≡ Sitemap

Der Bayerische Landesbeauftragte für den Datenschutz; Stand: 12.03.2008

Gestaltung des Internetauftritts

1. Allgemeines

Nahezu alle Stellen der öffentlichen Verwaltung nutzen das Internet als ein wichtiges Medium zur Informations-Präsentation und zur eigenen Darstellung dem Bürger gegenüber. Auf der anderen Seite herrscht bei vielen Behörden Unkenntnis darüber, was sie bei der Gestaltung ihres Internetauftritts aus Sicht des Datenschutzes und der Datensicherheit zu beachten haben. So ist vielen öffentlichen Stellen nicht bekannt, dass bereits die Veröffentlichung von Informationen auf einer Homepage und das Bereitstellen von Angeboten, z.B. in Form von Formularen u.ä., als Telemedien im Sinne des § 1 Abs. 1 Telemediengesetz (TMG) anzusehen sind und sie bezüglich ihres Internetauftritts (Homepage) die Vorschriften des TMG zu beachten haben.

Natürlich sind auch bei der Gestaltung des Internetauftritts die Grundsätze von Datensparsamkeit, Datenvermeidung und - so weit möglich - Anonymität zu beachten und zu bewahren.

Diese Orientierungshilfe soll dazu dienen, die öffentlichen Homepage-Betreiber sowohl mit den gesetzlichen Anforderungen als auch mit den erforderlichen Sicherheitsmaßnahmen vertraut zu machen.

2. Anbieterkennzeichnung

Jeder Diensteanbieter, der geschäftsmäßige, in der Regel gegen Entgelt Telemedien im Sinne des Telemediengesetzes (Waren, Dienstleistungen, Online-Angebote von Nachrichtenmagazine oder Zeitungen etc.) anbietet, muss seine Homepage mit einer Anbieterkennzeichnung (Impressum) gemäß § 5 Abs. 1 TMG ausstatten.

Im Sinne von § 2 Nr. 1 TMG sind "Diensteanbieter" jede

  • natürliche oder juristische Person,
  • die eigene oder fremde Telemedien
  • zur Nutzung bereithält oder
  • den Zugang zur Nutzung vermittelt.

Unter den Begriff "geschäftsmäßig" fallen alle Telemedien, deren Angebote auf einen längeren Zeitraum angelegt sind. Dabei kommt es nicht auf eine Gewinnerzielungsabsicht an. Eine Geschäftsmäßigkeit liegt nicht vor, wenn Inhalte nur einmalig oder kurzfristig angeboten werden.

Durch die Formulierung "in der Regel gegen Entgelt" sollen laut der Gesetzesbegründung vor allem private Homepages und Informationsangebote von Idealvereinen von der Verpflichtung zur Anbieterkennzeichnung ausgenommen werden. Andererseits müssen die angebotenen Telemedien selbst nicht entgeltpflichtig sein, um eine Impressumspflicht zu bewirken. Es ist somit nicht entscheidend, ob ein Homepage-Betreiber mit seinen Web-Seiten tatsächlich wirtschaftliche Zwecke verfolgt oder nicht. Es genügt bereits, dass seine Angebote typischerweise mit einem Entgelt verbunden sind.

Somit kann grundsätzlich davon ausgegangen werden, dass Homepages von öffentlichen und nichtöffentlichen Stellen mit einem entsprechenden Impressum ausgestattet sein müssen.

Die Anbieterkennzeichnung soll für den Nutzer ein Mindestmaß an Transparenz und Information über die natürliche oder juristische Person oder Personengruppe, die ihm beispielsweise ein Telemedium anbietet, sicherstellen. Die Informationen zur Anbieterkennzeichnung müssen an gut wahrnehmbarer Stelle und ohne langes Suchen und jederzeit auffindbar sein. Es darf also nicht der Fall sein, dass ein Besucher der Homepage die Anbieterkennzeichnung erst durch längeres (z. B. über mehrere Bildschirmseiten) so genanntes "Scrollen" (Vorwärtsblättern) findet. Die Anbieterkennzeichnung darf auch nicht in Allgemeinen Geschäftsbedingungen "versteckt" sein. Außerdem muss die Anbieterkennzeichnung z.B. mittels Link von jeder Seite der Homepage aufrufbar sein (so genannte 2-Klick-Regelung). Dieser Link sollte zur Verdeutlichung mit "Anbieterkennzeichnung", "Kontakt" oder "Impressum" bezeichnet sein.

Völlig ungeeignet zum Anzeigen der Anbieterkennzeichnung sind so genannte Pop-up-Fenster (Bildschirmfenster, die sich unaufgefordert und zusätzlich zum Browserfenster öffnen), da das Anzeigen dieser Fenster mittels Browsereinstellung unterbunden werden kann. Das Impressum sollte daher ausschließlich in Textform erstellt werden.

Die verantwortliche Person des Diensteanbieters (in der Regel der Bürgermeister oder Dienststellenleiter) trägt die volle Verantwortung für die Inhalte seiner Homepage. Dies gilt auch für den Fall, dass der Anbieter von Inhalten die technische Abwicklung seines Dienstes einem Dritten überträgt (so genanntes Web-Hosting).

Die Pflicht zur Angabe von Identität und Anschrift dient auch als Anknüpfungspunkt für die Rechtsverfolgung in einem Streitfall. Deshalb muss die Information so vollständig sein, dass sie quasi als ladungsfähige Adresse für einen Rechtsstreit geeignet ist.

Bei öffentlichen Stellen sind auf ihrer Homepage folgende Angaben leicht erkennbar, unmittelbar erreichbar und ständig verfügbar anzubringen:

  • der Name und die Anschrift der Dienststelle
  • der Vor- und Nachname des Verantwortlichen (z.B. der Dienststellenleiter)
  • die vollständige Postanschrift (die alleinige Angabe eines Postfaches genügt nicht) und sonstige Angaben, die eine schnelle elektronische Kontaktaufnahme und unmittelbare Kommunikation mit ihnen ermöglichen, einschließlich der Adresse der elektronischen Post

Juristische Personen (des öffentlichen Rechts) müssen zusätzlich zu Namen und Anschrift, unter der sie niedergelassen sind, die Rechtsform, den Vertretungsberechtigten und, sofern Angaben über das Kapital der Gesellschaft gemacht werden, das Stamm- oder Grundkapital sowie, wenn nicht alle in Geld zu leistenden Einlagen eingezahlt sind, den Gesamtbetrag der ausstehenden Einlagen veröffentlichen.

