Bundesgerichtshof Beschluss, 28. Okt. 2014 - VI ZR 135/13

published on 28/10/2014 00:00
Bundesgerichtshof Beschluss, 28. Okt. 2014 - VI ZR 135/13
Urteilsbesprechung zu {{shorttitle}}
Referenzen - Gesetze
Referenzen - Urteile
Previous court decisions
Amtsgericht Mitte, 2 C 6/08, 13/08/2008
Landgericht Berlin, 57 S 87/08, 31/01/2013

Gericht


Der Bundesgerichtshof (BGH) ist das höchste Gericht der ordentlichen Gerichtsbarkeit in Deutschland.  Der BGH besteht aus 16 Senaten, die jeweils von einem Vorsitzenden und mehreren anderen Richtern geleitet werden. Die Zusammensetzung der Senate

BUNDESGERICHTSHOF

BESCHLUSS
VIZR 135/13
vom
28. Oktober 2014
in dem Rechtsstreit
Nachschlagewerk: ja
BGHZ: nein
BGHR: ja
Richtlinie 95/46/EG (Datenschutz-Richtlinie) Art. 2 a, Art. 7 f; TMG §§ 12, 15
Dem Gerichtshof der Europäischen Union werden gemäß Art. 267 AEUV folgende
Fragen zur Auslegung des Unionsrechts vorgelegt:
1. Ist Art. 2 Buchstabe a der Richtlinie 95/46/EG des Europäischen Parlaments und
des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung
personenbezogener Daten und zum freien Datenverkehr (Abl. EG 1995, L
281/31) Datenschutz-Richtlinie - dahin auszulegen, dass eine InternetprotokollAdresse
(IP-Adresse), die ein Diensteanbieter im Zusammenhang mit einem Zugriff
auf seine Internetseite speichert, für diesen schon dann ein personenbezogenes
Datum darstellt, wenn ein Dritter (hier: Zugangsanbieter) über das zur Identifizierung
der betroffenen Person erforderliche Zusatzwissen verfügt?
2. Steht Art. 7 Buchstabe f der Datenschutz-Richtlinie einer Vorschrift des nationalen
Rechts entgegen, wonach der Diensteanbieter personenbezogene Daten eines
Nutzers ohne dessen Einwilligung nur erheben und verwenden darf, soweit dies
erforderlich ist, um die konkrete Inanspruchnahme des Telemediums durch den
jeweiligen Nutzer zu ermöglichen und abzurechnen, und wonach der Zweck, die
generelle Funktionsfähigkeit des Telemediums zu gewährleisten, die Verwendung
nicht über das Ende des jeweiligen Nutzungsvorgangs hinaus rechtfertigen kann?
BGH, Beschluss vom 28. Oktober 2014 - VI ZR 135/13 - LG Berlin
AG Berlin-Mitte
Der VI. Zivilsenat des Bundesgerichtshofs hat am 28. Oktober 2014 durch den
Vorsitzenden Richter Galke, die Richter Wellner, Stöhr und Offenloch und die
Richterin Dr. Oehler

beschlossen:
I. Das Verfahren wird ausgesetzt. II. Dem Gerichtshof der Europäischen Union werden gemäß Art. 267 AEUV folgende Fragen zur Auslegung des Unionsrechts vorgelegt: 1. Ist Art. 2 Buchstabe a der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Abl. EG 1995, L 281/31) - Datenschutz-Richtlinie - dahin auszulegen, dass eine Internetprotokoll -Adresse (IP-Adresse), die ein Diensteanbieter im Zusammenhang mit einem Zugriff auf seine Internetseite speichert , für diesen schon dann ein personenbezogenes Datum darstellt, wenn ein Dritter (hier: Zugangsanbieter) über das zur Identifizierung der betroffenen Person erforderliche Zusatzwissen verfügt? 2. Steht Art. 7 Buchstabe f der Datenschutz-Richtlinie einer Vorschrift des nationalen Rechts entgegen, wonach der Diensteanbieter personenbezogene Daten eines Nutzers ohne dessen Einwilligung nur erheben und verwenden darf, soweit dies erforderlich ist, um die konkrete Inanspruchnahme des Telemediums durch den jeweiligen Nutzer zu ermöglichen und abzu- rechnen, und wonach der Zweck, die generelle Funktionsfähigkeit des Telemediums zu gewährleisten, die Verwendung nicht über das Ende des jeweiligen Nutzungsvorgangs hinaus rechtfertigen kann?

Gründe:

A.

1
Der Kläger macht gegen die beklagte Bundesrepublik Deutschland einen Unterlassungsanspruch wegen der Speicherung von Internetprotokoll-Adressen (im Folgenden: IP-Adressen) geltend. IP-Adressen sind Ziffernfolgen, die vernetzten Computern zugewiesen werden, um deren Kommunikation im Internet zu ermöglichen. Beim Abruf einer Internetseite wird die IP-Adresse des abrufenden Computers an den Server übermittelt, auf dem die abgerufene Seite gespeichert ist. Dies ist erforderlich, um die abgerufenen Daten an den richtigen Empfänger zu übertragen.
2
Zahlreiche Einrichtungen des Bundes betreiben allgemein zugängliche Internetportale, auf denen sie aktuelle Informationen bereitstellen. Mit dem Ziel, Angriffe abzuwehren und die strafrechtliche Verfolgung von Angreifern zu ermöglichen , werden bei den meisten dieser Portale alle Zugriffe in Protokolldateien festgehalten. Darin werden jeweils der Name der abgerufenen Datei bzw. Seite, in Suchfelder eingegebene Begriffe, der Zeitpunkt des Abrufs, die übertragene Datenmenge, die Meldung, ob der Abruf erfolgreich war, und die IP- Adresse des zugreifenden Rechners über das Ende des jeweiligen Nutzungsvorgangs hinaus gespeichert.
3
Der Kläger rief in der Vergangenheit verschiedene solcher Internetseiten auf. Mit seiner Klage begehrt er, die Beklagte zu verurteilen, es zu unterlassen, die IP-Adresse des zugreifenden Hostsystems des Klägers, die im Zusammenhang mit der Nutzung öffentlich zugänglicher Telemedien der Beklagten im Internet - mit Ausnahme eines bestimmten Portals, für das der Kläger bereits einen Unterlassungstitel erwirkt hat - übertragen wird, über das Ende des jeweiligen Nutzungsvorgangs hinaus zu speichern oder durch Dritte speichern zu lassen , soweit die Speicherung nicht im Störungsfall zur Wiederherstellung der Verfügbarkeit des Telemediums erforderlich ist. Das Amtsgericht hat die Klage abgewiesen. Auf die Berufung des Klägers hat das Berufungsgericht das erstinstanzliche Urteil unter Zurückweisung des weitergehenden Rechtsmittels teilweise abgeändert und die Beklagte verurteilt, es zu unterlassen, die IP-Adresse des zugreifenden Hostsystems des Klägers, die im Zusammenhang mit der Nutzung öffentlich zugänglicher Telemedien der Beklagten im Internet - mit Ausnahme eines Internetportals - übertragen wird, in Verbindung mit dem Zeitpunkt des jeweiligen Nutzungsvorgangs über das Ende des jeweiligen Nutzungsvorgangs hinaus zu speichern oder durch Dritte speichern zu lassen, sofern der Kläger während eines Nutzungsvorgangs seine Personalien, auch in Form einer die Personalien ausweisenden E-Mail-Anschrift, angibt und soweit die Speicherung nicht im Störungsfall zur Wiederherstellung der Verfügbarkeit des Telemediums erforderlich ist.
4
Gegen dieses Urteil haben beide Parteien die vom Berufungsgericht zugelassene Revision eingelegt. Der Kläger begehrt die Verurteilung der Beklagten ohne die vom Berufungsgericht ausgesprochenen Beschränkungen. Mit der Revision verfolgt die Beklagte ihren Antrag auf vollständige Klageabweisung weiter.

B.

