≡ Sitemap
Der Bayerische Landesbeauftragte für den Datenschutz (BayLfD)

Sie sind hier: > Start > Tätigkeitsberichte > 22. TB 2006 > 20. Medien und Telekommunikation

Der Bayerische Landesbeauftragte für den Datenschutz; Stand: 1.2.2007

20. Medien und Telekommunikation

20.1. Richtlinie über die Nutzung von Internet und E-Mail in der bayerischen Staatsverwaltung

Internet und E-Mail gehören inzwischen zu den unverzichtbaren Arbeitsmitteln in der täglichen Verwaltungspraxis. Sie fördern insbesondere eine effiziente interne und externe Kommunikation sowie eine breite und beschleunigte Informationsbeschaffung. Ohne diese elektronischen Informations- und Kommunikationsdienste könnten heute zahlreiche Aufgaben der Staatsverwaltung nicht mehr sach- und termingerecht erledigt werden. Die Nutzung von Internet und E-Mail am Arbeitsplatz führt allerdings nicht nur zur Erleichterung der täglichen Arbeit, sondern auch zu neuen Problemen im Verhältnis Mitarbeiter und Dienststelle. Diese (arbeits-)tägliche Problematik bildet nach wie vor einen Schwerpunkt meiner Beratungstätigkeit. Ich weise darauf hin, dass ich hierzu bereits in Nr. 21.1 meines 21. Tätigkeitsberichtes 2004 aus datenschutzrechtlicher Sicht umfangreiche Hinweise gegeben habe.

Im Berichtszeitraum hat die Zentrale IuK-Leitstelle im Staatsministerium des Innern die "Richtlinie über die Nutzung von Internet und E-Mail in der bayerischen Staatsverwaltung" (BayITR-05) erlassen und im Behördennetz bekannt gemacht (unter http://www.bybn.de/RBIS/IUK/IUK-RICHTLINIEN/ (externer Link) bayitr-05.pdf nur aus dem bayerischen Behördennetz aufrufbar). Ziel dieser Richtlinie ist es, einheitliche, ressortübergreifende Rahmenbedingungen für den Einsatz des Internet zur Abfrage von Web-Diensten sowie zur Nutzung von E-Mail-Diensten am Arbeitsplatz in der Staatsverwaltung festzulegen. Im wesentlichen regelt die Richtlinie die allgemeinen Voraussetzungen, unter denen die entscheidungsbefugten Stellen die Privatnutzung gestatten dürfen.

Im Rahmen meiner Beteiligung im Erlassverfahren konnte ich zahlreiche Verbesserungen in datenschutzrechtlicher Hinsicht erreichen. Im Einzelnen sieht die Richtlinie insbesondere Folgendes vor:

Der dienstlich bereitgestellte Internetzugang darf zur Nutzung von Angeboten im World-Wide-Web (WWW-Dienst) sowie zum Senden und Empfangen von E-Mails (E-Mail-Dienst) grundsätzlich nur für dienstliche Zwecke verwendet werden (Nr. 3 Abs. 1 der Richtlinie).

Allerdings können gem. Nr. 3 Abs. 2 der Richtlinie die obersten Dienstbehörden oder die von ihnen ermächtigten Behörden die Nutzung des WWW-Dienstes auch für private Zwecke erlauben, sofern sie diese von der Einhaltung nachfolgender Nutzungsbedingungen abhängig machen:

  • Die Beschäftigten, die den Internetzugang privat nutzen wollen, haben eine eigenhändig unterzeichnete Einwilligungserklärung gemäß dem der Richtlinie beigefügten Muster abzugeben; diese ist zum Personalakt zu nehmen. Mit Unterzeichnung dieser Erklärung erteilt der Bedienstete - jederzeit widerruflich - sein Einverständnis mit der Protokollierung auch seiner privaten Internetzugriffe zur Durchführung einer stichprobenartigen oder missbrauchsverdachtsabhängigen Kontrolle seiner Netzaktivitäten.
  • Die Privatnutzung ist auf einen geringfügigen Umfang zu beschränken. Hiervon umfasst ist auch die Speicherung privater Daten und Downloads, sofern nicht die Sicherheit der IT-Systeme gefährdet ist.
  • Die Privatnutzung darf nicht zur Verfolgung gewerblicher oder geschäftsmäßiger Interessen erfolgen; die Privatnutzung für Rechtsgeschäfte des täglichen Lebens kann zugelassen werden.
  • Die Privatnutzung darf nicht zu Zwecken erfolgen, die die Interessen oder das Ansehen einer Behörde oder des Freistaates Bayern in der Öffentlichkeit oder die Sicherheit des Behördennetzes beeinträchtigen können. Insbesondere haben der Abruf kostenpflichtiger Internetseiten, das Abrufen, Verbreiten oder Speichern von Inhalten, die gegen persönlichkeitsrechtliche, datenschutzrechtliche, lizenz- und urheberrechtliche oder strafrechtliche Bestimmungen verstoßen, das Abrufen, Verbreiten oder Speichern von beleidigenden, verleumderischen, verfassungsfeindlichen, rassistischen, sexistischen, gewaltverherrlichenden oder pornografischen Äußerungen oder Abbildungen sowie Aktivitäten, die sich gegen die Sicherheit von IT-Systemen richten (z.B. Angriffe auf externe Webserver), zu unterbleiben.

