § 34 StGB ins Feld geführt, er 12 sei überhaupt nicht in der Lage, staatliches Handeln zu rechtfertigen bzw. wenn, könne er dies nur in extremen Ausnahmefällen tun3. Dagegen lässt sich jedoch argumentieren, dass es zwar richtig ist, § 34 StGB nicht als Generalkompetenz für staatliches Handeln zu verstehen, es in der Strafrechtswissenschaft jedoch zu Recht anerkannt ist, die Anwendbarkeit des § 34 StGB nur dann auszuschließen, wenn spezifische Eingriffsrechte die Eingriffsmöglichkeiten des Staates nach Art und Umfang abschließend regeln4. Gemäß § 160 StPO ist es Aufgabe der Staatsanwaltschaft, Ermittlungen 13 aufzunehmen, wenn sie durch Anzeige oder auf anderem Wege vom Verdacht einer Straftat Kenntnis erhält. Die Wege dieser Kenntniserlangung sind im Strafverfahrensrecht – wie man anhand vieler Fälle feststellen kann – gerade nicht geregelt: So ist es beispielsweise unklar, inwieweit DNA-Spuren, die unter Verletzung des informationellen Selbstbestimmungsrechts gefunden wurden, verwertet werden dürfen. Von einer ab1 Völlig zu Recht wird für das Whistleblowing verlangt, dass der Arbeitnehmer zunächst intern versucht, Abhilfe zu erreichen. Dies gilt jedenfalls dann, wenn dieser Weg nicht aussichtslos erscheint oder dem Arbeitnehmer unzumutbar ist. Letzteres ist der Fall, wenn der Arbeitnehmer sich durch die Nichtanzeige selbst der Strafverfolgung aussetzen würde bzw. bei Straftaten, die vom Arbeitgeber selbst begangen wurden oder für die eine Anzeigepflicht nach § 138 StGB besteht. Allerdings ist, wenn der Arbeitnehmer diese Pflicht zur innerbetrieblichen Meldung verletzt, nicht davon auszugehen, dass er strafrechtlich rechtswidrig handelt; zu der arbeitsrechtlichen Aufarbeitung der Problematik vgl. Dendorfer in Moll, Münchener Anwaltshandbuch Arbeitsrecht, § 35 Rz. 133 ff.; Deiseroth/ Derleder, ZRP 2008, 248 (249). 2 § 34 StGB ablehnend Lüderssen, Auf der schiefen Ebene, FAZ v. 11.2.2010, S. 6, und Ostendorf, ZIS 2010, 301 (304). Notstand bejahend hingegen Ambos, Die Chance nutzen, FAZ v. 11.2.2010, S. 6. 3 In diese Richtung Sieber, NJW 2008, 881 (885). Ebenso Kelnhofer/Krug, StV 2008, 660 (665 f.). 4 So richtig Fischer, StGB, § 34 Rz. 35; Ambos, Die Chance nutzen, FAZ v. 11.2.2010, S. 6; Roxin, Strafrecht, AT I, § 16 Rz. 103 f. Schroth
1113
§ 68
Strafrechtliche Beurteilung des Ankaufs von Steuer-CDs
schließenden Informationsbeschaffungsregelung oder einem Ausschluss bestimmter Informationsbeschaffungen kann insoweit also nicht gesprochen werden1. Es ist jedenfalls nicht deshalb ausgeschlossen, Informationen anzukaufen, von denen vermutet wird, dass sie in der Lage sind, ein Dunkelfeld der Kriminalität teilweise aufzuklären. 14
Nun zum generellen Verständnis des § 34 StGB: Der rechtfertigende Notstand wird vielfach im utilitaristischen Sinne verstanden, d.h. als Regel, die den Eingriff in fremde Interessen zugunsten höherrangiger Interessen erlaubt2. Dann muss mit der Anwendung des § 34 StGB eine positive Nutzenbilanz einhergehen. § 34 StGB findet nach dieser Auffassung nur Anwendung, wenn der hervorgebrachte Nutzen den angerichteten Schaden deutlich überwiegt. Ein solches Verständnis des § 34 StGB erlaubt es jedoch nicht, die normative – gesetzlich fixierte – Aussage des Gesetzgebers adäquat zu integrieren, dass nur angemessene Handlungen, die das überwiegende Interesse durch den Eingriff in andere Interessen schützen, gerechtfertigt sind. Ebenso wenig vermag diese utilitaristische Konzeption im Rahmen der Interessenabwägung zu bewerten, wer für die Notstandslage überhaupt verantwortlich ist. a) § 34 StGB als Verrechtlichung des moralischen Prinzips der Solidarität
15
Stattdessen ist § 34 StGB als eine Verrechtlichung des moralischen Prinzips der Solidarität zu verstehen. Der rechtfertigende Notstand erlaubt die Wiederherstellung eines notfreien Zustands einer Privatperson oder des Staates durch einen Eingriff in fremde Interessen. Dabei hat das geschützte Interesse deutlich schwerer zu wiegen als das Interesse, in das eingegriffen wird. Zudem muss die Gefahrabwendungshandlung angemessen sein3.
16
Eine Deutung des § 34 StGB als Verrechtlichung einer moralischen Solidaritätspflicht erlaubt es einerseits, die Person des Verursachers der Notstandslage zu berücksichtigen. Denn die geschützten Interessen einer Handlung sind weniger hoch zu bewerten, wenn der Nutznießer die Notstandslage selbst zu verantworten hat. Andererseits kann in Rechte bzw. berechtigte Interessen umso eher eingegriffen werden, je höher der Grad der Verantwortung des Inhabers der Rechte bzw. Interessen ist, in die eingegriffen wird. Denn die Solidaritätspflichten des Verursachers einer Not1 Sieber, NJW 2008, 881 (885), geht von einer abschließenden Regelung der Informationserhebungsbefugnisse aus und verneint die Anwendbarkeit des § 34 StGB. Dies ist aus den oben genannten Gründen nicht richtig. 2 Vgl. dazu Kühl, Strafrecht AT, § 8 Rz. 8. Zur Ideengeschichte Neumann in Kindhäuser/Neumann/Paeffgen (Hrsg.), Strafgesetzbuch, § 34 Rz. 1 ff. 3 Ambos entnimmt dem § 34 StGB den allgemeinen Gedanken der Abwägung und des überwiegenden Interesses, der dann greifen soll, wenn keine vorrangigen strafprozessualen Ermächtigungsgrundlagen umgangen werden, vgl. Ambos, Die Chance nutzen, FAZ v. 11.2.2010, S. 6.
1114
Schroth
§ 68
III. Strafbarkeit gem. § 17 UWG bzw. § 17 UWG i.V.m. § 27 StGB
standslage sind höher als die desjenigen, der mit der Notstandslage nichts zu tun hat. Andererseits lässt es ein solches Verständnis von § 34 StGB ebenfalls zu, 17 bestimmten Handlungen – nämlich solchen, die mit einer Beeinträchtigung der Menschenwürde einhergehen – nicht den Status einer rechtfertigenden Handlung zukommen zu lassen. So kann zur Organspende niemand gezwungen werden, auch wenn er damit Leben rettet. b) Interessenabwägung: Staatliche Steueransprüche vs. Bankgeheimnis aa) Steueransprüche Es sollen zunächst die vom Gesetzgeber festgelegten Steueransprüche be- 18 leuchtet werden. Dabei geht es um die Interessen, die beim Ankauf von Daten, die durch Privatpersonen in rechtswidriger Weise erlangt worden sind und der Begründung eines Tatverdachts dienen, geschützt werden sollen. Derzeit sind die Finanzbehörden hinsichtlich der Durchsetzbarkeit dieser steuerlichen Ansprüche erheblich beeinträchtigt. Die Internationalität der Beziehungen im Geschäftsverkehr, der unbeschränkte grenzüberschreitende Geldverkehr, die umfängliche Sicherung des Bankgeheimnisses in manchen Staaten – die teilweise auch dem Anlocken von Kunden dient (!) – sowie das Problem ungenügender Rechtshilfeabkommen zwischen Staaten1 erschweren die Durchsetzung legitimer Steueransprüche durch den Staat enorm. Aufgrund des hierdurch verminderten Steueraufkommens wird auch die allgemeine staatliche Leistungsfähigkeit nicht unerheblich unterlaufen. Zudem sinkt die Akzeptanz gegenüber dem Steuerrecht, da sich in der gesellschaftlichen Wahrnehmung nicht wenige Gesellschaftsmitglieder systematisch legitimen Steueransprüchen entziehen (können). bb) Bankgeheimnis? Der Staat ist gehalten, Steueransprüche auch gegenüber denjenigen 19 durchzusetzen, die trickreich und durch Ausnutzung des Steuergeheimnisses anderer Staaten Steuern hinterziehen. Kauft der deutsche Staat Daten an, die unter Verletzung von ausländischen Bankgeheimnissen gewonnen wurden, betrifft das durch das Bankgeheimnis geschützte Interessen. Insbesondere wird das Interesse der Bankkunden daran, dass ihre Vermögensverhältnisse nicht zur Kenntnis von Dritten gelangen, tangiert. Bei dieser Verpflichtung der Banken, die Vermögensverhältnisse ihrer Kunden nicht gegenüber Dritten offen zu legen, handelt es sich allerdings nach überwiegender rechtswissenschaftlicher Auffassung nicht um ein verfassungsrechtlich geschütztes Recht. Vielmehr wurzelt die Ver-
1 Vgl. zur Schweiz Sahan/Ruhmannseder, IStR 2009, 715 (717 ff.). Schroth
1115
§ 68
Strafrechtliche Beurteilung des Ankaufs von Steuer-CDs
pflichtung im Zivilrecht – in zivilrechtlichen Vertragsbeziehungen. Sie ist daher weder über Art. 14 GG noch über Art. 12 GG geschützt1. 20
Dritter im Sinne desjenigen, zu dessen Kenntnis die Vermögensverhältnisse der Bankkunden nicht gelangen dürfen, ist dabei nicht jeder Dritte: So gelten im deutschen Recht die Behörden der Strafverfolgung ebenso wenig als Dritte wie Finanzbehörden. Dies zeigt sich insbesondere daran, dass das Bankgeheimnis weder im Strafverfahren (§§ 53, 161 StPO) noch gegenüber Finanzbehörden zur Zeugnisverweigerung berechtigt2. Nach deutschem Recht sind Bankangestellte gegenüber den Strafverfolgungsbehörden, wenn sie denn als Zeugen vernommen werden, zur Aussage verpflichtet. Dabei ist das durch den Ankauf betroffene geschützte Interesse bei der Abwägung nicht hoch anzusetzen. Dieser Umstand wirkt sich entscheidend bei der Interessenbewertung im Rahmen des § 34 StGB aus. So ist in Deutschland niemand in dem Interesse geschützt, bei seinen finanziellen Transaktionen gegenüber Strafverfolgungsbehörden und dem Finanzamt auf die Geltung eines umfassenden ausländischen Bankgeheimnisses vertrauen zu können.
21
In der Schweiz kommt dem Bankgeheimnis ein höherer Stellenwert zu als in Deutschland. Dies liegt vor allem auch an der Struktur des dortigen Rechtssystems. So bleibt in der Schweiz das Bankgeheimnis bei einer einfachen Steuerhinterziehung weiterhin bestehen. Der Steueranspruch kann nicht durch einen Bruch des Bankgeheimnisses aufgeklärt werden. Die einfache Steuerhinterziehung besteht dabei darin, dass der Steuerpflichtige sein Einkommen bzw. sein Vermögen nicht angemessen deklariert hat. In der Schweiz muss der Steuerpflichtige dann seine Steuerunterlagen herausgeben – oder er wird geschätzt. Im Gegensatz dazu ist in Deutschland bereits die falsche Deklaration eine Straftat. Der Bankangestellte könnte als Zeuge vernommen werden. Anders ist die Lage in der Schweiz aber beim Steuerbetrug. Bei diesem Delikt nutzt der Steuerflüchtige gefälschte Dokumente, um die Steuerbehörde zu täuschen. Nur in diesen Fällen kann das Bankgeheimnis aufgehoben werden. Bei der Bewertung der Interessen, die durch das Bankgeheimnis geschützt werden, ist für die Beurteilung im Rahmen des § 34 StGB jedoch nicht das Schweizer, sondern das deutsche Recht relevant. Die Unterscheidung zwischen strafbarem Steuerbetrug und nicht strafbarer Steuerhinterziehung ist jedoch in vielen europäischen Staaten nicht üblich. Weitere Länder, die das Bankgeheimnis stärker schützen als Deutschland, sind Österreich, Belgien und Luxemburg sowie Monaco und Liechtenstein.
22
Es besteht demnach in Deutschland eine vom Gesetzgeber geschützte Notstandslage, wobei das Interesse an der Realisierung der Steueransprü-
1 Vgl. auch Ambos, Die Chance nutzen, FAZ v. 11.2.2010, S. 6, der anführt, „der Schutz solch elitärer Rechte“ sei „nicht der vorrangige Zweck des Grundrechtsschutzes“. 2 Näher dazu Rz. 21 unten, vgl. auch Rz. 10 oben.
1116
Schroth
§ 68
III. Strafbarkeit gem. § 17 UWG bzw. § 17 UWG i.V.m. § 27 StGB
che deutlich höher zu gewichten ist als das Interesse der Bankkunden an ihrem Bankgeheimnis. Weiter ist bei der im Rahmen von § 34 StGB erforderlichen Interessen- 23 abwägung zu berücksichtigen, dass diejenigen, die durch das Bankgeheimnis geschützt werden, im Verdacht stehen, Steuern hinterzogen zu haben. Es darf dabei vermutet werden, dass Bankangestellte in die Steuerhinterziehung involviert sind. Das Bankgeheimnis, das durch den Ankauf rechtswidrig erlangter Daten verletzt wird, schützt also Interessen, die noch weniger stark zu gewichten sind, da die Inhaber des Eingriffsinteresses selbst die Notstandslage zumindest mit verursacht haben. Hinzu kommt, dass im deutschen Recht der Strafaufhebungsgrund der 24 Selbstanzeige für die Steuerhinterziehung existiert1. Hierdurch hat jeder Steuersünder, wird nun der Ankauf der durch Privatpersonen rechtswidrig erlangten Daten sogar öffentlich bekannt gemacht, die Möglichkeit der strafbefreienden Selbstanzeige, wodurch er noch weniger belastet ist. In diesem Fall muss der rational kalkulierende Steuersünder dann nur die ohnehin geschuldeten Steuern nachzahlen; er kann dann nicht einmal für sein strafrechtliches Vergehen, welches durchaus die Dimension eines nicht unerheblichen Eigentumsdeliktes hat, strafrechtlich verfolgt werden. Insoweit sind die Folgen, die durch die Verletzung des Bankgeheimnisses eintreten, nicht besonders gravierend. c) Angemessenheit Gegen die rechtfertigende Wirkung des § 34 StGB lässt sich nun vor- 25 bringen, dass der Ankauf rechtswidrig erlangter Informationen kein angemessenes Mittel des Staates darstellt, die Gefahr der Verminderung des Steueraufkommens durch Steuerhinterziehung abzuwenden2. Zwar wird bestritten, dass die Angemessenheit, wenn und soweit eine systematische und umfängliche Güterabwägung stattgefunden hat, überhaupt noch zu prüfen ist3. Eine derartige Auffassung trägt aber nicht dem Gedanken Rechnung, dass § 34 StGB Ausdruck der Verrechtlichung des moralischen Prinzips der Solidarität ist. Weiter wird die Auffassung vertreten, dass ein zweiter Wertungsakt nötig 26 ist. Jedoch wird dann nur in zwei Fallgruppen die rechtfertigende Wirkung des Notstandes bezweifelt4. Zum einen soll die rechtfertigende Wirkung ausscheiden, wenn demjenigen, der sich auf den Notstand beruft, die Gefahrtragung zugemutet werden muss. Weiter wirkt eine Notstandshandlung dann nicht rechtfertigend, wenn es unantastbare Rechte 1 Vgl. dazu Rz. 8 oben. 2 Schünemann, NStZ 2008, 305 (308), schließt die Anwendbarkeit des § 34 StGB zentral mit dem Argument aus, die Angemessenheit sei nicht gewahrt, da der Ankauf nicht rechtsstaatsgemäß sei. 3 Vgl. hierzu Roxin, Strafrecht, AT I, § 16 Rz. 91 m.w.N. 4 Vgl. Fischer, StGB, § 34 Rz. 24 ff. Schroth
1117
§ 68
Strafrechtliche Beurteilung des Ankaufs von Steuer-CDs
des Inhabers des Eingriffsinteresses zu schützen gilt. Letztere Einschränkung des § 34 StGB greift hier nicht. Wie oben dargelegt, begründet das Bankgeheimnis keine unantastbaren Rechte der Betroffenen. Weder Bankangestellte, die in Steuerstraftaten involviert sind, noch Steuersünder haben einen Anspruch, unter dem umfassenden Schutz des Bankgeheimnisses eines anderen Staates „ungeschoren“ davon zu kommen. Steuersünder sind auch in ihrem Vertrauen in das Bankgeheimnis eines anderen Staates nicht geschützt. Es liegt auch auf der Hand, dass dem Staat als Steuerberechtigtem eine Gefahrtragung selbst dann nicht zuzumuten ist, wenn man der Ansicht ist, dass die Steuerlast in Deutschland zu hoch sei. Über die Höhe der Steuerlast wird nämlich in einem demokratischen Prozess entschieden und nicht eigenmächtig durch den einzelnen Steuerpflichtigen. 27
Es ist also von der legitimierenden Wirkung des § 34 StGB auszugehen. d) Strafbarkeit des Ankaufenden als Teilnehmer
28
Wie soeben dargestellt, macht sich der Verkäufer der Daten nach der hier vertretenen Auffassung nicht gem. § 17 UWG strafbar. In Ermangelung einer akzessorischen Haupttat kann daher im Akt des Ankaufens durch den Staat auch keine Beihilfe oder Anstiftung liegen. 4. Schlussbemerkung
29
Diese Ausführungen gelten selbstverständlich nicht, wenn und soweit in rechtswidriger Weise Informationen aus Banken oder sonstigen Unternehmen gehehlt werden, etwa durch Verkauf der Informationen gegen Entgelt an Konkurrenten. Wenn und soweit es sich um Betriebsgeheimnisse handelt, ist eine Kopie der Daten nach § 17 UWG strafbar, aber auch der Weiterverkauf als solches. In diesem Fall handelt der Kopierer bzw. der sonstige Verwerter unbefugt und ist auch nicht durch § 34 StGB gerechtfertigt. In Ausnahmefällen kann auch eine Strafbarkeit nach § 202a StGB in Betracht kommen1. Datenhehlerei als solche ist insoweit strafbar.
1 Eine Strafbarkeit nach § 44 i.V.m. § 43 Abs. 2 Nr. 1 und 3 BDSG kommt hingegen nicht in Betracht, da sich dieser nur auf die Erhebung von Daten durch inländische Stellen bezieht.
1118
Schroth
Teil 11 Ausblick § 69 Datenschutzprinzipien für eine EU-Datenschutz-Grundverordnung Rz. I. Stand des Verfahrens und Einordnung des LIBE-Kompromissvorschlags . . . . . . . . . . . . . . . . . . . 1 1. Kommissionsentwurf vom 25.1.2012 . . . . . . . . . . . . . . . . . . . . 1 2. Einigung im LIBE-Ausschuss am 21.10.2013 . . . . . . . . . . . . . . . . 3 3. Grundlegende datenschutzrechtliche Weichenstellungen . . . . . . . 7 a) Planungssicherheit erforderlich . . . . . . . . . . . . . . . . . . . . 7 b) Das BVerfG als das (einzige) Bollwerk des Datenschutzes in Deutschland . . . . . . . . . . . . . 9 c) Datenschutz und Compliance – ungelöster Widerspruch zu Lasten der Datenverarbeiter. . . 15 II. Ausgewählte Neuerungen des LIBE-Kompromissvorschlags . . . . 1. Personenbezug . . . . . . . . . . . . . . . . 2. Zweckbindung. . . . . . . . . . . . . . . . 3. Vorverlagerung des Datenschutzes auf die Systemhersteller (Datenschutz als Produzentenpflicht) . . . . . . . . . . . . . . . . . . . 4. Das Instrument der Einwilligung sowie der Spezialfall der Daten von Minderjährigen . . . . . . . . . . . . 5. Beschäftigtendatenschutz. . . . . . . 6. Konzernprivileg . . . . . . . . . . . . . . . 7. Datenschutzbeauftragter . . . . . . .
23 25 28
30 36 42 45 47
Rz. III. Bewertung und Ausblick . . . . . . . 1. Problem des Schutzgutes und der Perpetuierung des bisherigen Ansatzes der Atomisierung des Persönlichkeitsschutzes . . . . . . . . a) Daten statt Information . . . . . . b) Das Prinzip der Zweckbindung . . . . . . . . . . . . . . . . . . . 2. Das Problem des Rangverhältnisses . . . . . . . . . . . . . . . . . . . . 3. Versuch der Beschreibung nicht abgedeckten Risikopotentials . . . . . . . . . . . . . . . . . . . . a) Beobachtungsdruck . . . . . . . . . b) Totalerfassung . . . . . . . . . . . . . . c) Verlagerung der Schutzproblematik . . . . . . . . . . . . . . . . 4. Der Kumulationseffekt für Gesellschaft und Einzelnen fehlt beim DatenschutzSzenario . . . . . . . . . . . . . . . . . . . . . 5. Aufbürdung praktisch nicht erfüllbarer Pflichten auf den Datenverarbeiter . . . . . . . . . . . . . . a) Technisch/organisatorische Maßnahmen und deren Konzept . . . . . . . . . . . . . . . . . . . b) Verlagerung der Unmöglichkeit der Gestaltung/Modellierung des Schutzgutes auf den Normadressaten . . . . . . . . . . . .
50
50 51 54 55 61 61 62 64
67 69 69
74
I. Stand des Verfahrens und Einordnung des LIBE-Kompromissvorschlags 1. Kommissionsentwurf vom 25.1.2012 Die EU-Kommission hatte am 25.1.2012 einen Entwurf einer Daten- 1 schutz-Grundverordnung veröffentlicht1, der europaweit – vor allem in 1 „Verordnung des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz-Grundverordnung)“ (Kom(2012) 11 endgültig). Conrad/Schneider
1119
§ 69
Datenschutzprinzipien fr eine EU-Datenschutz-Grundverordnung
Deutschland – eine breite Diskussion über den EU-Datenschutz auslöste1. Bis März 2013 gab es aus den Mitgliedstaaten 3133 Änderungsanträge, allein 10 Änderungsanträge zu dem umstrittenen „Recht auf Vergessenwerden“. Zu den meistkritisierten Einzelpunkten gehörten auch ein weitgehendes Recht auf Datenportabilität sowie eine deutliche Beschneidung der Einwilligung als Rechtsgrundlage. Der Kommissionsentwurf vom 25.1.2012 sah vor, dass die Einwilligung per se unwirksam sein soll, wenn zwischen dem Einwilligenden und der verantwortlichen Stelle ein erhebliches Ungleichgewicht besteht. Neben diesen Einzelpunkten gab es diverse grundsätzliche Bedenken gegen den Verordnungsentwurf, so etwa gegen das Instrument der Verordnung an sich. Auch wenn eine stärkere europaweite Vereinheitlichung, als es bislang unter Geltung der Richtlinie 95/46/EG2 gelungen ist, vor allem von der Wirtschaft gewünscht wird, würde die Verordnung diverse nationale Spezialvorschriften (etwa im Sozialdatenschutz3) beseitigen, ohne angemessen austarierte, spezifische und konkretisierte Ersatzlösungen zu bieten. Das gilt umso mehr, als die geplante Datenschutz-Grundverordnung – mit wenigen Ausnahmen abgesehen4 – für den nicht-öffentlichen und den öffentlichen Bereich gleichermaßen Anwendung finden soll. 2
Der EU-Ministerrat (Rat der Innen- und Justizminister) begrüßte manche neuen Ansätze des Kommissionsentwurfs, etwa die stärkere Risikoorientierung5 und das Prinzip einer zentralen aufsichtsbehördlichen Anlaufstelle (one-stop-shop mechanism). Gleichzeitig lehnte der Ministerrat6 die geplante Ausgestaltung in der Datenschutz-Grundverordnung ab und bemängelte die unzureichende Konkretisierung des risikoorientierten Ansatzes. Im Kommissionsentwurf vom 25.1.2012 war vorgesehen, dass für ein Unternehmen die Datenschutz-Aufsichtsbehörde in dem Land zuständig sein soll, in dem sich dessen Hauptniederlassung befindet. Ein 1 Siehe statt vieler DAV-Stellungnahmen Nr. 47/2012 und Nr. 37/2013, abrufbar unter www.anwaltverein.de; Hornung, ZD 2012, 99 ff. 2 Richtlinie 95/46/EG v. 24.10.1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr. 3 Der im LIBE-Ausschuss am 21.10.2013 verabschiedete Entwurf sieht hinsichtlich Sozialdaten die Befugnis der Mitgliedstaaten vor, spezifische Regelungen zu schaffen, vgl. Art. 82a. Insgesamt aber weniger delegierte Rechtsakte im Vergleich zum Entwurf v. 25.1.2012. „Delegated Acts“ erwähnt in Art. 13a Abs. 5, 17 Abs. 9, 38 Abs. 4, 39 Abs. 3, 41 Abs. 3, 5, 6a, 43 Abs. 3, 79 Abs. 7, 81 Abs. 3. 4 Für den polizeilichen Bereich ist eine „Richtlinie des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Aufdeckung, Untersuchung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr“ (KOM(2012) 10 endgültig) geplant. 5 Siehe dazu auch https://www.gdd.de/aktuelles/news/rat-der-europaischen-unionspricht-sich-fur-den-risikoorientierten-ansatz-der-eu-datenschutz-grundverord nung-aus. 6 S. zu einem Vermerk der litauischen Ratspräsidentschaft Heise-Meldung v. 7.10.2013, 15:49. S. auch Rat der Europäischen Union, Pressemitteilung 14149/13 v. 7./8.10.2013, S. 7 f.