Bei fehlenden Anbieterkennzeichnungen oder fehlerhaften Angaben zur Anbieteridentität können Bußgelder in Höhe von bis zu 50.000 Euro verhängt werden (§ 16 Abs. 2 Nr. 1, Abs. 3 TMG).

3. Online-Datenschutzerklärung

Gemäß § 13 Abs. 1 Telemediengesetz muss ein Diensteanbieter den Nutzer des Telemediums (z.B. den Besucher der Homepage) zu Beginn des Nutzungsvorganges über Art, Umfang, Ort und Zwecke der Erhebung und Verwendung seiner personenbezogenen Daten in allgemein verständlicher Form unterrichten, sofern eine solche Unterrichtung nicht bereits erfolgt ist. Bei einem automatisierten Verfahren, das eine spätere Identifizierung des Nutzers ermöglicht und eine Erhebung oder Verwendung personenbezogener Daten vorbereitet, ist der Nutzer zu Beginn dieses Verfahrens zu unterrichten. Der Inhalt der Unterrichtung muss für den Nutzer jederzeit abrufbar sein.

Diese Unterrichtungspflicht geschieht mit Hilfe so genannter Online-Datenschutzerklärungen (auch als Online-Datenschutz-Prinzipien bzw. Privacy Policy bezeichnet), in denen eine Behörde oder ein Unternehmen auf ihrer/seiner Homepage umfassende Erklärungen bezüglich ihrer Grundsätze und Verfahrensweisen bei der Erhebung, Speicherung und Verarbeitung von personenbezogenen Daten, die im Zusammenhang mit der Bereitstellung und Nutzung eines Informationsangebotes im Internet auftreten, abgibt.

3.1 Erhebung personenbezogener Daten

Gemäß Art. 15 Abs. 1 des Bayerischen Datenschutzgesetzes (BayDSG) ist die Erhebung, Verarbeitung und Nutzung personenbezogener Daten nur zulässig, wenn dieses Gesetz oder eine andere Rechtsvorschrift sie erlaubt oder anordnet oder der Betroffene eingewilligt hat. Art. 4 Abs. 1 BayDSG wiederum definiert "personenbezogene Daten" als "Einzelangaben über persönliche oder sachliche Verhältnisse bestimmter oder bestimmbarer natürlicher Personen (Betroffene)."

Da gem. Art. 2 Abs. 7 BayDSG bereichsspezifische Datenschutzvorschriften den Vorschriften des BayDSG vorgehen, findet auf Internet-Angebote öffentlicher Stellen in der Regel das Telemediengesetz Anwendung.

So darf gemäß § 14 Abs. TMG ein Diensteanbieter personenbezogene Daten eines Nutzers nur erheben und verwenden, soweit sie für die Begründung, inhaltliche Ausgestaltung oder Änderung eines Vertragsverhältnisses zwischen dem Diensteanbieter und dem Nutzer über die Nutzung von Telemedien erforderlich sind (Bestandsdaten).

Nutzungsdaten darf ein Diensteanbieter gemäß § 15 Abs. 1 TMG nur erheben und verwenden, soweit dies erforderlich ist, um die Inanspruchnahme von Telemedien zu ermöglichen und abzurechnen. Nutzungsdaten sind insbesondere:

  1. Merkmale zur Identifikation des Nutzers,
  2. Angaben über Beginn und Ende sowie des Umfangs der jeweiligen Nutzung und
  3. Angaben über die vom Nutzer in Anspruch genommenen Telemedien.

Die Erhebung personenbezogener Daten im Zusammenhang mit einem Internetauftritt beginnt grundsätzlich dann, wenn der Nutzer ein Web-Angebot aufruft, denn dabei werden die IP-Adresse des vom Nutzer verwendeten Rechners und weitere technische Angaben automatisch an den Anbieter weitergeleitet. Allerdings sollte aufgrund eines Urteils des Amtsgerichts Mitte Berlin vom 06.09.2007 mit Az. 23 S 3/07 gegen das Bundesjustizministerium, wonach das Speichern von IP Adressen grundsätzlich gegen § 15 Telemediengesetz (TMG) verstoße, keinerlei Protokollierung beim Anbieter des Web-Angebots stattfinden.

Auch eine bei einer Einwahl ins Internet über einen Internet-Provider vergebene temporäre IP-Adresse, die zufällig aus einem Pool an freien IP-Adressen ausgewählt und einmalig für die Zeit der Online-Verbindung einem PC zugeordnet wird, besitzt einen Personenbezug, da der Provider natürlich die Vergabe der IP-Nummern für einen begrenzten Zeitraum zum Beispiel zur Kostenabrechnung speichern muss. Damit ist über den Provider auch wieder der temporäre Besitzer dieser IP-Adresse ermittelbar.

Personenbezogene Daten werden auch dann erhoben, wenn z.B. eine Online-Registrierung verlangt bzw. ermöglicht wird, wenn sonstige Formulare online ausgefüllt werden können oder wenn mittels E-Mail mit der Behörde kommuniziert werden kann. Personenbezogene Daten können aber auch ohne Kenntnis des Besuchers einer Web-Site gesammelt werden, wenn z.B. Cookies oder Protokollierungen verwendet werden.

Sammeln Web-Sites nur aggregierte Daten über ihre Besucher, z.B. für Statistiken über Seitenabrufe, oder nur anonymisierte Daten in Form von auf Domain-Ebene reduzierten IP-Adressen, so ist damit keine Speicherung personenbezogener Daten gegeben. Die Veröffentlichung von Online-Datenschutz-Prinzipien ist somit nicht generell nötig, wird jedoch empfohlen, weil damit evtl. vorhandene Bedenken und Befürchtungen der Besucher zerstreut werden können. Ein Beispiel dafür wäre:

Ihr Besuch auf unserer Web-Site wird lediglich als ein anonymer Abruf für Statistikzwecke gespeichert, der keine personenbezogenen Angaben enthält. Die von Ihrem Rechner für den Abruf verwendete und an unseren Web-Server übermittelte IP-Adresse wird nur in einer auf Domain-Ebene verkürzten Form gespeichert, sodass ein Rückschluss auf Sie nicht mehr möglich ist.