    In diesem Zusammenhang habe ich bereits im Ressortanhörungsverfahren meine Zweifel zum Ausdruck gebracht, inwieweit mit dem bloßen Abruf von für den Privatnutzer kostenpflichtigen, den übrigen Nutzungsbedingungen aber entsprechenden Internetseiten Zwecke verfolgt werden sollten, die die Interessen oder das Ansehen einer Behörde oder des Freistaates Bayern in der Öffentlichkeit beeinträchtigen könnten. Aus personaldatenschutzrechtlicher Sicht besteht hier vielmehr die Gefahr, dass eine wörtliche Anwendung dieser Verbotsbestimmung mit dem Sinn und Zweck der Richtlinie nicht mehr in Einklang zu bringen ist. So stellt beispielsweise das Herunterladen eines kostenpflichtigen, privat interessierenden und privat bezahlten, wissenschaftlichen Artikels von www.spiegel.de (externer Link) vom Wortlaut her einen Verstoß gegen dieses Nutzungsverbot dar, der aber sicherlich nicht dem Sinn und Zweck der Richtlinie widerspricht.

Die Privatnutzung darf ferner nur gestattet werden, solange und soweit die uneingeschränkte Verfügbarkeit der betroffenen IT-Systeme für dienstliche Zwecke vorrangig gewährleistet bleibt und keine haushaltsrechtlichen Belange entgegenstehen (Nr. 3 Abs. 3 der Richtlinie).

Wird die Privatnutzung des Internet erlaubt, so stellt dies eine freiwillige Leistung des Dienstherrn dar. Aus der Gestattung der Privatnutzung kann kein Rechtsanspruch der Beschäftigten hergeleitet werden. Die Gestattung der Privatnutzung kann jederzeit durch einseitige Erklärung widerrufen werden. (Nr. 3 Abs. 4 der Richtlinie)

Für die Nutzung des dienstlich bereitgestellten E-Mail-Dienstes zu privaten Zwecken gelten diese Bestimmungen entsprechend. Generell unzulässig sind die Verwendung des intern genutzten Anmeldenamens (Benutzerkennung) und Anmeldepasswortes im Internet und der dienstlichen E-Mail-Adresse in öffentlichen Chat-Räumen und ähnlichen öffentlichen Meinungsforen. Es ist sicherzustellen, dass die Interessen oder das Ansehen einer Behörde oder des Freistaats Bayern in der Öffentlichkeit oder die Sicherheit des Behördennetzes durch die Privatnutzung nicht beeinträchtigt werden. Die Privatnutzung von E-Mail-Diensten über private Webmail-Angebote ist im Rahmen der erlaubten Privatnutzung der Web-Dienste möglich. (Nr. 3 Abs. 5 der Richtlinie)

Das zunächst im Richtlinienentwurf vorgesehene ausnahmslose Verbot der Privatnutzung der dienstlichen E-Mail-Adresse wurde erfreulicherweise auch aufgrund meiner Kritik fallengelassen. Ein solches Verbot ist nämlich aus datenschutzrechtlicher Sicht problematisch: So kann beispielsweise der Bedienstete mangels Einflussmöglichkeit nicht verhindern, dass ihm ein Dritter - anlasslos und/oder sogar ohne sein Einverständnis - eine private E-Mail an seine dienstliche - zudem meist leicht erschließbare ! -
E-Mail-Adresse sendet. Mit Eingang der E-Mail liegt aber bereits eine Nutzung der dienstlichen E-Mail-Adresse zu privaten Zwecken vor. Abgesehen davon würde ein solches Nutzungsverbot auch nicht für den Dritten gelten. Somit unterliegen beim Bediensteten eingehende private E-Mails in jedem Fall dem in §§ 88 ff. TKG normierten Fernmeldegeheimnis - über das der Bedienstete auch nicht verfügen kann. Eingehende E-Mails können damit letztlich von der Behörde nicht überprüft werden.

Weiter können nach Nr. 4 Abs. 1 Satz 1 der Richtlinie zur Überwachung der Einhaltung der Nutzungsregelungen zu dienstlichen und privaten Zwecken unter Beachtung des Verhältnismäßigkeitsprinzips sowie der personalvertretungs- und datenschutzrechtlichen Vorschriften und Vereinbarungen Missbrauchskontrollen (Stichproben- und Verdachtskontrollen) durchgeführt werden.

(Rahmen-)Regelungen über die Protokollierung der Internetzugriffe enthielt der Richtlinienentwurf allerdings zunächst nicht. Damit war insbesondere unklar, welche Daten protokolliert werden sollen, wie lange die protokollierten Daten gespeichert werden sollen und wer Zugriff auf diese gespeicherten Daten hat; hierauf habe ich auch im Ressortanhörungsverfahren hingewiesen. In diesem Zusammenhang habe ich zudem darauf aufmerksam gemacht, dass die Protokollierung der Internetzugriffe an der zentralen Firewall des Behördennetzes beim Landesamt für Statistik und Datenverarbeitung vom Staatsministerium des Innern mit Schreiben vom 22. Februar 2001 datenschutzrechtlich freigegeben wurde (im Behördennetz abrufbar unter http://www.stmi.bybn.de/datenschutz/Internetfreigabe-Landesamt.pdf (externer Link)). Aufgrund meiner Anregung erfolgte schließlich sowohl in Nr. 4 Abs. 1 Satz 2 der Richtlinie als auch in der Muster-Einwilligungserklärung ein ausdrücklicher Hinweis auf die Bestimmungen dieser Freigabe.