5
Die für die Entscheidung des Rechtsstreits maßgebenden Bestimmungen des deutschen Rechts lauten: § 12 Telemediengesetz (TMG)
6
(1) Der Diensteanbieter darf personenbezogene Daten zur Bereitstellung von Telemedien nur erheben und verwenden, soweit dieses Gesetz oder eine andere Rechtsvorschrift, die sich ausdrücklich auf Telemedien bezieht, es erlaubt oder der Nutzer eingewilligt hat.
7
(2) Der Diensteanbieter darf für die Bereitstellung von Telemedien erhobene personenbezogene Daten für andere Zwecke nur verwenden, soweit dieses Gesetz oder eine andere Rechtsvorschrift, die sich ausdrücklich auf Telemedien bezieht, es erlaubt oder der Nutzer eingewilligt hat.
8
(3) Soweit nichts anderes bestimmt ist, sind die jeweils geltenden Vorschriften für den Schutz personenbezogener Daten anzuwenden, auch wenn die Daten nicht automatisiert verarbeitet werden. § 15 Telemediengesetz (TMG)
9
(1) Der Diensteanbieter darf personenbezogene Daten eines Nutzers nur erheben und verwenden, soweit dies erforderlich ist, um die Inanspruchnahme von Telemedien zu ermöglichen und abzurechnen (Nutzungsdaten). Nutzungsdaten sind insbesondere 1. Merkmale zur Identifikation des Nutzers, 2. Angaben über Beginn und Ende sowie des Umfangs der jeweiligen Nutzung und 3. Angaben über die vom Nutzer in Anspruch genommenen Telemedien.
10
(2) Der Diensteanbieter darf Nutzungsdaten eines Nutzers über die Inanspruchnahme verschiedener Telemedien zusammenführen, soweit dies für Abrechnungszwecke mit dem Nutzer erforderlich ist.
11
(3) Der Diensteanbieter darf für Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien Nutzungsprofile bei Verwendung von Pseudonymen erstellen, sofern der Nutzer dem nicht widerspricht. Der Diensteanbieter hat den Nutzer auf sein Widerspruchsrecht im Rahmen der Unterrichtung nach § 13 Abs. 1 hinzuweisen. Diese Nutzungsprofile dürfen nicht mit Daten über den Träger des Pseudonyms zusammengeführt werden.
12
(4) Der Diensteanbieter darf Nutzungsdaten über das Ende des Nutzungsvorgangs hinaus verwenden, soweit sie für Zwecke der Abrechnung mit dem Nutzer erforderlich sind (Abrechnungsdaten). Zur Erfüllung bestehender gesetzlicher, satzungsmäßiger oder vertraglicher Aufbewahrungsfristen darf der Diensteanbieter die Daten sperren. ... § 3 Bundesdatenschutzgesetz (BDSG)
13
(1) Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener). ...

C.

14
Das Berufungsgericht, dessen Urteil unter anderem in ZD 2013, 618 veröffentlicht ist, hat im Wesentlichen ausgeführt, analog § 1004 Abs. 1 Satz 2 BGB und gemäß § 823 BGB, Art. 1 Abs. 1, Art. 2 Abs. 1 GG, § 4 Abs. 1 BDSG, § 12 Abs. 1 TMG bestehe der geltend gemachte Unterlassungsanspruch nur insoweit, als er Speicherungen von IP-Adressen in Verbindung mit dem Zeitpunkt des jeweiligen Nutzungsvorgangs betreffe und der Kläger während eines Nutzungsvorgangs seine Personalien angebe.
15
In diesem Fall sei die dynamische IP-Adresse des Klägers in Verbindung mit dem Zeitpunkt des Nutzungsvorgangs ein personenbezogenes Datum. Die dazu erforderliche Bestimmbarkeit des Betroffenen sei relativ zu verstehen. Die Bestimmung der Person müsse gerade für die verarbeitende Stelle technisch und rechtlich möglich sein und dürfe keinen Aufwand erfordern, der außer Verhältnis zu dem Nutzen der Information für diese Stelle stehe. Danach sei in Fällen , in denen der Nutzer seinen Klarnamen offen lege, ein Personenbezug dynamischer IP-Adressen zu bejahen, weil die Beklagte den Klarnamen mit der IP-Adresse verknüpfen könne.
16
Die Verwendung des Datums über das Ende des Nutzungsvorgangs hinaus sei nach § 12 Abs. 1 TMG unzulässig, da nicht von einer Einwilligung des Klägers auszugehen sei und ein Erlaubnistatbestand nicht vorliege. § 15 Abs. 1 TMG greife jedenfalls deshalb nicht, weil die Speicherung der IP-Adresse über das Ende des Nutzungsvorgangs hinaus für die Ermöglichung des Angebots (für den jeweiligen Nutzer) nicht erforderlich sei. Der Begriff der Erforderlichkeit sei eng auszulegen und umfasse nicht den sicheren Betrieb der Seite. Ansonsten wäre die von der Bundesregierung zunächst beabsichtigte Einführung eines Erlaubnistatbestandes zwecks Abwehr von Angriffen zum Schutz der Systeme nicht erforderlich gewesen. § 5 BSIG sei nicht einschlägig, da die Beklagte die Internetseiten nicht betreibe, um den Nutzern zur Kommunikation mit den jeweiligen Behörden zu dienen.
17
Ein weitergehender Unterlassungsanspruch bestehe nicht. Soweit der Kläger seinen Klarnamen nicht angebe, könne nur der Zugangsanbieter die IPAdresse einem bestimmten Anschlussinhaber zuordnen. In den Händen der Beklagten sei die IP-Adresse hingegen - auch in Verbindung mit dem Zeitpunkt des Zugriffs - kein personenbezogenes Datum, weil der Anschlussinhaber bzw. Nutzer für die Beklagte nicht bestimmbar sei. Maßgeblich sei, dass der Zugangsanbieter die IP-Adressen nur für einen begrenzten Zeitraum speichern und nur in bestimmten Fällen an Dritte übermitteln dürfe. Dass die Beklagte im Zusammenhang mit einem strafrechtlichen Ermittlungsverfahren oder der Verfolgung von Urheberrechtsverletzungen unter bestimmten Voraussetzungen an die für die Herstellung des Personenbezugs erforderlichen Informationen gelangen könnte, sei unerheblich, weil das Interesse an der Verfolgung von Straftaten und Urheberrechtsverletzungen das Persönlichkeitsrecht des Betroffenen regelmäßig überwiege. Es komme auch nicht auf die theoretische Möglichkeit an, dass der Zugangsanbieter der Beklagten unbefugt Auskunft erteile. Denn eine illegale Handlung könne nicht als normalerweise und ohne großen Aufwand durchzuführende Methode angesehen werden.

D.