3.2 Zeitpunkt und Art der Unterrichtung

Spätestens zu dem Zeitpunkt, wenn der Nutzer zur Angabe persönlicher Daten aufgefordert wird (z.B. Ausfüllen eines Online-Formulars oder Beginn einer Kommunikation mittels E-Mail) oder wenn Dateien mit direktem oder indirektem Personenbezug von seinem Rechner abgerufen werden, die dort schon gespeichert vorliegen (etwa in den bereits erwähnten Cookies), muss der Diensteanbieter den Nutzer unterrichten.

Die Unterrichtung muss vollständig und verständlich sein. Diese Unterrichtung bzw. der Hinweis auf die Unterrichtung ist so anzubringen, dass ein Nutzer sie üblicherweise zur Kenntnis nimmt, wenn er das entsprechende Angebot aufruft.

Die Online-Datenschutzerklärung sollte von jeder Seite des Internetangebotes aus erreichbar sein. Dies kann erreicht werden, in dem sie z.B. in Navigationsleisten oder in Fuß- oder Kopfzeilen jeder Seite durch einen Link über eine typische, aussagekräftige Schaltfläche (z.B. "Online-Datenschutzerklärung", "Online-Datenschutz-Prinzipien" oder "Datenschutz") aufrufbar sind. Außerdem sollten die Online-Datenschutzerklärung vor jeder Eingabe personenbezogener Daten, z.B. in Formularen, angeboten werden oder zumindest aufgerufen werden können. Vor jedem zu setzenden dauerhaften Cookie sollte sie zur Kenntnisnahme systemseitig angeboten werden.

Die Unterrichtung muss nicht bei jeder neuen Nutzung wiederholt werden, da der Diensteanbieter diese ohnehin für den jederzeitigen Abruf bereithalten muss.

Als "Nutzer" wird gemäß § 2 Nr. 3 TMG jede

  • natürliche oder juristische Person bezeichnet,
  • die zu beruflichen oder sonstigen Zwecken
  • Telemedien in Anspruch nimmt, insbesondere um Informationen zu erlangen oder zugänglich zu machen.

3.3 Einwilligungserklärung

Eine Einwilligung des Nutzers in die Erhebung und Verwendung seiner personenbezogenen Daten kann elektronisch erklärt werden (§ 13 Abs. 2 TMG), wenn der Diensteanbieter sicherstellt, dass

  • der Nutzer seine Einwilligung bewusst und eindeutig erteilt hat,
  • die Einwilligung protokolliert wird,
  • der Nutzer den Inhalt der Einwilligung jederzeit abrufen kann und
  • der Nutzer die Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen kann.

Die Protokollierung der Einwilligung soll sicherstellen, dass die Bewusstheit, Integrität und Authentizität der Einwilligung Gewähr leistet sind. Die Einwilligung hat auf der freien Entscheidung des Nutzers zu beruhen. So kann beispielsweise das Akzeptieren eines Cookies durch Drücken der OK-Taste nicht als Einwilligung in diesem Sinne verstanden werden. Bei Einverständniserklärungen sollten demnach, neben den oben genannten Informationen, dem Nutzer die Alternativen "Einverstanden" und "Nicht einverstanden" beispielsweise zum Ankreuzen mit anschließendem Drücken einer Sende-Taste angeboten werden, wobei die Default-Einstellung natürlich nicht auf "Einverstanden", sondern auf "Nicht einverstanden" zu setzen wäre, um die Bewusstheit zu gewährleisten.

Der Verzicht des Nutzers auf seine Unterrichtung, d.h. das Nicht-Lesen bzw. Nicht-Anklicken der Online-Datenschutzerklärung, gilt nicht als Einwilligung. Eine darauf folgende Datenerhebung wäre nicht zulässig.

Zu protokollieren sind insbesondere der Zeitpunkt und der durch die Einwilligung geschaffene Umfang der personenbezogenen Daten, die der Diensteanbieter dadurch zu erheben oder zu verwenden berechtigt ist.

Der Nutzer ist auch vor Erklärung seiner Einwilligung auf sein Recht des jederzeitigen Widerrufs mit Wirkung für die Zukunft hinzuweisen (§ 13 Abs. 3 TMG). Dabei muss so rechtzeitig auf das Widerrufsrecht hingewiesen werden, dass der Nutzer sein Recht auch wahrnehmen kann.

Verstöße gegen diese gesetzlich geforderten Informationspflichten sind als Ordnungswidrigkeiten zu betrachten, die mit einer Geldbuße bis zu 50.000 Euro geahndet werden können.

3.4 Ergreifung technisch-organisatorischer Sicherheitsmaßnahmen

Gemäß § 13 Abs.4 Satz 1 TMG hat der Diensteanbieter durch technische und organisatorische Vorkehrungen sicherzustellen, dass

  1. der Nutzer die Nutzung des Dienstes jederzeit beenden kann,
  2. die anfallenden personenbezogenen Daten über den Ablauf des Zugriffs oder der sonstigen Nutzung unmittelbar nach deren Beendigung gelöscht oder gesperrt werden,
  3. der Nutzer Telemedien gegen Kenntnisnahme Dritter geschützt in Anspruch nehmen kann,
  4. die personenbezogenen Daten über die Nutzung verschiedener Telemedien durch denselben Nutzer getrennt verwendet werden können,
  5. Daten nach § 15 Abs. 2 (Nutzungsdaten) nur für Abrechungszwecke zusammengeführt werden können und
  6. Nutzungsprofile nach § 15 Abs. 3 (für Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien) nicht mit Angaben zur Identifikation des Trägers des Pseudonyms zusammengeführt werden können.

An die Stelle der Löschung nach Nummer 2 tritt eine Sperrung, soweit einer Löschung gesetzliche, satzungsmäßige oder vertragliche Aufbewahrungsfristen entgegenstehen (§ 13 Abs.4 Satz 2 TMG).

Der in der Nummer 3 angesprochene Schutz sensibler personenbezogener Daten (z. B. Gesundheitsdaten) vor einer Kenntnisnahme Dritter kann insbesondere durch eine entsprechende Datenverschlüsselung erfolgen. Ein gängiges und dem derzeitigen Stand der Technik entsprechendes Verfahren ist beispielsweise die Verbindungsverschlüsselung mit dem Protokoll SSL.

Die Gewährleistung der Vertraulichkeit gilt auch für den Zugriff auf die beim Anbieter gespeicherten Daten. Im Rahmen eines Berechtigungskonzeptes muss dieser sicherstellen, dass ausschließlich dazu Berechtigte auf die Daten zugreifen dürfen.