Die Behörden, die die Privatnutzung erlauben, tragen gem. Nr. 4 Abs. 2 der Richtlinie die Verantwortung für die Einhaltung der Regelungen der Richtlinie; die persönliche Verantwortlichkeit der Beschäftigten bleibt hiervon allerdings unberührt. Werden Vorkommnisse bekannt, die geeignet sind, die Interessen oder das Ansehen des Freistaats Bayern zu beeinträchtigen, so hat die verantwortliche Stelle umgehend geeignete Maßnahmen zur Aufklärung der Vorkommnisse zu ergreifen und erforderlichenfalls unverzüglich für Abhilfe zu sorgen (Nr. 4 Abs. 3 der Richtlinie).

Im Rahmen der Ressortanhörung habe ich zuletzt darauf aufmerksam gemacht, dass in jedem Falle - gleich ob Privatnutzung erlaubt wird oder nicht - die Durchführung von Protokollierungsmaßnahmen nach Art. 75 a Abs. 1 Nr. 1 BayPVG zwingend der Mitbestimmung des Personalrats unterliegt. Aus datenschutzrechtlicher Sicht ist hierzu der Abschluss einer Dienstvereinbarung gem. Art. 73 Abs. 1 Satz 1 BayPVG empfehlenswert, in der die Fragen der Protokollierung, Auswertung und Durchführung von Kontrollen eindeutig geregelt werden. Erfreulicherweise wird aufgrund meiner Anregung nunmehr in Nr. 4 Absatz 4 der Richtlinie ausdrücklich auf diesen personalvertretungsrechtlichen Aspekt hingewiesen.

In diesem Zusammenhang darf ich nochmals darauf hinweisen, dass ich auf meiner Homepage umfangreiche Hinweise zur privaten Internet- und E-Mail-Nutzung eingestellt habe.

20.2. Kein Auskunftsanspruch gegen Internet-Provider

Das Bundesministerium der Justiz hat am 6. Januar 2006 den Referentenentwurf eines "Gesetzes zur Verbesserung der Durchsetzung von Rechten des geistigen Eigentums" vorgelegt, der in Umsetzung der "Richtlinie 2004/48/EG des Europäischen Parlaments und des Rates vom 29. April 2004 zur Durchsetzung der Rechte des geistigen Eigentums" (IPR-Enforcement-Richtlinie) stärkere Instrumente zum Schutz des Urheberrechts und anderer gewerblicher Schutzrechte in das nationale Recht einführen soll. Der Gesetzentwurf gesteht den Rechteinhabern in bestimmten Fällen Auskunftsansprüche auch gegenüber unbeteiligten Dritten zu, die selbst keine Urheberrechtsverletzungen begangen haben. So sollen etwa Internet-Provider auch über - durch das Fernmeldegeheimnis gem. Art. 10 GG geschützte - Daten ihrer Nutzerinnen und Nutzer zur Auskunft verpflichtet werden. Damit sollen beispielsweise Anbieter und Nutzer illegal kopierter Musik- oder Videodateien oder Software leichter ermittelt werden können.

Gegen die Einräumung derartiger Auskunftsansprüche gegenüber unbeteiligten Dritten hat sich die 71. Konferenz der Datenschutzbeauftragten des Bundes und der Länder vom 16./17. März 2006 in Magdeburg mit der einstimmig gefassten Entschließung "Keine Aushöhlung des Fernmeldegeheimnisses im Urheberrecht" (siehe Anlage Nr. 16) gewandt. Nach Auffassung der Datenschutzkonferenz lassen die europarechtlichen Vorgaben den Mitgliedstaaten zugunsten des Datenschutzes so viel Spielraum, dass Eingriffe in das Fernmeldegeheimnis vermieden werden können. Nachdem das grundrechtlich geschützte Fernmeldegeheimnis in den letzten Jahren immer stärker und in immer kürzeren Abständen für Zwecke der Strafverfolgung und der Geheimdienste eingeschränkt wurde, soll es nun auch erstmals zugunsten privater wirtschaftlicher Interessen nicht unerheblich weiter eingeschränkt werden. Die Datenschutzkonferenz befürchtet, dass damit ähnliche Begehrlichkeiten weiterer privater Interessengruppen geweckt werden. Sie appelliert deshalb an den Gesetzgeber, auf eine weitere Einschränkung des Fernmeldegeheimnisses - erstmals zur Durchsetzung privater wirtschaftlicher Interessen - zu verzichten. Es wäre völlig unakzeptabel, wenn Daten, deren zwangsweise Speicherung mit der Abwehr terroristischer Gefahren begründet wurde, nun auf breiter Basis für die Verfolgung von Urheberrechtsverletzungen genutzt würden.

IPR-Enforcement-Richtlinie

Die Mitgliedstaaten müssen zwar nach Art. 8 Abs. 1 lit. c) der IPR-Enforcement-Richtlinie sicher stellen, dass die Gerichte unter bestimmten Voraussetzungen die Erteilung von Auskünften u.a. durch Personen anordnen können, die nachweislich für rechtsverletzende Tätigkeiten genutzte Dienstleistungen in gewerblichem Ausmaß erbringen.