18
Gemäß Art. 267 Abs. 1 Buchstabe b und Abs. 3 AEUV ist von Amts wegen eine Vorabentscheidung des Gerichtshofs der Europäischen Union über die Auslegung des Art. 2 Buchstabe a und des Art. 7 Buchstabe f der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Da- ten und zum freien Datenverkehr (Abl. EG 1995, L 281/31) - DatenschutzRichtlinie - einzuholen, da davon der Erfolg bzw. Misserfolg der Revisionen der Parteien abhängt.
19
Der Kläger könnte von der Beklagten beanspruchen, es zu unterlassen, die für den Abruf ihrer Internetseiten durch den Kläger übermittelten IPAdressen in Verbindung mit der Zeit des jeweiligen Abrufs über das Ende des jeweiligen Nutzungsvorgangs hinaus zu speichern oder durch Dritte speichern zu lassen (mit Ausnahme eines Störfalles zur Wiederherstellung der Verfügbarkeit des Telemediums). Das setzt voraus, dass es sich bei dem Speichern der (hier allein in Frage stehenden dynamischen) IP-Adresse um einen nach dem Datenschutzrecht unzulässigen Eingriff in das allgemeine Persönlichkeitsrecht - in seiner Ausprägung als Recht auf informationelle Selbstbestimmung - des Klägers handelte (§ 1004 Abs. 1, § 823 Abs. 1 BGB i. V. mit Artt. 1 und 2 GG). Davon wäre auszugehen, wenn die IP-Adresse - jedenfalls zusammen mit dem Zeitpunkt des Zugriffs auf eine Internetseite - zu den "personenbezogenen Daten" im Sinne von Art. 2 Buchstabe a in Verbindung mit Erwägungsgrund 26 Satz 2 der Datenschutz-Richtlinie bzw. § 12 Abs. 1 und 3 TMG i. V. mit § 3 Abs. 1 BDSG zählte (I.) und ein Erlaubnistatbestand im Sinne von Art. 7 Buchstabe f der Datenschutz-Richtlinie bzw. § 12 Abs. 1 und 3, § 15 Abs. 1 und 4 TMG nicht vorläge (II.).
20
I. Zur Vorlagefrage II. 1.
21
1. Nach § 12 Abs. 1 TMG darf "der Diensteanbieter […] personenbezogene Daten zur Bereitstellung von Telemedien nur erheben und verwenden, soweit dieses Gesetz oder eine andere Rechtsvorschrift, die sich ausdrücklich auf Telemedien bezieht, es erlaubt oder der Nutzer eingewilligt hat." Diese Vorschrift ist anwendbar, da die in Rede stehenden Portale als Telemedien (§ 1 Abs. 1 Satz 1 TMG), die Beklagte als Diensteanbieter (§ 2 Satz 1 Nr. 1 TMG) und der Kläger als Nutzer (§ 11 Abs. 2 TMG) anzusehen sind.
22
2. Personenbezogene Daten sind nach der auch für das Telemediengesetz maßgeblichen (KG, K&R 2011, 418; Moos in Taeger/Gabel, BDSG, 2. Aufl., § 12 TMG Rn. 5) Legaldefinition in § 3 Abs. 1 BDSG "Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener)." Die von der Beklagten gespeicherten dynamischen IP-Adressen sind jedenfalls im Kontext mit den weiteren in den Protokolldateien gespeicherten Daten als Einzelangaben über sachliche Verhältnisse anzusehen, da die Daten Aufschluss darüber gaben, dass zu bestimmten Zeitpunkten bestimmte Seiten bzw. Dateien über das Internet abgerufen wurden (vgl. Simitis/Dammann, BDSG, 8. Aufl., § 3 Rn. 10; Sachs, CR 2010, 547, 548). Diese sachlichen Verhältnisse waren solche des Klägers; denn er war Inhaber des Anschlusses, dem die IP-Adressen zugewiesen waren (vgl. BGH, Urteil vom 12. Mai 2010 - I ZR 121/08, BGHZ 185, 330 Rn. 15), und hat die Internetseiten im Übrigen auch selbst aufgerufen. Da die gespeicherten Daten aber aus sich heraus keinen unmittelbaren Rückschluss auf die Identität des Klägers zuließen, war dieser nicht "bestimmt" im Sinne des § 3 Abs. 1 BDSG (vgl. Schulz in Roßnagel, BeckRTD-Komm., § 11 TMG Rn. 22; Gola /Schomerus, BDSG, 11. Aufl., § 3 Rn. 10). Für den Personenbezug kommt es deshalb darauf an, ob er "bestimmbar" war.
23
a) Die Bestimmbarkeit einer Person setzt voraus, dass grundsätzlich die Möglichkeit besteht, ihre Identität festzustellen (Buchner in Taeger/Gabel, BDSG, 2. Aufl., § 3 Rn. 11; Plath/Schreiber in Plath, BDSG, § 3 Rn. 13). Umstritten ist, ob bei der Prüfung der Bestimmbarkeit ein objektiver oder ein relativer Maßstab anzulegen ist.
24
aa) Nach einer Auffassung kommt es auf die individuellen Verhältnisse der verantwortlichen Stelle nicht an (so etwa Pahlen-Brandt, K&R 2008, 286, 289; dies., DuD 2008, 34 ff.; Karg, MMR 2011, 345, 346; Schaar, Datenschutz im Internet, Kap. 3 Rn. 153, 174 f.; ähnlich Weichert in Däubler /Klebe/Wedde/ders., BDSG, 4. Aufl., § 3 Rn. 13, 15; vgl. auch Schweizer BVG, Urteil vom 27. Mai 2009 - A-3144/2008 - BeckRS 2009, 22471 unter J.2.2.1). Danach kann ein Personenbezug auch dann anzunehmen sein, wenn ausschließlich ein Dritter in der Lage ist, die Identität des Betroffenen festzustellen.
25
bb) Die überwiegende Auffassung vertritt demgegenüber einen relativen Ansatz. Ein Personenbezug ist danach zu verneinen, wenn die Bestimmung des Betroffenen gerade für die verantwortliche Stelle mit einem unverhältnismäßigen Aufwand an Zeit, Kosten und Arbeitskraft verbunden ist, so dass das Risiko einer Identifizierung als praktisch irrelevant erscheint. Dies wird, da das Gesetz die Begriffe des Personenbezugs und des Anonymisierens komplementär verwendet, aus § 3 Abs. 6 BDSG hergeleitet (Simitis/Dammann, BDSG, 8. Aufl., § 3 Rn. 23, 196; Weichert in Däubler/Klebe/Wedde/ders., BDSG, 4. Aufl., § 3 Rn. 13; Moos in: Taeger/Gabel, BDSG, 2. Aufl., § 12 TMG Rn. 8; Mantz, ZD 2013, 625). Dies könnte bei einer entsprechenden Auslegung in Einklang stehen mit der Datenschutz-Richtlinie, nach deren Erwägungsgrund 26 bei der Beurteilung der Bestimmbarkeit alle Mittel berücksichtigt werden sollten, die "vernünftigerweise" eingesetzt werden könnten, um die betreffende Person zu bestimmen (Artikel-29-Datenschutzgruppe, WP 136 S. 15, www.ec.europa.eu/justice/data-protection/article-29; Buchner in Taeger/Gabel, aaO, § 3 BDSG Rn. 12; Simitis/Dammann, aaO Rn. 24).
26
cc) Stellte man mit dem relativen Ansatz auf die Kenntnisse, Mittel und Möglichkeiten der die IP-Adressen speichernden Stelle ab, könnten dieselben Daten für eine Stelle - etwa für den Zugangsanbieter (vgl. EuGH, Slg. 2011, I-12006 Rn. 51 - Scarlet Extended) - personenbezogen und für eine andere Stelle - etwa für den Anbieter einer Internetseite (hier: die Beklagte) - nicht personenbezogen sein (so etwa LG Frankenthal, MMR 2008, 687, 689; LG Wuppertal , K&R 2010, 838, 839; AG München, K&R 2008, 767 m. zust. Anm. Eckhardt ; ders., CR 2011, 339, 342 ff.; Meyerdierks, MMR 2009, 8, 10 ff.; Krüger /Maucher, MMR 2011, 433, 436 ff.; Simitis/Dammann, BDSG, 8. Aufl., § 3 Rn. 32 f.; Plath/Schreiber in Plath, BDSG, § 3 Rn. 14 f.; Gola/Schomerus, BDSG, 11. Aufl., § 3 Rn. 10; Bergmann/Möhrle/Herb, Datenschutzrecht, § 3 BDSG Rn. 32 [Stand: Januar 2012]; Spindler/Nink in Spindler/Schuster, Recht der elektronischen Medien, 2. Aufl., § 11 TMG Rn. 5b; Moos in: Taeger/Gabel, BDSG, 2. Aufl., § 12 TMG Rn. 8; Schulz in Roßnagel, BeckRTD-Komm., § 11 TMG Rn. 23; Bizer/Hornung, ebd., § 12 TMG Rn. 44; Müller-Broich, TMG, § 11 Rn. 5; Schmitz in Hoeren/Sieber/Holznagel, Hdb. Multimedia-Recht, Kap. 16.2 Rn. 76 [Stand: Dezember 2009]; Härting, Internetrecht, 5. Aufl., Kap. B Rn. 276).
27
b) Für die Auslegung des nationalen Rechts (§ 12 Abs. 1 TMG) ist maßgebend , wie der Personenbezug in Art. 2 Buchstabe a der - diesen Bereich betreffenden - Datenschutz-Richtlinie zu verstehen ist.
28
aa) Der Wortlaut der Richtlinienbestimmung scheint nicht eindeutig zu sein. Nach dem Erwägungsgrund 26 Satz 2 der Richtlinie sollen bei der Entscheidung , ob eine Person bestimmbar ist, auch Mittel berücksichtigt werden, die "von einem Dritten" eingesetzt werden könnten, um die betreffende Person zu bestimmen. Das könnte so zu verstehen sein, dass der Personenbezug auch für einen Verantwortlichen, der eine Information lediglich speichert, schon dann zu bejahen ist, wenn ausschließlich ein Dritter, läge diesem die Information vor, den Betroffenen ohne unverhältnismäßigen Aufwand identifizieren könnte; je- denfalls könnte ein Personenbezug dann anzunehmen sein, wenn vernünftigerweise nicht auszuschließen ist, dass die Information zukünftig an den Dritten übermittelt wird (vgl. Pahlen-Brandt, DuD 2008, 34, 38; Sachs, CR 2010, 547, 550 f.). Andererseits könnte ein solches Verständnis des Erwägungsgrundes nicht zwingend sein. Berücksichtigt man bei der Beurteilung der Bestimmbarkeit nur Mittel, die "vernünftigerweise" eingesetzt werden könnten, um die betreffende Person zu bestimmen (Artikel-29-Datenschutzgruppe, WP 136 S. 15, www.ec.europa.eu/justice/data-protection/article-29; Buchner in Taeger /Gabel, BDSG, 2. Aufl., § 3 BDSG Rn. 12; Simitis/Dammann, BDSG, 8. Aufl., § 3 Rn. 24), wäre auch ein relatives Verständnis der Bestimmbarkeit und damit des Personenbezugs möglich.
29
3. Die Frage ist im Streitfall entscheidungserheblich.
30