1120
Conrad/Schneider
I. Stand des Verfahrens und Einordnung des LIBE-Kompromissvorschlags
§ 69
Unternehmen, das in mehreren Mitgliedstaaten niedergelassen ist, soll dann nur noch von einer einzigen Aufsichtsbehörde geprüft werden. Für die Unternehmen soll das Prinzip eine Erleichterung darstellen, auch sollen die Rechte der betroffenen Personen besser durchsetzbar sein. Die Justiz- und Innenminister der Europäischen Union stimmen dem zwar im Grundsatz zu, aber nicht in der von der EU-Kommission vorgeschlagenen Ausgestaltung1. 2. Einigung im LIBE-Ausschuss am 21.10.2013 Am 21.10.2013 standen insgesamt 102 Änderungsanträge zu den 91 Arti- 3 keln des Entwurfs der Datenschutz-Grundverordnung vom 25.1.2012 auf der Tagesordnung des Innenausschusses des Europäischen Parlaments (Ausschuss für bürgerliche Freiheiten, Justiz und Inneres – LIBE). Alle Änderungsanträge wurden mit großer Mehrheit angenommen2. Die Fraktionen im Europäischen Parlament hatten sich am 17.10.2013 auf Kompromisse geeinigt3. Dennoch hat die schnelle Einigung am 21.10.2013 manchen Beobachter überrascht. In der Abstimmung am 21.10.2013 wurde dem LIBE-Ausschuss das Ver- 4 handlungsmandat erteilt für die sog. Trilog-Verhandlungen zwischen EP, Rat und EU-Kommission. Das EP wird die beschlossenen Punkte als Verhandlungsgrundlage in das Trilogverfahren einbringen. Der Trilog selbst beginnt, sobald sich die Mitgliedsstaaten ebenfalls auf eine gemeinsame Position verständigt haben. Um das Gesetzesvorhaben noch vor den Neuwahlen des EP im Mai 2014 abschließen zu können, wurde der zuständige Berichterstatter des EP für die Datenschutzreform, Jan Philipp Albrecht, ermächtigt, ohne 1. Lesung im Plenum des EP, in direkte Verhandlungen mit dem EU-Rat und der EU-Kommission einzusteigen. Der Kompromissvorschlag vom 21.10.2013 (im Folgenden DSGVO-E) 5 bemüht sich erkennbar, viele Anregungen und Kritikpunkte zum Kommissionsentwurf vom 25.1.2013 aufzugreifen und zu lösen4. Der Kommissionsentwurf war an vielen Stellen – etwa hins. des Umgangs mit Beschäftigtendaten – sehr unkonkret bzw. er sah die Befugnis der Kommission vor, zur Konkretisierung delegierte Rechtsakte zu erlassen. Spe1 Zum One-stop-Shop und der Verwässerung s. recital (98a) in der im LIBE-Ausschuss verabschiedeten Fassung der DSGVO. 2 Eine vorläufige konsolidierte Fassung des aktuellen Verordnungstextes kann von der Website des für die EU-Datenschutzreform zuständigen Berichterstatters, Jan Philipp Albrecht, unter www.janalbrecht.eu/fileadmin/material/Doku mente/DPR-Regulation-inofficial-consolidated-LIBE.pdf abgerufen werden. Die Kompromissänderungsanträge können als „redline“-Version unter www.weiden holzer.eu/wp-content/uploads/2013/10/EUDATAP_allcompromises.pdf oder unter www.edri.org/eudatap-leak abgerufen werden. 3 Härting, CR 2013, 715 ff. 4 S. etwa Anregung der Artikel-29-Gruppe, die Anforderungen an Zweckbindung zu klären, Working Paper 203 „On purpose limitation“ v. 2.4.2013. Conrad/Schneider
1121
§ 69
Datenschutzprinzipien fr eine EU-Datenschutz-Grundverordnung
ziell im Hinblick auf Beschäftigtendaten sieht der LIBE-Ausschuss „minimum standards“ vor (vgl. Art. 82 DSGVO-E). Doch das Grundproblem der Datenschutz-Grundverordnung wird nicht gelöst. 6
Mit der Verabschiedung des Kompromissvorschlages im LIBE-Ausschuss ist es zumindest möglich, dass die Datenschutz-Grundverordnung (vor den nächsten Wahlen) verabschiedet werden kann. Zahlreiche Änderungen waren vorgeschlagen und zu einem erheblichen Teil auch eingebaut worden. Im Folgenden unter II. werden diese Änderungen anhand ausgewählter Beispiele näher untersucht und dargestellt, unter III. folgen eine grundsätzliche Bewertung und ein Ausblick. 3. Grundlegende datenschutzrechtliche Weichenstellungen a) Planungssicherheit erforderlich
7
Abstrakte und unpräzise Datenschutzvorschriften sind die Konsequenz eines Verbotsprinzips, das das komplizierte Zusammenspiel verschiedener grundrechtlicher Positionen (u.a. Persönlichkeitsrecht, Privatheit, informationelle Selbstbestimmung und Fernmeldegeheimnis einerseits gegen Meinungs-, Eigentums- und Berufsfreiheit andererseits) nur unzureichend lösen kann. Im Ergebnis führen Verbotsprinzip und Unklarheit bei den Erlaubnisvorschriften dazu, dass die verantwortlichen Stellen auch Jahre nach Inkrafttreten der Datenschutz-Grundverordnung nicht verlässlich planen können, zumal eine europäische Rechtsprechung im Datenschutz weitgehend fehlt. Mit der Umsetzung von datenschutzrechtlichen Vorgaben wie der Erstellung eines internen Verfahrensverzeichnisses oder der Erstellung und Genehmigung von Binding Corporate Rules sind größere Unternehmen teils viele Monate beschäftigt.
8
In vielen Fälle erfordert eine Umsetzung von Datenschutzvorschriften, dass bereits zu einem sehr frühen Zeitpunkt – nämlich bei Planung der Einführung von IT-Systemen (also in der Phase der Lastenhefterstellung und Ausschreibung von IT-Projekten) – grundlegende datenschutzrelevante Weichenstellungen erfolgen (etwa zu Pseudonymisierungskonzepten wie pseudonyme/anonyme Prüfrollen und Auswertungen, Umsetzung des Trennungsprinzips etwa in Form der sog. Mandantenfähigkeit von IT-Systemen, Einschränkung von Datenexportfunktionen etc.). Müssen (neue) datenschutzrechtliche Vorgaben nachträglich IT-seitig umgesetzt werden, ist dies für die verantwortliche Stelle nur mit sehr großem Aufwand und Kosten möglich. Die Problematik ist zwar nicht neu und ergibt sich bereits jetzt, wenn Einkauf und IT-Abteilungen von Unternehmen zu spät Datenschutzbelange in ihrer Planung berücksichtigen. In der Diskussion um eine Datenschutz-Grundverordnung kam jedoch dieser Aspekt und das daraus folgende Dilemma für die Unternehmen bislang nicht zur Sprache.
1122
Conrad/Schneider
I. Stand des Verfahrens und Einordnung des LIBE-Kompromissvorschlags
§ 69
b) Das BVerfG als das (einzige) Bollwerk des Datenschutzes in Deutschland Angesichts der sich erweiternden Skandal-Nachrichten zu PRISM u.ä.1 9 ist der Gedanke naheliegend zu hoffen, die Datenschutz-Grundverordnung würde solchem Missbrauch einen Riegel vorschieben und dem Bürger bzw. dem Einzelnen einen wirksamen Schutz seiner Privatsphäre gegenüber der Verarbeitung seiner Daten bieten2. Dass gerade aus Deutschland erhebliche Skepsis gegenüber dem Verbotsprinzip geäußert wurde, liegt primär an dessen notwendigen Folgen, nämlich zahlreichen, äußerst aufwändig geschaffenen und zu vollziehenden Erlaubnis-Normen3. Bei der Diskussion um die Zukunft des Datenschutzes ist unvermeidbar, dass es auch Stimmen gibt, die sich des Themas bemächtigen, aber nur die DSGVO als solche verhindern, nicht aber den Datenschutz wirklich effektuieren wollen. Die EU-Kommission äußert Erstaunen über die scheinbar widersprüchliche Haltung Deutschlands4. Schon auf Grund des Gebots der Datenvermeidung und Datensparsamkeit 10 (§ 3a BDSG) sind die verantwortlichen Stellen gehalten, datenschutzfreundliche Techniken und Verfahren einzusetzen und insbesondere zu prüfen, ob im Einzelfall zur Analyse und Auswertung anonymisierte Daten ausreichend sind5. Geht jedoch die beabsichtigte Datenerhebung, -verarbeitung und -nutzung über gesetzliche Erlaubnistatbestände und Gestaltungsspielräume6 hinaus und liegt – im Hinblick auf Beschäftigtendaten – auch keine entsprechende Betriebsvereinbarung vor (etwa weil im Unternehmen kein Betriebsrat besteht), dann bleibt regelmäßig als einzige Option die datenschutzrechtliche Einwilligung der Betroffenen. Die Einwilligungslösung ist jedoch für den Datenverarbeiter alles andere als optimal und nur in den seltensten Fällen Ausdruck wahrer informationeller Selbstbestimmug des Betroffenen. 1 S.a. zum Skandal als Chance und Herausforderung für die DSGVO: Selmayr, ZD 2013, 525; Petri, ZD 2013, 557. 2 S. aber Stadler, Der Datenschutz bietet keine Handhabe gegen die Überwachungspraxis der Geheimdienste, http://www.internet-law.de/2013/11/der-daten schutz-bietet-keine-handhabe-gegen-die-ueberwachungspraxis-der-geheimdienste. html. 3 Dieses Problem hatten die Mitgliedsstaaten wohl z.T. durch Generalklauseln gelöst. Dies war aber eigentlich nicht im Sinne der DS-RL. Insofern wird das Problem in diesen Staaten nun durch die GVO erst richtig bewusst und virulent. 4 Dazu etwa Selmayr, ZD 2013, 525; Albrecht, ZD 12/2013, i.E. 5 Anonymisierte Datenverarbeitung ist datenschutzrechtlich weitgehend unproblematisch. Gemäß § 15 Abs. 3 TMG ist auch eine pseudonyme Verarbeitung von Nutzungsdaten zu Werbezwecken erlaubt, ohne dass es einer Einwilligung bedarf. Allerdings hat der Nutzer, wie bereits dargestellt, die Möglichkeit zu widersprechen. Auf dieses Widerspruchsrecht ist der Nutzer hinzuweisen. Zu Einwilligungen im Rahmen TMG s. auch Schafft/Ruoff, CR 2006, 499. 6 Als Gestaltungsspielraum kann z.B. § 11 BDSG angesehen werden. Wird eine Datenweitergabe an Dritte technisch, organisatorisch und vertraglich so geregelt, dass sie die Anforderungen des § 11 BDSG erfüllt, erfordert die Datenweitergabe keine Einwilligung der Betroffenen. Conrad/Schneider
1123
§ 69
Datenschutzprinzipien fr eine EU-Datenschutz-Grundverordnung
11
Der Betroffene kann die Einwilligung widerrufen und eine nachträgliche Zustimmung hat für bereits ohne Einwilligung und sonstige Erlaubnis durchgeführte Datenverarbeitungsmaßnahmen, also für die Vergangenheit, keine legalisierende Wirkung1. Ändern sich die Umstände (etwa Datenkategorien und Datenempfänger), müssen neue Einwilligungen eingeholt werden. Allein das macht die Einwilligung zum schwer handhabbaren Instrument für den Datenverarbeiter.
12
Der Regelfall in der betrieblichen Praxis sind formularmäßige Einwilligungserklärungen. Die Anforderungen daran sind im Hinblick auf die erforderliche Transparenz besonders hoch2. Nach Ansicht der obersten Datenschutzaufsichtsbehörden im nicht-öffentlichen Bereich („Düsseldorfer Kreis“) ist es irreführend, wenn die verantwortliche Stelle versucht, gesetzlich erlaubte Datenverarbeitung (etwa Zweckbestimmung des Vertragsverhältnisses mit dem Kunden, § 28 Abs. 1 Nr. 1 BDSG), auf eine Einwilligung des Betroffenen zu stützen3. Durch die Bitte um Einwilligung gewinnt der Betroffene den Eindruck, er habe eine echte Wahl und könne seine Einwilligung zu einem späteren Zeitpunkt widerrufen. Darf jedoch das Unternehmen bereits auf Grund gesetzlicher Erlaubnis die Daten des Betroffenen verarbeiten und nutzen, wäre ein Widerruf des Betroffenen wirkungslos, denn das Unternehmen dürfte auch nach Widerruf bzw. ohne Einwilligung mit den Daten operieren. Eine irreführende Einwilligung ist jedoch mangels Transparenz für den Betroffenen bereits nach AGB-rechtlichen Grundsätzen unwirksam (§ 307 Abs. 1 BGB)4.
13
Es gibt eine Art Schnappschuss, der die Unpraktikabilität des Verbotsprinzip und die Hilflosigkeit des Datenschutzrechts, was die Kollision von Datenverkehrsrechten und Persönlichkeitsfacetten betrifft, dokumentiert: Simitis (der das Datenschutzrecht seit seinen Anfängen begleitet, der die Datenschutzliteratur mitgeprägt hat und nicht verdächtig ist, den Datenschutz boykottieren zu wollen) geht in seinem Kommentar zum BDSG unverändert nun schon seit mindestens 10 Jahren davon aus, dass die verantwortliche Stelle sehr wohl auch für gesetzlich erlaubte Datenverarbeitungstatbestände Einwilligungen einholen kann, „um mögliche Zweifel an der Zulässigkeit der Datenverarbeitung auszuschließen“5. 1 Hingewiesen sei auf die Straf- und Bußgeldvorschriften in §§ 43, 44 BDSG. 2 Ayad/Schafft, BB 2002, 1711 ff.; s.a. sogleich zu BGH v. 16.7.2008 – VIII ZR 348/06 – Payback – mit Zitat der Klausel. 3 S. im Zusammenhang mit Einwilligung von Mitarbeitern zum konzerninternen Datenaustausch: Regierungspräsidium Darmstadt, Arbeitsbericht der Ad-hocArbeitsgruppe „Konzern-interner Datentransfer“, S. 11; dieser Ansicht ist auch die Artikel-29-Datenschutzgruppe, Stellungnahme 8/2001. 4 Das Verlangen einer pauschalen Einwilligungserklärung, die auch die Bereiche umfasst, die ohnehin erlaubt sind, kann unter dem Gesichtspunkt des Werbens mit Selbstverständlichkeiten wettbewerbswidrig sein. 5 S. Simitis in Simitis, BDSG, 5. Aufl. 2003, § 28 Rz. 28; ebenso 6. Aufl. 2006 und (aktuell) 7. Aufl. 2011.
1124
Conrad/Schneider
I. Stand des Verfahrens und Einordnung des LIBE-Kompromissvorschlags
§ 69
Allerdings müsse sich die verantwortliche Stelle an diesem Weg festhalten lassen und dürfe nicht auf einen gesetzlichen Erlaubnistatbestand zurückgreifen, wenn der Betroffene die Einwilligung verweigert oder widerruft. Das bedeutet in der Konsequenz, dass selbst Simitis davon ausgeht, dass die gesetzlichen Datenschutzvorschriften (zu) kompliziert sind, um als taugliche Richtschnur für die alltägliche Datenverarbeitung im nichtöffentlichen Bereich zu dienen. Mit Erlaubnisnormen und deren sehr hohem Verwaltungsaufwand (Auf- 14 sichtsbehörden, Datenschutzbeauftragte), einschließlich diverser Gerichtsurteile v.a. zu Marketingmaßnahmen, liegen in Deutschland nach nunmehr bald 35 Jahren BDSG und 30 Jahren Informationelle Selbstbestimmung umfangreiche Erfahrungen vor. Die Quintessenz dieser Erfahrung ist, dass die Alltagsdatenverarbeitung überreguliert ist, was in mangelnder Akzeptanz des Datenschutzes mündet. Gleichzeitig werden die kritischen Datenverarbeitungssituationen allenfalls vom BVerfG mittels GG, aber nicht vom BDSG gestoppt. c) Datenschutz und Compliance – ungelöster Widerspruch zu Lasten der Datenverarbeiter Mittlerweile ist die Verwirrung in Deutschland über die Anwendbarkeit 15 und Reichweite von Erlaubnistatbeständen selbst bei den Gerichten und Datenschutzexperten groß. Vor 2007 schienen die Zivil- und Strafgerichte selten Vorschriften des BDSG auch nur heranzuziehen. Im Zusammenhang mit Terrorlistenabgleichen von Beschäftigtendaten hat unlängst ein oberstes Gericht (der Bundesfinanzhof1) die Vorinstanz abgekanzelt, weil die Vorinstanz den Anwendungsbereich von § 32 Abs. 1 Satz 1 BDSG – im Einklang mit der wohl herrschenden Ansicht2 im Datenschutz – eng 1 BFH v. 19.6.2012 – VII R 43/11: „[…] seitens der Revision vertretene Ansicht, bei Listenabgleich würden personenbezogene Daten der Beschäftigten ‚außerhalb des Beschäftigungsverhältnisses verwendet‘, ist nicht nachvollziehbar. […] Hinweise der Revision auf BVerfG zur automatischen Kennzeichenerfassung, Rasterfahndung oder Vorratsdatenspeicherung und insoweit erforderlichen gesetzlichen Eingriffsgrundlagen liegen neben der Sache.“ 2 Sehr enge Auslegung (m.M.): Bisges (MMR 2009, Heft 4, XX), der vertritt, dass nur die Erfüllung von Hauptleistungspflichten vom Vertragszweck (des Beschäftigungsvertrages) gedeckt ist, nicht aber Schutz- und Nebenpflichten. Die h.M. geht etwas weiter, aber dennoch enge Auslegung der Erforderlichkeit und der Zweckbestimmung i.S.v. § 32 Abs. 1 Satz 1 BDSG, wobei jedoch für die mittelbaren Zwecke ggf. § 28 Abs. 1 Satz 1 Nr. 2 BDSG für anwendbar gehalten wird: statt vieler Barton, RDV 2009, 200 ff.; Gola/Klug, NJW 2009, 2577 (2580); Gola/ Jaspers, RDV 2009, 212; im Einklang mit der wohl weitgehenden einheitlichen Ansicht der Aufsichtsbehörde siehe etwa des LfD Schleswig-Holstein, 32. Tätigkeitsbericht, 2009, S. 98 f. („GPS-Tracking bei Fahrzeugen im Außendienst“ für die Optimierung des Flotteneinsatzes und die Sicherung des Eigentums als berechtigte Interessen gemäß § 28 Abs. 1 Satz 1 Nr. 2 BDSG zulässig, jedoch nicht lückenlose Überwachung des Beschäftigten), ähnlich LfD BW, 5. TB 2007–2008, S. 29 und LfD Brandenburg, 15. TB 2008–2009. A.A. (m.M.), nämlich weite AusConrad/Schneider
1125
§ 69
Datenschutzprinzipien fr eine EU-Datenschutz-Grundverordnung
ausgelegt und zur Begründung, bei Terrorlistenabgleichen durchaus einschlägige (!), Entscheidungen des BVerfG zur automatischen Kennzeichenerfassung, Rasterfahndung oder Vorratsdatenspeicherung herangezogen hat. Im Fall des BFH weigerte sich der Arbeitgeber, bestimmte Beschäftigtendaten mit den sog. EU-Antiterrorlisten abzugleichen. Die Zollämter verlangen die Listenabgleiche gemäß Art. 14k Abs. 1 Buchst. f der Zollkodex-Durchführungsverordnung (ZKDVO)1 als Voraussetzung für das sog. AEO-Zertifikat. Bei solchen, von Dritten (z.B. öffentlichen Stellen) auferlegten Kontrollmaßnahmen befindet sich die verantwortliche Stelle häufig in einer Zwickmühle, weil sie einerseits die Vorschriften zum Beschäftigtendatenschutz einhalten will und muss und andererseits mit Compliance-Vorgaben konfrontiert ist, die sich zwar theoretisch datenschutzfreundlich(er) umsetzen lassen, was aber praktisch von vielen Kontrollstellen (seien es Zollämter, Subventionsgeber, Förderbanken, Rechnungshöfe etc.) nicht akzeptiert wird. 16
Häufig haben die verantwortlichen Stellen in diesem Fall die Wahl zwischen Pest und Cholera – wie sich auch am Beispiel der Terrorlistenabgleiche zeigt. Exportierende Unternehmen benötigen z.B. das AEO-Zertifikat, weil anderenfalls die Zollformalitäten das Exportgeschäft zum Erliegen bringen. Das Luftfahrtbundesamt setzt für einen mit dem AEOZertifikat vergleichbaren Status im Luftfrachtverkehr (sog. „bekannter Versender“) keinen Listenabgleich voraus. Allein das spricht tendenziell gegen die Erforderlichkeit der Listenabgleiche.
17
Der Weg über Einwilligungen der Beschäftigten ist kaum zu empfehlen, weil die Arbeitsgerichte Arbeitnehmereinwilligungen in Kontrollmaßnahmen häufig mangels Freiwilligkeit als unwirksam betrachten2. Der Bundesfinanzhof hat in der zitierten Entscheidung zu den Terrorlistenabgleichen die Augen vor diesem Dilemma verschlossen und in Richtung auf die verantwortliche Stelle nahezu zynisch angemerkt: „Falls die Klägerin weiterhin Bedenken hat, ob der Vergleich der Stammdaten ihrer Beschäftigten mit den Listen der VO Nr. 2580/2001 und VO Nr. 881/2002 gemäß § 32 Abs. 1 Satz 1 BDSG zulässig ist, kann sie eine entsprechende legung der Zweckbestimmung und der Erforderlichkeit, ausgerichtet am unternehmerischen Konzept des Arbeitgebers: Deutsch/Diller, DB 2009, 1463. 1 Wörtlich heißt es dort: „der Antragsteller [Arbeitgeber] unterzieht, soweit gesetzlich zulässig, künftig in Sicherheitsbereichen tätige Bedienstete einer Sicherheitsüberprüfung und nimmt regelmäßige Hintergrundüberprüfungen vor“. 2 Problematisch ist im Rahmen von Arbeitsverhältnissen insbesondere die Freiwilligkeit der Einwilligungserklärung des Arbeitnehmers. Auf dem Arbeitnehmer lastet in der Regel ein erheblicher Druck, die Einwilligung zu erteilen. Die wohl h.M. geht davon aus, dass trotz Abhängigkeitsverhältnis die Einwilligung eines Arbeitsnehmers Legitimationswirkung haben kann, vgl. Gola, RDV 2002, 109 ff.; Lejeune, ITRB 2005, 94 (96). Unabhängig davon ist die Einwilligung als rechtsmissbräuchlich und unwirksam anzusehen, wenn sie gegen zwingende Schutzprinzipien verstößt. Eine Einwilligung des Arbeitnehmers darf nicht dazu führen, dass der Arbeitgeber Arbeitnehmerdaten verarbeitet oder übermittelt, die er nach arbeitsrechtlichen Grundsätzen nicht verarbeiten darf.
1126
Conrad/Schneider
I. Stand des Verfahrens und Einordnung des LIBE-Kompromissvorschlags
§ 69
Einwilligung der betroffenen Beschäftigten einholen, durch die datenschutzrechtliche Bedenken jedenfalls ausgeräumt werden (§ 4 Abs. 1 BDSG). […] Falls diese Bedingungen der Klägerin nicht akzeptabel oder erfüllbar erscheinen, steht es ihr frei, auf das Zertifikat zu verzichten.“1. Das BFH-Urteil ist umso bemerkenswerter, weil die obersten Aufsichts- 18 behörden für den Datenschutz im nicht-öffentlichen Bereich einen Abgleich von Mitarbeiterdaten mit „Antiterrorlisten“ durch Unternehmen auf Grundlage von Art. 2 der Verordnung (EG) Nummer 881/2002 und Art. 2 der Verordnung (EG) Nummer 2580/2001 ausdrücklich für unzulässig hielten und halten. In seinem Beschluss vom 24.4.2009 führte der Düsseldorfer Kreis aus, dass diese Verordnungen keine hinreichend bestimmte Rechtsgrundlage für Beschäftigtendaten-Screening aufgrund Gesetzes i.S.d. § 4 Abs. 1 BDSG enthalten. Tatsächlich schreiben die Verordnungen lediglich vor, dass den im Anhang zu diesen Verordnungen genannten Personen weder direkt noch indirekt Geld oder sonstige wirtschaftliche Ressourcen zur Verfügung gestellt werden dürfen. Systematisches, anlassunabhängiges Screening schreiben die Verordnungen jedenfalls nach dem Wortlaut nicht vor. Auch die Erforderlichkeit und Verhältnismäßigkeit der Listenabgleiche durch den Arbeitgeber ist fraglich, weil zumindest in Deutschland Löhne und Gehälter nicht bargeldlos ausgezahlt werden und die Kreditinstitute nach KWG ohnehin die Listenabgleiche bei jeder Überweisung vornehmen. Im Beschluss vom 22./23.11.2011 hat der Düsseldorfer Kreis seine Ansicht zur Unzulässigkeit des Beschäftigtenscreening bei der AEO-Zertifizierung bestätigt, was aber den BFH nicht weiter tangiert hat. Das AEO-Zertifikat wird seit Mai 2012 anerkannt durch die USA, die 19 wiederum ein eigenes Zertifikat hat – US Customs-Trade Partnership Against Terrorism (C-TPAT) – das umgekehrt von der EU und den nationalen Zollbehörden anerkannt wird2. Laut EU-Kommissar Šemeta das Abkommen der gegenseitigen Anerkennung „ein wichtiger Schritt für die Handelsbeziehungen zwischen der EU und den USA“. Datenschutzerwägungen spielen dabei (anscheinend) keine Rolle. Denn in den USA gibt es nicht etwa dieselben Antiterrorlisten wie in der EU, bei denen ein Abgleich mittels einer von der EU zur Verfügung gestellten Website vergleichsweise datensparsam möglich ist. Vielmehr gibt es weltweit etwa 40 Antiterrorlisten, davon diverse aus den USA3 und aus Japan. Kommer-
1 BFH v. 19.6.2012 – VII R 43/11. 2 S. Pressemitteilung der EU-Kommission (IP/12/449) v. 4.5.2012, „Zoll: EU und USA vereinbaren gegenseitige Anerkennung ihrer ‚vertrauenswürdigen Händler‘“, abrufbar unter http://europa.eu/rapid/press-release_IP-12-449_de.htm. 3 Z.B. Denied Persons List (DLP), Entity List u. Unverified List des US Department of Commerce, Specially Designated National and Blocked Persons List (SDN-List) des Office of Foreign Assets Control (OFAC), List of Statutorily Debarred Parties (Department List des Directorate of Defence Trade Controls DDTC). Conrad/Schneider
1127
§ 69
Datenschutzprinzipien fr eine EU-Datenschutz-Grundverordnung
zielle Anbieter stellen Software-Tools zur Verfügung, die einen Abgleich mit allen üblichen Listen ermöglichen. 20
Angesichts dieser Praktiken verwundert nicht, dass die schon lange währende Skandal-Praxis des Ausspähens bis zu den Enthüllungen Snowdens an der Kommission, den Datenschutzgremien, Aufsichtsbehörden bzw. den Datenschutzbeauftragten vorbeigegangen ist. Das stellt jedoch in Frage, was bisher an Datenschutzrecht gegolten hat. Weder RL 95/46/EG noch BDSG haben wirksamen Schutz gegen Ausspähung geboten, jedenfalls keinen, der von amtlicher oder gar außereuropäischer Stelle als solcher gewürdigt würde. Das stellt v.a. die bisherigen Datenschutzinstrumente in Frage und lässt Zweifeln, ob das Problem wirklich nur in einer mangelnden Umsetzung der RL 95/46/EG liegt1. Wenn die alten Regelungen nicht zur Durchsetzung des Datenschutzes taugen, wäre ein neues, mächtigeres Konzept gefragt. Wenn die neue Regelung der DSGVO letztlich nur die bisherigen Vorschriften im Sinne gleicher Konzeption fortsetzt, kann nicht erwartet werden, dass sich Wesentliches verbessert. Im Gegenteil, bei gestiegenen Anforderungen durch neue Techniken und Geschäftsmodelle (Smart Devices, Cloud, Big Data etc.) und deren massenhafte Nutzung wird sich die Performance des Datenschutzes voraussichtlich (noch weiter) verschlechtern. Dies liegt auf der Linie von Entscheidungen des BVerfG, die – ohne dies näher auszuführen – das BDSG für nicht als ausreichend ansahen2.