Weder Art. 8 noch eine andere Vorschrift der IPR-Enforcement-Richtlinie schreibt jedoch den Mitgliedstaaten zwingend vor, zur Erfüllung dieses Auskunftsanspruches Verkehrsdaten heranzuziehen und damit einen Eingriff in das Fernmeldegeheimnis vorzusehen. Das deutsche Umsetzungsgesetz muss daher keinen auf die Übermittlung von Verkehrsdaten abzielenden Auskunftsanspruch gegen Internet-Provider vorsehen, weshalb auch ein Verzicht auf diesen Auskunftsanspruch keinen Verstoß gegen die IPR-Enforcement-Richtlinie darstellt. Dies ist auch nicht weiter überraschend, da es nie Sinn und Zweck der IPR-Enforcement-Richtlinie war, internetspezifische Probleme zu lösen; sie hat vielmehr, wie aus der Begründung des Kommissionsentwurfs hervorgeht, alle Formen von Produktpiraterie im Auge (so auch Spindler/Dorschel, Vereinbarkeit der geplanten Auskunftsansprüche gegen Internet-Provider mit EU-Recht, CR 2006, 341, 346/7).

Im Gegenteil dürfte der im Referentenentwurf eines "Gesetzes zur Verbesserung der Durchsetzung von Rechten des geistigen Eigentums" enthaltene Auskunftsanspruch gegen Internet-Provider sogar selbst europarechtswidrig sein. Nach Art. 15 Abs. 1 der "Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation" (TK-Datenschutzrichtlinie) ist nämlich eine Verarbeitung von Verkehrsdaten über die in Art. 6 dieser Richtlinie normierten Erlaubnistatbestände hinaus nur zulässig, soweit diese "für die nationale Sicherheit, (d.h. die Sicherheit des Staates), die Landesverteidigung, die öffentliche Sicherheit sowie die Verhütung, Ermittlung, Feststellung und Verfolgung von Straftaten oder des unzulässigen Gebrauchs von elektronischen Kommunikationssystemen in einer demokratischen Gesellschaft notwendig, angemessen und verhältnismäßig ist." Die Erfüllung von Auskunftspflichten im Interesse privater Dritter, die nicht etwa auf die Verfolgung strafbarer, sprich vorsätzlicher Schutzrechtsverletzungen beschränkt ist, dürfte diesen Anforderungen schwerlich genügen (so auch Spindler/Dorschel, Vereinbarkeit der geplanten Auskunftsansprüche gegen Internet-Provider mit EU-Recht, CR 2006, 341, 346 m.w.N.). Dabei stellt Art. 8 Abs. 3 lit. e) der IPR-Enforcement-Richlinie ausdrücklich klar, dass die Auskunftstatbestände der IPR-Enforcement-Richtlinie die Verpflichtungen nach der TK-Datenschutzrichtlinie nicht zu relativieren vermögen.

Abgesehen von dieser europa- und verfassungsrechtlichen Problematik ist auch zu bedenken, dass der beabsichtigte Auskunftsanspruch gegen Internet-Provider aus praktischen Gründen ins Leere führt.

De lege lata sind nämlich die beim Provider gespeicherten Verkehrsdaten gem. § 96 Abs. 2 Satz 2 TKG nach Beendigung der Verbindung grundsätzlich unverzüglich zu löschen; die gespeicherten Verkehrsdaten dürfen gem. § 96 Abs. 2 Satz 1 TKG nur in den dort enumerativ aufgeführten, eng begrenzten Ausnahmefällen über das Ende der Verbindung hinaus verwendet werden. Bedeutsamster Ausnahmefall ist dabei die in § 97 TKG normierte Entgeltermittlung und Entgeltabrechnung, wozu die entsprechenden Verkehrsdaten gem. § 97 Abs. 3 Satz 3 TKG höchstens sechs Monate nach Versendung der Rechnung gespeichert werden dürfen.

Zu beachten ist in diesem Zusammenhang aber, dass die Internet-Provider nach einer aktuellen Entscheidung des für die T-Online AG zuständigen und somit insoweit deutschlandweit maßgeblichen Landgerichts Darmstadt (Urteil vom 25. Januar 2006, Az.: 25 S 118/05, MMR 2006, 330, 331, bestätigt durch Entscheidung des BGH vom 26. Oktober 2006, Az.: III ZR 40/06) bei einem Flatrate-Tarif verpflichtet sind, die dem Kunden jeweils zugeordnete dynamische IP-Adresse unmittelbar nach dem Ende der jeweiligen Verbindung zu löschen. Das Landgericht Darmstadt hat insoweit ausgeführt, dass insbesondere eine Speicherung nach § 97 Abs. 2 TKG nicht in Betracht kommt, da die IP-Adresse weder für die Entgeltermittlung noch für die Entgeltabrechnung erforderlich ist.