a) Folgt man dem objektiven Ansatz, so waren die dem Anschluss des Klägers zugewiesenen und von der Beklagten gespeicherten dynamischen IPAdressen auch über das Ende der einzelnen Nutzungsvorgänge hinaus personenbezogen. Denn das Berufungsgericht hat angenommen, dass der Zugangsanbieter des Klägers die für dessen Identifizierung anhand der IPAdressen erforderlichen Daten über das Ende der einzelnen Internetverbindungen hinaus gespeichert hat (zur Befugnis des Anbieters vgl. BGH, Urteile vom 13. Januar 2011 - III ZR 146/10, NJW 2011, 1509 und vom 3. Juli 2014 - VI ZR 391/13, NJW 2014, 2500). Mit diesem Zusatzwissen hätten die von der Beklagten gespeicherten Daten ohne unverhältnismäßigen Aufwand dem Kläger als Anschlussinhaber zugeordnet werden können.
31
b) Folgt man demgegenüber dem relativen Ansatz, so ist der Personenbezug im Streitfall zu verneinen. Denn die Stellen der Beklagten, die die IPAdressen des Klägers gespeichert haben, hätten den Kläger nicht ohne unverhältnismäßigen Aufwand identifizieren können. Nach den getroffenen Feststel- lungen ist davon auszugehen, dass ihnen - die Nichtangabe der Personalien vorausgesetzt - keine Informationen vorlagen, die dies ermöglicht hätten. Anders als es bei statischen IP-Adressen der Fall sein kann, lässt sich die Zuordnung dynamischer IP-Adressen zu bestimmten Anschlüssen keiner allgemein zugänglichen Datei entnehmen (Gerlach, CR 2013, 478, 480).
32
c) Der Zugangsanbieter des Klägers durfte den Stellen der Beklagten, welche die IP-Adressen speichern (sog. verantwortliche Stellen), keine Auskunft über dessen Identität erteilen, weil es dafür keine gesetzliche Grundlage gibt (§ 95 Abs. 1 Satz 3 TKG). Alleine die Befugnisse der zuständigen Stellen nach § 113 TKG (etwa die Staatsanwaltschaft im Rahmen eines Ermittlungsverfahrens ) rechtfertigen es noch nicht, die auf Grund dieser Befugnisse beschaffbaren Informationen auch für andere staatliche Stellen (etwa die Stellen der Beklagten , welche die IP-Adressen speichern), an die diese Informationen nicht weitergegeben werden dürfen, als zugänglich anzusehen. Illegale Handlungen können - erst recht bei staatlichen Stellen - nicht als Mittel der Informationsbeschaffung angesehen werden.
33
II. Zur Vorlagefrage II. 2.
34
Wäre davon auszugehen, dass es sich bei der IP-Adresse im Zusammenhang mit den Daten des Zugriffs um personenbezogene Daten handelte, wäre die Speicherung über den Zugriff hinaus nach § 12 Abs. 1 TMG nur zulässig , soweit dieses Gesetz oder eine andere Rechtsvorschrift, die sich ausdrücklich auf Telemedien bezieht, es erlaubt oder der Nutzer eingewilligt hat. Eine solche Einwilligung liegt hier nicht vor. Es kommt aber eine Erlaubnis nach § 15 Abs. 1 TMG in Betracht. Auch insoweit ist eine Vorabentscheidung des Gerichtshofs der Europäischen Union über die Auslegung des Art. 7 Buchstabe f der Datenschutz-Richtlinie einzuholen.
35
1. Nach § 15 Abs. 1 TMG darf der Diensteanbieter personenbezogene Daten eines Nutzers nur erheben und verwenden, soweit dies erforderlich ist, um die Inanspruchnahme von Telemedien zu ermöglichen und abzurechnen (Nutzungsdaten). Nutzungsdaten sind dabei insbesondere Merkmale zur Identifikation des Nutzers, Angaben über Beginn und Ende sowie des Umfangs der jeweiligen Nutzung und Angaben über die vom Nutzer in Anspruch genommenen Telemedien.
36
a) Für die rechtliche Prüfung ist nach dem Vortrag der Beklagten davon auszugehen, dass die Speicherung der IP-Adressen zur Gewährleistung und Aufrechterhaltung der Sicherheit und Funktionsfähigkeit ihrer Telemedien erforderlich ist. Dies gilt insbesondere für die Erkennung und Abwehr häufig auftretender "Denial-of-Service"-Attacken, bei denen die TK-Infrastruktur durch gezieltes und koordiniertes Fluten einzelner Webserver mit einer Vielzahl von Anfragen lahm gelegt wird.
37
b) Fraglich ist, ob dadurch die Voraussetzungen des § 15 Abs. 1 TMG erfüllt sein können. Eine solche Auslegung wäre mit dem Wortlaut der Vorschrift vereinbar. Denn die behaupteten "Denial-of-Service"-Attacken führen dazu, dass das Telemedium nicht mehr erreichbar und seine Inanspruchnahme somit nicht mehr möglich ist. Wenn und soweit Maßnahmen des Diensteanbieters erforderlich sind, um solche Angriffe abzuwehren, könnten die Maßnahmen deshalb als erforderlich angesehen werden, "um die Inanspruchnahme von Telemedien zu ermöglichen" (vgl. Meyerdierks/Gendelev, ZD 2013, 626, 627).
38
c) In der Literatur wird allerdings überwiegend die Auffassung vertreten, dass die Datenerhebung und -verwendung nur erlaubt ist, um ein konkretes Nutzungsverhältnis zu ermöglichen und die Daten, soweit sie nicht für Abrechnungszwecke benötigt werden, mit dem Ende des jeweiligen Nutzungsvorgangs zu löschen sind. Dafür spricht insbesondere § 15 Abs. 4 Satz 1 TMG, der eine Verwendung der Daten zu Abrechnungszwecken auch über das Ende des Nutzungsvorgangs hinaus ausdrücklich erlaubt und der im Fall einer weiten Auslegung des § 15 Abs. 1 TMG nur klarstellende Bedeutung hätte (vgl. Zscherpe in Taeger/Gabel, BDSG, 2. Aufl., § 15 TMG Rn. 32, 40; jurisPKInternetrecht /Heckmann, 4. Aufl., Kap. 9 Rn. 362; Schmitz in Hoeren /Sieber/Holznagel, Hdb. Multimedia-Recht, Kap. 16.2 Rn. 204 [Stand: Dezember 2009]). Dieses Verständnis des § 15 Abs. 1 TMG würde einer Erlaubnis zur Speicherung der IP-Adressen zur (generellen) Gewährleistung und Aufrechterhaltung der Sicherheit und Funktionsfähigkeit von Telemedien entgegenstehen.
39
2. Da für das Verständnis des § 15 Abs. 1 TMG der diesen Bereich regelnde Art. 7 Buchstabe f der Datenschutz-Richtlinie maßgebend ist, stellt sich die Frage, wie diese Richtlinienbestimmung auszulegen ist.
40
a) Nach Art. 7 Buchstabe f der Datenschutz-Richtlinie ist die Verarbeitung personenbezogener Daten rechtmäßig, wenn sie erforderlich ist zur Verwirklichung des berechtigten Interesses, das von dem für die Verarbeitung Verantwortlichen oder von dem bzw. den Dritten wahrgenommen wird, denen die Daten übermittelt werden, sofern nicht das Interesse oder die Grundrechte und Grundfreiheiten der betroffenen Person, die gemäß Art. 1 Abs. 1 der Richtlinie geschützt sind, überwiegen. Nach dem Urteil des Europäischen Gerichtshofs vom 24. November 2011 in Sachen ASNEF und FECEMD (Slg. 2011, I-12181 Rn. 29 ff.) führt die Datenschutz-Richtlinie zu einer grundsätzlich umfassenden Harmonisierung der nationalen Rechtsvorschriften. Deshalb steht Art. 7 Buchstabe f der Datenschutz-Richtlinie hinsichtlich der Verarbeitung personenbezogener Daten jeder nationalen Regelung entgegen, die bei Fehlen der Einwilligung der betroffenen Person neben den beiden in der Vorschrift genannten kumulativen Voraussetzungen zusätzliche Erfordernisse aufstellt. Zwar dürfen die Mitgliedstaaten in der Ausübung ihres Ermessens gemäß Art. 5 der Datenschutz -Richtlinie Leitlinien für die geforderte Abwägung aufstellen. Eine nationale Regelung darf jedoch nicht die Verarbeitung bestimmter Kategorien personenbezogener Daten ausschließen, indem sie für diese Kategorien das Ergebnis der Abwägung abschließend vorschreibt, ohne Raum für ein Ergebnis zu lassen, das auf Grund besonderer Umstände des Einzelfalls anders ausfällt (EuGH, aaO).
41
b) Nach diesen Maßstäben könnte das vom Berufungsgericht befürwortete enge Verständnis des § 15 Abs. 1 TMG nicht in Einklang mit Art. 7 Buchstabe f der Datenschutz-Richtlinie stehen (Drewes, ZD 2012, 115, 118; vgl. auch Meyerdierks/Gendelev, ZD 2013, 626, 627 und BGH, Urteil vom 4. Juni 2013 - 1 StR 32/13, BGHSt 58, 268 Rn. 70 ff.). Denn nach dieser Auslegung dürfte der Diensteanbieter personenbezogene Daten des Nutzers ohne dessen Einwilligung über das Ende des jeweiligen Nutzungsvorgangs hinaus nur zu einem bestimmten Zweck, nämlich dem der Abrechnung, verwenden; für andere Zwecke dürften die Daten nach Ende des Nutzungsvorgangs unabhängig von einer Abwägung der im Einzelfall berührten Interessen nicht verwendet werden.
42
c) Danach stellt sich die Frage, ob § 15 Abs. 1 TMG richtlinienkonform dahin ausgelegt werden muss, dass auch der von dem Diensteanbieter verfolgte Zweck, die Funktionsfähigkeit des Telemediums zu gewährleisten, die Verwendung personenbezogener Daten des Nutzers auch über das Ende des jeweiligen Nutzungsvorgangs hinaus rechtfertigen kann, wenn, soweit und solange die Verwendung zu diesem Zweck erforderlich ist.
43
3. Die Frage ist auch entscheidungserheblich.
44
Wenn nach der Entscheidung des Gerichtshofs zu Art. 2 Buchstabe a der Datenschutz-Richtlinie der Personenbezug der gespeicherten IP-Adressen zu bejahen sein sollte, könnte der Anspruch des Klägers gleichwohl entfallen, wenn der Erlaubnistatbestand des § 15 Abs. 1 TMG - bei einem von der Datenschutz -Richtlinie geforderten weiteren Verständnis - eingriffe. Galke Wellner Stöhr Offenloch Oehler
Vorinstanzen:
AG Berlin-Mitte, Entscheidung vom 13.08.2008 - 2 C 6/08 -
LG Berlin, Entscheidung vom 31.01.2013 - 57 S 87/08 -
Urteilsbesprechung zu {{shorttitle}}
{{count_recursive}} Urteilsbesprechungen zu {{shorttitle}}