21
Trotz der vollharmonisierenden Wirkung der Richtlinie3 besteht angeblich die Notwendigkeit einer unmittelbar wirkenden Datenschutz-Grundverordnung. Tatsächlich ist die Umsetzung der Richtlinie in den Mitgliedsstaaten im Detail unterschiedlich, was u.a. internationale Auftragsdatenverarbeitung sehr erschwert. Die DSGVO kann nur eine (etwas stärkere) Vereinheitlichung bringen, wenn sie wenig unbestimmte Rechtsbegriffe enthält. Diese Voraussetzung erfüllt auch der Kompromissvorschlag des LIBE-Ausschusses nur zum Teil. Letztlich muss sich eine Rechtsprechung im Datenschutz zur Ausfüllung der abstrakten Anforderungen bilden, die ihrerseits erst noch europaweit vereinheitlicht werden muss. Es versteht sich daher, dass eine Grundverordnung wesentlich konkreter und wesentlich präziser sein muss, wenn sie unmittelbare Geltung in jedem Mitgliedstaat haben soll und die vereinheitlichende Wirkung im Detail entstehen soll.
22
Die Datenschutz-Grundverordnung soll auch für Daten gelten, die von EU-Unternehmen außerhalb der EU verarbeitet werden sowie für Daten 1 Die DSGVO wird keinen Schutz gegenüber der Überwachung durch Geheimdienste bieten, s.a. Stadler, http://www.internet-law.de/2013/11/der-datenschutzbietet-keine-handhabe-gegen-die-ueberwachungspraxis-der-geheimdienste.html. 2 So etwa BVerfGE 65, 1 („Volkszählungsurteil“ BVerfG v. 27.2.2008 – 1 BvR 370/07, 1 BvR 595/07 – Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme. 3 So der EuGH v. 24.11.2011 – Rs. C-468/10.
1128
Conrad/Schneider
II. Ausgewhlte Neuerungen des LIBE-Kompromissvorschlags
§ 69
von EU-Bürgern, die außerhalb der EU erhoben oder verarbeitet werden. Dieser als Anspruch auf „Weltgeltung“ bezeichnete Anwendungsbereich fand sich bereits im Kommissionsentwurf und wurde im Kompromissvorschlag des LIBE-Ausschuss nicht aufgegeben (vgl. Art. 3 Abs. 1 und 2 DSGVO-E). Durch die Bezugnahme auf „monitoring“ in Art. 3 Abs. 2 lit. b soll klargestellt werden, dass der Geltungsanspruch europäischen Datenschutzrechts jegliches Tracking von EU-Bürgern durch außereuropäische Unternehmen, v.a. außerhalb der Erbringung von Dienstleistungen erfasst. Gegenüber den angedeuteten Geheimdienst-Skandalen stellt sich die Frage, ob speziell gegenüber der NSA und vergleichbaren Stellen bessere Schutzmöglichkeiten durch die Grundverordnung entstehen. Die Durchsetzbarkeit der Weltgeltung soll hier nicht näher vertieft werden. Es soll vielmehr die grundsätzliche Frage gestellt werden, was eigentlich das Ziel „besserer“ Datenschutz konkret bedeutet und erfordert. Wenn nämlich der Datenschutz sich nicht erheblich durch die DatenschutzGrundverordnung verbessern würde, so wäre mit dem Riesenaufwand nichts gewonnen.
II. Ausgewählte Neuerungen des LIBE-Kompromissvorschlags Eine erhebliche Verbesserung des bisherigen Datenschutzrechts wäre v.a. 23 für die alltägliche Datenverarbeitung, also für die Normalfälle, erforderlich. Dort sind – zumindest im nicht-öffentlichen Bereich – die Grundrechte der Datenverarbeiter mit den Grundrechten der Betroffenen verzahnt und verwoben1. Die Datenschutz-Grundverordnung könnte insoweit ein gewichtiges Instrument, nämlichen den „freien Datenverkehr“, nutzen, um interessengerechte Lösungen herbeizuführen. Allerdings passen freier Datenverkehr und Verbotsprinzip nicht recht zusammen. Insofern verwundert nicht, dass das Recht auf „freien Datenverkehr“ in 24 Art. 1 Abs. 1 DSGVO-E v. 21.10.2013 zwar erwähnt wird, aber bloßer Programmsatz bleibt (insofern keine Verbesserung gegenüber dem Kommissionsentwurf). Wesentlich stärker ist das Verbotsprinzip als Schutzkonzept ausgearbeitet, vgl. Art. 5 DSGVO-E v. 21.10.2013. 1. Personenbezug Beim Personenbezug und insbesondere bei der spannenden Frage der Per- 25 sonenbeziehbarkeit („identifiable“) scheint der Kompromissvorschlag vom 21.10.2013 (zumindest ausweislich der Erwägungsgründe) danach zu differenzieren, ob die Identifizierungstechniken geeignet sind, eine natürliche Person (in Abgrenzung zu einem Gerät) zu identifizieren oder 1 S. Gallwas, § 26, zum Eingriff in das Recht auf informationelle Selbstbestimmung mit Erläuterung, warum im nicht-öffentlichen Bereich die Tatbestandsmäßigkeit die Rechtmäßigkeit nicht indiziert. Conrad/Schneider
1129
§ 69
Datenschutzprinzipien fr eine EU-Datenschutz-Grundverordnung
nicht, vgl. Erwägungsgrund 24. Geht man von der Theorie des absoluten Personenbezugs aus, dürfte das eigentlich keine Rolle spielen. Relevant ist der Streit um die Relativität des Personenbezugs u.a. im Hinblick auf IP-Adressen, Cookies, RFID-IDs oder sonstige Device-IDs, die nicht nur zu Werbe- und Marktforschungszwecken, sondern z.B. auch zur Betrugsbekämpfung im Internet von Onlineshops eingesetzt werden. Möglicherweise hat der LIBE-Ausschuss die Fälle im Auge, in denen IP-Adresse von einer Vielzahl von Betroffenen (etwa Mitarbeitern eines Unternehmens) genutzt wird. Ob die Verankerung an der Identifizierungstechnik auch außerhalb des Online-Bereichs eine Rolle spielen soll, ist unklar. 26
Leider ist die Definition von „personenbeziehbar“ in Art. 4 Abs. 2 DSGVO-E vom 21.10.2013 („identifiable person is one who can be identified“) nichtssagend, weil der zu definierende Begriff nur wiederholt, aber nicht erläutert wird. Daher erschließt sich nicht, wie sich die Abgrenzung in Erwägungsgrund 24 zu Art. 4 Abs. 2, Art. 2 Abs. 1 oder Erwägungsgrund 23 der DSGVO-E vom 21.10.2013 verhält. Die Differenzierung anhand der Identifizierungstechniken müsste zudem in den Kontext von „Pseudonym“ (Art. 4 Abs. 2a) und „Profiling“ (vgl. Art. 4 Abs. 3a und Erwägungsgrund 58a) bzw. „Tracking“ eingebettet werden, was jedoch fehlt.
27
Während teilweise die EuGH-Entscheidung C-461/10 vom 19.4.2012 so verstanden wird, dass das europäische Datenschutzrecht von einem absoluten Begriff des Personenbezugs ausgeht, dürfte der Kompromissvorschlag vom 21.10.2013 eher stärker in Richtung relativer Personenbezug gehen, ohne jedoch die praktischen Unklarheiten zu beseitigen. 2. Zweckbindung
28
Die Richtlinie 95/46/EG (Art. 6 Abs. 1b) verlangt, dass Daten zu festgelegten, eindeutigen und rechtmäßigen Zwecken erhoben werden und die weitere Verarbeitung und Nutzung mit der Zweckbestimmung der Erhebung vereinbar (compatible) sein muss. Der Kommissionsentwurf vom 25.1.2012 hatte in relativ weitem Umfang „incompatible use“ zugelassen, etwa bei Änderung von Geschäftsbedingungen und allgemeinen Vertragsbedingungen (siehe dort Art. 6 Abs. 4). Dieser Absatz wurde zwar im Kompromissvorschlag vom 21.10.2013 gestrichen. Doch versteckt, nämlich über ein opt-out („to object“) in Art. 20 Abs. 1 DSGVO-E vor allem in Verbindung mit Erwägungsgrund 58a („Profiling based solely on the processing of pseudonymous data should be presumed not to significantly affect the interests, rights or freedoms of the data subject.“) führt auch der Kompromissvorschlag vom 21.10.2013 die gelockerte Zweckbindung über die Hintertür ein. Das mag v.a. für Big Data-Anwendungen und den Bereich Markt- und Meinungsforschung hilfreich sein1, rüttelt 1 Pseudonymität ist im Rahmen Big Data Illusion; auch Anonymität dürfte nicht mehr als eine kleine Bremse, aber keinen Schutz darstellen: eine klare Trennung
1130
Conrad/Schneider
II. Ausgewhlte Neuerungen des LIBE-Kompromissvorschlags
§ 69
jedoch am Kernbereich der informationellen Selbstbestimmung. Die Artikel-29-Gruppe1 hatte das bereits beim Kommissionsentwurf kritisiert und eine Klarstellung zu den Vorgaben an „compatible use“ angeregt. Insbesondere hat die Artikel-29-Gruppe in ihrem WP 203 vom 2.4.2013 ein Prüfungsschema zu „compatible use“ vorgeschlagen und dieses Schema im Annex zu WP 203 in 22 Fallbeispielen aus der Praxis der Aufsichtsbehörden erläutert. Dem ist der LIBE-Ausschuss nicht oder nur scheinbar gefolgt. Der Zweckbindungsgrundsatz ist der im Datenschutz am meisten unter- 29 schätzte bzw. ignorierte Grundsatz2. Häufiger missachtet als die Zweckbindung werden nur noch die Löschpflichten, die jedoch in der Rangfolge der datenschutzrechtlichen Prinzipien an anderer Stelle (nämlich bei den Betroffenenrechten) angesiedelt sind und in vielen Fällen z.B. durch Sperrung oder die Zweckbindung des § 31 BDSG modifiziert werden. Ob die zur Betroffeneninformation vorgesehenen Piktogramme3 den Zweckbindungsgrundsatz unterstützen oder aushöhlen, muss sich erst noch zeigen. Zutreffend ist, dass seitenlange Datenschutzerklärungen und AGB von Internetnutzern/Verbrauchern sehr selten gelesen werden. Piktogramme bergen – wie alle Abstrahierungen und Simplifizierungen – das Risiko, dass – auch im zivilrechtlichen Sinne – Verbrauchererwartungen geweckt werden, die nur dann nicht diffus oder unrealistisch sind, wenn es Standarddatenschutzniveaus und Standardsicherheitsmaßnahmen bzw. entsprechende Best Practices z.B. differenziert nach Einsatzzwecken eines IT-Systems gibt, auf die die Piktogramme zurückgreifen können. Insoweit greifen Zertifizierungen, Datenschutzgütesiegel und Piktogramme ineinander. Eine Zertifizierung ist in Art. 39 Abs. 1a und 1b DSGVO-E (Kompromissvorschlag vom 21.10.2013) vorgesehen, sogar in vergleichsweise weitem Umfang: „(1a) Any controller or processor may request any supervisory authority in the Union, for a reasonable fee taking into account the administrative costs, to certify that the processing of personal data is performed in compliance with this Regulation, in particular with the principles set out in Article 5, 23 and 30, the obligations of the controller and the processor, and the data subject’s rights. (1b) The certification shall be voluntary, affordable, and available via a process that is transparent and not unduly burdensome.“4 Insbesondere überrascht, dass jede Datenschutzaufsichtsbehörde (nach Wahl des zu Zertifizierenden) zuständig und verpflichtet sein soll. Im Grundsatz ist die freiwillige Zertifizierungsmöglichkeit für verantwortliche Stellen oder Auftragsdatenverarbeiter zu begrüßen, weil sie Rechtssicherheit für
1 2 3 4
zwischen anonym und pseudonym ist ohnehin kaum möglich, s.a. Buchner in Taeger/Gabel, BDSG, § 3 Rz. 47. Big Data bei Straßenverkehrsüberwachung in New York: Spies, ZD 11/2013, V; im Übrigen zu Big Data: Weichert, ZD 2013, 251; Roßnagel, ZD 2013, 562. WP 203 „Opinion on purpose limitation“ v. 2.4.2013. S. unten Rz. 54. S. Art. 13a i.V.m. Annex 1 zum Kompromissvorschlag v. 21.10.2013. Hervorhebungen durch die Verfasser. Conrad/Schneider
1131
§ 69
Datenschutzprinzipien fr eine EU-Datenschutz-Grundverordnung
die Einzelfälle schaffen kann. Das neue Modell dürfte aber erheblichen Aufwand für die Aufsichtsbehörden mit sich bringen1. Falls die Behörden Zertifizierungsersuchen nicht zeitnah abarbeiten (können), treten möglicherweise für die Wirtschaft nachteilige Verzögerungen ein. Denn unter Risikoaspekten wird man wohl den meisten Unternehmen raten müssen, vorsorglich eine Zertifizierung einzuholen. 3. Vorverlagerung des Datenschutzes auf die Systemhersteller (Datenschutz als Produzentenpflicht) 30
Der Technik-orientierte Datenschutz soll über die im Kommissionsentwurf aufgestellten Programmsätze hinaus gestärkt werden, vgl. Art. 23 DSGVO-E vom 21.10.2013. In diesem Kontext ist auch die Datenschutzrisiken-Folgeabschätzung nach Art. 33 zu sehen (vgl. auch Art. 23 Abs. 1 letzter Satz DSGVO-E vom 21.10.2013). Bei der öffentlichen Vergabe soll „data protection by design“ ein Pflichtkriterium im Vergabeverfahren werden, vgl. Art. 23 Abs. 1a DSGVO-E. Das ist vom Grundsatz her zu begrüßen, weil ein Anreiz für die IT-Hersteller geschaffen wird.
31
Es ist somit (auch) auf europäischer Ebene der Trend zu erkennen, den Datenschutz vorzuverlagern und im Sinne eines „Produktdatenschutzund -sicherheitsrechts“ auch die Systemhersteller in die Pflicht zu nehmen. Auf Software-/System-Hersteller ist das Datenschutzrecht bislang nicht anwendbar, soweit der Hersteller keine personenbezogenen Daten (des Kunden) erhebt, verarbeitet und nutzt. Da jedoch in der IT insgesamt die Entwicklung überwiegend weg von Inhouse-Betrieb (On-premise-Lösungen) hin zu SaaS und Cloud geht, ist die stärkere Einbeziehung der Hersteller in die Datenschutzpflichten ohnehin unabweisbar. Es ist sachgerecht, bei der datenschutzrechtlichen Verantwortungsverteilung im Rahmen der Auftragsdatenverarbeitung stärker den Auftragsdatenverarbeiter (Processor) in die Pflicht zu nehmen. Auch der Kommissionsentwurf ist schon diesen Weg gegangen. Denn gerade bei SaaS im Massengeschäft gibt regelmäßig der Auftragsdatenverarbeiter vor, welche datensparsamen Funktionalitäten, Korrekturmöglichkeiten von Daten etc. eingesetzt werden können.
32
In Deutschland hat das BVerfG2 in der Onlinedurchsuchungs-Entscheidung mit dem Grundrecht auf Vertraulichkeit und Integrität informationstechnischer Systeme recht früh die Notwendigkeit der Vorverlagerung des Persönlichkeitsschutzes erkannt. Allerdings zeigt das Urteil in der bisherigen fachgerichtlichen Rechtsprechung (etwa der Arbeitsgerich-
1 Im Kartellrecht hat die EU-Kommission in 2004 das Freistellungsmonopol der Kartellbehörden abgeschafft, weil die Kartellbehörden mit Freistellungsersuchen überlastet waren. Die Folge (das geltende kartellrechtliche Prinzip der Legalausnahmen) war und ist jedoch eine erhebliche Unsicherheit für die betroffenen Unternehmen. 2 BVerfG v. 27.2.2008 – 1 BvR 370/07.
1132
Conrad/Schneider
II. Ausgewhlte Neuerungen des LIBE-Kompromissvorschlags
§ 69
te) kaum Konsequenzen1. Erst allmählich werden seitens der B2B-Kunden Forderungen etwa an die marktführenden ERP-Hersteller herangetragen, z.B. spezifische Rollen für die Routinekontrollen der Innenrevision anzubieten. Das viel kritisierte Recht auf Datenportabilität (vgl. Kommissionsent- 33 wurf Art. 18 DSGVO-E v. 25.1.2012) findet sich nur noch entschärft als Soll-Bestimmung in Erwägungsgrund 51a. Mit einem Recht auf Datenportabilität wollte die Kommission den Lock-in-Effekt (speziell v.a. bei Sozialen Netzwerken und Internetportalen) entschärfen. Wechselwillige Nutzer sollten leichter die Möglichkeit haben, die Angebote anderer Anbieter zu nutzen und damit im Endeffekt einen Datenschutz-Wettbewerb herbeiführen. Allerdings wäre allgemeine Datenportabilität für die verantwortliche Stelle mit großem Aufwand und Kosten verbunden, was nicht in allen Konstellationen sachgerecht ist. Fraglich ist z.B., ob ein Datenportabilitätsrecht für Verbraucher sachgerecht ist, die einen Internetdienst kostenlos nutzen. Das hängt u.a. davon ab, ob Datenportabilität nur Herausgabe einer Kopie des Contents in einem offenen Format bedeutet, oder mehr – etwa Unterstützung beim Umzug der Daten. Das Recht des Betroffenen, eine Kopie der Daten zu erhalten, fand sich 34 zunächst im inoffiziell bekannt gewordenen Kommissionsentwurf vom 29.11.2011 (dort Art. 13 Abs. 2). Im Kommissionsentwurf v. 25.1.2012 wurde das (zu) weit gehende Recht eingeschränkt auf einen Anspruch, mitgeteilt zu bekommen, welche personenbezogenen Daten über den Betroffenen verarbeitet werden (vgl. Art. 15 Abs. 2 DSGVO-E v. 25.1.2012). Im Kompromissvorschlag v. 21.10.2013 findet sich in Art. 15 Abs. 2a DSGVO-E die Klarstellung, dass der Betroffene einen Anspruch auf eine Kopie der Daten hat und diese Daten in einem elektronischen, strukturierten Format zur Verfügung gestellt werden müssen. Die abstrakte Forderung nach einem „Recht auf Vergessenwerden“, vgl. 35 Art. 17 DSGVO-E v. 25.1.2012, wurde vom LIBE-Ausschuss aufgegeben. Stattdessen wurde das Recht auf Datenlöschung konkretisiert, welches z.B. bei unzulässiger Veröffentlichung personenbezogener Daten die verantwortliche Stelle auch dazu verpflichtet, auf eine Löschung bei Dritten hinzuwirken. An die Löschpflichten anzuknüpfen ist – schon allein aus technischer Sicht – richtiger, anstatt neue Begrifflichkeiten einzuführen, deren Umsetzbarkeit im Internet ohnehin fraglich ist. Angesichts dessen, dass die Löschpflichten im Datenschutz zu den meist missachteten Vorschriften gehören, ist auch der Kompromissvorschlag vermutlich nicht hinreichend konkret. Die Unternehmen benötigen konkretere Leilinien für Regellöschfristen und den Systemherstellern sollte ein Anreiz geboten werden, clevere technische Umsetzungen von Löschroutinen anzubieten. Denn tatsächlich haben billige Hardware und Cloud-Speicher1 Heise online, Meldung v. 19.3.2013, zitiert Hoffmann-Riem mit den Worten, dass das vergleichsweise neue Grundrecht seine Blütezeit noch vor sich habe. Conrad/Schneider
1133
§ 69
Datenschutzprinzipien fr eine EU-Datenschutz-Grundverordnung
dienste dazu geführt, dass in den meisten Unternehmen wenig bis gar nicht gelöscht wird. 4. Das Instrument der Einwilligung sowie Spezialfall Daten von Minderjährigen 36
Eine viel kritisierte Regelung im Kommissionsentwurf vom 25.1.2012 (vgl. dort Art. 7 Ziff. 4) sah vor, dass eine Einwilligung bei „signifikantem Ungleichgewicht“ zwischen dem Betroffenen und der verantwortlichen Stelle unwirksam ist. Die Vorschrift ist im Kompromissvorschlag vom 21.10.2013 entfallen. Stattdessen findet sich im Kompromissvorschlag ein stärkerer Fokus auf die Freiwilligkeit der Einwilligungserklärung, aber nur in den Erwägungsgründen, vgl. Erwägungsgrund 33. Der kategorische Ausschluss von Einwilligungen im Beschäftigtenverhältnis, vgl. noch Art. 7 Ziff. 5b des inoffiziellen Kommissionsentwurfs vom 29.11.2011, ist im Entwurf vom 21.10.2013 nicht vorgesehen.
37
Ein signifikantes Ungleichgewicht – wie es etwa im Verhältnis von Arbeitgeber und Arbeitnehmer, u.U. aber auch bei Verbrauchern typisch ist – ist nur ein Indiz für fehlende „Freiwilligkeit“ der Einwilligungserklärung, und kann insoweit zur Fallgruppenbildung sinnvoll sein. Es müsste aber zumindest klargestellt werden, dass ein erhebliches Ungleichgewicht nur zu einer widerlegbaren Vermutung führt. Fraglich ist, ob das Kriterium des Ungleichgewichts die Auslegung erleichtert oder – gerade bei Verbrauchern – erschwert. Die Folge des Kriteriums wäre wohl eine Verschärfung der Beweislast, die ohnehin bei der verantwortlichen Stelle im Hinblick auf das Vorliegen der Einwilligung liegt. Die missglückte Regelung in § 28 Abs. 3b BDSG ist insoweit kein Vorbild.
38
Voraussetzung für eine wirksame datenschutzrechtliche Einwilligung ist eine „explizite Willensbekundung“, vgl. Art. 4 Abs. 8 DSGVO-E. Das Erfordernis einer ausdrücklichen Einwilligung gab es bereits im Kommissionsentwurf v. 25.1.2012. Klar dürfte sein, dass Einwilligungen jedenfalls nicht durch den bloßen Abdruck von Einwilligungstexten in AGB wirksam eingeholt werden können. Die derzeit (noch) geltende RL 95/46/EG fordert in Art. 7 lit. a. eine Einwilligung „ohne jeden Zweifel“ („explicit“) und für besondere Arten personenbezogener Daten eine Pflicht zur „ausdrücklichen“ Einwilligung. Nach deutschem Recht gibt es im UWG das Erfordernis einer „ausdrücklichen“ Einwilligung in Direktmarketing. Art. 13 Abs. 1 der RL 2002/58/EG erlaubt Direktwerbung nur „bei vorheriger Einwilligung“; Art. 13 Abs. 2 erlaubt Direktwerbung im Zusammenhang mit dem Verlauf eines ähnlichen Produkts, wenn der Kunde „klar und deutlich die Möglichkeit“ hat, diese Nutzung seiner elektronischen Kontaktinformationen abzulehnen. In der DatenschutzGrundverordnung sollten die Anforderungen an Opt-in und Opt-out synchronisiert und geklärt werden. Die Artikel-29-Gruppe hat z.B. in ihrem WP203 v. 2.4.2013 darauf hingewiesen, dass der Begriff „explicit“ aus der RL 95/46/EG in den Mitgliedstaaten unterschiedlich – teils mehr im 1134
Conrad/Schneider
II. Ausgewhlte Neuerungen des LIBE-Kompromissvorschlags
§ 69
Sinne von „unzweideutig“, teils mehr im Sinne von „mit Erläuterung“/„aufgeklärt“ – umgesetzt wurde1. Hier wäre eine europäische Vereinheitlichung sinnvoll. Voraussetzungen für den Widerruf einer Einwilligung dürfen nicht höher 39 sein als für deren Einholung. Diese Anforderung wurde im Kompromissvorschlag vom 21.10.2013 neu aufgenommen (vgl. Art. 7 Abs. 1). Der inoffizielle Kommissionsentwurf v. 29.11.2011 wollte, dass Personen 40 unter 18 Jahren nur mit vorheriger Zustimmung des Erziehungsberechtigten wirksam einwilligen können (vgl. dort Art. 7 Abs. 6 iVm Art. 3 Abs. 18) und dass von Personen unter 18 Jahren keine Profile erstellt werden dürfen (vgl. Art. 18 Abs. 3). Im Kompromissvorschlag vom 21.10.2013 sind diese Regelungen entfallen. Im Wesentlichen sieht der aktuelle Entwurf eine Reduktion der Sonderregelungen dahingehend vor, dass Datenverarbeitungen im Waren- und Dienstleistungssektor betreffend Kinder unter 13 Jahren nur zulässig sein sollen, wenn eine entsprechende Einwilligung der Eltern vorliegt. Für Personen zwischen 13 und 18 Jahren sieht der neue Entwurf eine Ermächtigung des „European Data Protection Board“ vor, Richtlinien und Empfehlungen zu veröffentlichen, vgl. Art. 8 Abs. 3 DSGVO-E. In Deutschland ist streitig, ob eine datenschutzrechtliche Einwilligung 41 rein rechtsgeschäftlichen Charakter hat mit der Folge des § 108 BGB oder ob – eher wie im Strafrecht – auf die Einsichtsfähigkeit des Minderjährigen abzustellen ist. Dass Personen unter 18 Jahren generell nicht wirksam in sie betreffende Datenverarbeitungen einwilligen können sollen, dürfte v.a. im Hinblick auf soziale Netzwerke zu praktischen Schwierigkeiten führen – zumal grds. beide Erziehungsberechtigte einwilligen müssen. Eine feste Altersgrenze von 13 Jahren für solche Datenverarbeitungen, die nur auf Basis einer Einwilligung zulässig sind, wäre begrüßenswert. Unverständlich ist aber die Begrenzung auf Waren und Dienstleistungsgeschäfte (darunter fallen wohl auch soziale Netzwerke). Ein mögliches Korrektiv für andere Bereiche könnte die transparente Information und damit Aufklärung über die beabsichtigte Datenverarbeitung sein, die Voraussetzung für jede Art von wirksamer Einwilligung ist. Ob künftig die im Annex 1 des Kompromissvorschlags vom 21.10.2013 vorgesehenen Datenschutz-Icons die Aufklärung des Betroffenen (auch im Zusammenhang mit Einwilligung) erleichtern, bleibt abzuwarten. Viele Verbraucherschützer hatten bereits Ampellösungen oder ähnliche Modelle im Datenschutz gefordert.
1 S. WP203, S. 17. Die Artikel-29-Gruppe behandelt in diesem wichtigen WP das Prinzip der Zweckbindung (Opinion on purpose limitation) aus Art. 6 Abs. 1 lit. b) RL 95/46/EG, das in den Mitgliedstaaten (ebenfalls) sehr uneinheitlich umgesetzt ist. In der Definition von Einwilligung in Art. 2 lit h) der RL 95/46/EG kommt der Begriff „explicit“ nicht vor. Conrad/Schneider
1135
§ 69
Datenschutzprinzipien fr eine EU-Datenschutz-Grundverordnung
5. Beschäftigtendatenschutz 42
Art. 82 Abs. 1 DSGVO-E vom 21.10.2013 enthält eine Ermächtigung für die Mitgliedsstaaten, die Datenverarbeitung im Beschäftigtenverhältnis im Einklang mit der Grundverordnung und dem Verhältnismäßigkeitsgrundsatz national auszugestalten. Dabei sind aber gewisse Mindeststandards einzuhalten, die in Abs. 1c näher ausgeführt werden: – Daten-Screening (dazu sogleich). – Generelles Verbot der heimlichen Videoüberwachung (Art. 82 Abs. 1c lit. b). – Datenerhebung und -verarbeitung im Zusammenhang mit medizinischen Untersuchungen: Aufklärungspflichten, Verbot der Datenerhebung für Gentests und Genanalysen (lit. c). – Datenerhebung und -verarbeitung im Zusammenhang mit der Privatnutzung von Telefon, E-Mail und Internet: Zulässigkeit der Erhebung, Verarbeitung und Nutzung aggregierter Nutzungsdaten zu Datensicherheitszwecken, Abrechnungszwecke und den Betrieb von TKNetzen. Weitere Nutzungszwecke können kollektivrechtlich vereinbart werden oder individuell mit dem Beschäftigten, soweit die Freiwilligkeit gewahrt bleibt (lit. d). – Verbot von sog. Blacklists, die Namen von Beschäftigten enthalten, die nicht mehr eingestellt werden sollen (lit. e).