Die Nummer 4 besagt, dass ein Diensteanbieter, der verschiedene, voneinander unabhängige Dienste anbietet, die im Rahmen der Nutzung dieser verschiedenen Dienste angefallenen personenbezogenen Daten eines Nutzers auch voneinander getrennt verarbeiten muss, da eine Zusammenführung dieser Daten die Bildung von Nutzungsprofilen ermöglichen würde. Eine Zusammenführung solcher getrennt angefallener Nutzungsdaten ist gemäß der Nummer 5 ausschließlich für Abrechnungszwecke zulässig.

3.5 Verwendung von Nutzungsprofilen

Da Nutzungsprofile eine große Gefahr für das Recht auf informationelle Selbstbestimmung beinhalten, darf der Diensteanbieter lediglich für Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien Nutzungsprofile bei Verwendung von Pseudonymen erstellen, sofern der Nutzer dem nicht widerspricht (§ 15 Abs. 3 TMG). Der Diensteanbieter hat den Nutzer auf sein Widerspruchsrecht im Rahmen der Unterrichtung nach § 13 Abs. 1 TMG hinzuweisen. Diese Nutzungsprofile dürfen nicht mit Daten über den Träger des Pseudonyms zusammengeführt werden.

3.6 Ermöglichung der anonymen und pseudonymisierten Nutzung

Der Diensteanbieter hat die Nutzung von Telemedien und ihre Bezahlung anonym oder unter Pseudonym zu ermöglichen, soweit dies technisch möglich und zumutbar ist. Der Nutzer ist über diese Möglichkeit zu informieren. (§ 13 Abs. 6 TMG).

Anonymisieren ist gemäß Art. 4 Abs. 8 BayDSG das Verändern personenbezogener Daten derart, dass die Einzelangaben über persönliche oder sachliche Verhältnisse nicht mehr oder nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können.

Pseudonymisieren ist das Ersetzen des Namens und anderer Identifikationsmerkmale durch ein Kennzeichen zu dem Zweck, die Bestimmung des Betroffenen auszuschließen oder wesentlich zu erschweren. Daten, die unter Pseudonym gespeichert werden, sind zwar noch personenbezogen, können aber nur mit Zusatzkenntnissen (insb. über Zuordnungsregeln) den Betroffenen zugeordnet werden. Die Verwendung eines Pseudonyms liegt beispielsweise vor, wenn der Nutzer für den Dienst nicht mit seiner eigenen Identität, sondern mit einem AliasNamen angemeldet war.

Auf Verlangen ist dem Nutzer unentgeltlich und unverzüglich Auskunft über die zu seiner Person oder zu seinem Pseudonym gespeicherten Daten zu erteilen. Die Auskunft kann auf Verlangen des Nutzers auch elektronisch erteilt werden (§ 13 Abs. 7 TMG).

Ein Auskunftsrecht besteht nicht hinsichtlich anonymer Daten, da dies den Zweck der Anonymität unterlaufen würde.

3.7 Inhalt einer Online-Datenschutzerklärung

Eine Online-Datenschutzerklärung sollte insbesondere zu folgenden Aspekten - soweit relevant - Aussagen aufweisen:

  • Art der gespeicherten personenbezogenen Daten, deren Verwendungszweck und Aufbewahrungsdauer
    Beispiel:
    Auf unserem Webserver werden keine IP-Adressen oder andere personenbezogenen Daten protokolliert.
  • Behandlung von E-Mail-Adressen
    Beispiel:
    Wenn Sie uns eine E-Mail senden, so wird Ihre E-Mail-Adresse nur für die Korrespondenz mit Ihnen verwendet. Nach Abschluss der Korrespondenz wird Ihre E-Mail-Adresse gelöscht. Eine anderweitige Nutzung oder Weitergabe an Dritte erfolgt nicht.
  • Sammlung personenbezogener Daten ohne Wissen der Betroffenen (Verwendung von Cookies, Gültigkeitsdauer, Art der erhobenen Daten, Zweck der Datenerhebung, Weitergabe der Daten an Dritte, Zugangsmöglichkeit zur Web-Site ohne Akzeptanz von Cookies)
    Beispiel:
    Wir verwenden keine Cookies.
    oder
    Wir speichern auf Ihrer Festplatte Cookies mit einer Gültigkeitsdauer von ......., die lediglich eine eindeutige Nummer enthalten, die außerhalb unserer Web-Site keine Bedeutung hat. Wir verwenden diese Nummer ausschließlich dazu, Ihnen bei Ihrem nächsten Besuch unserer Web-Site........... Sie haben das Recht und die Möglichkeit, unsere Cookies abzulehnen. Unser Informationsangebot steht Ihnen selbstverständlich auch dann in vollem Umfang zur Verfügung.
    oder
    Wir speichern auf Ihrer Festplatte so genannte Session-Cookies, die nur für die Dauer Ihres Besuches auf unserer Web-Site Gültigkeit besitzen. Diese werden benötigt, um Sie nach erfolgreicher Anmeldung im geschützten Bereich für die gesamte Dauer Ihres Besuches zu identifizieren und autorisieren. Nach Ende Ihres Besuches werden diese Cookies automatisch von Ihrer Festplatte wieder gelöscht.
  • Einbindung eines externen Dienstleisters bei der Realisierung oder beim Betrieb einer Web-Site
    Beispiel:
    Wir sammeln keinerlei personenbezogene Daten über die Besucher unserer Web-Site. Unser Service-Provider speichert von Ihrem Besuch je nach verwendetem Zugriffsprotokoll Datum und Uhrzeit der Anforderung, vom anfordernden Rechner gewünschte Zugriffsmethode/Funktion, vom anfordernden Rechner übermittelte Eingabewerte (Dateiname, ...), Zugriffsstatus des Web-Servers (Datei übertragen, Datei nicht gefunden, Kommando nicht ausgeführt, etc.) sowie Name der angeforderten Datei. Nicht gespeichert wird die IP-Adresse des Rechners, von dem die Anfrage abgeschickt wurde. Der Service-Provider übergibt uns lediglich aggregierte Information über die Anzahl der Besucher bezogen auf den Domänen-Namen.
  • Inhaltliche Korrektheit personenbezogener Daten (Maßnahmen zur Überprüfung und Richtigstellung), soweit solche erhoben und gespeichert werden
    Beispiel:
    Sie haben das Recht, auf Antrag unentgeltlich Auskunft zu erhalten über die über Sie gespeicherten personenbezogenen Daten. Zusätzlich haben Sie das Recht auf Berichtigung unrichtiger Daten, Sperrung und Löschung.
  • Offenlegung und Weitergabe personenbezogener Daten (z.B. nur bei Zustimmung oder aufgrund gesetzlicher Verpflichtung)
    Beispiel:
    Ihre hiermit erhobenen personenbezogenen Daten werden außer aufgrund evtl. gesetzlicher Verpflichtung nicht weitergegeben und für keine anderen Zwecke als die oben genannten verwendet.
  • Angebotene Vorkehrungen zur Wahrung der Sicherheit und Vertraulichkeit von online erhobenen personenbezogenen Daten (z.B. Angebot kryptografischer Verfahren und Protokolle)
    Beispiel:
    Wenn Sie innerhalb dieses Angebotes Seiten und Dateien abrufen und dabei aufgefordert werden, Daten über sich einzugeben, so weisen wir darauf hin, dass diese Datenübertragung über das Internet ungesichert erfolgt und die Daten somit von Unbefugten zur Kenntnis genommen oder auch verfälscht werden können.
    oder
    Wenn Sie innerhalb dieses Angebotes Seiten und Dateien abrufen und dabei aufgefordert werden, Daten über sich einzugeben, so erfolgt die Datenübertragung über das Internet unter Verwendung von SSL verschlüsselt und vor einer Kenntnisnahme durch Unbefugte geschützt.
    oder/und
    Wenn Sie eine E-Mail mit schutzwürdigem Inhalt an uns senden wollen, so empfehlen wir dringend, diese zu verschlüsseln, um eine unbefugte Kenntnisnahme und Verfälschung auf dem Übertragungsweg zu verhindern. Unseren öffentlichen PGP-Schlüssel finden Sie hier.
  • Betrieb eines Forums mit Pseudonymen
    Beispiel:
    Sie können Beiträge in unserem Forum unter einem selbstgewählten Pseudonym verfassen. Dazu ist jedoch zunächst erforderlich, dass Sie sich unter Angabe Ihres Namens und Ihrer E-Mail-Adresse im Forum/Gästebuch registrieren. Die weiteren Angaben sind optional. Die Angabe von Name und E-Mail-Adresse ist erforderlich, um im Falle von strafrechtlich relevanten Beiträgen eine Identifikation zu ermöglichen. Das Pseudonym und die zugehörigen identifizierenden Angaben sind nur dem Administrator bekannt und werden nur für den o.g. Zweck zusammengeführt und gemeinsam verwendet. Im Forum selbst wird nur Ihr Pseudonym angezeigt.
  • Kontaktperson für weiterführende Fragen
    Beispiel:
    Sollten Sie noch Fragen zum Datenschutz haben, so wenden Sie sich bitte an:
    Name: ...
    E-Mail-Adresse: ...
    Telefon: ...
    Telefax: ...