moreResultsText


(1) Jeder hat das Recht auf die freie Entfaltung seiner Persönlichkeit, soweit er nicht die Rechte anderer verletzt und nicht gegen die verfassungsmäßige Ordnung oder das Sittengesetz verstößt. (2) Jeder hat das Recht auf Leben und körperliche Unver

(1) Wer vorsätzlich oder fahrlässig das Leben, den Körper, die Gesundheit, die Freiheit, das Eigentum oder ein sonstiges Recht eines anderen widerrechtlich verletzt, ist dem anderen zum Ersatz des daraus entstehenden Schadens verpflichtet. (2) Di

(1) Die Würde des Menschen ist unantastbar. Sie zu achten und zu schützen ist Verpflichtung aller staatlichen Gewalt. (2) Das Deutsche Volk bekennt sich darum zu unverletzlichen und unveräußerlichen Menschenrechten als Grundlage jeder menschlichen G
{{title}} zitiert {{count_recursive}} §§.

(1) Jeder hat das Recht auf die freie Entfaltung seiner Persönlichkeit, soweit er nicht die Rechte anderer verletzt und nicht gegen die verfassungsmäßige Ordnung oder das Sittengesetz verstößt. (2) Jeder hat das Recht auf Leben und körperliche Unver

(1) Wer vorsätzlich oder fahrlässig das Leben, den Körper, die Gesundheit, die Freiheit, das Eigentum oder ein sonstiges Recht eines anderen widerrechtlich verletzt, ist dem anderen zum Ersatz des daraus entstehenden Schadens verpflichtet. (2) Di

(1) Die Würde des Menschen ist unantastbar. Sie zu achten und zu schützen ist Verpflichtung aller staatlichen Gewalt. (2) Das Deutsche Volk bekennt sich darum zu unverletzlichen und unveräußerlichen Menschenrechten als Grundlage jeder menschlichen G
4 Referenzen - Urteile
{{Doctitle}} zitiert oder wird zitiert von {{count_recursive}} Urteil(en).

published on 04/06/2013 00:00

BUNDESGERICHTSHOF IM NAMEN DES VOLKES URTEIL 1 StR 32/13 vom 4. Juni 2013 BGHSt: ja BGHR: ja Nachschlagewerk: ja Veröffentlichung: ja ___________________________ BDSG § 44 Abs. 1, § 43 Abs. 2 Nr. 1, § 28 Abs. 1 Satz 1 Nr. 2, § 29 Abs
published on 13/01/2011 00:00

BUNDESGERICHTSHOF IM NAMEN DES VOLKES URTEIL III ZR 146/10 Verkündet am: 13. Januar 2011 K i e f e r Justizangestellter als Urkundsbeamter der Geschäftsstelle in dem Rechtsstreit Nachschlagewerk: ja BGHZ: nein BGHR: ja Speicherung dynam
{{Doctitle}} zitiert {{count_recursive}} Urteil(e) aus unserer Datenbank.
published on 16/05/2017 00:00

BUNDESGERICHTSHOF IM NAMEN DES VOLKES URTEIL VI ZR 135/13 Verkündet am: 16. Mai 2017 Holmes Justizangestellte als Urkundsbeamtin der Geschäftsstelle in dem Rechtsstreit Nachschlagewerk: ja BGHZ: ja BGHR: ja TMG § 12 Abs. 1 und 2,
published on 25/02/2016 00:00

Gründe I 1 Die Beteiligten streiten um die Rechtmäßigkeit einer datenschutzrechtlichen Anordnun
{{count_recursive}} Urteil(e) in unserer Datenbank zitieren {{Doctitle}}.

Annotations

(1) Wird das Eigentum in anderer Weise als durch Entziehung oder Vorenthaltung des Besitzes beeinträchtigt, so kann der Eigentümer von dem Störer die Beseitigung der Beeinträchtigung verlangen. Sind weitere Beeinträchtigungen zu besorgen, so kann der Eigentümer auf Unterlassung klagen.

(2) Der Anspruch ist ausgeschlossen, wenn der Eigentümer zur Duldung verpflichtet ist.

(1) Wer vorsätzlich oder fahrlässig das Leben, den Körper, die Gesundheit, die Freiheit, das Eigentum oder ein sonstiges Recht eines anderen widerrechtlich verletzt, ist dem anderen zum Ersatz des daraus entstehenden Schadens verpflichtet.

(2) Die gleiche Verpflichtung trifft denjenigen, welcher gegen ein den Schutz eines anderen bezweckendes Gesetz verstößt. Ist nach dem Inhalt des Gesetzes ein Verstoß gegen dieses auch ohne Verschulden möglich, so tritt die Ersatzpflicht nur im Falle des Verschuldens ein.

(1) Die Würde des Menschen ist unantastbar. Sie zu achten und zu schützen ist Verpflichtung aller staatlichen Gewalt.

(2) Das Deutsche Volk bekennt sich darum zu unverletzlichen und unveräußerlichen Menschenrechten als Grundlage jeder menschlichen Gemeinschaft, des Friedens und der Gerechtigkeit in der Welt.

(3) Die nachfolgenden Grundrechte binden Gesetzgebung, vollziehende Gewalt und Rechtsprechung als unmittelbar geltendes Recht.

(1) Jeder hat das Recht auf die freie Entfaltung seiner Persönlichkeit, soweit er nicht die Rechte anderer verletzt und nicht gegen die verfassungsmäßige Ordnung oder das Sittengesetz verstößt.

(2) Jeder hat das Recht auf Leben und körperliche Unversehrtheit. Die Freiheit der Person ist unverletzlich. In diese Rechte darf nur auf Grund eines Gesetzes eingegriffen werden.

(1) Die Beobachtung öffentlich zugänglicher Räume mit optisch-elektronischen Einrichtungen (Videoüberwachung) ist nur zulässig, soweit sie

1.
zur Aufgabenerfüllung öffentlicher Stellen,
2.
zur Wahrnehmung des Hausrechts oder
3.
zur Wahrnehmung berechtigter Interessen für konkret festgelegte Zwecke
erforderlich ist und keine Anhaltspunkte bestehen, dass schutzwürdige Interessen der betroffenen Personen überwiegen. Bei der Videoüberwachung von
1.
öffentlich zugänglichen großflächigen Anlagen, wie insbesondere Sport-, Versammlungs- und Vergnügungsstätten, Einkaufszentren oder Parkplätzen, oder
2.
Fahrzeugen und öffentlich zugänglichen großflächigen Einrichtungen des öffentlichen Schienen-, Schiffs- und Busverkehrs
gilt der Schutz von Leben, Gesundheit oder Freiheit von dort aufhältigen Personen als ein besonders wichtiges Interesse.

(2) Der Umstand der Beobachtung und der Name und die Kontaktdaten des Verantwortlichen sind durch geeignete Maßnahmen zum frühestmöglichen Zeitpunkt erkennbar zu machen.

(3) Die Speicherung oder Verwendung von nach Absatz 1 erhobenen Daten ist zulässig, wenn sie zum Erreichen des verfolgten Zwecks erforderlich ist und keine Anhaltspunkte bestehen, dass schutzwürdige Interessen der betroffenen Personen überwiegen. Absatz 1 Satz 2 gilt entsprechend. Für einen anderen Zweck dürfen sie nur weiterverarbeitet werden, soweit dies zur Abwehr von Gefahren für die staatliche und öffentliche Sicherheit sowie zur Verfolgung von Straftaten erforderlich ist.

(4) Werden durch Videoüberwachung erhobene Daten einer bestimmten Person zugeordnet, so besteht die Pflicht zur Information der betroffenen Person über die Verarbeitung gemäß den Artikeln 13 und 14 der Verordnung (EU) 2016/679. § 32 gilt entsprechend.

(5) Die Daten sind unverzüglich zu löschen, wenn sie zur Erreichung des Zwecks nicht mehr erforderlich sind oder schutzwürdige Interessen der betroffenen Personen einer weiteren Speicherung entgegenstehen.

(1) Das Bundesamt darf zur Abwehr von Gefahren für die Kommunikationstechnik des Bundes

1.
Protokolldaten, die beim Betrieb von Kommunikationstechnik des Bundes anfallen, erheben und automatisiert auswerten, soweit dies zum Erkennen, Eingrenzen oder Beseitigen von Störungen oder Fehlern bei der Kommunikationstechnik des Bundes oder von Angriffen auf die Informationstechnik des Bundes erforderlich ist,
2.
die an den Schnittstellen der Kommunikationstechnik des Bundes anfallenden Daten automatisiert auswerten, soweit dies für die Erkennung und Abwehr von Schadprogrammen erforderlich ist.
Sofern nicht die nachfolgenden Absätze eine weitere Verwendung gestatten, muss die automatisierte Auswertung dieser Daten unverzüglich erfolgen und müssen diese nach erfolgtem Abgleich sofort und spurenlos gelöscht werden. Die Verwendungsbeschränkungen gelten nicht für Protokolldaten, sofern diese weder personenbezogene noch dem Fernmeldegeheimnis unterliegende Daten beinhalten. Die Bundesbehörden sind verpflichtet, das Bundesamt bei Maßnahmen nach Satz 1 zu unterstützen und hierbei den Zugang des Bundesamtes zu behördeninternen Protokolldaten nach Satz 1 Nummer 1 sowie Schnittstellendaten nach Satz 1 Nummer 2 sicherzustellen. Protokolldaten der Bundesgerichte dürfen nur in deren Einvernehmen erhoben werden.