43
Am Kommissionsentwurf von Art. 82 war im Wesentlichen kritisiert worden, dass die für die betriebliche Praxis wünschenswerte Klarstellung und Konkretisierung ausgeblendet und auf noch zu schaffende delegierte Rechtsakte verlagert wurde. Das Instrument der delegierten Rechtsakte wurde im Kompromissvorschlag vom 21.10.2013 insgesamt reduziert. Bei den Mindeststandards im Beschäftigtendatenschutz gewinnt man zum Teil den Eindruck, dass einige Regelungen aus dem nicht realisierten deutschen Gesetzesentwurf zum Beschäftigtendatenschutz vom 25.8.2010 Pate standen (etwa das strikte Verbot der heimlichen Videoüberwachung). Ein generelles Verbot, Datenverarbeitung auf Mitarbeitereinwilligungen zu stützen findet sich im Kompromissvorschlag nicht1. Inwieweit Betriebsvereinbarungen aus Sicht der Grundverordnung ein Mittel sein können, die Verordnungsvorschriften zu konkretisieren, ist nicht ganz klar. Allerdings wird der Begriff „collective agreement“ in Art. 82 Abs. 1 DSGVO-E vom 21.10.2013 erwähnt.
44
Im Hinblick auf das Screening macht der Entwurf vom 21.10.2013 engere Vorgaben als noch der Kommissionsentwurf vom 25.1.2012, der die Zweckbindung relativ stark aufgeweicht hat (vgl. Art. 21 Abs. 1 DSGVO-E v. 21.10.2013). Insbesondere macht Art. 82 Abs. 1c lit. a DSGVO-E vom 21.10.2013 enge Vorgaben, unter welchen Voraussetzungen Daten-Screenings stattfinden dürfen. Art. 82 Abs. 1c lit. a Satz 2 liest sich ähnlich 1 S. oben Rz. 36, 37.
1136
Conrad/Schneider
II. Ausgewhlte Neuerungen des LIBE-Kompromissvorschlags
§ 69
wie § 32 Abs. 1 Satz 2 BDSG. Eine Verschärfung ist, dass nicht das Unternehmen selbst das Screening durchführen darf, sondern nur eine von den Mitgliedsstaaten zu bestimmende (Strafverfolgungs-)Behörde. Siehe zu den Befugnissen der Strafverfolgungsbehörden beim Daten-Screening: BVerfG vom 17.2.2009 – 2 BvR 137/07. 6. Konzernprivileg Art. 22 Abs. 3a DSGVO-E vom 21.10.2013 sieht erstmals eine Privilegie- 45 rung der personenbezogenen Datenverarbeitung im Austausch zwischen konzernangehörigen Unternehmen innerhalb der EU vor. Im Wesentlichen nennt die Vorschrift zwei Voraussetzungen: Die Datenverarbeitung ist erforderlich für „legitimate internal administrative purposes between connected business areas“ und ein angemessenes Datenschutzniveau sowie die Wahrung der Betroffeneninteressen muss sichergestellt sein durch „internal data protection provisions or equivilent code of conduct“ (Art. 22 Abs. 3a DSGVO-E). Die Regelung scheint mit der heißen Nadel gestrickt (siehe Schreibfehler 46 „ass“ statt „as“). Was unter „legitimate internal administrative purposes“ und „connected business areas“ zu verstehen ist, wird auch in den Erwägungsgründen nicht weiter präzisiert. Der Regelungsentwurf ähnelt einem kritisierten Entwurf eines § 32m BDSG-E, der relativ spät (am 20.5.2012) im Zusammenhang mit dem Gesetzesentwurf zum Beschäftigtendatenschutz vom 25.8.20101 vorgeschlagen wurde. Sofern Art. 22 Abs. 3a DSGVO-E lediglich klarstellt, dass auch zwischen Konzernunternehmen berechtigte Interessen vorliegen können, Daten weiterzugeben oder zugänglich zu machen, wäre mit der Vorschrift wenig geholfen. Dies wird etwa auf Basis von § 28 Abs. 1 Satz 1 Nr. 2 BDSG, bei Vorliegen von Controller-BCR übrigens auch mit Konzernunternehmen außerhalb der EU, bereits jetzt praktiziert und wird als sehr unbefriedigend empfunden. Eine Präzisierung und Konkretisierung der Vorschrift wäre zwingend erforderlich. Wenn ausreichend internal data protection provisions or equivalent code of conduct gewährleistet sind, ist die Beschränkung auf Konzernunternehmen innerhalb der EU nicht einleuchtend. 7. Datenschutzbeauftragter Die im Kommissionsentwurf vom 25.1.2012 vorgeschlagene Grenze von 47 250 Beschäftigten, vgl. dort Art. 35, wird im Kompromissentwurf vom 21.10.2013 zugunsten eines anderen Berechnungsschemas aufgegeben. Neues Kriterium für die Bestellung eines Datenschutzbeauftragten im nicht-öffentlichen Bereich ist die Anzahl der von einer personenbezogenen Datenverarbeitung betroffenen Personen während einer 12-Monatsperiode. Die Grenze für die Bestellung eines Datenschutzbeauftragten liegt grundsätzlich bei 5000 Betroffenen. 1 Kabinettsentwurf BT-Drucks. 17/4230. Conrad/Schneider
1137
§ 69
Datenschutzprinzipien fr eine EU-Datenschutz-Grundverordnung
48
Aus Perspektive des Datenschutzrechts ist die Bezugnahme auf die Zahl der Betroffenen grundsätzlich sachgerechter als die Bezugnahme auf die Zahl der Beschäftigten. Doch wie soll und muss man die Zahl der Betroffenen im Einzelnen berechnen? Die Schwierigkeit für die Unternehmen dürfte sehr groß sein, etwa wenn sich Doubletten in Adressbeständen befinden, Unklarheiten über Löschpflichten bestehen etc. Wie ist etwa der Fall zu beurteilen, in dem ein Unternehme zunächst 5000 Adressdatensätze ankauft, diese Daten aber – z.B. aufgrund Beanstandung des betrieblichen Datenschutzbeauftragten – nach 4 Monaten löscht. Zählen solche vorübergehenden Daten zur Berechnung des Grenzwerts hinzu? Ob sich die Grenze von 5000 Betroffenen als praktikabel erweist, wird sich zeigen müssen. Die neue definierte Grenze dürfte voraussichtlich die Bestellpflicht ausdehnen – evtl. sogar über die Grenze des § 4f Abs. 1 BDSG hinaus. Jedenfalls würde die neue Grenze dazu führen, dass wesentlich mehr Unternehmen, u.a. auch Startups mit nur wenigen Mitarbeitern, die aber Internetdienste einer Vielzahl von Nutzern anbieten, verpflichtet sein werden, einen betrieblichen Datenschutzbeauftragten zu bestellen. Im Zweifel wird man jedem Unternehmen, das zumindest vorübergehend größere Datenmengen verarbeitet, raten müssen, einen betrieblichen Datenschutzbeauftragten zu bestellen. Das gilt umso mehr, als bei bestimmten „core activities“ (Art. 32 Abs. 1 (c) und (d) DSGVO-E) die Bestellpflicht ohnehin unabhängig von der Betroffenenzahl sein soll und die Auslegung von „core activity“ ebenfalls im Einzelfall streitig sein dürfte.
49
Die zweite Neuerung bringt Art. 35 Abs. 7 DSGVO-E. Beim Mindestbestellzeitraum wird differenziert zwischen internem (4 Jahre) und externem Datenschutzbeauftragen (2 Jahre). Im Prinzip ist eine Klarstellung wünschenswert, weil bereits die Forderungen der deutschen Datenschutzbehörden zwischen 3 und 5 Jahren variieren1. Die Differenzierung leuchtet ein, da der interne üblicherweise stärker geschützt werden muss und ein 4jähriger Zwangsvertrag mit einem Externen unangemessen ist. Fraglich ist jedoch, ob die Regelung der DSGVO-E eine kürzere Befristung mit ausreichendem Sachgrund zulässt (etwa Elternzeit des internen Datenschutzbeauftragten oder längere Krankheit oder sonstige vorübergehende Vertretungsfälle etwa, weil nach Ausscheiden eines lokalen Datenschutzbeauftragten aus Altergründen ein Konzerndatenschutzbeauftragter gesucht wird, dessen neue Stelle jedoch erst binnen Jahresfrist besetzt werden kann). Die deutschen Datenschutzaufsichtsbehörden haben bislang solche kürzeren Befristungszeiträume bei entsprechendem Sachgrund akzeptiert. In Art. 35 Abs. 7 DSGVO-E müsste das klargestellt werden.
1 Mindestlaufzeit von 3 Jahren (14. TB Aufsichtsbehörde nicht-öffentl. Bereich Brandenburg, S. 7) bzw. 5 Jahre (15. TB LfD Hessen, S 47) erforderlich; Düsseldorfer Kreis (Beschluss v. 25.11.2010) empfiehlt 4 Jahre.
1138
Conrad/Schneider
§ 69
III. Bewertung und Ausblick
III. Bewertung und Ausblick 1. Problem des Schutzgutes und der Perpetuierung des bisherigen Ansatzes der Atomisierung des Persönlichkeitsschutzes Anhand von zunächst zwei Thesen (These 1 und 2) soll im Folgenden das 50 Problem akzentuiert werden, dass „Daten“ kein geeignetes Schutzgut – zumindest für den nicht-öffentlichen Bereich – sind, aber den eigentlichen Regelungsgegenstand der DSGVO-E und des Datenschutzrechts insgesamt bilden. Aus diesen Thesen sollen die negativen Folgen abgeleitet werden. Indirekt, aber sehr praktisch ist dies ein Plädoyer, die Verarbeitungsprinzipien in Art. 5 DSGVO-E (insbesondere fairness, transparency, purpose limitation, data minimisation, accuracy, storage minimisation, effectiveness, integrity, accountability) unter Austausch von „Daten“ zugunsten von „Information“ zur Generalnorm zu erheben1 und nicht etwa durch Profilbildung und Zweckentfremdung (incompatible use) einzuschränken. Aus den ersten beiden Thesen werden sodann die Thesen 3 bis 5 entwickelt. a) Daten statt Information These 1:
51
Aufgrund der gesellschaftlichen, aber auch und v.a. aufgrund der technologischen Entwicklung, die wiederum die gesellschaftliche stark beeinflusste, ist der grundsätzliche Ansatz, die Daten als Objekt zu schützen bzw. schützen zu wollen, völlig überholt – wenn er denn je richtig war. These 2:
52
Wenn These 1 richtig ist, muss die Perfektionierung des Datenschutzes als „Mehr vom Gleichen“ zwangsläufig das eigentliche Ziel, Modernisierung, Anschärfen, Intensivierung des Schutzes verfehlen, nachdem der bisherige Schutz als unzureichend gilt und sich auch als unzureichend, siehe die diversen Datenschutz-Skandale, erwiesen hat. Es dürfte ein Kardinalfehler sein, der nunmehr perpetuiert wird, dass die 53 Handhabung des Schutzes nicht auf der Ebene der Information2 und Kommunikation ansetzt, sondern auf der Ebene von Daten. Das ist keine bloße Wortklauberei. Dieses Durcheinander der Begrifflichkeiten von Daten und Informationen, dem in der Wissenschaft ein relativ klares Rangverhältnis gegenübersteht, muss auch zu juristischen Problemen führen. Es ist anerkannt, dass es auf der Ebene der Daten kein für sich ge1 S.a. dazu näher Härting/Schneider, CRi 2013, Supplement 1; Härting/Schneider, ZD 2012, 199. 2 Grundlegend dazu Zech, Information als Schutzgegenstand, 2012. Zu den möglichen Rechtspositionen gegenüber personenbezogenen Daten s. Kilian, Property Rights und Datenschutz. Strukturwandel der Privatheit durch elektronische Märkte, in FS Christian Kirchner zum 70. Conrad/Schneider
1139
§ 69
Datenschutzprinzipien fr eine EU-Datenschutz-Grundverordnung
sehen belangloses Datum gibt – wie seinerzeit das BVerfG – festgestellt hatte (sog. Volkszählungsurteil). Der Grund ist die Kontextentkleidung1, die dazu führt, dass der Verwendungszusammenhang entfällt und damit der Stellenwert nicht mehr erkennbar ist. Interessant ist dabei allein schon, dass diese Entscheidung des BVerfG gerade das „Recht auf informationelle Selbstbestimmung“, also ein Recht auf einer ganz anderen Ebene als der der Daten, konstatiert hat. Will man überhaupt das Material, mittels dessen die Kommunikation im Hinblick auf Inhalt und Bedeutung, nicht auf die technische Realisierung, intentional gerichtet ist, regeln, sind nicht die Daten, sondern die Informationen das richtige Objekt. Informationen enthalten (noch) den Kontext, aus dem sie stammen. Der Kontext lässt sich daraus zumindest „herauslesen“ bzw. ableiten, wenn es sich um nicht ganz „flache“ Angaben handelt. D.h., dass der Information – aus Daten und Meta-Angaben, bestehend – auch wenn die Meta-Daten evtl. nicht explizit enthalten sind, die ursprünglichen Zwecke noch entnehmbar sind. Daten sind des Kontextes entkleidet und deshalb wesentlich fungibler als Information – was ja der Sinn der Sache ist. Diese Fungibilität durch Datenschutz einzufangen bzw. zu beschränken, erscheint widersinnig. Wesentlich klarer und sinnvoller wäre es, die Handhabung der Information zu regeln mit Einschluss der daraus gewinnbaren Daten. Dies würde zur Informationsgesellschaft passen, die aber keine Datengesellschaft sein sollte. b) Das Prinzip der Zweckbindung 54
These 3: Die Zweckbindung als wichtigstes Instrument zur Wahrung der Persönlichkeit wird durch das Verbotsprinzip und die Datenregulierung weitgehend entwertet. Eines der ranghöchsten Ziele und Instrumente, um den eigentlichen Schutz der Person (s.a. Charta Art. 8 Abs. 2) zu bewirken, ist die Zweckbindung. Anders als über Zweckbindung lässt sich die Freiheit der Kommunikation und Notwendigkeit für den Einzelnen, sich als soziales Wesen zu entäußern und dabei zwangsläufig „Daten“ mit-abzusondern, nicht mit dem Schutz dieser Daten kombinieren. Es muss also sichergestellt sein, dass die zwangsläufig mit-geäußerten Daten, wie sie technische Realisierung des Kommunikationsvorgangs mit sich bringt, im Rahmen der Zweckbindung verbleibt. Schon in der Datenschutzrichtlinie war die Zweckbindung, wenn auch für Daten, klar angelegt. Art. 6 sieht – u.a. – vor, dass zunächst einmal die personenbezogenen Daten für festgelegte eindeutige und rechtmäßige Zwecke erhoben sein müssen und dann nicht in einer mit diesen Zweckbestimmungen nicht zu vereinbarenden Weise weiterverarbeitet werden dürfen. Diesen Grundsatz aus Abs. 1 lit. b) der Richtlinie 96/45/EG hat die Datenschutz1 Der Kontext als Zweckindikator ist längst ebenfalls, wie die Daten selbst kommerzialisiert bzw. wichtiger Teil der Datenvermarktung, wie sich mittelbar über den Einsatz von „Keyword“-Advertising (s. z.B. Spindler/Prill, CR 2010, 303 – allerdings zur markenrechtlichen Sicht), Kontext-sensitive Werbung (s. z.B. Härting, Internetrecht, 5. Aufl. 2014, G Rz. 1665 ff., 1783 ff.), ergibt.
1140
Conrad/Schneider
§ 69
III. Bewertung und Ausblick
Grundverordnung in Art. 5 des Entwurfs übernommen. Dass diese Zweckbindung einen hohen Rang genießt, ergibt sich nicht nur durch Wieder-Aufgreifen dieses Instituts an nahezu gleicher Stelle, sondern aus zahlreichen anderen Verlautbarungen, so auch von Seiten der Artikel29-Gruppe1. 2. Das Problem des Rangverhältnisses In der EU-Richtlinie 95/46/EG gab es eine Art Stufung der Grundsätze 55 über die Art. 6, 7 und 8. In Art. 6 RL werden die Qualitätsgrundsätze aufgestellt. Ein wichtiger Grundsatz ist, dass die Daten auf Treu und Glauben und auf rechtmäßige Weise verarbeitet werden müssen (a). Art. 7 RL stellt Datenverarbeitungsgrundsätze auf. Dazu gehört das 56 Verbotsprinzip. In diesem Art. 7, dem nunmehr Art. 6 des Kommissionsund des Kompromissvorschlags weitgehend entspricht, ist neben dem Verbotsprinzip als dessen Ausnahme die Einwilligung als eine der wichtigsten festgehalten (a). Die Alternativität der verschiedenen Zulässigkeitstatbestände, ein Umstand, den für § 28 BDSG vor allem Simitis kritisch, also wesentlich restriktiver versteht2, abgelehnt wurde. Art. 8 RL regelt die Verarbeitung besonderer Kategorien personenbezoge- 57 ner Daten, nunmehr Art. 7 des Kompromissvorschlags. Man kann diese drei Artikel im Verhältnis zueinander so verstehen:
58
Art. 6 regelt die Ordnungsmäßigkeit des Umgangs mit Daten unabhängig vom Verbot deren Verarbeitung. Art. 6 tut also so, als ob die Freiheit das Prinzip wäre und sich innerhalb der Freiheit Schranken auftun, die jedermann zu beachten hat. Deshalb sei angedeutet, dass dies eine Regelung i.S.d. UWG wäre. Das bedeutet: flexibel, justitiabel. Art. 7 RL dagegen ist ein Artikel, der vergleichbar mit Atomgesetz, Waffengesetz oder ähnlichem ist, wonach zunächst etwas verboten wird, um es dann unter – so die Theorie – engen Voraussetzungen zu erlauben. Praktisch müssen die Ausnahmen aber weit sein, weil sonst der Datenschutz verfassungswidrig wäre. Art. 8 RL wiederum regelt unter dem Abschnitt besondere Kategorien der Verarbeitung, gleichnamig mit dem Titel des Artikels, Besonderheiten im Umgang mit besonderen Daten. Dies ist schon eine Art Systembruch. Es ist die Ausnahme von der Ausnahme: Was Art. 7 RL gegebenenfalls noch erlaubt – trotz des Verbotsprinzips – wird in Art. 8 RL eingeschränkt. Besondere Arten von Daten werden – aus deutscher Perspektive – besonders streng behandelt, obwohl alle Daten grundsätzlich nicht belanglos sind. Es gibt kein belangloses Datum, so das Credo.
1 WP 203 v. 2.4.2013 (angenommen). 2 Simitis/Simitis, BDSG, § 28 Rz. 77. Conrad/Schneider
1141
§ 69
Datenschutzprinzipien fr eine EU-Datenschutz-Grundverordnung
59
Das heißt, die Logik der Verarbeitung zwischen diesen drei Artikeln erschließt sich nur, wenn man letzten Endes keine Logik unterstellt1. Das gleiche gilt auch für die Datenschutz-Grundverordnung. Dort sind es die Art. 5, 6 und 9 RL. Der Art. 7 RL betrifft die Einwilligung, Art. 8 RL die Besonderheiten der Verarbeitung von Daten von Kindern.
60
Die Auswahl der besonderen Daten ist also zunächst einmal eine Art Systembruch, weil zum einen damit die relative Belanglosigkeit der anderen Arten von Daten impliziert wird, zum anderen letzten Endes jedes Datum einer Verwendung zugeführt werden kann, die den speziellen Kategorien der besonderen Daten entspricht. Zu diesem Thema der Auslagerung der eigentlichen Verwertung von „Daten“ (siehe auch sogleich). 3. Versuch der Beschreibung nicht abgedeckten Risikopotentials a) Beobachtungsdruck
61
These 4: Die Bedrohlichkeit der Beobachtung Die Datenschutz-Regelungen sowohl der Richtlinie als auch der Datenschutz-Grundverordnung (E) betreffen wie auch das BDSG nur eine der verschiedenen zentralen Gefahren für die Persönlichkeit. Weitere sind die Manipulations- und die Transparenzgefahr. Es ist anerkannt, dass die Beobachtung und deren Druck eine empfindliche Einschränkung und Belastung für den Einzelnen sind, die nur unter bestimmten Voraussetzungen von diesem geduldet werden müssen. Zum Problem des diffusen Gefühls der Bedrohlichkeit der Vorratsspeicherung – „Hierdurch ist die anlasslose Speicherung von Telekommunikationsverkehrsdaten geeignet, ein diffus bedrohliches Gefühl des Beobachtetseins hervorzurufen, das eine unbefangene Wahrnehmung der Grundrechte in vielen Bereichen beeinträchtigen kann.“2, etwa in Grenzen im Arbeitsverhältnis. Grundsätzlich aber besteht weitgehend Beobachtungsfreiheit. Schon im Volkszählungsurteil wurde klar herausgestellt, dass die Datenverarbeitungsregeln im Zusammenhang auch mit dem Recht auf informationelle Selbstbestimmung, zu denen sie dort ausgeformt wurden, den eigentlichen Sinn und Zweck haben, die Ausübung demokratischer Freiheiten nicht zu behindern. Die Gefahr besteht aber, wenn jemand befürchten muss, zunächst schon bei deren Ausübung (zu sehr) beobachtet zu werden, und daraufhin irgendwelchen Sanktionen, und seien diese nur subjektiv durch Bloßstellung oder Ähnliches empfunden, ausgesetzt zu sein. Wenn die Beobachtung durch die hinterlegten, präformierten Profile, die empirisch aus Daten normaler Handlungen (Einkauf, Zahlung) gewonnen wurden, substituiert wird, merkt der Einzelne nicht unmittelbar, 1 Ähnliches gilt im BDSG für die Hierarchie von Verbot (§ 4 I), Datenvermeidung (§ 3a Satz 1), Datensparsamkeit (§ 3a Satz 1), dann Zulässigkeit (?) und dann erst Zweckbindung. 2 BVerfG v. 2.3.2010 – 1 BvR 256/08, 1 BvR 263/08, 1 BvR 586/08, CR 2010, 232; (s.a. Härting/Schneider, ZD 2012, 199).
1142
Conrad/Schneider
§ 69
III. Bewertung und Ausblick
wie seine Daten weiter verwendet werden, begegnet aber deren Auswertung bzw. den aus dem Abgleich der in ganz anderem Zusammenhang abgegebenen Daten und daraus resultierenden Erkenntnissen, wie sie unmittelbare Beobachtung gar nicht so umfassend bieten könnte1. Diese Vorverlagerung der Beobachtung mit Verlust der Unmittelbarkeit heißt auch Verlust der Steuerungsmöglichkeit, wobei das diffuse Gefühl der Beobachtung eher steigt. Kurz gesagt: Cookies, Tracking2 und traffic Inspection sind allenfalls noch rudimentär erforderlich, wenn schon Minimalangaben die präformierten Profile auslöst. Dass damit faktisch implizit automatisierte Entscheidungen, die verboten sind, erfolgen, sei nur am Rande erwähnt. b) Totalerfassung Anerkannt ist, dass die Totalerfassung (Gesamtbild der Persönlichkeit) 62 in einem demokratischen Rechtsstaat nicht zulässig wäre3, sei dies der Einzelne, sei dies die gesamte Gesellschaft oder Gruppen davon. Dies wurde u.a. im Zusammenhang mit der GPS-Ortung und Kumulation von Überwachungsmaßnahmen sowie der Kfz-Kennzeichenerfassung und der Vorratsdatenspeicherung diskutiert. Wenn Kommunikation Anfang und Grundlage der Gesellschaft ist und elektronische Kommunikation zwangsläufig zu Absonderung der bezogenen Daten der Telekommunikation führen muss, ist die zweckentfremdete Verarbeitung dieser Daten, also außer zu Abrechnungszwecken und Ähnlichem, praktisch eine permanente Beobachtung, wie jetzt auch der Prism-Skandal zeigt. Die eigentliche Bedrohungslage kann auch näher ausgeführt werden, so zum einen also die anderweitige Auswertung des Datenverkehrs, wie er z.B. über die Telekommunikation entsteht, bzw. generell des Verhaltens, siehe im Zweifel auch die Auswertungsmöglichkeiten bei Smart-Grids bzw. bei E-Mobility4. Big Data macht als Erhebungsproblem die Totalerfassung überflüssig und 63 erlaubt die Totalüberwachung durch Auswertung5. Diese Gefahr ist we1 Screening ist im BDSG nur speziell für den Arbeitnehmerdatenschutz geregelt, § 32 Abs. 1 Satz 2 BDSG. 2 Zu Verfahren s. z.B. Härting, Internetrecht, 5. Aufl. 2014, B Rz. 264 ff. 3 S. zur Diskussion z.B. BVerfG v. 4.6.2006 – 1 BvR 518/02 – Rasterfahndung; im Kontext der GPS-Obervation BVerfG v. 12.4.2005 – 2 BvR 581/01; zur OnlineÜberwachung BVerfG v. 27.2.2008 – 1 BvR 370/07, 1 BvR 595/07; zu Gesichtserkennung über Photos mit mobile phones und Datenbankabgleich in Erprobung: http://www.zeit.de/digital/datenschutz/2013-11/usa-polizei-gesichtserken nung; zu den biometrischen Methoden s. z.B. Blessing, DuD 2013, 376. 4 „Smart life“, Heckmann, K&R 2011, 1. 5 Weichert betont die Analysefunktion i.V.m. großen Datenmengen: Big Data und Datenschutz. Chancen und Risiken einer neuen Form der Datenanalyse, ZD 2013, 251; so auch Harris, ZD 2013, 369 zu den Analysefunktionen bei Prism u.ä. Zur %-Aufteilung des NSA-Budgets s. etwa Friedhelm Greis, Jörg Thoma 30.8.2013 in golem.de http://www.golem.de/news/nsa-affaere-das-geheime-bud get-der-us-geheimdienste-1308-101301.html: „… Von dem Budget geht der GroßConrad/Schneider
1143
§ 69
Datenschutzprinzipien fr eine EU-Datenschutz-Grundverordnung
sentlich gravierender, wird aber weniger beachtet und in BDSG und DSGVO-E kaum berücksichtigt. Für die Analyse sind die sog. Metadaten zentral. Sie gehören zum „Kontext“ bzw. bilden diesen, d.h. sie charakterisieren den ursprünglichen Zweck, solange es sich um die Original-Daten bei Entstehung handelt und nicht über Add-Funktionen hinzugewonnene. c) Verlagerung der Schutzproblematik 64
Die Abtrennung der Daten von den ursprünglichen Kontexten erlaubt es, die Daten ohne formelle Veränderung aus dem einen Zweck-Kontext in einen anderen zu überführen und dies, ohne dass man dies den Daten „anmerkt“. Dies macht die Kontrolle besonders schwierig. Die Fungibilität, die dadurch erreicht wird, lässt es zu, dass die Daten in sehr verschiedener Weise (wieder-)aufbereitet werden können. Die Programme bzw. die „Folien“ für diese Wiederaufbereitung sind präformiert bzw. wurden aus anderen Datenverarbeitungsvorgängen gewonnen. Wenn es richtig ist, dass man bestimmte Persönlichkeitsmerkmale aus ganz wenigen Daten/Angaben herausdestillieren kann, so ist dabei zweierlei bemerkenswert bzw. Voraussetzung: Zum einen muss es die „Norm“ im Sinne einer „Wenn-/Dann-Beziehung“ geben: Wenn jemand dieses und jenes Merkmal und zudem ein drittes aufweist, dann ist er auch der typische Kunde für xyz, Risiko-Patient der Krankenkasse, Kreditrisiko Klasse xxx. Beispielsweise wird dies im Bereich der Konsumforschung, aber auch zur Ermittlung des Risikoverhaltens bei der Einordnung nach Klassen im Zusammenhang mit dem Erwerb von Wertpapieren bei der Beratung am Bankschalter genutzt.