4. Veröffentlichung von personenbezogenen Daten im Internet und Intranet

Im Rahmen der Veröffentlichung von Informationen durch Behörden und öffentliche Einrichtungen auf Web-Servern in Form sog. Homepages werden auch immer mehr personenbezogene und sonstige sensible Daten preisgegeben. Durch Unkenntnis über zulässige Informationsinhalte und durch fehlerhafte oder unzureichende technische und organisatorische Maßnahmen werden auch immer wieder Fälle bekannt, dass auf diese Art unberechtigt schutzwürdige Informationen im Internet und im Intranet allgemein zugänglich gemacht werden und so gegen Datenschutzbestimmungen verstoßen wird.

Es wird daher dringend empfohlen, den behördlichen Datenschutzbeauftragten bereits bei der Zusammenstellung des Informationsangebotes und bei beabsichtigten Erweiterungen zu beteiligen. Bei Zweifeln, ob bestimmte Informationen zur Veröffentlichung auf einem Web-Server geeignet sind, kann sich der behördliche Datenschutzbeauftragte auch an die Geschäftsstelle des Bayerischen Landesbeauftragten für den Datenschutz wenden.

4. 1 Veröffentlichung von Mitarbeiterdaten

4.1.1 Allgemeines

Datenschutzrechtlich unproblematisch sind in diesem Bereich lediglich Sachdarstellungen ohne Personenbezug, wie z.B. Hinweise zu den Aufgaben der Behörde, das Einstellen von Rechtsvorschriften, Angaben zur Erreichbarkeit der Behörde und zu den Öffnungszeiten, sowie das Bereitstellen von Informationsmaterial und Formularen.

Eine Veröffentlichung von personenbezogenen Daten von Behördenbediensteten im Internet ist immer dann zulässig, wenn sie zur ordnungsgemäßen Aufgabenerfüllung der betreffenden Behörde erforderlich ist. Hierunter fällt grundsätzlich auch die Information, welcher Bedienstete der richtige Ansprechpartner für das Anliegen des Bürgers ist. Dies kann jedoch nur für Bedienstete gelten, die Funktionen mit "Außenwirkung" in der Verwaltung wahrnehmen. Dieser Personenkreis muss aufgrund seiner auf die Öffentlichkeit bezogenen Aufgabenstellung daher beispielsweise hinnehmen, dass von ihm Name, Amts- und Dienstbezeichnung, Tätigkeitsbereich und Funktion sowie die dienstliche Anschrift und Telefonnummer veröffentlicht werden.

Eine solche Außenwirkung fehlt i.d.R. jedoch für lediglich innere Dienste, wie z.B. Registratur, Botendienst, zentraler Schreibdienst u.ä. Eine Veröffentlichung der Daten dieses Personenkreises ist nur nach Erteilung einer ausdrücklichen (freiwilligen, informierten und schriftlichen) Einwilligung der Betroffenen zulässig.

Außerdem stellt sich die Frage, ob eine breit gestreute Information über Daten der Sachbearbeiterebene im Internet überhaupt sinnvoll ist; das muss bezweifelt werden:

Die Verbreitung von Daten über das Internet ist eine völlig neue Qualität der Veröffentlichung. Sie erreicht weltweit einen ungleich größeren Personenkreis als jede auflagenbegrenzte schriftliche Veröffentlichung (Beispiel Behördenwegweiser). Zudem schafft die beschriebene Veröffentlichung neue Risiken (kommerzielle Nutzung), die den Beteiligten bewusst sein sollten, da die Einhaltung der Zweckbindung in solchen Verzeichnissen technisch nicht sicherzustellen ist und zudem diese Personendaten mit sonstigen elektronischen Dateien kombiniert werden können (Adress- und Telefonverzeichnisse).