Berücksichtigt man nun vor dem Hintergrund dieser Rechtslage, dass Flatrate-Tarife wie geschaffen zum Download der für Musik oder Filme benötigten großen Datenvolumina sind, die Preise für Flatrates seit kurzer Zeit aber rapide fallen - es werden sogar bereits kostenlose Flatrates angeboten -, so spricht vieles dafür, dass der beabsichtigte Auskunftsanspruch gegen Internet-Provider schon im Zeitpunkt seiner Verkündung im Bundesgesetzblatt wertlos ist. Darin waren sich auch die Urheberrechts- und Informationstechnologieexperten auf der Tagung "Auskunftsanspruch gegen Internetprovider" am 7. April 2006 im Institut für Urheber- und Medienrecht in München einig.

Für den - in Zukunft zunehmend unwahrscheinlichen - Fall, dass beim Internet-Provider zum Zeitpunkt der Erhebung eines Auskunftsanspruchs überhaupt noch Verkehrsdaten gespeichert sind, möchte ich darauf hinweisen, dass der Drittauskunftsanspruch nach der Begründung des Referentenentwurfs (Seite 78) nicht nur voraussetzt, dass die Mitwirkungshandlungen des Dritten ein gewerbliches Ausmaß erreicht haben; vielmehr muss auch die Rechtsverletzung selbst in gewerblichem Ausmaß begangen worden sein, also in einem Ausmaß, das den üblichen Konsum überschreitet. Hiervon geht auch Erwägungsgrund 14 der IPR-Enforcement-Richtlinie aus.

Nach der Lebenserfahrung ist nun davon auszugehen, dass ein Rechteverletzer, der in so definiertem gewerblichem Ausmaß illegale Downloads vornimmt, mit den technischen Möglichkeiten des Internet besonders vertraut ist. Dem Rechteverletzer wird es daher unschwer möglich sein, durch informationstechnische Maßnahmen wie beispielsweise durch die Nutzung verteilter (Anonymisierungs-)Systeme, bei denen mehrere Provider hintereinander geschaltet sind, die Verwirklichung des Auskunftsanspruchs über die Höchstspeicherungsdauer des § 97 Abs. 2 Satz 3 TKG von sechs Monaten hinauszuzögern und damit letztlich ganz zu verhindern.

Vorratsspeicherungs-Richtlinie

Die Frage, ob die Internet-Provider auch über Vorratsdaten Auskunft erteilen müssen, wird in dem Referentenentwurf nicht geregelt. Darüber kann erst mit dem Gesetz zur Umsetzung der "Richtlinie 2006/24/EG des Europäischen Parlaments und des Rates vom 15. März 2006 über die Vorratsspeicherung von Daten, die bei der Bereitstellung öffentlich zugänglicher elektronischer Kommunikationsdienste oder öffentlicher Kommunikationsnetze erzeugt oder verarbeitet werden, und zur Änderung der Richtlinie 2002/58/EG" (Vorratsspeicherungs-Richtlinie) entschieden werden. Erfreulicherweise hat Deutschland bereits gem. Art. 15 Abs. 3 der Vorratsspeicherungs-Richtlinie erklärt, die Anwendung dieser Richtlinie auf die Speicherung von Kommunikationsdaten betreffend Internetzugang, Internet-Telefonie und Internet-E-Mail bis zum 15. März 2009 aufzuschieben.

Nach Art. 1 Abs. 1 der Vorratsspeicherungs-Richtlinie sollen mit dieser Richtlinie die Vorschriften der Mitgliedstaaten über die Vorratsspeicherung "harmonisiert werden, um sicherzustellen, dass die Daten zum Zwecke der Ermittlung, Feststellung und Verfolgung von schweren Straftaten, wie sie von jedem Mitgliedstaat in seinem nationalen Recht bestimmt werden, zur Verfügung stehen". Erwägungsgrund 9 Satz 3 der Vorratsspeicherungs-Richtlinie bezeichnet als schwere Fälle ausdrücklich "organisierte Kriminalität und Terrorismus".

In seiner Sitzung vom 16. Februar 2006 hat der Deutsche Bundestag den Antrag der Koalitionsfraktionen vom 7. Februar 2006 "Speicherung mit Augenmaß - Effektive Strafverfolgung und Grundrechtswahrung" (BT-Drs. 16/545) angenommen und damit in Abschnitt II. Nr. 2 a) die Bundesregierung aufgefordert, "hinsichtlich der Speicherungsdauer und der erfassten Datenarten keine über die Mindestanforderungen der Richtlinie hinausgehenden Pflichten" zu regeln. Dies, insbesondere die im Folgenden getroffene Festlegung auf die Mindestspeicherungsfrist von sechs Monaten, begrüße ich aus datenschutzrechtlicher Sicht ausdrücklich. Obwohl der Antrag in Abschnitt I. mehrmals darauf abstellt, dass die Vorratsspeicherung zur Bekämpfung des internationalen Terrorismus und der organisierten Kriminalität als Ermittlungsinstrument unverzichtbar sei, soll nach Abschnitt II Nr. 2 a) die Datenabfrage zu Zwecken der Strafverfolgung nicht auf die Ermittlung, Aufdeckung und Verfolgung erheblicher Straftaten beschränkt, sondern auch auf bloß "mittels Telekommunikation begangene Straftaten" erstreckt werden.