(2) Protokolldaten nach Absatz 1 Satz 1 Nummer 1 dürfen über den für die automatisierte Auswertung nach Absatz 1 Satz 1 Nummer 1 erforderlichen Zeitraum hinaus, längstens jedoch für 18 Monate, gespeichert werden, soweit tatsächliche Anhaltspunkte dafür bestehen, dass diese im Falle der Bestätigung eines Verdachts nach Absatz 3 Satz 2 zur Abwehr von Gefahren, die von dem gefundenen Schadprogramm ausgehen oder zur Erkennung und Abwehr anderer Schadprogramme erforderlich sein können. Durch organisatorische und technische Maßnahmen ist sicherzustellen, dass eine Auswertung der nach diesem Absatz gespeicherten Daten nur automatisiert erfolgt und dass ein Zugriff auf Daten, die länger als drei Monate gespeichert sind, nur bei Vorliegen tatsächlicher Erkenntnisse über die Betroffenheit des Bundes mit einem Schadprogramm erfolgt. Die Daten sind zu pseudonymisieren, soweit dies automatisiert möglich ist. Eine nicht automatisierte Verarbeitung ist nur nach Maßgabe der nachfolgenden Absätze zulässig. Soweit hierzu die Wiederherstellung pseudonymisierter Protokolldaten erforderlich ist, muss diese durch die Präsidentin oder den Präsidenten des Bundesamtes oder die Vertretung im Amt angeordnet werden. Die Entscheidung ist zu dokumentieren.

(2a) Protokolldaten dürfen vor ihrer Pseudonymisierung und Speicherung nach Absatz 2 zur Sicherstellung einer fehlerfreien automatisierten Auswertung manuell verarbeitet werden. Liegen Hinweise vor, dass die fehlerfreie automatisierte Auswertung wegen eines erheblichen Fehlers erschwert wird, darf der Personenbezug von Protokolldaten zur Sicherstellung der fehlerfreien automatisierten Auswertung wiederhergestellt werden, sofern dies im Einzelfall erforderlich ist. Absatz 2 Satz 3 bis 6 gilt entsprechend.

(3) Eine über die Absätze 1 und 2 hinausgehende Verwendung personenbezogener Daten ist nur zulässig, wenn bestimmte Tatsachen den Verdacht begründen, dass

1.
diese ein Schadprogramm enthalten,
2.
diese durch ein Schadprogramm übermittelt wurden oder
3.
sich aus ihnen Hinweise auf ein Schadprogramm ergeben können,
und soweit die Datenverarbeitung erforderlich ist, um den Verdacht zu bestätigen oder zu widerlegen. Im Falle der Bestätigung ist die weitere Verarbeitung personenbezogener Daten zulässig, soweit dies
1.
zur Abwehr des Schadprogramms,
2.
zur Abwehr von Gefahren, die von dem aufgefundenen Schadprogramm ausgehen, oder
3.
zur Erkennung und Abwehr anderer Schadprogramme erforderlich ist.
Ein Schadprogramm kann beseitigt oder in seiner Funktionsweise gehindert werden. Die nicht automatisierte Verwendung der Daten nach den Sätzen 1 und 2 darf nur durch einen Bediensteten des Bundesamtes mit der Befähigung zum Richteramt angeordnet werden.

(4) Die Beteiligten des Kommunikationsvorgangs sind spätestens nach dem Erkennen und der Abwehr eines Schadprogramms oder von Gefahren, die von einem Schadprogramm ausgehen, zu benachrichtigen, wenn sie bekannt sind oder ihre Identifikation ohne unverhältnismäßige weitere Ermittlungen möglich ist und nicht überwiegende schutzwürdige Belange Dritter entgegenstehen. Die Unterrichtung kann unterbleiben, wenn die Person nur unerheblich betroffen wurde, und anzunehmen ist, dass sie an einer Benachrichtigung kein Interesse hat. Das Bundesamt legt Fälle, in denen es von einer Benachrichtigung absieht, dem behördlichen Datenschutzbeauftragten des Bundesamtes sowie einem weiteren Bediensteten des Bundesamtes, der die Befähigung zum Richteramt hat, zur Kontrolle vor. Wenn der behördliche Datenschutzbeauftragte der Entscheidung des Bundesamtes widerspricht, ist die Benachrichtigung nachzuholen. Die Entscheidung über die Nichtbenachrichtigung ist zu dokumentieren. Die Dokumentation darf ausschließlich für Zwecke der Datenschutzkontrolle verwendet werden. Sie ist nach zwölf Monaten zu löschen. In den Fällen der Absätze 5 und 6 erfolgt die Benachrichtigung durch die dort genannten Behörden in entsprechender Anwendung der für diese Behörden geltenden Vorschriften. Enthalten diese keine Bestimmungen zu Benachrichtigungspflichten, sind die Vorschriften der Strafprozessordnung entsprechend anzuwenden.

(5) Das Bundesamt kann die nach Absatz 3 verwendeten personenbezogenen Daten an die Strafverfolgungsbehörden zur Verfolgung einer mittels eines Schadprogramms begangenen Straftat nach den §§ 202a, 202b, 303a oder 303b des Strafgesetzbuches übermitteln. Es kann diese Daten ferner übermitteln

1.
zur Abwehr einer Gefahr für die öffentliche Sicherheit, die unmittelbar von einem Schadprogramm ausgeht, an die Polizeien des Bundes und der Länder,
2.
zur Unterrichtung über Tatsachen, die sicherheitsgefährdende oder geheimdienstliche Tätigkeiten für eine fremde Macht erkennen lassen, an das Bundesamt für Verfassungsschutz sowie an den Militärischen Abschirmdienst, wenn sich diese Tätigkeiten gegen Personen, Dienststellen oder Einrichtungen im Geschäftsbereich des Bundesministeriums der Verteidigung richten,
3.
zur Unterrichtung über Tatsachen, die einen internationalen kriminellen, terroristischen oder staatlichen Angriff mittels Schadprogrammen oder vergleichbaren schädlich wirkenden informationstechnischen Mitteln auf die Vertraulichkeit, Integrität oder Verfügbarkeit von IT-Systemen in Fällen von erheblicher Bedeutung mit Bezug zur Bundesrepublik Deutschland erkennen lassen, an den Bundesnachrichtendienst.

(6) Für sonstige Zwecke kann das Bundesamt die Daten übermitteln

1.
an die Strafverfolgungsbehörden zur Verfolgung einer Straftat von auch im Einzelfall erheblicher Bedeutung, insbesondere einer in § 100a Absatz 2 der Strafprozessordnung bezeichneten Straftat,
2.
an die Polizeien des Bundes und der Länder zur Abwehr einer Gefahr für den Bestand oder die Sicherheit des Staates oder Leib, Leben oder Freiheit einer Person oder Sachen von bedeutendem Wert, deren Erhalt im öffentlichen Interesse geboten ist,
3.
an die Verfassungsschutzbehörden des Bundes und der Länder sowie an den Militärischen Abschirmdienst, wenn tatsächliche Anhaltspunkte für Bestrebungen in der Bundesrepublik Deutschland vorliegen, die durch Anwendung von Gewalt oder darauf gerichtete Vorbereitungshandlungen gegen die in § 3 Absatz 1 des Bundesverfassungsschutzgesetzes beziehungsweise § 1 Absatz 1 des MAD-Gesetzes genannten Schutzgüter gerichtet sind,
4.
an den Bundesnachrichtendienst, wenn tatsächliche Anhaltspunkte für den Verdacht bestehen, dass jemand Straftaten nach § 3 Absatz 1 Nummer 8 des Artikel 10-Gesetzes plant, begeht oder begangen hat und dies von außen- und sicherheitspolitischer Bedeutung für die Bundesrepublik Deutschland ist.
Die Übermittlung nach Satz 1 Nummer 1 und 2 bedarf der vorherigen gerichtlichen Zustimmung. Für das Verfahren nach Satz 1 Nummer 1 und 2 gelten die Vorschriften des Gesetzes über das Verfahren in Familiensachen und in den Angelegenheiten der freiwilligen Gerichtsbarkeit entsprechend. Zuständig ist das Amtsgericht, in dessen Bezirk das Bundesamt seinen Sitz hat. Die Übermittlung nach Satz 1 Nummer 3 und Nummer 4 erfolgt nach Zustimmung des Bundesministeriums des Innern, für Bau und Heimat; die §§ 9 bis 16 des Artikel 10-Gesetzes gelten entsprechend.