Zu beachten ist, dass eine Veröffentlichung der Privatanschrift, der privaten Telefonnummer, der privaten E-Mail-Adresse, von Fotos und von anderen als den oben aufgeführten personenbezogenen Daten der Bediensteten zum Schutz vor Belästigungen (ohne Einwilligung der Betroffenen) auf jeden Fall unzulässig ist. So sollte in Anbetracht der weltweiten Verbreitung und der damit verbundenen Missbrauchsgefahr auf die Veröffentlichung von Bedienstetenfotos im Internet selbst bei wirksamer Einwilligung der Betroffenen verzichtet werden. Gegen eine Veröffentlichung von Fotos im Intranet - natürlich nur mit Einwilligung des Betroffenen - bestehen indes keine Einwendungen.

Somit sollten auch Personalübersichten und Organisationspläne, die im Internet veröffentlich werden, neben dem Namen der Mitarbeiter mit Außenwirkung nur die Funktion, die dienstliche Kommunikationsanschrift und ggf. den öffentlichen Schlüssel/Zertifikat, nicht jedoch weitere persönliche Daten der Amtsinhaber beinhalten.

In einigen Verwaltungsbereichen können auch Sicherheitsbedenken gegen eine Veröffentlichung der genannten Mitarbeiterdaten sprechen. Außerdem kann in Einzelfällen die schutzwürdige persönliche Situation des Betroffenen (z. B. einer gefährdeten Person) das Interesse der Behörde am Einstellen personenbezogener Daten in das Internet überwiegen (Art. 15 Abs. 5 Satz 1 BayDSG).

Die Betroffenen müssen vor der Bereitstellung ihrer Daten im Internet in geeigneter Form darüber informiert werden.

4.1.2 Freigabepflicht bei der Veröffentlichung von Mitarbeiterdaten im Internet

Der EuGH in Luxemburg hat mit Urteil vom 06.11.2003, Rechtssache C-101/01, entschieden, "dass die Handlung, die darin besteht, auf einer Internetseite auf verschiedene Personen hinzuweisen und diese entweder durch ihren Namen oder auf andere Weise, etwa durch Angabe ihrer Telefonnummer oder durch Informationen über ihr Arbeitsverhältnis oder ihre Freizeitbeschäftigungen, erkennbar zu machen, eine ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten im Sinne von Art. 3 Abs. 1 der EG-Datenschutzrichtlinie darstellt."

Dieses grundlegende Urteil des EuGH hat auch Auswirkungen auf die datenschutzrechtliche Freigabepflicht bei der Veröffentlichung von personenbezogenen Daten im Internet.

Nach Art. 26 BayDSG bedarf ein automatisiertes Verfahren, mit dem personenbezogene Daten verarbeitet werden, vor dem erstmaligen Einsatz der schriftlichen Freigabe durch den behördlichen Datenschutzbeauftragten und anschließend gemäß Art. 27 BayDSG der Aufnahme in das Verfahrensverzeichnis.

Der Gerichtshof hat zur Frage der automatisierten Verarbeitung ausgeführt, dass es zur Wiedergabe von Informationen auf einer Internetseite nach den gegenwärtig angewandten technischen und EDV-Verfahren eines Hochladens dieser Seite auf einen Server sowie der erforderlichen Vorgänge bedarf, um diese Seite den mit dem Internet verbundenen Personen zugänglich zu machen. Dann hat der Gerichtshof wörtlich festgestellt: "Diese Vorgänge erfolgen zumindest teilweise in automatisierter Form".

In dem vom EuGH beschriebenen Umfang bedarf deshalb das Einstellen von personenbezogenen Daten in das Internet - in der Praxis vor allem relevant in Bezug auf Mitarbeiterdaten - durch bayerische öffentliche Stellen der Freigabe durch den behördlichen Datenschutzbeauftragten gem. Art. 26 BayDSG. Dies gilt auch, wenn lediglich einmalig ein fest vorgegebener Datenbestand - als so genannte "starre HTML-Seite" - ins Internet eingestellt wird, da das Gericht insofern keine Unterscheidung macht. Das EuGH-Urteil führt damit zu einer Stärkung der Stellung der betroffenen Bürgerinnen und Bürger und mittelbar auch des behördlichen Datenschutzbeauftragten.

Eine Freigabepflicht besteht allerdings dann nicht, wenn eine Homepage nur solche personenbezogenen Daten enthält, die der "Ersteller" der Web-Site in Vollzug seiner telemedienrechtlichen Pflicht zur Anbieterkennzeichnung aufgenommen hat. Da gem. § 5 TMG lediglich personenbezogene Daten des Diensteanbieters selbst aufzunehmen sind, ist in einer solchen Fallgestaltung keine Gefährdung des Rechtes auf informationelle Selbstbestimmung gegeben, so dass aufgrund einer zweckorientierten Beschränkung des Art. 26 Abs. 1 Satz 1 BayDSG keine Freigabepflicht besteht.

Die Frage der Freigabe wird sich bei Internet-Auftritten öffentlicher Stellen immer häufiger stellen. Im Rahmen des ständigen Ausbaus von eGovernment-Lösungen werden immer häufiger auch personenbezogene Daten der wichtigsten Ansprechpartner für den Bürger (etwa Name, akademische Grade, dienstliche Anschrift, dienstliche Telefon- und Faxnummer, dienstliche E-Mail-Adresse, Aufgabenbereich) in das Internet eingestellt. In diesen Fällen greift somit die Freigabepflicht gem. Art. 26 BayDSG ein.

Im Übrigen ist im Rahmen des Freigabeverfahrens unabhängig davon stets zu prüfen, ob die mit einer Einstellung in das Internet verbundene Verarbeitung von personenbezogenen Daten nach dem materiellen Datenschutzrecht inhaltlich zulässig ist.