65
Auch Scoring ist insofern nichts anderes, als die empirische Aussage darüber, dass jemand, der bestimmte (Negativ-)Merkmale erfüllt, sich typischerweise verhält wie die Angehörigen dieser Klasse, anhand derer dieses empirische Merkmal entwickelt worden ist. Für den Datenschutz ist die Entwicklung der Folie, sprich auch des Scoring-Materials, grundsätzlich nicht relevant, weil anhand anonymer Daten möglich. Deshalb wurde diskutiert, ob Scoringwerte personenbezogene Daten sind. Natürlich ist der einzelne Scorewert des identifizierten bzw. identifizierbaren Betroffenen ein personenbezogenes Datum. Die generelle Aussage jedoch, dass Personen, die der Klasse … angehören, ein Ausfallrisiko von … % darstellen, ist kein personenbezogenes Datum. Diese Folie ersetzt im Grunde die Beobachtung und erzeugt dennoch genau diesen Effekt, näm-
teil mit 26 Prozent an Verwaltung und Support und 15 Prozent gehen in die ITInfrastruktur. 23 Prozent werden von der Datensammlung und dem operativen Betrieb, 14 Prozent von der Analyse von Daten und 15 Prozent von der Verarbeitung und der Ausbeutung der Daten in Anspruch genommen. Lediglich vier Prozent fließen in die Forschung. Das sind immerhin noch mehr als 300 Millionen Dollar. …“.
1144
Conrad/Schneider
§ 69
III. Bewertung und Ausblick
lich den Beobachtungsdruck1. Man könnte diesen auch als informationelles Korsett oder Vorurteil sehen, beides extreme Gegensätze zu „Selbstbestimmung“. Die Technik von Big Data mit den multifunktionalen Auswertungen geht weit über das hinaus, was früher unter „Vorwissen“ diskutiert wurde2. Jetzt geht es um Vorhersagen künftigen Verhaltens3. Big Data vermittelt die Verknüpfung des Vorwissens mit nahezu beliebigen Auswertungen. Insofern erscheint auch die an sich hübsche Figur des „Datenschattens“4 oder – noch plastischer – des Datenzwillings5 verniedlichend: Es geht um sektoral bestimmte, segmentierte präformierende Abbildungen im Sinne von funktionsgerechten Typisierungen, denen der Einzelne fallweise, multipler6 Charakteristik entsprechend, zugeordnet wird. Der Umweg über die Rekonfiguration des Einzelnen unter bestimmten 66 Aspekten (Terrorist, Patient, Konsument von xyz usw.) ersetzt das – verbotene – Ausspähen7 und Bevorraten großer individualisierter Daten.
1 S.a. Spies, ZD 11/2013, V, mit Hinweis auf Brookman/Hans, Why Collection matters. Surveillance as a De Facto Privacy Harm, www.futureofprivacy.org. 2 Sehr interessant zu der unterschiedlichen Bewertung bei Ergebnissen von Suchmaschinen je nach Vorwissen OLG Hamburg v. 26.5.2011 – 3 U 67/11, CR 2011, 667 (ehrverletzende Snippets). S.a. die die Subjektivität bei „Offensichtlichkeit“ (im Zusammenhang mit der Disk. von Panoramabildern bei Google streetview) mit der Differenzierung von konkretem und typischem Vorwissen: Spiecker gen. Döhmann, CR 2010, 311. 3 S.a. Interview mit Mayer-Schönberger v. 2.11.2013, http://www.zeit.de/digital/in ternet/2013-11/big-data-mayer-schoenberger/seite-2. 4 Zum „Datenschatten“ als Synonym für Überwachungsstaat s. z.B. Martin Becker (Hrsg.), Datenschatten: Auf dem Weg in die Überwachungsgesellschaft?, 2010; der Begriff „Schatten“ ist einerseits illustrativ, weil er die Reduplikation andeutet. Er passt insofern nicht, als die zu assoziierende Geschichte – Peter Schlemihl (Adalbert von Chamisso, Peter Schlemihl’s wundersame Geschichte, 1814 – gerade den Verlust bzw. die Preisgabe des Schattens und die Wirkungen schildert. Schön wäre es, den Umstand der aufgezwungenen Schatten, die man aber selber nicht sieht, ähnlich plakativ zu vermitteln. Besonders klug an dem Deal bei Chamisso: Der Teufel bietet an, den Schatten nun gegen die Seele zurück zu geben. Stimmt der Vergleich, dann gewinnen wir unsere Seele zurück, indem wir unsere Datenherrschaft zurückgewinnen? Das wäre der Kontrast zu „Post-Privacy“! Zur Diskussion „Privacy is (not) an anomaly“ s. Omer Tane, 22.11.2013, www.privacyassociatron.org/privacy. 5 So Assheuer, DIE ZEIT v. 3.11.2013, http://www.zeit.de/2013/45/ueberwa chung-nsa-nichtwissen-big-data. 6 Die multiple Persönlichkeit war ein umstrittenes Krankheitsbild. Evtl. kann man sagen, dass die Big Data-Techniken es schaffen, die Charakteristik einer multiplen Persönlichkeit virtuell herzustellen, sodass der Einzelne sich selbst zumindest als solche Persönlichkeit in den (Re-)Aktionen der Institutionen begegnet. 7 S. nur BVerfG v. 27.2.2008 – 1 BvR 370/07, 1 BvR 595/07 – Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme. Conrad/Schneider
1145
§ 69
Datenschutzprinzipien fr eine EU-Datenschutz-Grundverordnung
4. Der Kumulationseffekt für Gesellschaft und Einzelnen fehlt beim Datenschutz-Szenario 67
Das Thema der Verhinderung bzw. des Verbots der „Total-Überwachung“ bzw. der Kumulationseffekt verschiedener Systeme für Gesellschaft1 und Einzelnen ist insofern längst auf der Tagesordnung2, müsste also in die Datenschutzregelungen einbezogen werden. Durch die Abtrennung der Daten aber von ihren Verwendungszusammenhängen erscheint es so, als ob der Einzelne noch nicht voll erfasst würde. Tatsächlich ist so wohl jeder Einzelne, der sich nicht völlig kommunikationsfrei verhält, erfasst, und zwar in nahezu sämtlichen „Bewegungen“ und Einstellungen, wie auch dazu in großen Teilen die Gesellschaft. Die Trennung von Daten und Zweckzusammenhang ermöglicht es, Persönlichkeit und einige deren spezifischen Aspekte bzw. sämtliche deren spezifischen Aspekte unter typischen Rollen-Aspekten sozusagen neu, anders zu konfigurieren, also nicht zu rekonstruieren, wofür schon wenige Daten ausreichen, die für sich belanglos erscheinen. Zu diesen Daten führen auch Maßnahmen des tracking3 und Verarbeitungsmöglichkeiten im Rahmen der Big Data-Technologien, die aber beim Konfigurieren der Daten zu Zwecken des Verarbeiters, nicht des Betroffenen dienen4. Diesen Daten sieht man den ursprünglichen Verwendungszusammenhang nicht an. Der empirisch sicherbare Rückschluss vom Warenkorb auch unauffälliger Prägung (also signifikante Artikel wie spezielle Arzneimittel) lässt einen Rückschluss auf die Krankheitsneigungen wie auch sonstige Vorlieben zu. Die Folge, nun deshalb sämtliche Daten aus dem Konsumbereich zu sperren, wäre natürlich unsinnig als Forderung. Richtig ist aber, dass die Aufbereitungen und Verwertungen, wie sie nunmehr durch die PRISMSkandale bekanntgeworden sind und deren Werkzeuge zum Thema Big Data gehören, auch im Konsumbereich die Aufbereitung und Auswertung im Detail erlauben. Dass Schlüsselwörter funktionieren, ist das eine, dass es sozusagen Schlüsseldaten gibt, die den gesamten Innenbereich des Einzelnen erschließen, ist bislang datenschutztechnisch nicht berücksichtigt. Richtig ist auch, dass die DSGVO-E die Profilbildung zaghaft, ziemlich schwach, also wenig wirkungsmächtig ausgestaltet. Art. 20 DSGVO-E bietet eine Opt-Out-Lösung, was im Widerspruch zum Verbotsprinzip steht.
68
Etwas verkürzt gesagt: Die Atomisierung der Persönlichkeit durch das Datenschutzrecht lässt deren Rekonstruktion unter dem Auswertungsaspekt des Beobachtungswesens wie einen rechtsfreien Raum erscheinen.
1 S. Roßnagel, NJW 2010, 1238; Knierim, ZD 2011, 17. 2 S. für Video z.B. Bier/Spiecker gen. Döhmann, CR 2012, 610; Taeger, ZD 2013, 571. 3 S. dazu Härting, Internetrecht, 5. Aufl. 2014, Kap. B Rz. 264 ff. 4 Zum Gefährdungspotential s. Roßnagel, ZD 2013, 562. Zur Praxis s.a. Straßenverkehr in New York, Verkehrsüberwachung: Spies, ZD 11/2013, V.
1146
Conrad/Schneider
§ 69
III. Bewertung und Ausblick
5. Aufbürdung praktisch nicht erfüllbarer Pflichten auf den Datenverarbeiter a) Technisch/organisatorische Maßnahmen und deren Konzept Für die Zwecke der folgenden Überlegungen sei kurz darauf hingewiesen, 69 dass man zwischen den Risiken im Hinblick auf die „IT-Sicherheit“ und den Risiken für die einzelne Persönlichkeit klar unterscheiden muss. Im Prinzip geht es bei dem Datenschutz darum, den Einzelnen vor den Risiken für seine Persönlichkeit zu bewahren bzw. diese zu minimieren. Infolgedessen befassen sich auch einige Artikel der Grundverordnung auch damit, wie dies geschehen könnte, zu denen z.B. die Regelungen zur Löschung der Daten (Art. 17 DSGVO-E) – was aber nichts Neues ist – und die Regelungen zu Data Protection by design and by default (Art. 23 DSGVO-E) gehören. In gewissem Sinne kann man auch Art. 32 dazu zählen, nachdem dem Datenverarbeiter die Pflicht auferlegt wird, Datenschutzverstöße zu melden. Im gesamten Text des BDSG wie auch der Grundverordnung tauchen an 70 entscheidender Stelle, wo es um den eigentlichen materiellen Schutz gehen könnte, keine materiellen Schutzinstitute auf, die etwa sein könnten „Persönlichkeitsrecht, Privatsphäre, Privacy u.ä.“ Mithin stehen sämtliche Adressaten vor dem Kardinalproblem, dass sie aufgefordert werden, solche Institute zu beachten und Risiken, die diesem drohen, zu vermeiden, was z.B. auch für Art. 32 (a) DSGVO-E gilt. Das Gesetz, bzw. die Verordnung sagt aber nicht, um was es sich dabei handelt. Auch stimmen diese Maßgaben nicht mit Ziel und Zweck der Regelung insofern überein, als weder in Art. 5 noch in Art. 6 DSGVO-E als den Grundlagen eine solche Schutzposition überhaupt nur erwähnt, geschweige denn fundiert würde1. Art. 5 DSGVO-E behandelt zwar in (a) die rechtmäßige, faire, transpa- 71 rente Weise des Umgangs mit personenbezogenen Daten, gibt aber keinen Maßstab dafür, wie man diese Kategorien beurteilen könnte. Art. 5 (b) erwähnt zwar die wichtige Zweckbindung ausdrücklich am Ende der Regelungen in einem Klammerzusatz, lässt aber diese wie eine Art Solitär stehen, weil die Zwecke in keiner Weise an ein entsprechendes Schutzgut angekoppelt werden oder das Konzept der Zweckbindung durchgezogen wird. Letzteres hätte den großen Vorteil, nicht auch die AlltagsDV und – Kommunikation zu verbieten und zu regeln2. Art. 6 (d) DSGVO-E spricht z.B. von dem vital interest des Betroffenen, 72 was möglicherweise noch wesentlich enger ist, als die bisherige Regelung im deutschen Recht, wenn es um Abwägung geht (in §§ 28 und 29 BDSG), die aber völlig nichtssagend ist, was die Kategorien wie wirt1 S.a. Schneider, Anw.Bl. 2011, 233. 2 Zum Entwurf einer solchen Regelung s. Härting/Schneider, CRi 2013, Supplement 1, 19–38. Conrad/Schneider
1147
§ 69
Datenschutzprinzipien fr eine EU-Datenschutz-Grundverordnung
schaftliche Interessen, Privatsphäre oder Ähnliches betrifft. Selbst bei den speziellen Kategorien von Daten, Art. 9 DSGVO-E, ist keine Rückbindung an ein entsprechendes Schutzinstitut (was etwa mit der Diskriminierungsfreiheit gegeben sein könnte) vorgenommen worden. 73
Diese Probleme wären durch eine substantiell am Zweifel der Charta orientierte Auslegung möglicherweise kompensierbar. Da die DSGVO-E aber unmittelbar anzuwenden ist, ist grundsätzlich kein Raum für eine solche „verfassungsgemäße“ Auslegung. Eine Lücke ist insofern auch nicht gegeben, da der Gesetzgeber sich eben ganz bewusst dafür entschieden hat, immer noch – also auch nach bald 20 Jahren – in Wirkung der EU-Datenschutzrichtlinie nur die Daten zu schützen (und nicht die Person). b) Verlagerung der Unmöglichkeit der Gestaltung/Modellierung des Schutzgutes auf den Normadressaten
74
These 5: Nun das eigentliche Problem: die dem Gesetzgeber vorbehaltene Aufgabe, die dieser aber außer Stande ist, zu diagnostizieren und zu lösen, wird dem einzelnen Datenverarbeiter auferlegt – eine unverhältnismäßige Risikoüberbürdung, da die Spezifikation der zu erbringenden Leistung fehlt.
75
Obwohl sich das Persönlichkeitsrecht und die Privatsphäre1 als justitiable Institute herausgestellt haben bzw. über lange Zeit erfolgreich – mit Ausnahme der schwachen Schadensersatzposition – als Schutzinstitut entwickelt und eingesetzt werden, bleibt der Gesetzgeber bei der Furcht vor der Festlegung, wie schon vor bald 40 Jahren – die Privatsphäre ist relativ. Nebenbei: das Problem verlagert sich dann teilweise auf den Personenbezug, wenn man statt auf die Privatsphäre auf die Daten abstellt. Warum die Verordnung diesen Schritt des materiellen Schutzes nicht geht (trotz vieler Vorhaltungen auch in der Öffentlichkeit gegenüber den Akteuren) mag dahin stehen. Man kann darüber spekulieren, dass sehr wahrscheinlich der Kraftakt, der für die Kreation eines solchen Schutzinstituts erforderlich wäre, schlicht nicht möglich war, genauer: schon vorsorglich gar nicht erst versucht wurde. Stattdessen gab es die Beteuerungen, dass man einen bestmöglichen Schutz schaffen wolle (was immer dies dann auch sei).
76
Genau diese herkules-mäßige Aufgabe, die eigentlich nur der Gesetzgeber (vielleicht auch noch die Obersten Gerichte, wenn ihnen etwas Material dafür geboten wird) lösen könnte, wird nun aber dem einzelnen Datenverarbeiter auferlegt, und zwar mit unmittelbar direkt geltender Wirkung und mit Sanktionen, falls er diese Umsetzung nicht richtig vornimmt. Dies ist unter verfassungsrechtlichen und vor allem aber unter 1 Zur Privatsphäre als geeignetem Schutzgut s. z.B. Härting/Schneider, CRi 2013, 22.
1148
Conrad/Schneider
§ 69
III. Bewertung und Ausblick
strafrechtlichen Gesichtspunkten völlig verfehlt. Das Bestimmtheitsgebot ist in gravierender Weise verletzt. Ein Paradebeispiel1 dafür ist § 9 BDSG i.V. mit der Anlage (§ 9 wird auch 77 noch kombiniert mit § 11). Hier nämlich wird der Datenverarbeiter gezwungen, eine Abschichtung bzw. eine Abstimmung und Abstufung des Aufwands im Verhältnis zum „angestrebten Schutzzweck“ vorzunehmen (§ 9 Satz 2). Daten lassen sich für sich nicht nach Sensitivitäten abstufen, um Risiko-Analysen mit Kosten-/Nutzen-Analysen zu verbinden. Dennoch sollen und dürfen die ökonomischen Interessen des Datenverarbeiters den durch das Gesetz nicht näher bestimmten, aber „angestrebten Schutzzwecken“ gegenübergestellt und abgewogen werden. Nicht viel besser, vielleicht sogar schlechter verhält es sich mit Art. 30 78 DSGVO-E, wenn auch eigentlich ein Vorbild, dass etwas besser als das BDSG war, nämlich Art. 17 der Richtlinie, als Vorbild hätte dienen können. Bei den Maßnahmen nach Art. 30 DSGVO-E hat der Datenverarbeiter (unter anderem) die Natur der persönlichen Daten, die zu schützen sind, in Betracht zu ziehen, was auf eine Abstufung des Datenmaterials hinausläuft, das der Gesetzgeber ansonsten aber genau verleugnet bzw. vermeidet (bis auf die besondere Art von Daten). Zudem muss der Datenverarbeiter die sich aus dem Impact Assessment erzielten Ergebnisse berücksichtigen. Art. 32 DSGVO-E verpflichtet den Datenverarbeiter, eine Risikoanalyse 79 der möglichen Wirkungen der intendierten Datenverarbeitung, und zwar im Hinblick auf „Rights and Freedoms“ des Betroffenen vorzunehmen und dabei spezifische Risiken seiner eigenen Datenverarbeitung in Betracht zu nehmen. Art. 32 (a) Abs. 2 DSGVO-E zählt dann einige Daten der Datenverordnung auf, die spezifische Risiken bergen. Dazu zählt z.B. schon eine Datenverarbeitung, die mehr als 5000 Betroffene in einer aufeinanderfolgenden Zwölf-Monats-Periode erfasst. Die Beispiele ließen sich fortsetzen. Zusammenfassend sei nur vermerkt, 80 dass in Verbindung mit Art. 33 DSGVO-E sozusagen auf der Folgeebene, nämlich was der Datenverarbeiter tun muss, ein hoher Detailierung- und Verpflichtungscharakter aufgebaut wird, ohne dass der Gesetzgeber sich die Mühe gemacht hat, das, was genau Maßstab dafür sein soll, was „angemessen“ ist, auch nur ansatzweise zu regeln. Als direkt wirkende Verordnung erscheint dies grob verfassungswidrig. Strafrechtliche Sanktionen dürften kaum daraus abgeleitet werden, obwohl solche vorgesehen sind, wenn es um Verfehlungen geht. Das Problem ist alt. Die Kommentare für das BDSG haben auf vielen Sei- 81 ten versucht, dieses Problem konstruktiv zu lösen. Einen wirksamen An1 S.a. Schneider, ZD 2011, 6. Conrad/Schneider
1149
§ 69
Datenschutzprinzipien fr eine EU-Datenschutz-Grundverordnung
satz der Selbstregulierung wird man darin nicht sehen können. Es gab allerdings auch nie einen irgendwie gearteten Rechtsstreit, insbesondere nicht einen solchen im strafrechtlichen Bereich, wo es um die Frage ging, ob ausreichende Sicherheitsmaßnahmen getroffen worden seien. Nun ist tatsächlich § 9 BDSG nicht strafbewehrt. Allerdings wäre dies sehr wohl auf dem Umweg über § 43 (2b) BDSG denkbar, nämlich über die Auftragsdatenverarbeitung. Aber auch hierzu ist nichts bekannt. 82
Noch gravierender und zugleich typisch ist aber wohl, dass es keine einzige größere Entscheidung zu dem Thema der Haftung – etwa im Zusammenhang mit der Verletzung von Sicherungspflichten im Bereich des Datenschutzes – gibt.
1150
Conrad/Schneider
Sachregister Die fett gesetzten arabischen Zahlen beziehen sich auf die Kapitel; die nachfolgenden mageren Zahlen kennzeichnen die betreffende Randziffer
Adresshandel § 30 63 f.; § 48 1 f., 19 – Datenhandel siehe dort Agenturvertrag § 25 26 f. Albrecht-Bericht zur EU-Datenschutz-Grundverordnung § 62 70 ff. – EU-Datenschutz-Grundverordnung siehe dort Allgemeine Geschäftsbedingungen (AGB) § 18; § 13 65, 70, 75, 85; § 14 36, 47 f.; § 17 23; § 21 8, 22; § 28 32, 37; § 30 90, 234; § 37 47; § 38 28; § 39 59; § 41 10, 21; § 42 80; § 43 16, 19 ff., 29, 41, 49; § 46 30; § 48 20 f., 24, 47; § 49 4, 19; § 50 36; § 52 4, 22 f., 29; § 53 30, 32; § 54 82; § 55 7, 40; § 56 2, 4, 9 f., 18 ff.; § 69 12, 29, 39 – Vertriebsverträge § 43 20 f. Allgemeines Gleichbehandlungsgesetz (AGG) § 27 10 ff., 20 f. Allgemeines Persönlichkeitsrecht § 11 23; § 27 2; § 28 14, 19, 42; § 36 2, 50 f.; § 50 40, 43, 47, 54, 57 ff., 64 f. Altdatenübernahme siehe Datenmigration Amazon § 21 2; § 32 20, 28 Analyse sehr großer Datenmengen (Big Data) § 6 20 ff. Analyse unstrukturierter Datenmengen § 6 2 ff. Analyse von Datenströmen in Echtzeit (Real Time) § 6 16 ff. Ankauf von rechtswidrig erlangten Informationen § 68 1 ff. Ankauf von Steuer-CDs § 68 1 ff. – Ausspähen von Daten gem. § 202a StGB § 68 2 – Bankgeheimnis § 68 19 ff.
– Begünstigung gem. § 257 StGB § 68 5 – Beihilfehandlung § 68 2 – Hehlerei gem. § 259 StGB § 68 4 – Recht zum Ankauf aus § 34 StGB § 68 11 ff. – staatliche Steueransprüche § 68 18 – Strafbarkeit des Ankaufenden als Teilnehmer § 68 28 – Strafbarkeit nach § 17 UWG § 68 6 ff. – Strafbarkeit nach §§ 44, 43 BDSG § 68 3 – Untreue gem. § 266 StGB § 68 3 – Verrat von Geschäfts- und Betriebsgeheimnissen § 68 6 ff. Anything as a Service (XaaS) § 10 10, 12 ff. Anzeigenteil einer Zeitung § 33 26 ff. Arbeitnehmerdaten § 27 60 ff. – Arbeitgeberpflichten § 27 68 ff. – Arbeitszeit § 27 70 – Gehaltsabrechnung § 27 71 – Grunddaten § 27 62 f. – Krankheiten § 27 74 – Mutterschutz § 27 72 – Personalakte siehe dort – Personalplanung § 27 64 – Privatsphäre § 27 65 ff. – Rechtsgrundlagen § 27 60 f. – Schwerbehinderungen § 27 73 Arbeitnehmerüberlassung § 14 39 ff. Archivierung von Daten § 8 1 ff.; § 60 1 ff. – Architektur von Archivsystemen § 8 41 ff. – Archivgesetze § 8 12 ff. – Archivierungssysteme § 7 8 1151
Sachregister
– Archiv-Middleware und Verfahren § 8 50 – Auffindbarkeit von Informationen § 8 35 f. – Autorisierung des Zugriffs § 8 37 – Begriffe und Definitionen § 8 4 ff. – Checkliste § 8 83 – datenerzeugende Systeme § 8 46 ff. – Datenschutz § 8 14 – Dokumentenmanagement § 8 4 – Enterprise Content Management (ECM) § 8 4 ff. – Information Lifecycle Management (ILM) § 8 4 ff., 66 – Integrität und Authentizität § 8 24 ff. – Langzeit-Archivierung § 8 4 – Migration § 8 79 – Ordnungsmäßigkeit der § 8 19 f. – Richtigkeit und Vollständigkeit von Daten § 8 21 ff. – Sarbanes-Oxley-Act (SOX) § 8 17 – sonstige rechtliche Rahmenbedingungen § 8 15 ff. – Speichermedien und Speichersysteme § 8 60 ff. – steuer- und handelsrechtliche Anforderungen § 8 ff. – technische Umsetzung § 8 41 ff. – Urheberrecht § 8 13 – Wiederherstellbarkeit und Lesbarkeit § 8 31 ff. – Zertifizierung der § 8 38 ff. – Zielsetzungen § 8 2 ff. Art. 29-Datenschutzgruppe § 44 31 ff.; § 46 6 ff., 11 ff., 20 ff., 70, 75 f., 78; § 64 13 ASP-Entscheidung des BGH § 24 18 Aufbewahrung von Daten § 60 1 ff. – Archivierung von Daten siehe dort 1152
– Aufbewahrungsformen § 60 30 ff. – Aufbewahrungsfristen § 60 24 f. – Aufbewahrungssysteme § 60 64 ff. – digitale Belege und Daten § 60 41 ff. – gesetzliche Aufbewahrungspflichten nach HGB und AO § 60 5 ff. – Gründe für die § 60 1 ff. – Organisationsanweisung § 60 68 f. – Unterlagen auf Datenträgern § 60 38 ff. – Verstoß gegen die Aufbewahrungspflichten § 60 26 ff. Auftragsdatenverarbeitung § 24 4, 23; § 25 2; § 35 1 ff.; § 44 3 ff.; § 47 13 ff. – Abgrenzung zur Datenübermittlung § 44 11 ff. – ~ außerhalb des EWR § 35 22 ff.; § 47 21 f. – Begriff § 44 3 ff.; § 47 16 ff. – Binding Corporate Rules § 35 42 f.; § 46 1 ff. – Checkliste § 47 18 – Datenübermittlung siehe dort – e-Invoicing § 54 57 ff. – EG-Datenschutzrichtlinie § 35 27, 32 ff.; § 44 10, 27 ff. – Erweiterung der ~ § 44 72 – EU-Standardverträge I, II und III § 35 26 ff. – Fiktion des § 3 Abs. 8 Satz 3 BDSG § 35 2 ff. – Funktionsübertragung § 35 16 f. – Funktionsübertragungstheorie § 35 13; § 44 14 ff., 38 – Gestaltung § 47 18 – inhaltliche Anforderungen nach § 11 Abs. 2 und 3 BDSG § 35 18 ff. – inhaltliche Grenzen § 35 11 f. – Inkasso § 49 24 f. – Kundendaten § 30 105, 255 ff.