Diese Ausweitung der Datenabfrage ist nicht nur datenschutzrechtlich problematisch, sondern steht auch in dieser Allgemeinheit zu der in Art. 1 Abs. 1 der Vorratsspeicherungs-Richtlinie europarechtlich vorgeschriebenen Beschränkung auf schwere Straftaten in Widerspruch. Der Deutsche Bundestag kann sich dabei auch nicht auf eine im Rahmen der 2709. Tagung des Rates der Europäischen Union (Justiz und Inneres) am 21. Februar 2006 in Brüssel gefasste Erklärung des Rates zu Art. 1 der Vorratsspeicherungs-Richtlinie stützen. Nach dem genauen Wortlaut dieser Erklärung haben nämlich lediglich "bei der Definition des Begriffs "schwere Straftat" im einzelstaatlichen Recht ... die Mitgliedstaaten ... Straftaten unter Einsatz von Telekommunikationseinrichtungen angemessen zu berücksichtigen." Der Rat selbst stellt damit nicht in Frage, dass die mittels Telekommunikation begangenen Straftaten selbstverständlich die Qualität schwerer Straftaten erreichen müssen.

Bezogen auf die Problematik des Auskunftsanspruchs gegen Internet-Provider darf ich überdies darauf hinweisen, dass gem. Art. 4 der Vorratsspeicherungs-Richtlinie die Mitgliedstaaten sicherstellen müssen, dass die gemäß dieser Richtlinie auf Vorrat gespeicherten Daten nur an die für die Strafverfolgung zuständigen nationalen Behörden weitergegeben werden; ebenso wie andere staatliche Stellen dürfen auch private Dritte keinen Zugang zu den Daten erhalten.

In diesem Zusammenhang darf ich auch auf die Stellungnahme der Datenschutzbeauftragten der EU-Mitgliedstaaten (Artikel 29-Gruppe) zur Vorratsspeicherungs-Richtlinie vom 25. März 2006 hinweisen (im Internet abrufbar unter http://ec.europa.eu (externer Link)).

Im Übrigen wäre auch eine - europarechtswidrige - Erstreckung der Datenabfrage zur Strafverfolgung nicht schwerer, aber mittels Telekommunikation begangener Straftaten - selbst bei Ausschöpfung der von der Vorratsspeicherungs-Richtlinie vorgegebenen Höchstspeicherfrist von zwei Jahren - aus tatsächlichen Gründen nicht geeignet, dem hier in Rede stehenden Auskunftsanspruch gegen Internet-Provider zur Wirkung zu verhelfen.

Wie beispielsweise Prof. Dr. Hannes Federrath vom Lehrstuhl Management der Informationssicherheit der Universität Regensburg auf der Tagung "Auskunftsanspruch gegen Internetprovider" vom 7. April 2006 im Institut für Urheber- und Medienrecht in München eindrucksvoll dargelegt hat, kann die Verwirklichung des Auskunftsanspruchs durch die Nutzung verteilter Systeme, bei denen mehrere Provider hintereinander geschaltet sind, über die nach der Vorratsdatenspeicherungs-Richtlinie vorgesehene Maximalspeicherdauer von zwei Jahren unschwer hinausgezögert werden. Auch in diesem Falle würde also der Auskunftsanspruch ins Leere laufen.

Vor diesem Hintergrund hoffe ich, dass der Gesetzgeber im Zuge der Umsetzung sowohl der IPR-Enforcement-Richtlinie als auch der Vorratsspeicherungs-Richtlinie den aufgezeigten datenschutzrechtlichen Aspekten die notwendige Bedeutung beimisst. Dafür werde ich mich auch weiterhin persönlich einsetzen.

20.3. Datenschutzkonforme Befreiung von der Rundfunkgebührenpflicht

Nach den Bestimmungen des Rundfunkgebührenstaatsvertrages werden u.a. die Empfänger bestimmter Sozialleistungen - insbesondere von Sozialhilfe, Grundsicherung, Sozialgeld und Arbeitslosengeld II - auf Antrag von der Rundfunkgebührenpflicht befreit. In Bayern war der Antrag bisher dezentral bei der jeweiligen Heimatgemeinde zu stellen, so dass der Antragsteller die für die Befreiung erforderlichen Nachweise nach Übernahme der relevanten Daten sofort wieder an sich nehmen konnte.

Mit dem In-Kraft-Treten des Achten Rundfunkänderungsstaatsvertrages im Jahr 2005 wurde auch das Verfahren zur Befreiung von der Rundfunkgebührenpflicht geändert: Nach dem neuen § 6 Abs. 2 Rundfunkgebührenstaatsvertrag (RGebStV) hat nun der Antragsteller die Voraussetzungen für die Befreiung von der Rundfunkgebührenpflicht durch Vorlage des - vollständigen - Sozialleistungsbescheides im Original oder in beglaubigter Kopie zentral bei der GEZ nachzuweisen.

Dies halte ich für datenschutzrechtlich äußerst problematisch. Aufgrund des Zwangs zur Vorlage des vollständigen Sozialleistungsbescheids muss der Betroffene in erheblichem Umfang sensible Sozialdaten offenbaren, die zum überwiegenden Teil für die Entscheidung über die Befreiung von der Rundfunkgebührenpflicht nicht erforderlich sind (z.B. umfangreiche Daten über die Einkommens-, Vermögens- und Wohnsituation des Antragstellers und nicht selten auch seiner Familienangehörigen). So verfügt die GEZ inzwischen über die umfangreichste - und zudem ständig aktualisierte - Sammlung von Sozialleistungsbescheiden in Deutschland.