4.2 Veröffentlichungen sonstiger personenbezogener Daten im Internet

4.2.1 Veröffentlichung von Sitzungsvorlagen und/oder von amtlichen Niederschriften des über öffentliche Sitzungen Gemeinderats im Internet

4.2.1.1 Veröffentlichung amtlicher Niederschriften

Amtliche Niederschriften sind offizielle Dokumente der Gemeinde mit dem Charakter öffentlicher Urkunden. Veröffentlichungen sind nur durch die Gemeinde, jedenfalls aber nur mit ihrer Zustimmung zulässig. Der Bayerische Landesbeauftragte für den Datenschutz hält die Veröffentlichung der Niederschriften öffentlicher Sitzungen, die nur den Mindestinhalt des Art. 54 Abs. 1 GO enthalten, im gemeindlichen Mitteilungsblatt und die Weitergabe derartiger Niederschriften an die örtliche Presse für zulässig. Nach Auffassung des Innenministeriums ist die Veröffentlichung der amtlichen Niederschrift einer öffentlichen Sitzung des Gemeinderats durch die Gemeinde oder mit ihrer Zustimmung auch im Internet jedenfalls dann zulässig, wenn nur der Mindestinhalt nach Art. 54 Abs. 1 GO darin enthalten ist.

Aus datenschutzrechtlicher Sicht ist allerdings darauf hinzuweisen, dass bei einer Veröffentlichung im Internet weltweit eine automatisierte Auswertung der Niederschriften nach verschiedenen Suchkriterien, die beliebig miteinander verknüpft werden können, möglich ist. Bei einer Einstellung auch nur des Mindestinhalts der Niederschriften nach Art. 54 Abs. 1 GO können Anwesenheitsprofile einzelner Gemeinderatsmitglieder angefertigt werden. Auch die behandelten Sitzungsgegenstände werden häufig personenbezogene Angaben von Antragstellern und Eingabeführern enthalten, die über eine Einstellung der Sitzungsniederschriften in das Internet wesentlich leichter von Dritten weltweit gesammelt und ausgewertet werden können, als bisher mit der Bekanntgabe über ein herkömmliches Medium. Dies zeigt, dass die Veröffentlichung im Internet mit einer neuen Qualitätsstufe des Eingriffs in das Recht auf informationelle Selbstbestimmung verbunden ist.

Bei einer Einspeisung von Daten aus Niederschriften über öffentliche Gemeinderatssitzungen in das Internet bestehen auch Gefahren für die Datensicherheit. Es kann nicht sichergestellt werden, dass jederzeit die vollständigen und unverfälschten Daten auf dem Internet-Server zum Abruf bereitgehalten werden. Es besteht die Gefahr, dass die auf dem Internet-Server gespeicherten Daten verändert, zumindest teilweise unterdrückt oder gelöscht werden. In diesem Zusammenhang können auch haftungsrechtliche Fragen nicht ausgeschlossen werden, die auf eine Gemeinde bei einer amtlichen Veröffentlichung oder einer Veröffentlichung mit Zustimmung zukommen könnten.

Die Gemeinden müssen bei ihrer Entscheidung, ob sie Niederschriften im Internet veröffentlichen, diese Risiken berücksichtigen.

4.2.1.2 Veröffentlichung von Sitzungsvorlagen

Bei einer Veröffentlichung von Sitzungsvorlagen für öffentliche Sitzungen des Gemeinderats im Internet bestehen die gleichen Gefahren wie bei einer Veröffentlichung von Sitzungsniederschriften. Dies sind insbesondere die Möglichkeit einer weltweit automatisierten Auswertung der Veröffentlichung nach verschiedenen Suchkriterien, die beliebig miteinander verknüpft werden können, sowie die internetspezifischen Gefahren für die Datensicherheit.

Sitzungsvorlagen für öffentliche Sitzungen gemeindlicher Gremien sind interne Ausarbeitungen der Verwaltung für den Gemeinderat bzw. den Ausschuss. Soweit sie personenbezogene Daten enthalten kommt aus datenschutzrechtlicher Sicht eine Weitergabe an Dritte (hier weltweit an eine Vielzahl unbestimmter Personen) mangels einer bereichsspezifischen Regelung nur unter den Voraussetzungen des Art. 19 Abs. 1 des Bayerischen Datenschutzgesetzes (BayDSG) in Betracht.

Nach Art. 19 Abs. 1 Nr. 1 BayDSG setzt die Übermittlung personenbezogener Daten an nicht-öffentliche Stellen u. a. voraus, dass sie zur Erfüllung der in der Zuständigkeit der übermittelnden Stelle liegenden Aufgaben erforderlich ist. Sitzungsvorlagen sind wie gesagt Ausarbeitungen der Gemeindeverwaltung, die im Rahmen der Vorbereitung der Beratungsgegenstände durch den ersten Bürgermeister gemäß Art. 46 Abs. 2 Satz 1 GO den Gemeinderatsmitgliedern zur internen Information zur Verfügung gestellt werden. Zur Information der Gemeinderatsmitglieder ist eine Veröffentlichung der Sitzungsvorlagen im Internet nicht erforderlich. Da eine derartige Datenübermittlung somit zur Aufgabenerfüllung der Gemeinde nicht erforderlich ist, scheidet Art. 19 Abs. 1 Nr. 1 BayDSG als Rechtsgrundlage aus.

Nach Art. 19 Abs. 1 Nr. 2 BayDSG ist die Übermittlung personenbezogener Daten an nicht-öffentliche Stellen zulässig, wenn die nicht-öffentliche Stelle ein berechtigtes Interesse an der Kenntnis der zu übermittelnden Daten glaubhaft darlegt und der Betroffene kein schutzwürdiges Interesse an dem Ausschluss der Übermittlung hat. Ein berechtigtes Interesse der Öffentlichkeit an der Kenntnis interner Sitzungsunterlagen mit personenbezogenem Inhalt besteht nicht.

Außerdem müssen die Bürger grundsätzlich darauf vertrauen können, dass mit ihrer Angelegenheit nur die zuständigen Stellen befasst werden und der Vorgang im internen Verhältnis Bürger-Verwaltung-Entscheidungsgremium verbleibt.

Aus datenschutzrechtlicher Sicht ist eine Veröffentlichung von Sitzungsvorlagen im Internet daher nur dann zulässig, wenn diese durch Kürzen, Schwärzen etc. so abgeändert werden, dass sie nur noch Informationen enthalten, die ohne Bedenken der Öffentlichkeit zugänglich gemacht werden dürfen. Da jedoch auch bei einer Veröffentlichung derart "bereinigter" Sitzungsvorlagen Probleme bestehen (siehe nachfolgende Absätze), muss aus datenschutzrechtlicher Sicht generell von einer Veröffentlichung von Sitzungsvorlagen im Internet abgeraten werden.