Sachregister
– Meldepflichten § 62 37 ff., 66 – Privilegierung der § 35 1 ff. – Reichweite der gesetzlichen Fiktion des § 3 Abs. 8 Satz 3 BDSG § 35 6 ff. – Safe Harbor-Abkommen zwischen EU und USA § 35 34 ff. – schutzwürdige Interessen § 44 73 ff. – verbindliche Konzernregelungen für Auftragsdatenverarbeiter (Processor BCR) § 46 1 ff. – Verbot mit Erlaubnisvorbehalt gemäß § 4 Abs. 1 BDSG § 35 2 ff. – Verpflichtungen nach § 11 BDSG § 35 5 – Vertragstheorie § 35 14; § 44 8 f. – Weisungsgebundenheit des Auftragnehmers § 35 13 Auslagerung von IT-Leistungen § 14 1 ff. – siehe auch Outsourcing Aussagepflicht im Strafverfahren § 33 1 ff. Ausspähen von Daten (§ 202a StGB) – Befugnis § 67 14 – Einwilligung des Rechteinhabers § 67 19 – Entwicklungsgeschichte und Überblick § 67 1 ff. – Geheimhaltungsinteresse des Verfügungsberechtigten § 67 8 – Geheimnisschutz § 13 20 ff. – geschütztes Rechtsgut § 67 8 – Irrtum § 67 22 – private Nutzung von Internet und E-Mail § 67 16 f. – Rechtsprechungsbeispiel § 67 27 ff. – Rechtswidrigkeit § 67 14 ff. – Schutz der Verfügungsbefugnis § 67 8 – Skimming § 67 28; § 62 32 – Strafantragserfordernis § 67 24 ff.
– – – – – –
Strafantragsfrist § 67 26 Tatbestand, objektiver § 67 9 Tatbestand, subjektiver § 67 21 f. Tathandlung § 67 13 Tatobjekt § 67 10 ff. Verhältnis zu anderen Strafnormen § 67 23 – Vorsatz § 67 21 – Zugriff, externer § 67 15 ff. – Zugriff, interner § 67 15 ff. Auswertung natürlichsprachlicher Texte § 6 3 ff. Auswertung von digitalen Bildern und Videos § 6 12 ff. Auswertung von Tonaufnahmen § 6 9 ff. Autocomplete-Entscheidung des BGH § 11 23 automatisierte Einzelentscheidung § 30 96 ff. Backup-Lösungen § 40 21 ff., 47 ff. – Backup-Stufen § 40 23 ff. – Gegenstand § 40 33 Backup as a Service (BaaS) § 10 10 Bedienplatzreports § 50 65 Berufsbewertungsportale siehe Bewertungsportale, Veröffentlichungen im Internet Berufsgeheimnis § 14 1 ff. – spezialisierte IT-Dienstleister für Berufsgeheimnisträger § 14 3 ff. – Verhältnis zum Datenschutz § 14 6 ff. Beschäftigtendatenschutz § 47 1 ff.; § 69 42 ff. – Beschäftigtendatenflüsse im Konzern § 47 1 – Betriebsvereinbarungen § 47 29 ff. – Datenübermittlungen ins Ausland § 47 38 ff. – Funktionsübertragungen § 47 33 ff. – Informations- und Unterrichtungspflichten des Arbeitgebers § 50 48 1153
Sachregister
– Kontrollmaßnahmen des Arbeitgebers § 50 55 ff. – Mitarbeitervereinbarungen § 47 23 ff. – Mitbestimmungsrechte des Betriebsrats § 50 50 ff. – Rechte des Arbeitnehmers § 50 49 – Verträge als Rechtfertigung für Datenweitergaben § 47 14 ff. Beschäftigten-Screening § 69 18 Beschlagnahmeverbot § 33 6 betrieblicher Datenschutzbeauftragter (bDSB) § 14 9, 16; § 29 29; § 35 38; § 44 66; § 45 64; § 46 36, 40, 78; § 61 1, 3, 8, 11, 18, 21, 24 f., 27, 29, 34, 37, 43, 46, 56, 80, 84; § 62 24, 67; § 63 15; § 69 47 ff., 62 f. betriebliches Eingliederungsmanagement § 27 76 Betriebsrat § 50 45, 50 ff. Betriebsspionage § 13 20 ff. Betriebsvereinbarungen § 47 29 ff.; § 50 45, 50 Bewerberdaten § 27 2 ff. – AGG-relevante Daten § 27 10 ff., 20 f. – Erkundungen § 27 30 ff. – Fragerecht § 27 16 ff. – Grunddaten § 27 7 ff. – Rechtsgrundlagen § 27 2 ff. – medizinische und psychologische Tests § 27 48 ff. – Mitteilungspflicht § 27 39 ff. Bewerberdatenbanken § 27 57 Bewerbungsverfahren § 27 2, 7, 28, 62 Bewertungsportale § 33 8 ff., 22 f., 27; § 59 1 ff. – Berufsbewertungsportale § 59 33 ff. – Haftung für Äußerungen § 33 22 – Klinikbewertung § 33 8 ff. – missbräuchliche Beeinflussung § 59 70
1154
Big Bang § 3 7, 11 ff.; § 4 29, 31, 48; § 38 11, 22, 35 Big Data § 1 1, 6; § 6 20 ff.; § 11 1; § 15 35; § 23 1 f.; § 32 21; § 34 2; § 41 9, 31; § 52 1; § 65 1 ff., 6; § 66 26; § 69 63 Binding Corporate Rules (BCR) § 1 12; § 45 31 ff. – Binding Corporate Rules for Processors (PBCR) siehe dort – ~ für Auftragsdatenverarbeiter § 46 1 ff. – Controller-BCR § 46 11 ff.; § 69 46 Binding Corporate Rules for Processors (PBCR) § 46 1 ff. – aktuelle Entwicklungen § 46 63 ff. – Anwendungsvoraussetzungen § 46 11 ff. – Auditsystem § 46 58 ff. – Aufbau § 46 40 ff. – Beschwerdesystem § 46 51 ff. – Besonderheiten des Controllerto-Processor-Verhältnisses § 46 20 ff. – Funktion § 46 7 ff. – Haftung § 46 47 ff. – Trainingskonzept § 46 55 ff. – Unterschiede zum Instrument der Standardvertragsklauseln § 46 34 ff. – Verbindlichkeit § 46 40 ff. – Vorgaben der Art.-29-Gruppe § 46 20 ff. Bing Streetside § 31 19 Bismarck-Fall des Reichsgerichts § 28 15, 30 Blogger § 33 8, 22, 25 Blogs § 33 8, 25, 27 Bogsch-Theorie § 21 13 ff. Bots § 17 27; § 19 17 Bring Your Own Device (BYOD) § 29 24 ff. – Befassung durch Datenschutzbehörden § 29 26 ff.
Sachregister
– datenschutzrechtliche Fragestellungen § 29 25 – Lebenssachverhalt § 29 24 British Horseracing Board/William Hill-Entscheidung des EuGH § 11 15; § 18 5 Bronner-Entscheidung des EuGH § 20 16 Bundesamt für Sicherheit in der Informationstechnik (BSI) § 64 10 f. Bundesdatenschutzgesetz (BDSG) – allgemeiner Anwendungsbereich § 28 20 – Rolle von § 32 BDSG § 28 21 – Verhältnis von KUG und BDSG § 28 22 ff. Bundesnetzagentur § 48 47, 49 Business Intelligence § 5 14 ff.; § 30 14, 115 ff. Callcenter-Verträge § 50 1 ff. – Abhören von Telefonaten § 50 38 – Anruferdaten § 50 11 ff. – Anrufereinwilligung § 50 22 f. – anruferschützende Regelungen § 50 33 ff. – Auftraggeber-Weisungen § 50 25 ff. – Auftragsdatenverarbeitung § 50 13 ff. – Berufsgeheimnisträger § 50 22 f. – Callcenter in der Praxis § 50 1 f. – Cold-Calling siehe dort – Customer-Relationship-Management (CRM) § 50 7 – Frontend-System § 50 7 – Funktionsübertragung § 50 13 – Leistungsmerkmale § 50 6 ff. – Mitschneiden von Telefonaten § 50 38 – Need-to-Access-Prinzip § 50 29 f. – Need-to-know-Prinzip § 50 29 – Offenlegung der Auftragstätigkeit § 50 21
– Rufnummernunterdrückung § 50 37 – Sicherheitsmaßnahmen, technische und organisatorische § 50 28 ff. – Software as a Service (SaaS) § 50 8 – Sprach- und Emotionserkennung § 50 7, 27 – Telefonanlage § 50 7 – Vergütungsmodelle § 50 10 – vertragstypologische Einordnung § 50 3 ff. CAPTCHA (Completely Automated Public Turing test to tell Computers and Humans Apart) § 19 17, 46 Caroline-Urteil des EGMR § 28 1 CERT-Verbund (Verbund der Computer Emergency Response Teams) § 64 13 Cloud Computing § 9 1 ff.; § 10 1 ff.; § 40 1 ff.; § 41 1 ff.; § 65 1, 6 – Backup-Lösungen siehe dort – Bindungseffekt zum Cloud Service Provider § 9 48 ff. – Broad network access § 9 17 – Charakteristika § 9 15 ff. – ~ als Weiterentwicklung des Outsourcing § 10 12 ff. – Cloud-Angebote siehe dort – Cloud-Modelle § 40 1 – Cloud-Risiken siehe dort – Cloud-Services siehe dort – Community Cloud § 9 14 – Datenschutz § 9 41 ff. – Gebührenmodelle § 9 22 ff. – Hybrid Cloud § 9 13; § 40 2, 65 – iCloud § 10 9 – Informationssicherheit § 9 41 ff. – Integrationsfähigkeit § 9 46 f. – Liefermodelle § 9 10 ff. – Measured service § 9 20 – On-demand self-service § 9 16 – Outsourcing 2.0 § 10 1 ff. – Private Cloud § 9 12; § 40 2, 44, 53 1155
Sachregister
– – – – – – – – –
Public Cloud § 9 11; § 40 2, 44, 53 Rapid elasticity § 9 19 Resource pooling § 9 18 Service Level Agreements § 9 31 Servicemodelle § 9 6 ff. Storage-Verträge siehe dort typische Services § 9 26 Vertragsgestaltung § 9 31 Virtualisierungstechniken § 9 27 ff. – Vor- und Nachteile von ~ § 9 32 ff. Cloud-Angebote § 39 1; § 41 1 ff. – AGB-Recht § 41 10 – Datenherausgabe und Datensicherung bei Vertragsbeendigung § 41 12 ff. – Exitklausel siehe dort – Recht des Datenbankherstellers § 41 31 ff. – Rechte des Cloud-Anbieters an den eingestellten Daten § 41 26 ff. – Standardbedingungen § 41 1 ff. – Storage-Verträge siehe dort – Verschlüsselung § 66 45 ff. – Vertragstypologie § 41 10 – Vorschläge zur Best Practice § 41 46 f. Cloud-Risiken § 40 10 ff. – Ausfall des Anbieters § 40 11 – Backup-Lösungen siehe dort – Erfüllungsverweigerung des Anbieters § 40 13, 60 f. – Escrow-Verträge siehe dort – Insolvenz des Anbieters § 40 10, 58 f. – Risikoabsicherung § 40 16 ff., 57 ff. Cloud-Services § 41 1 ff. – AGB-Recht § 41 10 – Anbieter § 40 15 – Anwender § 40 5 ff. – Backup-Lösungen siehe dort – Datenherausgabe und Datensicherung bei Vertragsbeendigung § 41 12 ff. 1156
– Datenspeicherungs- und -haltungsverträge § 40 1 ff. – Escrow-Verträge siehe dort – Risikoabsicherung § 40 16 ff. – technische Grundlagen § 40 41 f. – Vertragsgestaltung § 40 43 ff. Cold-Calling § 50 2, 33 ff. – B2B-Bereich § 50 34 – B2C-Bereich § 50 33 – Einwilligung, ausdrückliche § 50 36 – Einwilligung, mutmaßliche § 50 34 – Folgeanrufe § 50 36 – Opt-in-Klausel § 50 36 – Rückruf § 50 36 – Verbot § 50 33 f. COLD-Systeme (Computer Output on Laser Disc) § 7 29, 37; § 8 60 Communications as a Service (CaaS) § 10 7, 9 Cookies § 32 22, 25 Copernicus/GMES (globale Umwelt- und Sicherheitsüberwachung) § 31 2 CRM (Customer-Relationship-Management) § 30 43; § 50 7 CRM-Systeme § 30 42 ff., 170 ff.; § 50 7 Customer-Relationship-Management (CRM) siehe unter CRM Cyber-Angriffe § 65 1 ff., 46 Dark Fiber-Vertrag § 52 5, 8, 26 Data as a Service (DaaS) § 10 7, 9 Data Mining § 5 25 ff.; § 30 7, 14 Data Warehouse-Systeme § 30 115 ff., 170 ff. Dateiformate § 18 6 f. Daten – Anonymisierung § 25 38 – Anruferdaten (Callcenter) § 50 11 ff. – Arbeitnehmerdaten siehe dort – Archivierung von ~ siehe dort
Sachregister
– Auftragsdatenverarbeitung siehe dort – Aussonderungsrecht gem. § 43 InsO § 25 28 ff. – Ausspähen von ~ siehe dort – Bewerberdaten siehe dort – ~ als handelbare Wirtschaftsgüter § 11 3 ff. – ~ als Rechtsgut nach § 823 Abs. 1 BGB § 22 1 ff. – ~ als unpfändbare Gegenstände § 25 19 – ~ auf eigenen Datenspeichern § 22 5 ff. – ~ bei Dritten § 25 25 ff. – ~ in der Insolvenz § 1 13; § 25 1 ff. – ~ von Minderjährigen § 28 7, 28, 33; § 69 36 ff. – Datenaustausch § 39 7 – Datenauswertung siehe dort – Datenbanken siehe dort – Datenformate siehe dort – Datenherausgabe siehe dort – Datenmigration siehe dort – Datenmodellierung siehe dort – Datennetze siehe dort – Datensätze siehe dort – Datenschnittstellen siehe dort – Datensicherung siehe dort – Datenspeicherung siehe dort – Datentransition siehe dort – Datenübermittlung siehe dort – Datenvermeidung siehe dort – dingliche Rechte § 25 29 – Eigentum i.S.v. § 823 BGB § 25 29 – Herausgabeansprüche § 25 25 ff. – Kundendaten § 25 2, 35 ff.; § 30 1 ff.; § 50 7, 11, 14 f., 18, 20, 40; § 51 1 ff. – Listendaten § 48 12 – Mitarbeiterdaten § 25 2 – Nutzungsdaten § 32 8 f. – personenbezogene ~ § 25 7 ff., 15 f., 38 – Programmdaten § 39 6
– Pseudonymisierung § 25 38 – Rechtsnatur § 24 17 ff. – Sacheigenschaft § 25 29 – Sozialdaten § 62 60 – unbefugter Zugriff § 67 1 ff. – unternehmenseigene ~ § 25 2 – unternehmensfremde ~ § 25 2 – Verschlüsselung § 66 25 ff. – Vertrieb § 43 1 ff. – wirtschaftlicher Wert § 25 3 ff. – Zuweisungsgehalt § 25 30 Datenarchivierung siehe Archivierung von Daten Datenauswertung § 5 1 ff. – Data Mining § 5 25 ff. – Drill-Downs § 5 18 f. – Grenzen § 5 28 ff. – Reports § 5 17 – Scoring § 5 20 ff. – typische Anwendungen im Bereich Business Intelligence § 5 14 ff. Datenbanken § 39 3 ff. – Abgrenzung von ~ und Datenbankinhalt § 16 1 ff. – Bewerberdatenbanken § 27 57 – Cloud Computing § 21 2 f. – Content-Nutzung-Verträge § 42 29 f. – Data Warehouse-Systeme siehe dort – Datenbankentwicklungsverträge § 42 27 f. – Datenbankerstellungsvertrag siehe dort – Datenbanklizenzverträge § 42 8 ff. – Datenbankmerkmale § 15 4 – Datenbanknutzung siehe dort – Datenbankschutz siehe dort – Datenbanksystem siehe dort – Datenbankvertragsrecht § 42 7 ff. – Datenbankwerke siehe dort – Datensätze siehe dort – EG-Richtlinie über den rechtlichen Schutz von ~ § 16 1 ff. 1157
Sachregister
– Entwicklung der Datenbanksysteme § 15 1 ff. – In-Memory-Datenbanken § 6 25 ff. – Integration der Werke Dritter in eine Datenbank § 42 105 – internationaler Schutz von ~ § 21 1 ff. – kollisionsrechtliche Probleme § 21 21 ff. – relationale ~ § 5 3 ff.; § 15 8 – Skill-~ § 27 58 – strukturierte ~ § 15 7 – unbefugter Zugriff § 67 1 ff. – urheberrechtliche Fragestellungen § 21 4 – Urheberrechtsschutz § 39 26 f. – Verschlüsselung § 66 25 ff. – Vertrieb § 43 1 ff. Datenbankerstellungsvertrag § 37 1 ff. – Geheimhaltung § 37 61 – Gewährleistung § 37 53 ff. – Haftung § 37 60 – Projektphasen § 37 28 – Rechtseinräumung § 37 34 ff. – Rechte am Datenbankwerk i.S.d. § 4 UrhG § 37 35 ff. – sonstige Bestimmungen § 37 62 – sui generis-Schutz nach §§ 87a ff. UrhG § 37 38 ff. – Vergütung § 37 29 ff. – Vertragsdauer § 37 24 – Vertragsgegenstand § 37 9 ff. – vertragstypologische Einordnung § 37 27 Datenbankmanagementsysteme (DBMS) § 2 1 ff.; § 37 1 ff., 11 ff.; § 39 3 ff. – Bestandteile § 37 3 ff. – Gewährleistung § 37 55 – Rechtseinräumung § 37 44 ff. – Vergütung § 37 31 Datenbankmodelle § 18 2 ff. Datenbankmodellierung § 5 6 ff.
1158
Datenbanknutzung – Nutzungshandlungen bei Online-Datenbanken, lizenzbedürftige § 42 42 ff. – Nutzungsrechte, erforderliche (aus Sicht des Anbieters bzw. Mittlers von Online-Datenbanken) § 42 65 ff. – Nutzungsrechte, erforderliche (aus Sicht des Anwenders bei Offline-Datenbanken) § 42 31 ff. – Nutzungsrechte, erforderliche (für den Vertrieb von Datenbanken) § 42 96 ff. – Typologie des Datenbanknutzungsvertrags § 55 32 f. – vertragliche Gestaltungsmöglichkeiten § 55 37 ff. Datenbank-Schemata § 2 8 ff. Datenbankschnittstellen § 18 8 f. Datenbankschutz § 11 14 ff.; § 15 1 ff. – Auslegungsgrundsätze § 15 14 – Ausschließlichkeitsrecht des Datenbankherstellers § 17 36 – Begrenzung des Schutzes durch das Kartellrecht § 20 8 ff. – Besonderheiten § 15 15 – Datenbankwerk § 17 32 f. – Datenbankwerksschutz § 17 41 – einfacher ~ § 17 34 ff., 42 – Fremdinhalte § 17 28 ff. – Gewährleistung des Daten- und Informationsflusses § 20 3 – Inhaber des Schutzes § 15 16 – internationaler Schutz § 15 18 – Investitionsschutz § 17 34 – Kartellrecht § 20 1 ff. – Leistungsschutzrecht § 17 34 – monopolistische Strukturen im Datenbankmarkt § 20 4 – Rechtslage vor Umsetzung der Datenbank-Richtlinie § 15 13 – Schutzfrist § 17 31, 39 – Schutzumfang nach §§ 87a ff. UrhG § 15 29 ff.
Sachregister
– Schutzvoraussetzungen nach §§ 87a ff. UrhG § 15 19 ff. – Sui-generis-Schutz § 11 16; § 15 12; § 17 34 ff. – UGC-Plattformen § 17 28 ff. – Werkschutz nach § 4 Abs. 2 UrhG § 15 17 – wirtschaftliche Betrachtung § 20 2 – Zwangslizenzeinwand § 20 24 ff. Datenbanksystem § 37 1 ff. – Benutzeroberfläche § 37 8 – Bestandteile § 37 3 ff. – Content § 37 7 – Datenbankmanagementsystem § 37 5 f. Datenbankwerke – Schutzdauer § 15 60 – Schutzumfang § 15 48 ff. – Schutzvoraussetzungen § 15 39 ff. Datenformate § 2 29 f.; § 8 68 ff.; § 39 1 ff. – CSV § 39 28 – JPEG § 8 73 – MPEG § 8 76; § 39 35, 50 – PDF § 8 74 f. – sonstige Formate § 8 77 f. – TIFF § 8 73; § 39 10, 16, 18, 20 f., 27 f. – TXT § 39 10, 27 f., – Urheberrechtsschutz § 39 26 f. – XML § 8 72 Datenhandel – Verträge zum ~ § 48 1 ff. Datenhehlerei § 68 29 Datenherausgabe – Vertragsbeendigung § 41 12 ff. Datenklau – Kundendaten § 30 283 ff. Datenlieferung – Datenlieferungsvertrag siehe dort – Haftung der Datenlieferanten siehe dort – vertragliche Gestaltungsmöglichkeiten § 55 37 ff.