Unmittelbar nach dem In-Kraft-Treten des Achten Rundfunkänderungsstaatsvertrags haben meine Kollegen und ich zusammen mit den Datenschutzbeauftragten der Rundfunkanstalten nach Wegen zur Beseitigung dieses datenschutzrechtlich unbefriedigenden Zustands gesucht. Da die Sozialleistungsbehörden auf der Basis der derzeitigen Rechtslage - aber auch aus Kostengründen - bisher nicht bereit sind, das Vorliegen der Befreiungsvoraussetzungen auf einem Formblatt schriftlich zu bestätigen, kann ein den Grundsätzen der Erforderlichkeit und Datensparsamkeit entsprechendes datenschutzfreundliches Befreiungsverfahren nur durch eine erneute Änderung des Rundfunkgebührenstaatsvertrages eingeführt werden. Um diesbezüglich einheitliche Vorschläge in die politische Diskussion einbringen zu können, wurde aus Vertretern der Rundfunkreferenten der Länder, der Rundfunkdatenschutzbeauftragten und der Landesdatenschutzbeauftragten eine gemeinsame Arbeitsgruppe gebildet.

Nach intensiven Vorarbeiten im Kreis der Landesdatenschutzbeauftragten konnte in dieser Arbeitsgruppe eine Einigung erreicht werden: Dem Sozialleistungsempfänger soll künftig durch eine entsprechende Änderung des § 6 Abs. 2 RGebStV eine Wahlmöglichkeit eingeräumt werden. Der Antragsteller soll die Voraussetzungen für die Befreiung von der Rundfunkgebührenpflicht entweder durch Vorlage (lediglich) einer Bestätigung des Sozialleistungsträgers über die Gewährung und die Dauer der Sozialleistung (im Original) oder durch Vorlage des Sozialleistungsbescheides (im Original oder in beglaubigter Kopie) nachweisen. Es ist geplant, die Änderung in den 10. Rundfunkänderungsstaatsvertrag aufzunehmen.

Die Rundfunkanstalten und die GEZ haben sich bereit erklärt, im Vorgriff auf diese staatsvertragliche Regelung entsprechende Bestätigungen anzuerkennen. Es ist aber darauf hinzuweisen, dass eine Verpflichtung aller Sozialleistungsbehörden zur Ausstellung dieser Bestätigungen aus kompetenziellen Gründen im Rundfunkgebührenstaatsvertrag nicht begründet werden kann. Als Vorsitzender der Rundfunkkommission hat deshalb der Ministerpräsident des Landes Rheinland-Pfalz - auch im Namen der Rundfunk- und der Landesdatenschutzbeauftragten - bei der Bundesagentur für Arbeit und bei den betroffenen kommunalen Spitzenverbänden für die Bestätigungslösung geworben. Erfreulicherweise haben sich in Bayern bereits der Bayerische Rundfunk und die GEZ auf der einen Seite und die bayerischen kommunalen Spitzenverbände (Gemeindetag, Landkreistag, Städtetag) auf der anderen Seite unter Vermittlung der Bayerischen Staatskanzlei auf diese datenschutzgerechte Lösung verständigt. Schließlich möchte ich nicht unerwähnt lassen, dass die GEZ derzeit intensiv an der Konzeption eines datenschutzfreundlichen Online-Verfahrens arbeitet, das den betroffenen Sozialleistungsbehörden zur weiteren Verfahrensvereinfachung die elektronische Übermittlung der Bestätigungen ermöglichen soll.

20.4. Übermittlung von Grundsteuerdaten an die GEZ

Im Berichtszeitraum haben mich mehrere Kommunen zu der Frage um Stellungnahme gebeten, ob es datenschutzrechtlich zulässig ist, Beauftragten der GEZ auf Anfrage Adressdaten von Zweitwohnungseigentümern aus der kommunalen Grundsteuerdatei bekannt zu geben. Hintergrund der Fragestellung ist offensichtlich, dass einerseits Zweitwohnungseigentümer nicht immer melderechtlich erfasst sind und die gem. Art. 31 MeldeG grundsätzlich zulässige Übermittlung von Meldedaten an die GEZ somit ins Leere läuft, andererseits Zweitwohnungseigentümer aber durchaus rundfunkgebührenpflichtig sein können.

Grundlegend ist festzustellen, dass die GEZ im Auftrag der Landesrundfunkanstalten tätig ist. Der Rundfunkgebührenstaatsvertrag enthält allerdings keine Bestimmung, die eine Offenbarung der dem in § 30 AO verankerten Steuergeheimnis unterliegenden Grundsteuerdaten ermöglicht. Insoweit kommt daher nur § 31 Abs. 3 AO in Betracht.

Nach § 31 Abs. 3 AO sind die für die Verwaltung der Grundsteuer zuständigen Behörden berechtigt, die nach § 30 AO geschützten Namen und Anschriften von Grundstückseigentümern, die bei der Verwaltung der Grundsteuer bekannt geworden sind, zur Verwaltung anderer Abgaben sowie zur Erfüllung sonstiger öffentlicher Aufgaben zu verwenden oder den hierfür zuständigen Gerichten, Behörden oder juristischen Personen des öffentlichen Rechts auf Ersuchen mitzuteilen, soweit nicht überwiegende schutzwürdige Interessen des Betroffenen entgegenstehen.