(7) Eine über die vorstehenden Absätze hinausgehende inhaltliche Auswertung zu anderen Zwecken und die Weitergabe von personenbezogenen Daten an Dritte sind unzulässig. Soweit möglich, ist technisch sicherzustellen, dass Daten, die den Kernbereich privater Lebensgestaltung betreffen, nicht erhoben werden. Werden aufgrund der Maßnahmen der Absätze 1 bis 3 Erkenntnisse aus dem Kernbereich privater Lebensgestaltung oder Daten im Sinne des Artikels 9 Absatz 1 der Verordnung (EU) 2016/679 erlangt, dürfen diese nicht verwendet werden. Erkenntnisse aus dem Kernbereich privater Lebensgestaltung sind unverzüglich zu löschen. Dies gilt auch in Zweifelsfällen. Die Tatsache ihrer Erlangung und Löschung ist zu dokumentieren. Die Dokumentation darf ausschließlich für Zwecke der Datenschutzkontrolle verwendet werden. Sie ist zu löschen, wenn sie für diese Zwecke nicht mehr erforderlich ist, spätestens jedoch am Ende des Kalenderjahres, das dem Jahr der Dokumentation folgt. Werden im Rahmen der Absätze 4 oder 5 Inhalte oder Umstände der Kommunikation von in § 53 Absatz 1 Satz 1 der Strafprozessordnung genannten Personen übermittelt, auf die sich das Zeugnisverweigerungsrecht der genannten Personen erstreckt, ist die Verwertung dieser Daten zu Beweiszwecken in einem Strafverfahren nur insoweit zulässig, als Gegenstand dieses Strafverfahrens eine Straftat ist, die im Höchstmaß mit mindestens fünf Jahren Freiheitsstrafe bedroht ist.

(8) Vor Aufnahme der Datenerhebung und -verwendung hat das Bundesamt ein Datenerhebungs- und -verwendungskonzept zu erstellen und für Kontrollen durch den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit bereitzuhalten. Das Konzept hat dem besonderen Schutzbedürfnis der Regierungskommunikation Rechnung zu tragen. Die für die automatisierte Auswertung verwendeten Kriterien sind zu dokumentieren. Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit teilt das Ergebnis seiner Kontrollen nach § 16 des Bundesdatenschutzgesetzes auch dem Rat der IT-Beauftragten der Bundesregierung mit.

(9) Das Bundesamt unterrichtet den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit kalenderjährlich jeweils bis zum 30. Juni des dem Berichtsjahr folgenden Jahres über

1.
die Anzahl der Vorgänge, in denen Daten nach Absatz 5 Satz 1, Absatz 5 Satz 2 Nummer 1 oder Absatz 6 Nummer 1 übermittelt wurden, aufgegliedert nach den einzelnen Übermittlungsbefugnissen,
2.
die Anzahl der personenbezogenen Auswertungen nach Absatz 3 Satz 1, in denen der Verdacht widerlegt wurde,
3.
die Anzahl der Fälle, in denen das Bundesamt nach Absatz 4 Satz 2 oder 3 von einer Benachrichtigung der Betroffenen abgesehen hat.

(10) Das Bundesamt unterrichtet kalenderjährlich jeweils bis zum 30. Juni des dem Berichtsjahr folgenden Jahres den Innenausschuss des Deutschen Bundestages über die Anwendung dieser Vorschrift.

(1) Wird das Eigentum in anderer Weise als durch Entziehung oder Vorenthaltung des Besitzes beeinträchtigt, so kann der Eigentümer von dem Störer die Beseitigung der Beeinträchtigung verlangen. Sind weitere Beeinträchtigungen zu besorgen, so kann der Eigentümer auf Unterlassung klagen.

(2) Der Anspruch ist ausgeschlossen, wenn der Eigentümer zur Duldung verpflichtet ist.

(1) Wer vorsätzlich oder fahrlässig das Leben, den Körper, die Gesundheit, die Freiheit, das Eigentum oder ein sonstiges Recht eines anderen widerrechtlich verletzt, ist dem anderen zum Ersatz des daraus entstehenden Schadens verpflichtet.

(2) Die gleiche Verpflichtung trifft denjenigen, welcher gegen ein den Schutz eines anderen bezweckendes Gesetz verstößt. Ist nach dem Inhalt des Gesetzes ein Verstoß gegen dieses auch ohne Verschulden möglich, so tritt die Ersatzpflicht nur im Falle des Verschuldens ein.

Die Verarbeitung personenbezogener Daten durch eine öffentliche Stelle ist zulässig, wenn sie zur Erfüllung der in der Zuständigkeit des Verantwortlichen liegenden Aufgabe oder in Ausübung öffentlicher Gewalt, die dem Verantwortlichen übertragen wurde, erforderlich ist.

(1) Dieses Gesetz gilt für alle elektronischen Informations- und Kommunikationsdienste, soweit sie nicht Telekommunikationsdienste nach § 3 Nummer 61 des Telekommunikationsgesetzes, telekommunikationsgestützte Dienste nach § 3 Nummer 63 des Telekommunikationsgesetzes oder Rundfunk nach § 2 des Rundfunkstaatsvertrages sind (Telemedien). Dieses Gesetz gilt für alle Anbieter einschließlich der öffentlichen Stellen unabhängig davon, ob für die Nutzung ein Entgelt erhoben wird.

(2) Dieses Gesetz gilt nicht für den Bereich der Besteuerung.

(3) Das Telekommunikationsgesetz und die Pressegesetze bleiben unberührt.

(4) Die an die Inhalte von Telemedien zu richtenden besonderen Anforderungen ergeben sich aus dem Staatsvertrag für Rundfunk und Telemedien (Rundfunkstaatsvertrag).

(5) Dieses Gesetz trifft weder Regelungen im Bereich des internationalen Privatrechts noch regelt es die Zuständigkeit der Gerichte.

(6) Die besonderen Bestimmungen dieses Gesetzes für audiovisuelle Mediendienste gelten nicht für Dienste, die

1.
ausschließlich zum Empfang in Drittstaaten bestimmt sind und
2.
weder unmittelbar noch mittelbar von der Allgemeinheit mit handelsüblichen Verbraucherendgeräten in einem Mitgliedstaat empfangen werden.