Datenlieferungsvertrag § 48 3; § 55 5 ff. – Bußgelder § 48 49 – Datenschutzrecht § 48 11 ff. – Freistellungsverpflichtung § 48 50 – Gestaltungsmöglichkeiten § 48 18 ff.; § 55 37 ff. – Gliederungsvorschlag § 48 52 – Haftungsregelungen § 48 48 ff. – „Nutzungsrechte“ an Datensätzen § 48 40 f. – Schlechtleistung § 48 39 – Stichproben § 48 33 – Vergütungsmodelle § 48 42 ff. – Vertragsgegenstand § 48 6, 51 – Vertragsstrafen § 48 47 – Vertragstyp § 55 5 f. – vertragstypologische Einordnung § 48 4 f. Datenlöschung § 41 23 ff. – siehe auch Cloud-Angebote – Klauselbeispiele aus der Praxis § 41 23 ff. Datenmengen, unstrukturierte § 6 2 ff. Datenmigration § 3 1 ff.; § 8 79; § 38 1 ff. – Abnahme § 38 30 ff. – Anwendungsmigration § 38 4 – Definitionen § 38 2 ff. – Durchführung der ~ § 3 45 ff. – Formulierungsbeispiele § 38 24, 29, 36, 39, 41 – Geheimhaltung und Datenschutz § 3 62 f. – Haftung § 38 37 ff. – Hardware-Migration § 38 5 – Leistungsbeschreibung § 38 19 ff. – Leistungspflicht des Auftragnehmers § 38 11 ff. – Mängelrechte § 38 37 ff. – Mitwirkung des Auftraggebers § 3 59 ff.; § 38 25 ff. – organisatorische Rahmenbedingungen § 3 20 ff. 1159
Sachregister
– Parallelbetrieb § 3 16 f.; § 38 22, 35 – Qualitätsmanagement § 3 48 f. – Rechtsmängel § 38 37 ff. – Sachmängel § 38 37 ff. – Schadensersatz § 38 40 – technische Fragestellungen § 3 29 ff. – Test § 38 30 ff. – Überblick § 38 8 – Vergütung § 38 42 f. – Vertragstypologie § 38 13 ff. – Vorgehensweisen § 38 19 ff. – wesentliche Konzepte und Begriffe § 3 6 ff. Datenmodellierung § 2 8 ff. Datennetze § 52 1 ff. Datenpflege § 55 27 ff. – Schadensersatzansprüche § 55 30 f., 34 ff. – vertragliche Gestaltungsmöglichkeiten § 55 37 ff. Datenrettung, professionelle § 58 9 f. – Kosten § 58 9 f. Datenrücksicherung § 58 7 f. Datensätze § 15 3 – Alter § 48 37 – Dubletten § 48 38 – Exklusivität § 48 37 – „Fake“-Adressen § 48 44 – Leads § 48 38 – Mindestabrechnungsquote § 48 46 – Mindesterreichbarkeitsquote § 48 36 – „Nutzungsrechte“ § 48 40 f. – Qualität § 48 35 – Quellen § 48 37 – Zielgruppenkriterien § 48 37 Datenschnittstellen § 39 1 ff. – Änderungen § 39 56 f. – Anwendungssituationen § 39 13 ff. – Erfindungen § 39 34 ff. – Geheimhaltungsverpflichtung § 39 67 1160
– Geheimnisschutz § 39 37 – Haftung für Schutzrechtsverletzungen § 39 61 ff. – Lizenzierungspflicht § 39 51 ff. – lizenzpflichtige Schutzgegenstände § 39 25 ff. – Nutzungsrechte § 39 38 ff. – Patentlizenzen § 39 50 – Sachmängelhaftung § 39 66 – technischer Hintergrund § 39 3 ff. – technische Realisierung § 39 9 ff., 18 ff. – Urheberrechtsschutz an Computerprogrammen § 39 28 ff. – Urheberrechtsschutz an Datenund Datenbankformaten § 39 26 f. – Vergütungspflichten § 39 58 ff. Datenschutz § 11 14 ff. – Beschäftigtendatenschutz siehe dort – betrieblicher Datenschutzbeauftragter (bDSB) § 10 1, 8, 11, 18, 21, 24 f., 27, 29, 34, 37, 43, 46, 56, 80, 84; siehe auch dort – Binding Corporate Rules (BCR) § 45 31 ff. – Cloud Computing § 9 41 ff. – Datenschutzstrategie in Unternehmen § 45 47 ff. – Digital Rights Management (DRM) siehe dort – Dokumentenmanagementsysteme (DMS) § 7 74 ff. – European Data Protection Board § 62 73 – grenzüberschreitender Datenverkehr § 45 37 ff. – Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme § 29 10 – Haftung für Datenschutzverstöße § 36 1 ff. – Inkasso § 49 23 ff. – Konzerndatenschutz siehe dort
Sachregister
– Kundendatenschutz siehe dort – Recht auf informationelle Selbstbestimmung siehe dort – Schweiz § 31 11 ff. – Selbstregulierung § 45 1 ff. – Sozialdaten § 62 60 – Verbindliche Unternehmensregelungen siehe Binding Corporate Rules (BCR) – Verfahrensverzeichnis siehe dort – Verschlüsselung § 66 85 ff. – Vorverlagerung des ~ auf die Systemhersteller § 69 30 ff. Datenschutzbehörden § 29 13 ff., 26 ff. – einzelne Datenschutzbehörden § 29 15 ff., 27 Datenschutz-Grundverordnung siehe EU-Datenschutz-Grundverordnung (Entwurf) Datenschutzkonferenz § 7 78; § 29 13 f. Datensicherung – Datensicherungssysteme § 7 27 ff. – Datenspeicherung siehe dort – Dokumentenmanagementsysteme (DMS) siehe dort – Vertragsbeendigung § 41 12 ff. Datenspeicherung § 2 48 ff. – Cloud-Services § 40 1 ff. – technische Schutzmöglichkeiten § 2 51 ff. Datenspuren § 32 24 Datentransition § 4 1 ff.; § 51 1 ff. – Ablauf § 4 12 ff. – Abnahmeregelungen § 4 57 ff. – Aktualisierung und Ergänzung der Daten § 4 22 ff. – Begriffe § 4 1 ff.; § 51 8 ff. – Big Bang § 4 29, 31, 48 – Checkliste § 4 20, 49 – Datenportabilität § 4 33 ff. – ~ bei Outsourcing-Verträgen siehe dort – Fall-Back § 4 42, 51, 55, 59, 64, 68
– – – – –
Fehler § 4 36 ff. Grundlagen § 4 8 ff. Jahr 2000-Umstellung § 4 34 Leistungsbeschreibung § 4 49 ff. Mitwirkungsleistungen § 4 64 ff. – Parallelbetrieb § 4 30 – Planungsaspekte § 4 54 ff. – Point of no Return § 4 44 – Probebetrieb § 4 28 – Problembereiche § 4 21 ff. – Qualitätssicherung § 4 69 – Re-Transition, kurzfristige § 4 40 ff. – Re-Transition, langfristige § 4 45 ff., 72 – Risikomanagement § 4 70 f. – Service Level Agreements § 4 20, 48, 58, 72 – Tests § 4 24 ff., 63 – Verantwortungszuordnung § 4 50 ff. – Vergütung für Verzögerungen § 4 60 Datentransition bei OutsourcingVerträgen § 51 1 ff. – Begriffsklärung § 51 8 ff. – Herausgabeansprüche bei Vertragsbeendigung § 51 61 ff. – Kundendaten im klassischen RZ-Vertrag und in heutigen Auslagerungen § 51 19 ff. – Rechte des Kunden an „seinen Daten“ § 51 47 ff. – Weisungsrechte des Kunden § 51 36 ff. Datenüberführung siehe Datentransition Datenüberlassung an Inkassodienste § 49 1 ff. – Inkassoverträge siehe dort Datenübermittlung § 44 46 ff. – Auftraggeberpflichten § 44 67 ff. – Auftragsdatenverarbeitung siehe dort – berechtigte Interessen § 44 50 ff. – Rechtsgrundlage § 44 46 1161
Sachregister
– Verhältnis zur Auftragsdatenverarbeitung § 44 11 ff. – Zweckbindung § 44 57 ff., 66 Datenveränderung i.S.d. § 303a StGB § 23 1 ff. Datenverarbeitungsverbot mit Erlaubnisvorbehalt gemäß § 4 Abs. 1 BDSG § 30 29 ff.; § 47 2 ff., 10 Datenverkehrsrecht § 23 1 ff. Datenverlust § 56 1 ff.; § 58 1 ff. – Haftung bei ~ siehe dort – Schäden am Datenträger § 58 4 ff. – typische Schadenspositionen § 58 2 ff. Datenvermeidung § 65 5 f., 7 ff. – Anonymisierung § 65 17 ff. – Entnetzung siehe dort – Grundsatz der Datensparsamkeit § 65 23 – Löschung von Daten § 65 23 – Pseudonymisierung § 65 17 ff. – Recht auf „Vergessenwerden“ siehe dort – Recht zur Lüge siehe dort Deliktsrecht § 58 1 ff. Delkredereprovision § 49 17 Delkredererisiko § 49 6, 18 Digital Rights Management (DRM) § 19 1 ff.; § 20 1 – datenschutzrechtliche Aspekte § 19 46 ff. – mittelbarer Schutz § 19 34 ff. – unmittelbarer Schutz § 19 9 ff. digitale Bilddaten – Mitarbeiterfotos in Unternehmen siehe dort digitaler Radiergummi § 11 22 Digitalfotografie § 28 2 Direktmarketing siehe Marketing Dokumentenmanagement § 8 4 Dokumentenmanagementsysteme (DMS) § 7 1 ff. – Anwendungsgebiete § 7 26 ff. – Architektur von § 7 16 ff. – Archivierungssysteme § 7 8 1162
– Aufbau, grundsätzlicher § 7 11 ff. – Aufbewahrungsfristen § 7 79 ff. – Authentizität § 7 62 ff. – Datenschutz § 7 74 ff. – Datensicherheit § 7 70 ff. – Datensicherungssysteme § 7 27 – Definitionen § 7 1 ff., 5 ff. – Hinweise für die Praxis § 7 56 f. – Integrität § 7 61, 63 – ODMA-Schnittstelle § 7 19 – Ordnungsmäßigkeit § 7 60 – Recherchesysteme § 7 9, 41 – Retrievalsysteme § 7 9 – Schutz vor unberechtigtem Zugriff § 7 74 ff. – Schutz vor Verlust § 7 70 ff. – Sicherstellung des gesetzlichen Zugriffs während der Aufbewahrungsfristen § 7 83 – Vorgangsunterstützungssysteme § 7 10 – Workflow-Systeme § 7 10, 52 ff. – Zugangskontrolle § 7 71 – Zugriffsschutz § 7 71 Double-Opt-in-Verfahren § 48 29, 31 Düsseldorfer Kreis § 14 7; § 27 35; § 31 8; § 35 38; § 69 18 Echtzeit-Auswertung siehe Real Time-Auswertung eDiscovery § 6 4; § 19 14 Edward Snowden (Whistleblower) § 46 63; § 64 2, 12, 17; § 69 20 EG-Datenbank-Richtlinie § 11 14; § 15 11, 13 f., 17 f., 24, 26, 31 f., 36, 42; § 16 1 ff.; § 18 1, 3, 9; § 43 25 f. EG-Datenschutz-Richtlinie § 35 27, 32 ff.; § 36 5 ff., 15 ff., 29 ff., 39 ff., 52; § 44 10, 27 ff.; § 45 37 ff. Eigentumsfähigkeit von Daten § 23 6 – Zuordnung von Daten siehe dort
Sachregister
e-Invoicing § 54 1 ff. – Datenschutz und Datensicherheit § 54 48 – ~ in der Automobilindustrie § 54 85 ff. – GDPdU (Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen) siehe dort – GoBD (Grundsätze zur ordnungsgemäßen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff) siehe dort – GoBS (Grundsätze ordnungsgemäßer DV-gestützter Buchführungssysteme) siehe dort – Grundlagen für die elektronische Rechnungserstellung und -übermittlung § 54 6 ff. – Rechtsnatur § 54 30 ff. – Service Level Agreements (SLAs) § 54 69 ff. – Vertragsgegenstand § 54 38 ff. – Vertragsgestaltung § 54 30 ff. eingerichteter und ausgeübter Gewerbebetrieb § 57 47 – betriebsbezogener Eingriff § 57 47 Einheit der Rechtsordnung § 1 12 Einwilligung – ausdrückliche ~ § 48 23 – datenschutzrechtliche § 48 6, 17 19 ff.; § 69 36 ff. – Generaleinwilligung § 48 26 – konzerninterne Datenweitergaben § 47 11 – Nachweisbarkeit § 48 29 ff. – Veröffentlichung von Fotos siehe dort – wettbewerbsrechtliche ~ § 48 23 ff. – Zugriff auf besonders gesicherte Daten und Systeme § 67 19 Einwilligung in die Veröffentlichung von Fotos – Allgemeine Geschäftsbedingungen § 28 36
– Angehörige § 28 7, 29 f. – Betriebsvereinbarung § 28 5, 39 ff. – Betroffene § 28 25 ff. – Einwilligungsklausel im Arbeitsvertrag § 28 34 ff. – Einzelfalleinwilligung § 28 31 ff. – formularmäßige ~ § 28 31 ff. – Gestaltungsmöglichkeiten auf kollektivrechtlicher Ebene § 28 39 ff. – Mitarbeiterfotos in Unternehmen siehe dort – Mitbestimmungsrechte des Betriebsrats § 28 44 – Sorgeberechtigte § 28 7 – Verhältnis von ~ und gesetzlichen Erlaubnistatbeständen § 28 25 f. – Widerruflichkeit einer erteilten ~ § 28 45 ff. – Wirksamkeitsvoraussetzungen § 28 27 ff. Electronic Data Interchange (EDI) § 53 1 ff. – Aufzeichnung und Archivierung von EDI-Nachrichten § 53 38 – ausgewählte Regelungsbestandteile einer EDI-Vereinbarung für klassisches EDI § 53 26 ff. – ausgewählte Regelungsbestandteile einer EDI-Vereinbarung für modernes EDI § 53 41 ff. – Bedeutung § 53 3 ff. – Behandlung von Störungen § 53 34 ff. – Betriebszeiten der EDI-Empfangsvorrichtung § 53 29 ff. – Beweiskraft von EDI-Nachrichten § 53 33 – Definitionen § 53 28 – Einführung im Unternehmen § 53 10 ff. – Fehlervermeidung § 53 34 ff. – Funktionsweise § 53 6 ff. 1163
Sachregister
– Gegenstand und Umfang des EDI-Nachrichtenaustauschs § 53 27 – gemeinsamer Plattform-Provider der EDI-Austauschpartner § 53 41 ff. – Haftungsregelung § 53 39 – historische Entwicklung in der EU und Deutschland § 53 19 ff. – neuere Entwicklungen § 53 24 f. – Rechtswirksamkeit von EDINachrichten § 53 32 – Sicherungsmaßnahmen § 53 34 ff. – technische Spezifikation § 53 40 – Testphase § 53 37 – Zugang von EDI-Nachrichten § 53 29 ff. elektronischer Datenaustausch siehe Electronic Data Interchange (EDI) elektronischer Zeitstempel § 48 22, 30 E-Mail-Diensteanbieter § 29 6 E-Mail-Marketing siehe Marketing E-Mobility § 69 62 Empfangstheorie, modifizierte § 21 17 ff. – Anwendbarkeit auf cloud-gestützte Datenbanken § 21 19 f. ENISA (European Union Agency for Network and Information Security) § 64 13 Enterprise Content Management (ECM) § 8 4 ff. Enterprise-Resource-Planning siehe ERP-Software entgangener Gewinn siehe Schadensersatz Entnetzung § 65 5 ff., 24 ff. – Aufwandsermittlung § 65 42 ff. – Datenvermeidung siehe dort – Schutzzweck § 65 38 ff. – technische Maßnahmen § 65 33 ff. 1164
ePrivacy siehe EU-ePrivacy-Richtlinie e-Recruiting § 27 55 ff. – Bewerberdaten siehe dort ERP-Software § 12 1 ff. – Betriebs- und Geschäftsgeheimnisse i.S.d. §§ 17 f. UrhG § 12 16 – Customizing § 12 5 f. – Dokumentation der Geschäftsprozesse § 12 17 ff. – Forking § 12 11 – Individualprogrammierung § 12 10 ff., 30 – Konfiguration § 12 7, 21 – Lastenheft § 12 18 – Nutzungsrechte § 12 13 – Objektcode § 12 24 f. – Parametrisierung § 12 8 f., 22 ff., 31 – Pflichtenheft § 12 19 – Quellcode § 12 6, 8, 13, 24 f., 31, 33 – Terminologie § 12 3 ff. – Umarbeitungen i.S.d. § 69c Nr. 2 UrhG § 12 31 – urheberrechtlicher Schutz § 12 24 ff. – Verwertung der Arbeitsergebnisse § 12 14 f. Escrow-Verträge § 40 17 ff., 43 ff. – Gegenstand § 40 17 – Interessenlage § 40 18 – rechtliche Bewertung § 40 19 EU-Computerprogramm-Richtlinie § 11 14; § 18 7, 9 EU-Datenschutz-Grundverordnung (Entwurf) § 11 22; § 36 9, 52; § 45 53 ff.; § 46 68 ff.; § 62 63 ff.; § 64 16; § 65 23; § 69 1 ff. – Albrecht-Bericht zur EU-Datenschutz-Grundverordnung siehe dort – ausgewählte Neuerungen des LIBE-Kompromissvorschlags § 69 23 ff. – Bewertung und Ausblick § 69 50 ff.
Sachregister
– Einigung im LIBE-Ausschuss am 21.10.2013 § 69 3 ff. – grundlegende datenschutzrechtliche Weichenstellungen § 69 7 ff. – Kommissionsentwurf vom 25.1.2012 § 69 1 f. EU-ePrivacy-Richtlinie § 62 13, 41 ff., 51, 81 EU-Gruppenfreistellungsverordnungen § 43 22 ff. EU-Handelsvertreter-Richtlinie § 43 19 EU-Richtlinie zur Netz- und Informationssicherheit (Entwurf) § 62 76 ff. Europäisches Kaufrecht (Entwurf) (GEKVO-E) § 11 7 ff. European Data Protection Board § 62 73 EU-Verbraucherrechte-Richtlinie § 11 3 ff. Everything as a Service (XaaS) § 10 10, 12 ff. Exit-Klausel § 41 11 ff. Facebook siehe soziale Netzwerke Factoring § 49 2, 5 ff., 16 ff. Fixtures Marketing/Svenska SpelEntscheidung des EuGH § 18 5 Flickr siehe soziale Netzwerke Follow-the-Sun-Modelle § 30 260; § 46 3 Football DataCo/Sportradar-Entscheidung des EuGH § 18 3, 9; § 21 13 ff. Forking § 12 11 Fotos siehe Einwilligung in die Veröffentlichung von Fotos Funktionsübertragung – Auftragsdatenverarbeitung siehe dort – Beschäftigtendatenschutz § 47 33 ff. – Funktionsübertragungstheorie siehe dort – Inkasso § 49 25 ff.
Funktionsübertragungstheorie § 35 13; § 44 14 ff., 31 Gästebücher § 33 27 Galileo (europäisches Navigationssatellitensystem) § 31 2 Gatekeeper § 17 3 GDPdU (Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen) § 7 59, 84 ff.; § 8 10, 48; § 40 8, 11, 28, 34; § 53 38, 46; § 54 22 f.; § 60 40, 54, 59 ff. Geheimdienste § 34 2 Geheimdienstprogramme § 34 2 – PRISM § 34 2; § 46 63, 65 f.; § 64 2; § 69 9, 62 – Tempora § 64 2 – XKeystore § 34 2; § 64 2 Geheimnisschutz § 13 1 ff.; § 39 37 – Ausspähen von Daten siehe dort – Begriffsbestimmungen § 13 4 ff. – Betriebsspionage siehe dort – Checkliste für die vertragliche Gestaltung § 13 93 – Geheimhaltungsklauseln in Verträgen § 13 67 ff. – Geheimhaltungsvereinbarungen § 13 2 – Geheimnisverrat siehe dort – Geheimnisverwertung siehe dort – im Allgemeinen § 13 3 ff. – im Arbeitsverhältnis § 13 46 ff. – Know-how-Schutzprogramm, innerbetriebliches § 13 2 – lauterkeitsrechtlicher Schutz § 13 12 ff. – nach Beendigung des Arbeitsverhältnisses § 13 49 ff. – nachvertragliches Wettbewerbsverbot § 13 57 ff., 78 ff. – Outsourcing § 13 1 – präventive innerbetriebliche Schutzmaßnahmen § 13 88 ff. 1165
Sachregister
– Schutz im Rahmen des BGB § 13 37 ff. – Schutz nach dem UrhG § 13 33 ff. – sonstige Geheimhaltungsvorschriften § 13 44 f. – vertraglicher ~ § 13 63 ff. – während des Arbeitsverhältnisses § 13 47 f. Geheimnisverrat § 13 13 ff., 40; § 33 21 Geheimnisverwertung § 13 23 ff. Geodaten § 15 19; § 31 1 ff. – Abgrenzung zu personenbezogenen Daten § 31 7 ff. – Copernicus/GMES (globale Umwelt- und Sicherheitsüberwachung) siehe dort – Definition § 31 2 – Galileo (europäisches Navigationssatellitensystem) siehe dort – GEOSS (globales Erdbeobachtungssystem) siehe dort – Gerichtsentscheidungen § 31 9 f. – Google Street View in der Schweiz § 31 11 ff. – INSPIRE-Richtlinie § 31 2 ff., 7 – Literaturansichten § 31 8 – rechtsvergleichende Erkenntnisse § 31 19 f. GEOSS (globales Erdbeobachtungssystem) § 31 2 Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme siehe Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme GoB (Grundsätze ordnungsgemäßer Buchführung) § 7 59, 65, 83 GoBD (Grundsätze zur ordnungsgemäßen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum 1166
Datenzugriff) § 54 24 ff.; § 60 59 ff. GoBS (Grundsätze ordnungsgemäßer DV-gestützter Buchführungssysteme) § 7 33, 59, 65 f., 69, 80; § 8 19 f.; § 40 8, 28, 34; § 53 38, 46; § 54 17 ff.; § 60 39, 41 ff., 51, 59 ff., 68 Google § 6 4, 32 ff.; § 21 2; § 32 20, 23 ff., 28 – Google Analytics § 32 25 – Google Maps § 31 10 – Google Street View § 31 7 ff. – Google Street View (Schweiz) § 31 11 ff. – MapReduce (Programmiermodell) § 6 34 Google-Entscheidung des BGH § 11 22 GPS-Ortung § 69 62 Graswurzeljournalismus § 17 17 – „Nutzer-Zeitungen“ § 17 17 Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme § 29 10; § 32 18 ff.; § 64 1 – Nutzungsprofile siehe dort Gruppenfreistellungsverordnungen (EU) – siehe EU-Gruppenfreistellungsverordnungen Hadoop (Open Source Framework) § 6 34 Haftung bei Datenverlust § 56 1 ff. – Allgemeine Geschäftsbedingungen § 56 28 ff. – Anwendungsbereich-Bestimmung § 56 4, 16 f. – Generierung von Haftungsklauseln § 56 3 ff. – Individualvereinbarungen § 56 12 ff. – konkrete Haftungsfälle § 56 18 ff. – pauschale Klauseln § 56 13 ff.
Sachregister
Haftung der Datenbankanbieter § 55 32 ff. – Mängel § 55 34 ff. – Schadensersatzansprüche § 55 34 ff. – vertragliche Gestaltungsmöglichkeiten § 55 37 ff. Haftung der Datenlieferanten § 55 5 ff. – Datenlieferung siehe dort – Datenpflege siehe dort – Grundlagen von Schadensersatzansprüchen § 55 7 ff. – Schadenspositionen § 55 20 ff. – vertragliche Gestaltungsmöglichkeiten § 55 37 ff. – Vertretenmüssen § 55 15 ff. Haftung für Datenlieferung und Datenpflege § 55 1 ff. – Haftung der Datenbankanbieter siehe dort – Haftung der Datenlieferanten siehe dort – vertragliche Gestaltungsmöglichkeiten § 55 37 ff. Haftung nach dem Produkthaftungsgesetz (ProdHG) § 57 15 ff. – Beweislast § 57 28, 35, 38, 53 – Exkulpation § 57 25 f. – Gefährdungshaftung § 57 25 – geschützte Gegenstände § 57 18 ff. – haftende Personen § 57 23 f. – Haftungsbeschränkung § 57 27 – Haftungshöchstbetrag § 57 27 – Produkt i.S.d. ProdHG § 57 16 f. – Selbstbeteiligung bei Sachbeschädigungen § 57 27 – Ursache der Schädigung § 57 16 f. – Verjährung § 57 29 f. Handel mit Daten siehe Datenhandel Handelsvertreter § 43 17, 35 f. Hardware as a Service (HaaS) § 10 7, 10
Herausgabeansprüche – ~ in der Insolvenz § 25 25 ff. – materiell-rechtliche Grundlagen § 24 2 ff. – nach Auftragsrecht § 24 3 f., 10 ff. – nach Bereicherungsrecht § 24 8 – nach Datenschutzrecht § 24 8 – nach Deliktsrecht § 24 8 – nach Geschäftsführung ohne Auftrag § 24 8 – nach Mietrecht § 24 5 ff. – nach Urheberrecht § 24 8 – prozessuale Durchsetzung § 24 31 ff. – Zwangsvollstreckung § 24 31 ff. HTTPS-Verbindungen § 66 62 ff. – Verschlüsselung siehe dort Hühnerpest-Urteil des BGH § 57 7, 34 – Produzentenhaftung siehe dort IMS-Health-Entscheidung des EuGH § 20 16; § 39 26, 52 Inbound-Telefonie § 50 1 Indexierung § 6 5 ff. Informantenschutz § 33 4, 21, 25 Information Lifecycle Management (ILM) § 8 4 ff., 66 – Archivierung von Daten siehe dort informationelle Selbstbestimmung siehe Recht auf informationelle Selbstbestimmung Informationsfreiheit § 26 1 ff. – Abwägungsvorbehalt § 26 45 ff., 73 ff. – Auffangfunktion des Art. 2 Abs. 1 GG § 26 13 ff. – Begriff § 26 2 ff. – Drittverhältnis § 26 1, 9 f., 18 ff., 45 ff., 74, 76, 80 ff., 86 ff. – Forschungsfreiheit § 26 5 ff. – grundrechtliche Schutzpflicht des Staates § 26 17 – grundrechtliche Zuordnung § 26 11 ff. 1167
Sachregister
– Informationsfreiheitsgesetz § 26 3 – Inhalt § 26 2 ff. – Prinzip gegenseitiger Rücksichtnahme § 26 23, 76 ff. – Recht auf informationelle Selbstbestimmung siehe dort – verfassungsrechtlicher Schutz § 26 2 ff. – Vorgaben des Art. 2 Abs. 1 GG § 26 18 ff. Informationsmonopolisierung § 17 37 Informationssicherheit § 64 1 ff. – Beauftragte der Bundesregierung für Informationstechnik § 64 13 – Cloud Computing § 9 41 ff. – Datenschutzrecht § 64 5 – Empfehlungen des Bundesamtes für Sicherheit in der Informationstechnik (BSI) § 64 10 f. – IT-Sicherheit § 64 4 – Spannungsverhältnis zwischen IT-Sicherheit und Datenschutz § 64 6 – technische und organisatorische Maßnahmen i.S.d. § 9 BDSG § 64 7 ff. Infrastructure as a Service (IaaS) § 9 7, 23, 26; § 10 7, 10 Inkassoverträge § 49 1 ff. – Auftragsdatenverarbeitung § 49 24 f. – Beginn der Inkassotätigkeit § 49 20 – branchentypische Besonderheiten § 49 30 ff. – Datenschutzrecht § 49 23 ff. – Delkredereprovision § 49 17 – Delkredererisiko § 49 6, 18 – Factoring § 49 2, 5 ff., 16 ff. – Funktionsübertragung § 49 25 ff. – Gewährleistung § 49 18 – Haftung § 49 19 – Laufzeit § 49 21 – Leistungen des Inkassodienstleisters § 49 10 ff. 1168
– Pflichten des Auftraggebers § 49 13 f. – Überblick § 49 1 ff. – Vergütung § 49 15 ff. – Veritätsrisiko § 49 6, 18 – Verletzung von Privatgeheimnissen § 49 32 ff. – Vertragsabwicklung § 49 22 – Vertragsstruktur § 49 8 ff. – Vertragstypologie § 49 4 ff. Insolvenzfestigkeit von Herausgabeansprüchen § 25 32 ff. Insolvenzgläubiger § 25 1, 9 ff., 18, 28, 35 Insolvenzmasse § 25 14 ff. Insolvenzverfahren § 25 9 ff. – Ziel § 25 1 Insolvenzverwalter § 25 3 f., 13 INSPIRE (Infrastructure for Spatial Information in Europe) – EU-Richtlinie § 31 2 ff., 7 internationales Urheberrecht – Bogsch-Theorie § 21 13 ff. – Datenbanken und urheberrechtlich geschützte Werke § 21 10 ff. – Empfangslandprinzip § 21 13 ff. – Football DataCo/Sportradar-Entscheidung des EuGH § 21 13 ff. – Kollisionsrecht siehe dort – Marktortprinzip § 21 17 – modifizierte Empfangstheorie § 21 17 ff. – Schutzlandprinzip § 21 10 ff. – Sendelandprinzip § 21 13 ff. – Ursprungslandprinzip § 21 13 ff. Internes Kontrollsystem (IKS) § 1 14 Investitionsschutz § 17 34 IT-Grundrecht siehe Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme Jahr 2000-Umstellung § 4 34 Journalist (Berufsbezeichnung) § 33 18 Journalist (Definition) § 33 18
Sachregister
Kaltakquise § 50 2 – Cold-Calling siehe dort Kartellrecht § 20 1 ff. – Vertriebsverträge § 43 22 ff. „kleine Münze“ § 17 10 Kollisionsrecht – Cloud-Verträge § 21 8 f. – Daten als Schutzgegenstand § 21 21 ff. – Datenbanken in der Cloud § 21 7 – Schutzlandprinzip § 21 6 – Urhebervertragsrecht § 21 5 ff. Konzerndatenschutz § 47 3 ff. – Konzernprivileg siehe dort – Datenweitergaben innerhalb von Konzernen § 47 4 – Einwilligung der Beschäftigten in konzerninterne Datenweitergaben § 47 11 – gesetzliche Erlaubnisvorschriften für konzerninterne Datenweitergaben § 47 12 – Rechtsgrundlagen für Datenweitergaben im Konzern § 47 9 ff. Konzernprivileg § 47 3 ff., 34; § 69 45 f. – Konzernprivileg de lege ferenda § 47 7 ff. Kundenbeziehungsmanagement siehe Customer-RelationshipManagement (CRM) Kundendaten § 25 2; § 30 1 ff. – Verkauf § 25 35 ff. Kundendatenschutz § 30 1 ff. – Checkliste § 30 40 Kunsturhebergesetz (KUG) – Anwendbarkeit im Arbeitsleben § 28 18 f. – Entstehung § 28 14 ff. – heutige Bedeutung § 28 14 ff. Langzeit-Archivierung § 8 4 Leads § 48 38 Leistungsschutzrecht § 17 34 Leserbriefe § 33 24 Lessig, Lawrence § 1 1 ff.