Das von mir diesbezüglich um Stellungnahme gebetene Staatsministerium der Finanzen hat eine Datenübermittlung an die GEZ aufgrund der Vorschrift des § 31 Abs. 3 AO grundsätzlich für zulässig erachtet. Es hat jedoch ausdrücklich meiner Auffassung zugestimmt, dass § 31 Abs. 3 AO die Datenübermittlung in das Ermessen der Kommune stellt und damit keine Verpflichtung zu einer Übermittlung besteht. Schließlich hat das Staatsministerium den in der genannten Vorschrift normierten Verhältnismäßigkeitsgrundsatz als gewahrt angesehen, wenn seitens der Kommune sichergestellt wird, dass nur Daten von Zweitwohnungseigentümern weitergegeben werden.

Meiner Meinung nach muss die Zulässigkeit einer Übermittlung von Grundsteuerdaten an die GEZ aus datenschutzrechtlicher Sicht allerdings an weitere Voraussetzungen geknüpft werden:

  • So regelt Art. 31 Abs. 1 Satz 3 MeldeG die Zulässigkeit von Gruppenauskünften. Da der Gesetzgeber aber in § 12 a BayMeldeDÜV bereits die Möglichkeit einer regelmäßigen Datenübermittlung an die GEZ vorgesehen hat, ist an die Prüfung von - zusätzlichen - Gruppenauskunftsbegehren der GEZ gem. Art. 31 Abs. 1 Satz 3 MeldeG ein strenger Maßstab anzulegen. Mit dem Staatsministerium des Innern vertrete ich daher die Auffassung, dass die GEZ, soweit eine Datenübermittlung grundsätzlich in Frage kommt, besondere Gesichtspunkte vortragen muss, die über das grundsätzlich bestehende öffentliche Interesse am Rundfunkgebühreneinzug hinausgehen. Dies können beispielsweise von vergleichbaren anderen Gemeindeteilen oder anderen Gemeinden signifikant abweichende statistische Daten über Rundfunkanmeldungen sein (vgl. VGH Baden-Württemberg, Urteil vom 14.11.1994, Az.: 1 S 310/94).
  • Unter dem Gesichtspunkt der Verhältnismäßigkeit ist meiner Auffassung nach auch zu berücksichtigen, dass die Tatsache an die GEZ übermittelt werden soll, dass ein Steuerbürger Eigentümer eines bestimmten Zweitwohnsitzes ist, und zwar ohne dass bereits feststeht, ob der betroffene Steuerbürger in der Zweitwohnung zum einen überhaupt Rundfunkgeräte vorhält und zum anderen diese unzulässigerweise nicht angemeldet hat.

Von der Qualität der Datenübermittlung her geht damit die Bekanntgabe des Merkmals "Zweitwohnungseigentümer" weit über die Bekanntgabe der melderechtlichen Gegebenheiten hinaus. § 31 Abs. 3 AO sieht dementsprechend auch ausdrücklich vor einer Datenübermittlung aus der Grundsteuerdatei die Prüfung der schutzwürdigen Interessen des Betroffenen vor.

Im Ergebnis halte ich eine Datenübermittlung aus der kommunalen Grundsteuerdatei an die GEZ bei Anlegung eines strengen Maßstabes nur dann für zulässig, wenn die GEZ nachvollziehbare Gesichtspunkte darlegt, die die Schlussfolgerung erlauben, dass Zweitwohnungseigentümer - im konkreten Fall einer bestimmten Kommune oder generell - ihrer Meldepflicht nach dem Rundfunkgebührenstaatsvertrag nicht nachgekommen sind. In jedem Einzelfall muss die Kommune zudem überprüfen, ob nicht überwiegende schutzwürdige Interessen der Betroffenen dem Auskunftsersuchen entgegenstehen. Seitens der Kommune muss zudem sichergestellt werden, dass nur die Angaben der Zweitwohnungseigentümer und keinesfalls die Angaben aller Grundsteuerpflichtigen übermittelt werden.

Im Übrigen weise ich nochmals ausdrücklich darauf hin, dass § 31 Abs. 3 AO die Mitteilung an die GEZ lediglich gestattet, aber nicht dazu verpflichtet, die kommunale Finanzbehörde also nach ihrem eigenen Ermessen zu entscheiden hat. In diesem Zusammenhang ist zu beachten, dass die Beauftragten der GEZ - worauf mich einige Kommunen aufmerksam gemacht haben - vor Ort Straßenbegehungen durchführen. Melderechtlich nicht erfasste Zweitwohnungseigentümer können der GEZ also auch auf diesem Weg bekannt werden mit der Folge, dass die GEZ diese Zweitwohnungseigentümer unter der Adresse der Zweitwohnung selbst um Auskunft bitten kann. Dies erscheint zwar ein umständlicher aber dennoch durchaus gangbarer Weg zu sein, die Meldepflicht nach dem Rundfunkgebührenstaatsvertrag zu überprüfen. Jedenfalls sollte die Kommune diese Möglichkeit im Rahmen ihrer Ermessensabwägung im Fall einer von der GEZ erbetenen Auskunft über Zweitwohnungseigentümer aus der kommunalen Grundsteuerdatei berücksichtigen.