Im Sinne dieses Gesetzes

1.
ist Diensteanbieter jede natürliche oder juristische Person, die eigene oder fremde Telemedien zur Nutzung bereithält oder den Zugang zur Nutzung vermittelt,
2.
ist niedergelassener Diensteanbieter jeder Anbieter, der mittels einer festen Einrichtung auf unbestimmte Zeit Telemedien geschäftsmäßig anbietet oder erbringt; der Standort der technischen Einrichtung allein begründet keine Niederlassung des Anbieters,
2a.
ist drahtloses lokales Netzwerk ein Drahtloszugangssystem mit geringer Leistung und geringer Reichweite sowie mit geringem Störungsrisiko für weitere, von anderen Nutzern in unmittelbarer Nähe installierte Systeme dieser Art, welches nicht exklusive Grundfrequenzen nutzt,
3.
ist Nutzer jede natürliche oder juristische Person, die Telemedien nutzt, insbesondere um Informationen zu erlangen oder zugänglich zu machen,
4.
sind Verteildienste Telemedien, die im Wege einer Übertragung von Daten ohne individuelle Anforderung gleichzeitig für eine unbegrenzte Anzahl von Nutzern erbracht werden,
5.
ist kommerzielle Kommunikation jede Form der Kommunikation, die der unmittelbaren oder mittelbaren Förderung des Absatzes von Waren, Dienstleistungen oder des Erscheinungsbilds eines Unternehmens, einer sonstigen Organisation oder einer natürlichen Person dient, die eine Tätigkeit im Handel, Gewerbe oder Handwerk oder einen freien Beruf ausübt; die Übermittlung der folgenden Angaben stellt als solche keine Form der kommerziellen Kommunikation dar:
a)
Angaben, die unmittelbaren Zugang zur Tätigkeit des Unternehmens oder der Organisation oder Person ermöglichen, wie insbesondere ein Domain-Name oder eine Adresse der elektronischen Post,
b)
Angaben in Bezug auf Waren und Dienstleistungen oder das Erscheinungsbild eines Unternehmens, einer Organisation oder Person, die unabhängig und insbesondere ohne finanzielle Gegenleistung gemacht werden; dies umfasst auch solche unabhängig und insbesondere ohne finanzielle Gegenleistung oder sonstige Vorteile von natürlichen Personen gemachten Angaben, die eine unmittelbare Verbindung zu einem Nutzerkonto von weiteren natürlichen Personen bei Diensteanbietern ermöglichen,
6.
sind audiovisuelle Mediendienste
a)
audiovisuelle Mediendienste auf Abruf und
b)
die audiovisuelle kommerzielle Kommunikation,
7.
ist audiovisueller Mediendiensteanbieter ein Anbieter von audiovisuellen Mediendiensten,
8.
sind audiovisuelle Mediendienste auf Abruf nichtlineare audiovisuelle Mediendienste, bei denen der Hauptzweck des Dienstes oder eines trennbaren Teils des Dienstes darin besteht, unter der redaktionellen Verantwortung eines audiovisuellen Mediendiensteanbieters der Allgemeinheit Sendungen zur Information, Unterhaltung oder Bildung zum individuellen Abruf zu einem vom Nutzer gewählten Zeitpunkt bereitzustellen,
9.
ist audiovisuelle kommerzielle Kommunikation jede Form der Kommunikation mit Bildern mit oder ohne Ton, die einer Sendung oder einem nutzergenerierten Video gegen Entgelt oder gegen eine ähnliche Gegenleistung oder als Eigenwerbung beigefügt oder darin enthalten ist, wenn die Kommunikation der unmittelbaren oder mittelbaren Förderung des Absatzes von Waren und Dienstleistungen oder der Förderung des Erscheinungsbilds natürlicher oder juristischer Personen, die einer wirtschaftlichen Tätigkeit nachgehen, dient, einschließlich Sponsoring und Produktplatzierung,
10.
sind Videosharingplattform-Dienste
a)
Telemedien, bei denen der Hauptzweck oder eine wesentliche Funktion darin besteht, Sendungen oder nutzergenerierte Videos, für die der Diensteanbieter keine redaktionelle Verantwortung trägt, der Allgemeinheit bereitzustellen, wobei der Diensteanbieter die Organisation der Sendungen und der nutzergenerierten Videos, auch mit automatischen Mitteln, bestimmt,
b)
trennbare Teile von Telemedien, wenn für den trennbaren Teil der in Buchstabe a genannte Hauptzweck vorliegt,
11.
ist Videosharingplattform-Anbieter ein Diensteanbieter, der Videosharingplattform-Dienste betreibt,
12.
ist redaktionelle Verantwortung die Ausübung einer wirksamen Kontrolle hinsichtlich der Zusammenstellung der Sendungen und ihrer Bereitstellung mittels eines Katalogs,
13.
ist Sendung eine Abfolge von bewegten Bildern mit oder ohne Ton, die unabhängig von ihrer Länge Einzelbestandteil eines von einem Diensteanbieter erstellten Sendeplans oder Katalogs ist,
14.
ist nutzergeneriertes Video eine von einem Nutzer erstellte Abfolge von bewegten Bildern mit oder ohne Ton, die unabhängig von ihrer Länge einen Einzelbestandteil darstellt und die von diesem oder einem anderen Nutzer auf einen Videosharingplattform-Dienst hochgeladen wird,
15.
ist Mitgliedstaat jeder Mitgliedstaat der Europäischen Union und jeder andere Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum, für den die Richtlinie 2010/13/EU des Europäischen Parlaments und des Rates vom 10. März 2010 zur Koordinierung bestimmter Rechts- und Verwaltungsvorschriften der Mitgliedstaaten über die Bereitstellung audiovisueller Mediendienste (Richtlinie über audiovisuelle Mediendienste) (ABl. L 95 vom 15.4.2010, S. 1; L 263 vom 6.10.2010, S. 15), die durch die Richtlinie (EU) 2018/1808 (ABl. L 303 vom 28.11.2018, S. 69) geändert worden ist, gilt,
16.
ist Drittstaat jeder Staat, der nicht Mitgliedstaat ist,
17.
ist Mutterunternehmen ein Unternehmen, das ein oder mehrere Tochterunternehmen kontrolliert,
18.
ist Tochterunternehmen ein Unternehmen, das unmittelbar oder mittelbar von einem Mutterunternehmen kontrolliert wird,
19.
ist Gruppe die Gesamtheit von Mutterunternehmen, allen seinen Tochterunternehmen und allen anderen mit dem Mutterunternehmen und seinen Tochterunternehmen wirtschaftlich und rechtlich verbundenen Unternehmen.
Einer juristischen Person steht eine Personengesellschaft gleich, die mit der Fähigkeit ausgestattet ist, Rechte zu erwerben und Verbindlichkeiten einzugehen.

(1) Ordnungswidrig handelt, wer absichtlich entgegen § 6 Abs. 2 Satz 1 den Absender oder den kommerziellen Charakter der Nachricht verschleiert oder verheimlicht.

(2) Ordnungswidrig handelt, wer vorsätzlich oder fahrlässig

1.
entgegen § 2c Absatz 1 eine Auskunft nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig erteilt,
2.
entgegen § 5 Abs. 1 eine Information nicht, nicht richtig oder nicht vollständig verfügbar hält oder
3.
entgegen § 10a Absatz 1 oder § 10b Satz 1 ein dort genanntes Verfahren nicht, nicht richtig oder nicht vollständig vorhält.

(3) Die Ordnungswidrigkeit kann mit einer Geldbuße bis zu fünfzigtausend Euro geahndet werden.

Die Verarbeitung personenbezogener Daten durch eine öffentliche Stelle ist zulässig, wenn sie zur Erfüllung der in der Zuständigkeit des Verantwortlichen liegenden Aufgabe oder in Ausübung öffentlicher Gewalt, die dem Verantwortlichen übertragen wurde, erforderlich ist.

(1) Ordnungswidrig handelt, wer absichtlich entgegen § 6 Abs. 2 Satz 1 den Absender oder den kommerziellen Charakter der Nachricht verschleiert oder verheimlicht.

(2) Ordnungswidrig handelt, wer vorsätzlich oder fahrlässig

1.
entgegen § 2c Absatz 1 eine Auskunft nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig erteilt,
2.
entgegen § 5 Abs. 1 eine Information nicht, nicht richtig oder nicht vollständig verfügbar hält oder
3.
entgegen § 10a Absatz 1 oder § 10b Satz 1 ein dort genanntes Verfahren nicht, nicht richtig oder nicht vollständig vorhält.

(3) Die Ordnungswidrigkeit kann mit einer Geldbuße bis zu fünfzigtausend Euro geahndet werden.

Die Verarbeitung personenbezogener Daten durch eine öffentliche Stelle ist zulässig, wenn sie zur Erfüllung der in der Zuständigkeit des Verantwortlichen liegenden Aufgabe oder in Ausübung öffentlicher Gewalt, die dem Verantwortlichen übertragen wurde, erforderlich ist.

(1) Ordnungswidrig handelt, wer absichtlich entgegen § 6 Abs. 2 Satz 1 den Absender oder den kommerziellen Charakter der Nachricht verschleiert oder verheimlicht.

(2) Ordnungswidrig handelt, wer vorsätzlich oder fahrlässig

1.
entgegen § 2c Absatz 1 eine Auskunft nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig erteilt,
2.
entgegen § 5 Abs. 1 eine Information nicht, nicht richtig oder nicht vollständig verfügbar hält oder
3.
entgegen § 10a Absatz 1 oder § 10b Satz 1 ein dort genanntes Verfahren nicht, nicht richtig oder nicht vollständig vorhält.

(3) Die Ordnungswidrigkeit kann mit einer Geldbuße bis zu fünfzigtausend Euro geahndet werden.

(1) Natürliche oder juristische Personen mit Wohnsitz beziehungsweise Sitz in der Bundesrepublik Deutschland, die Orbitpositionen und Frequenzen durch Satelliten nutzen, unterliegen den Verpflichtungen, die sich aus der Konstitution und Konvention der Internationalen Fernmeldeunion ergeben.

(2) Jede Ausübung deutscher Orbit- und Frequenznutzungsrechte bedarf neben der Frequenzzuteilung nach § 91 Absatz 1 der Übertragung durch die Bundesnetzagentur. Die Bundesnetzagentur führt auf Antrag Anmeldung, Koordinierung und Notifizierung von Satellitensystemen bei der Internationalen Fernmeldeunion durch und überträgt dem Antragsteller die daraus hervorgegangenen Orbit- und Frequenznutzungsrechte. Voraussetzung für die Übertragung der Orbit- und Frequenznutzungsrechte ist, dass

1.
Frequenzen und Orbitpositionen verfügbar sind,
2.
die Verträglichkeit mit anderen Frequenznutzungen sowie anderen Anmeldungen von Satellitensystemen gegeben ist und
3.
öffentliche Interessen nicht beeinträchtigt werden.

(3) Für vorhandene deutsche Planeinträge und sonstige ungenutzte Orbit- und Frequenznutzungsrechte bei der Internationalen Fernmeldeunion kann ein Vergabeverfahren aufgrund der von der Bundesnetzagentur festzulegenden Bedingungen durchgeführt werden.

(4) Die Übertragung kann widerrufen werden, wenn

1.
die Orbit- und Frequenznutzungsrechte länger als ein Jahr nicht ausgeübt wurden oder
2.
die Voraussetzungen des Absatzes 2 Satz 3 nicht mehr erfüllt sind.

(1) Der Anbieter öffentlich zugänglicher Telekommunikationsdienste, bei dem die Rufnummer für Premium-Dienste, Kurzwahl-Sprachdienste oder Auskunftsdienste eingerichtet ist, hat jede zeitabhängig abgerechnete Verbindung zu dieser Rufnummer nach 60 Minuten zu trennen. Dies gilt auch, wenn zu einer Rufnummer für Premium-Dienste oder für Kurzwahl-Sprachdienste weitervermittelt wurde.

(2) Von der Verpflichtung nach Absatz 1 kann abgewichen werden, wenn sich der Endnutzer vor der Inanspruchnahme der Dienstleistung gegenüber dem Anbieter durch ein geeignetes Verfahren legitimiert. Die Einzelheiten regelt die Bundesnetzagentur. Sie kann durch Allgemeinverfügung die Einzelheiten der zulässigen Verfahren zur Verbindungstrennung festlegen.