Listendaten § 48 12 Listenprivileg § 25 36; § 48 13 f. Lochkarten § 15 5 f. Löschpflichten gemäß § 35 BDSG § 30 110 ff. Magill-Entscheidung des EuGH § 20 14 MapReduce (Programmiermodell) § 6 34 Marketing – Direktmarketing § 48 1, 13 ff. – E-Mail-Marketing § 48 2, 16 – Permission-Marketing § 48 2 f. – Telefonmarketing § 48 2, 16, 31 Marktortprinzip § 21 17 Mashups § 17 26 Mediation im Datenschutzrecht § 63 1 ff. – Bedenken § 63 20 ff. – Begriffsklärung § 63 4 ff. – Einsatzmöglichkeiten § 63 13 ff. – Vergleich zur Mediation im Steuerrecht § 63 25 ff. Meinungsfreiheit § 33 14, 17; § 59 62 f. Meldepflichten § 61 1, 7 f., 11, 13, 26 ff.; § 62 1 ff. – Albrecht-Bericht zur EU-Datenschutz-Grundverordnung § 62 70 ff. – allgemeine Meldepflicht nach § 42a BDSG § 62 13 ff. – Aufsichtsbehörde § 62 19, 21 ff., 28, 48, 50, 52, 57, 60, 64 f., 67 f., 71, 74, 81 – Auftragsdatenverarbeitung § 62 37 ff., 66 – Entwicklung der Meldepflichten in den USA § 62 4 ff. – EU-Datenschutz-Grundverordnung (Entwurf) § 62 63 ff. – EU-ePrivacy-Richtlinien § 62 13, 41 ff., 51, 81 – EU-Richtlinie zur Netz- und Informationssicherheit (Entwurf) § 62 76 ff. 1169
Sachregister
– landesrechtliche Meldepflichten § 62 35 – praktisches Vorgehen § 62 80 f. – Referentenentwurf für ein Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme § 62 79 – sektorspezifische Meldepflichten § 62 40 ff. – Verschlüsselung § 62 10, 18, 37, 52, 58, 68 – vertragliche Informationspflichten § 62 36 ff. Microsoft § 21 2; § 31 19 – Bing Streetside § 31 19 Microsoft-Entscheidung des EuG § 20 18 f. Mindestabrechnungsquote § 48 46 Mindesterreichbarkeitsquote § 48 36 Mitarbeiterdaten § 25 2 Mitarbeiterfotos in Unternehmen § 28 1 ff. – Auszubildende § 28 6, 61 – Betriebsvereinbarung § 28 5, 39 ff. – Einwilligung in die Veröffentlichung von Fotos siehe dort – Entlohnung § 28 27 – Firmenbroschüren § 28 8 – Gruppenfotos § 28 6, 56 ff., 59 ff. – Hauszeitschrift § 28 6 – Internetauftritt § 28 8 – Intranet § 28 6 – Jahresbericht § 28 6, 27 – Kundenzeitschriften § 28 8 – Minderjährige § 28 7, 28, 33 – Mitarbeiter als Models § 28 13, 27, 62 ff. – Mitarbeiter als Werbeträger für ein Unternehmen § 28 10 ff., 50 ff. – Recht am eigenen Bild siehe dort – Situation nach Beendigung des Arbeitsverhältnisses § 28 45 ff. – Verpixelung § 28 7 – Verstorbene § 28 29 1170
– Werksausweise § 28 4 f. – Zugangskontrolle § 28 4 Mitarbeitervereinbarungen – Beschäftigtendatenschutz § 47 23 ff. Mitverschulden des Geschädigten siehe Schadensersatz Monitoring-Maßnahmen des Arbeitgebers – Auswertung von Rahmendaten § 50 65 – Bedienplatzreports § 50 65 – Mystery Calls (Testanrufe) § 50 64 – Offenes Monitoring § 50 56 – Silent Monitoring § 50 57 f. – Voice Recording § 50 59 ff. Multimedia-Plattformen § 17 18 Musikplattformen § 17 12, 35 – soziale Netzwerke siehe dort Mystery Calls (Testanrufe) siehe unter Monitoring-Maßnahmen des Arbeitgebers NSA-Skandal § 1 1, 6; § 14 5; § 46 63 ff. Nummern-Recherche siehe Recherchesysteme Nutzergenerierte Inhalte (UGC) in sozialen Netzwerken § 17 1 ff. – Datenbankschutz § 17 28 ff. – Schutz nutzergenerierter Inhalte siehe dort – soziale Netzwerke siehe dort – UGC-Provider § 17 4 Nutzungsprofile § 32 1 ff. – gesetzliche Regelung § 32 6 ff. – Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme siehe dort – Opt-out-Prinzip § 32 7 – Pseudonyme § 32 10 ff., 13 ff., 17 – Pseudonymisierung § 32 13 ff. – Recht auf informationelle Selbstbestimmung siehe dort
Sachregister
– Rechtsbegriff § 32 2 ff. – soziale Netzwerke siehe dort ODMA-Schnittstelle § 7 19 – Dokumentenmanagementsysteme (DMS) siehe dort öffentliche Verzeichnisse im Internet § 59 1 ff. – Veröffentlichungen im Internet siehe dort Öffentlichkeitsarbeit von Unternehmen § 28 2 – Mitarbeiterfotos in Unternehmen siehe dort Online-Durchsuchung-Entscheidung des BVerfG § 32 18 f., 25 Online-Forum einer Zeitung § 33 13 ff. – Unterschiede zu Leserbriefen § 33 24 Open Document Management API siehe ODMA-Schnittstelle Opt-in-Prinzip § 48 20; § 50 36 – Double-Opt-in-Verfahren siehe dort Opt-out-Prinzip § 32 7; § 48 20 Optical Character Recognition (OCR) siehe Texterkennung Orange Book-Entscheidung des BGH § 20 26 Outbound-Telefonie § 50 1 f. Outsourcing § 14 1 ff., 36 ff.; § 39 1 – Arbeitnehmerüberlassung § 14 39 ff. – besondere Geheimhaltungsregelungen § 14 50 – Business-Prozess-~ § 10 4 – Cloud Computing § 10 1 ff. – Datentransition bei ~-Verträgen siehe dort – Doppelarbeitsverhältnis § 14 43 – Einwilligung § 14 44 ff. – IT-Infrastruktur-~ § 10 3 – Outsourcing 2.0 § 10 1 ff. – ~ im Wandel § 10 5 – ~-Verträge § 51 1 ff.
– Schweigepflichtentbindung § 14 44 ff. – technische Gestaltungsmöglichkeiten § 14 37 ff. – Verschlüsselungslösungen § 14 37 f. Parallelisierung § 6 29 ff. Partitioning § 2 49 Passwortsicherheit § 67 19 Patent, standardessenzielles § 20 25 ff. Payback-Entscheidung des BGH § 48 20, 25 Permission-Marketing siehe Marketing Permutation § 66 12 – Falltürpermutation § 66 14 Pflichtenheft § 3 57 f. Personalakte § 27 79 ff. Personalplanung § 27 64 Platform as a Service (PaaS) § 9 8, 24, 26; § 10 7, 10 Post-Privacy-Konzept § 65 1, 6 Pressefreiheit § 33 3, 19, 21, 25 f. Presserecht § 28 1 PRISM siehe Geheimdienstprogramme Private Nutzung von Internet und E-Mail am Arbeitsplatz § 29 6 ff.; § 67 16 f. – Befassung durch Datenschutzbehörden § 29 13 ff. – datenschutzrechtliche Fragestellungen § 29 7 ff. – Lebenssachverhalt § 29 6 Produktbeobachtungspflicht – Produzentenhaftung siehe dort Produktbewertungen im Internet § 59 1 ff. – Veröffentlichungen im Internet siehe dort Produkthaftung – Haftung nach Produkthaftungsgesetz (ProdHG) siehe dort – Produzentenhaftung siehe dort Produzentenhaftung § 57 6 ff. 1171
Sachregister
– – – – – – – – – – – – – – – – – – – – – – – – – – – –
Aktualisierungsdienst § 57 58 Anspruchsgrundlagen § 57 6 Äquivalenzinteresse § 57 13 f. Cheapest Cost Avoider § 57 38 Cheapest Risk Avoider § 57 38 Daten als Schädigungsursachen § 57 34 ff. eingerichteter und ausgeübter Gewerbebetrieb siehe dort Einschleusung von Viren § 57 40 erstattungsfähige Schäden § 57 41 Funktionsfähigkeit der IT-Betriebsmittel § 57 40 Haftungsvorkehrungen § 57 50 ff. Hinweis auf Risiken § 57 54 Hühnerpest-Urteil des BGH § 57 7, 34 Instruktionspflicht § 57 54, 61 Integritätsinteresse § 57 13 konkreter Schadensnachweis § 57 46 Mitverschulden § 57 62 ökonomische Rechtstheorie § 57 38 Orientierung an Stand von Wissenschaft und Technik § 57 38 Persönlichkeitsschutz § 57 49 Produktbeobachtungspflicht § 57 58, 61 Produktsicherheitsgesetz (ProdSG) als Schutzgesetz i.S.d. § 823 Abs. 2 BGB § 57 32 f. Rat oder Empfehlung nach § 675 Abs. 2 BGB § 57 38 Reparaturpflicht des Produzenten § 57 14 Schäden durch Daten § 57 34 ff. Schadensberechnung § 57 46 Schutz von Personen und Sachen § 57 42 ff. strafrechtliche Vorschriften als Schutzgesetze i.S.d. § 823 Abs. 2 BGB § 57 31
1172
– Störungen des IT-Betriebs § 57 45 ff. – Stromausfall/Stromunterbrechung § 57 44, 48 – Subunternehmer § 57 10 – typische Schadensszenarien § 57 37 – Unterschiede zur Haftung nach dem ProdHG § 57 6, 15 ff. – Unterschiede zur rechtsgeschäftlichen Haftung § 57 12 ff. – Verjährung § 57 12 – Verkehrssicherungspflicht § 57 7, 9, 38 – Vermögensschäden § 57 12 – Warnpflicht § 57 61 – Weiterfresser-Rechtsprechung des BGH § 57 14, 22 Profiling § 32 20 ff., 23 ff.; § 65 3 – Nutzungsprofile siehe dort Prosumer § 17 2 Pseudonyme § 32 10 ff., 13 ff., 17 – originäre Pseudonyme § 32 17 Pseudonymisierung § 32 13 ff. Quellcode/Quelltext § 37 15, 17; § 40 17 ff., 43 ff., 57; § 66 66 f. Rankings im Internet § 59 1 ff. – missbräuchliche Einflussnahme auf Rankings im Internet § 59 68 ff. – Veröffentlichungen im Internet siehe dort Real Time-Auswertung § 6 16 ff. Rechenzentrumsvertrag § 24 23 ff., 58 Recherchesysteme § 7 9, 41 ff. – Schlagwort-Recherche § 7 44 – Nummern-Recherche § 7 47 Recht am eigenen Bild § 28 1, 5, 7, 13, 14 ff. – Mitarbeiterfotos in Unternehmen siehe dort Recht am eigenen Wort § 50 59
Sachregister
Recht auf informationelle Selbstbestimmung § 11 21; § 26 1 ff.; § 27 2; § 29 10; § 32 3, 18, 25; § 45 10 ff.; § 50 48; § 64 17; § 69 53 – Abwägungsvorbehalt § 26 45 ff., 73 ff. – Beeinträchtigung § 26 86 ff. – Drittwirkung § 26 17, 21, 24 – Gewährleistungsbereich § 26 35 ff. – Informationsfreiheit siehe dort – Schutzinstrumentarium § 26 38 ff. – Verletzung § 26 89 ff. – Verletzungsfolgen § 26 87 ff. Recht auf Lüge (im Bewerbungsverfahren) § 27 28 Recht auf „Vergessenwerden“ § 11 22; § 65 23; § 69 1, 35 Recht zur Lüge § 65 21 f. Redaktionsgeheimnis § 33 4, 25, 28 Responsible Disclosure § 62 24 Retrievalsysteme § 7 9 – Dokumentenmanagementsysteme (DMS) siehe dort Revidierte Berner Übereinkunft vom 9.9.1886 (RBÜ) § 15 12, 18 Risikomanagement § 1 14; § 4 70 f. Robinsonlisten § 48 34 Rom-Abkommen vom 26.10.1961 (Internationales Abkommen über den Schutz der ausübenden Künstler, der Hersteller von Tonträgern und der Sendeunternehmen) § 15 12 Rufnummernunterdrückung – Verbot § 50 37 Sachqualität von Software § 24 18, 33; § 25 29 Salesforce § 21 2 Sarbanes-Oxley-Act (SOX) § 8 17; § 62 7 f.
SAS Institute/World Programming-Entscheidung des EuGH § 12 24; § 15 40; § 18 7 Schadensersatz – Aufwendungen für Datenrücksicherung § 58 7 f. – entgangener Gewinn § 58 20 – Entschädigung in Geld § 58 1, 16 ff. – erneute Datenerfassung § 58 11 ff. – Geldentschädigung für Neuschaffung § 58 16 ff. – Kosten professioneller Datenrettung § 58 9 f. – Mitverschulden des Geschädigten § 58 21 ff. – Naturalrestitution § 58 1 – Schäden am Datenträger § 58 4 ff. – typische Schadenspositionen bei Datenverlust § 58 2 ff. – Umfang § 58 1 ff. – Wiederherstellungskosten für technische Reproduktionen § 58 13 ff. Schlagwort-Recherche siehe Recherchesysteme Schmähkritik im Internet § 59 25 f. Schnittstellen siehe Datenschnittstellen Schöpfungshöhe § 17 9 ff. SCHUFA § 34 3 ff., 8 ff., 26, 29 f., 33 f., 36 ff., 45, 50 ff. Schutz nutzergenerierter Inhalte – Buchkritik § 17 16 – Chats § 17 15 – Diskussionsbeiträge § 17 16 – Fotografienschutz § 17 12 – Gedichte § 17 16 – Inhalte als Werke § 17 7 f. – „kleine Münze“ § 17 10 – Schöpfungshöhe § 17 9 ff. – sprachliche Mitwirkung § 17 15 – Testbericht § 17 16
1173
Sachregister
– urheberrechtliche Befugnisse § 17 20 ff. – Werkformen § 17 12 ff. Schutzlandprinzip § 21 6 f., 10 ff. – Anwendung auf Datenbanken in der Cloud § 21 7 Schwarmintelligenz § 17 25 Schwimmerschalter-Urteil des BGH § 57 14 Scoring § 5 20 ff. § 34 1 ff.; § 65 3 – Bedeutung der Scoringwerte § 34 4 – Berechnung § 34 5 ff. – Datenschutzrecht § 34 13 ff. – geschützte Meinungsäußerung § 34 24 ff. – Korrekturanspruch § 34 11 f. – Offenlegung des Zustandekommens der Werte § 34 16 ff. – Pflicht zur wohlwollenden Bewertung § 34 53 ff. – Praxis § 34 11 ff. – Rechtsprechung § 34 11 ff. – Schadensersatz § 34 57 ff. – SCHUFA siehe dort – Schuldverhältnis gemäß § 311 Abs. 3 Satz 2 BGB § 34 32 ff. – Tatsachenbasis § 34 8 ff. Screen Scraping § 15 34, 37 Selbstregulierung im Datenschutz § 45 1 ff. Service Level Agreements (SLAs) § 10 3, 10; § 52 27 f. – Antwortzeit § 52 27 – Cloud Computing § 9 31 – Datentransition § 4 20, 48, 58, 72 – Jitter § 52 27 – Packet Loss Ratio § 52 27 – Service Level-Verfügbarkeit § 52 27 – Störungsmanagement § 52 27 – Round Trip Delay § 52 27 – Vertragsgestaltung § 52 28 Serviceüberführung siehe Datentransition Skill-Datenbanken § 27 58 1174
Skimming § 62 32; § 67 28 Skripturakt § 23 16 ff.; § 67 11 Skype § 10 9; § 66 13 Smart Grids § 69 62 Smartphones § 6 30; § 10 9; § 14 5; § 17 1; § 25 7; § 29 4, 24, 30, 32; § 41 8; § 52 1; § 64 2 – Bring Your Own Device (BYOD) siehe dort Social Engineering § 13 1, 22 Spionage siehe Betriebsspionage strafrechtlicher Schutz von Daten durch § 303a StGB § 23 1 ff. Strafverfahren – Aussagepflichten § 33 1 ff. – Zeugnisverweigerungsrecht, journalistisches siehe dort Software – ERP-Software siehe dort – Sachqualität von ~ siehe dort – ~ as a Service siehe dort Software as a Service (SaaS) § 9 9, 25 f.; § 10 7, 10; § 42 1; § 40 7, 9; § 50 8 Sorgfaltspflichten, presserechtliche § 33 22 Source Code siehe Quellcode/ Quelltext Sozialdaten § 62 60 soziale Netzwerke § 6 15; § 17 1 ff., § 25 5; § 28 2 – Aussensaiter.de § 17 35 – Clipfish § 17 13 – Facebook § 6 12, 15; § 11 22; § 17 4, 16; § 28 2; § 32 20, 24 – Flickr § 17 4 – Musikplattformen siehe dort – MyOwnMusic § 17 12 – MyVideo § 17 13 – nutzergenerierte Inhalte in ~ siehe dort – Nutzungsprofile siehe dort – Prosumer § 17 2 – Recherche des Arbeitgebers über Bewerber § 27 30 ff. – Recht auf „Vergessenwerden“ § 11 22
Sachregister
– – – –
Sevenload § 17 13 StudiVZ § 11 22 Twitter § 17 16 Video-Sharing-Plattformen siehe dort – Wiki-Portale siehe dort – Youtube § 17 4, 13 SQL (Structured Query Language) § 15 8 f. Steuer-CDs siehe Ankauf von Steuer-CDs Steuerstraftaten § 68 1 ff. – Ankauf von Steuer-CDs siehe dort Storage as a Service § 40 8 f. Storage-Verträge § 40 26 ff., 54 ff. – Gegenstand § 40 27 ff. – Leistungsinhalte § 40 34 ff. – rechtliche Absicherung § 40 30 ff. Störungsmanagement § 52 27 Suchmaschinen § 6 4; § 15 33 f. – allgemeines Persönlichkeitsrecht § 11 23 – Einwirkung auf Suchmaschinen § 59 72 ff. – Recht auf „Vergessenwerden“ § 11 22 Suchmaschinen-Optimierer § 59 72 ff. SWIFT (Society for Worldwide Interbank Financial Telecommunication) § 53 3 Synchronisierung der Rechtsmaterien § 1 12 Tablespaces § 2 49 Tablet-PCs § 29 4, 24, 30, 32; § 41 8; § 51 32 – Bring Your Own Device (BYOD) siehe dort Tausenderkontaktpreis (TKP) § 48 42 TDN-Vertrag siehe Verträge über Datennetze
technische und organisatorische Schutzmaßnahmen gemäß § 9 BDSG § 30 99 ff. TEDIS-Forschungsprogramm (Trade Electronic Data Interchange Systems) § 53 14 Telefonmarketing siehe Marketing Telefonwerbung siehe Telefonmarketing Telefonwerbung-IV-Entscheidung des BGH § 48 24 f. Tele-Info-CD-Entscheidung des BGH § 11 19 Tempora siehe Geheimdienstprogramme Texterkennung (Optical Character Recognition) § 8 73 Timestamps siehe elektronischer Zeitstempel Totalerfassung § 69 62 f. Toyota-Entscheidungen des BGH § 24 21 Tracking § 65 3 Trigger § 2 36 ff. Twitter siehe soziale Netzwerke üble Nachrede § 33 20 f. unbefugter Zugriff auf Daten und Datenbanken § 67 1 ff. UN/CEFACT (United Nations Centre for Trade Facilitation and Electronic Business) § 53 25 UN/EDIFACT (United Nations Electronic Data Interchange For Administration, Commerce and Transport) § 53 3, 8, 10, 14 Unterrichtungspflichten gemäß § 33 BDSG § 30 107 ff. Urheberrecht – Archivierung von Daten § 8 13 – internationales Urheberrecht siehe dort – Vertrieb von Datenbankwerken, Datenbanken und Daten § 43 25 ff.
1175
Sachregister
Urheberrechtsschutz von Datenbankmodellen, Dateiformaten und Schnittstellen § 18 1 ff. – Dateiformate § 18 6 f. – Datenbankmodelle § 18 2 ff. – Datenbankschnittstellen § 18 8 f. UsedSoft-Entscheidung des EuGH § 11 11 ff.; § 15 53; § 42 4, 12, 61, 101; § 43 25 User Generated Content (UGC) siehe Nutzergenerierte Inhalte (UGC) in sozialen Netzwerken Verbindliche Unternehmensregelungen siehe Binding Corporate Rules (BCR) Verbot der automatisierten Einzelentscheidung gemäß § 6a BDSG § 30 96 ff. Verbotsprinzip gemäß § 4 Abs. 1 BDSG siehe Datenverarbeitungsverbot mit Erlaubnisvorbehalt gemäß § 4 Abs. 1 BDSG Verfahrensverzeichnis § 61 1 ff. – Begriffsbestimmungen § 61 6 ff. – Einsichtsrecht § 61 34, 46 f. – externes/öffentliches ~ § 61 1 f., 30 ff. – Form § 61 32, 44 – internes ~ § 61 1 f., 37 ff. – Meldepflicht § 61 1, 7 f., 11, 13, 26 ff. – Pflicht zur Erstellung § 61 33, 45 – Projektorganisation § 61 48 ff. – Verfügbarmachungspflicht § 61 34 – Zugänglichmachung § 10 46 f. – zugriffsberechtigte Personen § 61 8, 17, 19 ff., 24, 26, 41, 94 Verfälschung einer E-Mail auf dem Transportweg § 22 26 Verletzung von Privatgeheimnissen (§ 203 StGB) – Auslagerung des Inkasso § 49 32 ff. 1176
– Tatbestand des § 203 StGB § 14 14 ff. Veröffentlichungen im Internet § 59 1 ff. – anonyme Verbreitung § 59 61 ff. – Bewertungsplattformen im Internet siehe dort – Haftungsfragen § 59 8 ff. – öffentliche Verzeichnisse im Internet siehe dort – Persönlichkeitsrechte § 59 1 ff., 21 ff. – Produktbewertungen im Internet siehe dort – Rankings im Internet siehe dort – Rechtsverletzungen § 59 1 ff., 52 ff. Verschlüsselung – Aufbewahrungspflichten § 66 70 f. – bei Outsourcing § 14 37 f. – Cloud-Dienste § 66 45 ff. – Datenschutz § 66 85 ff. – Funktionsweise § 66 1 ff. – geschützte Umgebungen § 66 41 ff. – gesetzliche Regelungen § 66 72 ff. – HTTPS-Verbindungen § 66 62 ff. – Meldepflichten § 62 10, 18, 37, 52, 58, 68 – Schlüsselverlust § 66 68 f. – Source Code von Verschlüsselungssoftware § 66 66 f. – Streaming von Datenbankinhalten § 66 52 ff. – technische Grundlagen § 66 3 ff. – Technologiefortschritt § 66 71 – Verschlüsselungsobjekt siehe dort – Verschlüsselungsverfahren siehe dort – Vor- und Nachteile § 66 58 ff. – Zugangsverlust § 66 68 f. Verschlüsselungsobjekt § 66 25 ff. – Datenbank-Inhalte § 66 33 f. – Datenbank-Software § 66 29 ff.
Sachregister
– Datenbank-Struktur § 66 32 Verschlüsselungsverfahren – asymmetrische ~ § 66 14 f. – Besonderheiten § 66 20 ff. – Blockverschlüsselung § 66 10 ff. – homomorphe ~ § 66 18 f. – hybride ~ § 66 16 f. – Stromverschlüsselung § 66 7 ff. – symmetrische ~ § 66 5 ff. Verträge über Datennetze § 52 1 ff. – Abgrenzung zu Internetzugang, LAN, Zusammenschaltung und Dark Fiber § 52 8 – Dark Fiber-Vertrag § 52 5, 8 – Haftung § 52 29 – Infrastrukturvertrag § 52 5 ff. – Leistungsbeschreibung § 52 25 – Mischformen § 52 14 ff. – Schnittstellen und Leistungsübergabepunkte § 52 26 – Service Level Agreements § 52 27 – Telekommunikationsrecht § 52 20 – Telekommunikationsvertrag § 52 5 ff. – TDN-Vertrag § 52 2, 14 ff. – Vertragstyp § 52 21 ff. – VPN-Vertrag § 52 11 ff. – WAN-Vertrag § 52 2, 10, 26 f. Verträge über den Vertrieb von Datenbankwerken, Datenbanken und Daten § 43 1 ff. Vertragshändler § 43 18, 35 f. Vertragstheorie siehe Auftragsdatenverarbeitung § 35 14 Vertrieb von Datenbankwerken, Datenbanken und Daten § 43 1 ff. – Absatzförderung als Ziel § 43 40 – Allgemeine Geschäftsbedingungen § 43 20 f. – Ausgestaltung als Händler- oder Handelsvertretermodell § 43 35 ff.
– Ausgleichsanspruch des Handelsvertreters nach § 89b HGB § 43 47 – Beendigung von Vertriebsverträgen § 43 47 – Begrifflichkeiten § 43 2 ff. – Daten siehe dort – Datenbanken siehe dort – Dauerschuldcharakter der Vertriebsverträge § 43 41 – denkbare Konstellationen § 43 9 ff. – EU-Gruppenfreistellungsverordnungen § 43 22 ff. – gesetzlicher Hintergrund § 43 16 ff. – Handelsvertreter § 43 17, 35 f. – Kartellrecht § 43 22 ff. – Mängelhaftung § 43 49 – Pflichten der Vertragspartner § 43 40 – Rechtseinräumung § 43 42 ff. – Rechtsmängel § 43 49 – Sachmängel § 43 49 – Urheberrecht § 43 25 ff. – Vertragsgestaltung § 43 35 ff. – Vertragshändler § 43 18, 35 f. – Vertragstypologie § 43 38 f. – Vertriebsorganisation § 43 35, 47 Video-Sharing-Plattformen § 17 13 – soziale Netzwerke siehe dort Virtualisierung § 9 27 ff.; § 21 23; § 22 23; § 40 28, 41, 45, 51 f.; § 51 5; § 52 7 Voice Recording siehe unter Monitoring-Maßnahmen des Arbeitgebers Volkszählungsurteil des BVerfG § 30 31, 229; § 32 7; § 36 2; § 45 12; § 59 7; § 69 20, 53 von Neumann-Architektur § 5 29 Vorgangsunterstützungssysteme § 7 10 – Dokumentenmanagementsysteme (DMS) siehe dort 1177
Sachregister
Vorratsdatenspeicherung-Entscheidung des BVerfG § 32 26 VPN-Vertrag siehe Verträge über Datennetze Wahrung der Anonymität § 33 16 WAN-Vertrag siehe Verträge über Datennetze Web 2.0 § 17 1 ff. – soziale Netzwerke siehe dort Weiterfresser-Rechtsprechung des BGH § 57 14, 22 Weitergabe der Namen von Autoren bei Blogs, Gästebucheinträgen und Äußerungen in Bewertungsportalen § 33 1 ff. Welturheberrechtsabkommen vom 6.9.1952 (WUA) § 15 12 Werbeanrufe § 50 33 ff. Werksausweise § 28 4 f. WhatsApp § 10 9 Whistleblowing § 64 2; § 68 10 – Edward Snowden (Whistleblower) siehe dort Wiki-Portale § 17 4 – bot-generierte Einträge § 17 27 – Mashups § 17 26 – Schwarmintelligenz § 17 25 – Wiki und Urheberrecht § 17 25 ff. William Hill-Entscheidung des EuGH § 20 3 WIPO (World Intellectual Property Organization) § 15 18 WIPO Copyright Treaty (WCT) § 11 5 f. WORM-Medien (Write Once Read Many) § 7 8, 28, 33, 36 f.; § 8 60, 64, 67 Workflow-Systeme § 7 10, 52 ff. – Dokumentenmanagementsysteme (DMS) siehe dort XKeystore siehe Geheimdienstprogramme
1178
Youtube siehe soziale Netzwerke Zeitstempel siehe elektronischer Zeitstempel Zeitung § 33 13 ff., 18, 24 – Leserbriefe siehe dort – Online-Forum einer ~ siehe dort Zeuge in einem strafrechtlichen Verfahren § 33 2 – Strafverfahren siehe dort Zeugnisverweigerungsrecht, journalistisches § 33 3 ff., 19 ff. – Situation im Ausland § 33 7 Zielgruppenkriterien § 48 37 siehe Datensätze Zuboff, Shoshana § 1 3 ff. Zugangskontrolle § 7 71; § 19 16 ff., 22, 28 f.; § 28 4; § 61 41 ZUGFeRD (Zentraler User Guide des Forums elektronische Rechnung Deutschland) § 53 24 Zuordnung von Daten § 23 1 ff. – Eigentumsfähigkeit von Daten siehe dort – Reichweite der Datenverfügungsbefugnis § 23 21 ff. – Skripturakt siehe dort – Verhältnis von Medien- und Dateneigentum § 23 17 ff. – Zuordnung nach der persönlichen Betroffenheit durch Daten § 23 9 f. – Zuordnung nach Sacheigentum am Datenträger § 23 11 ff. – Zuordnung nach Schaffensprozess § 23 14 ff. Zwangslizenzeinwand § 20 24 ff. Zwangsvollstreckung – Herausgabe von Daten § 24 31 ff. Zweckfestlegung gemäß § 28 Abs. 1 Satz 2 BDSG § 30 106 Zweckübertragungslehre § 17 24; § 28 27, 32