Das Staatsministerium des Innern, das in der Angelegenheit um Stellungnahme gebeten wurde, teilte dazu aus kommunalrechtlicher Sicht Folgendes mit:

Zunächst weist auch das Innenministerium darauf hin, dass es sich bei den Sitzungsvorlagen grundsätzlich um Ausarbeitungen handelt, die zur internen Information der Gemeinderatsmitglieder bestimmt sind.

Ferner gibt es zu bedenken, dass auch bei den Sitzungsvorlagen für öffentliche Sitzungen geheimhaltungsbedürftige Angelegenheiten im Sinne des Art. 20 Abs. 2 Satz 1 GO enthalten sein können.

Eine Veröffentlichung der Sitzungsvorlagen ist nach Auffassung des Ministeriums daher allenfalls dann zulässig, wenn sowohl der Bürgermeister als auch der Gemeinderat der Veröffentlichung zugestimmt haben und in den Sitzungsvorlagen nur Tatsachen enthalten sind, die entweder offenkundig sind oder ihrer Bedeutung nach keiner Geheimhaltung bedürfen. Die Sitzungsunterlagen müssten daher jeweils individuell auf ihre Veröffentlichungsfähigkeit überprüft werden. Gegebenenfalls müssten sie durch Kürzen und Schwärzen so abgeändert werden, bis sie nur noch die Informationen enthalten, die ohne Bedenken der Öffentlichkeit zugänglich gemacht werden können.

Dies gelte insbesondere für Sitzungsvorlagen, in denen personenbezogene Daten enthalten sind. Der Landesbeauftragte für den Datenschutz führe in seinem 19. Datenschutzbericht (Nr. 8.9) zu Recht aus, dass ein Bürger grundsätzlich darauf vertrauen können muss, dass mit seinem Anliegen nur die zuständigen Stellen befasst werden und sein Schreiben im internen Verhältnis Bürger-Verwaltung-Entscheidungsgremium verbleibt. Es könne nicht ohne weiteres davon ausgegangen werden, dass der Bürger damit einverstanden ist, dass seine Formulierungen im Einzelnen in vollem Umfang der Öffentlichkeit zur Verfügung gestellt werden.

Eine Geheimhaltungsbedürftigkeit könne sich zum Beispiel aber auch daraus ergeben, dass der Gemeinde aus der Veröffentlichung taktischer Überlegungen ein Schaden entstehen könnte (z. B. Kaufpreisüberlegungen).

Aber auch die Veröffentlichung derart ,,bereinigter” Sitzungsvorlagen wirft nach Auffassung des Innenministeriums folgende grundsätzliche Probleme auf:

Die in den vorherigen Absätzen gemachten Ausführungen zeigten, dass es eines hohen Verwaltungsaufwandes bedarf, um sämtliche Sitzungsvorlagen so zu ,,bereinigen”, dass sie der Öffentlichkeit zugänglich gemacht werden können. Dabei steigt auch - je umfangreicher eine Sitzungsvorlage ist - das Risiko, dass geheimhaltungsbedürftige Angelegenheiten aus Versehen veröffentlicht werden.

Um den hohen Verwaltungsaufwand, den eine Veröffentlichung der Sitzungsvorlagen im Internet bedeutet, zu verringern und um das Risiko der Veröffentlichung geheimhaltungsbedürftiger Angelegenheiten zu vermeiden, werden die Sitzungsvorlagen für den Gemeinderat in der Praxis voraussichtlich in Umfang und Inhalt erheblich reduziert werden. Darunter würden aber die Qualität der vorherigen Information der Mitglieder des Gemeinderats sowie deren Möglichkeit, sich auf die jeweiligen Tagesordnungspunkte vorzubereiten, leiden.

Werden die Sitzungsvorlagen vor der Sitzung im Internet veröffentlicht, wird die Diskussion zu den Tagesordnungspunkten in der Öffentlichkeit auch bereits vor der betreffenden Gemeinderatssitzung anhand der Sitzungsvorlagen geführt werden. Dadurch steigt die Gefahr, dass die öffentliche Meinung bereits in hohem Maße durch die Medien detailliert festgelegt wird und eine freie, ungezwungene Beratung und Beschlussfassung im Gemeinderat erheblich erschwert wird.

Bei einer Veröffentlichung im Internet könnten die eingestellten Informationen weltweit abgerufen und elektronisch ausgewertet werden (Erstellung von ,,Profilen”). Darüber hinaus könne nicht sichergestellt werden, dass der Bürger jederzeit auf vollständige und unverfälschte Sitzungsvorlagen zugreifen kann (vgl. insoweit auch Nr. 8.9 des 18. Datenschutzberichts). In diesem Zusammenhang könnten sich für die Gemeinde unter Umständen auch haftungsrechtliche Folgen ergeben.

Auch aus Sicht des Innenministeriums ist eine Veröffentlichung der Sitzungsvorlagen im Internet daher zwar grundsätzlich rechtlich nicht unzulässig, wenn die oben erwähnten Vorgaben beachtet werden, von einer Veröffentlichung rät jedoch auch das Ministerium ab.

4.2.2 Übertragung öffentlicher Gemeinderatssitzungen im Internet

Durch eine Eingabe wurde dem Bayerischen Landesbeauftragten für den Datenschutz bekannt, dass eine Kommune eine öffentliche Sitzung ihres Gemeinderats live im Internet übertrug (siehe dazu auch Punkt 11.2 des 21. Tätigkeitsberichtes). Dazu vertritt der Landesbeauftragte - in Übereinstimmung mit dem Bayer. Staatsministerium des Innern - folgende Auffassung:

Eine Übertragung der Sitzungsbeiträge von Gemeinderatsmitgliedern oder Redebeiträgen von Gemeindebediensteten im Internet ist nur zulässig, wenn diese der Übertragung zugestimmt haben und zwar sowohl was Bild, wie was Ton betrifft.

Die Entscheidung über die Zustimmung muss ohne psychischen Druck auf der Grundlage ausreichender Informationen über die besonderen Modalitäten einer Interneteinstellung und mit ausreichender Überlegungsfrist erfolgen können.

Die Verweigerung der Zustimmung darf nicht in diskriminierender Weise zur Kenntnis gebracht werden.

Der Zuschauerraum darf nicht so in die Übertragung einbezogen werden, dass einzelne Zuschauer erkannt werden können.

Im Einzelnen sind folgende Erwägungen für diese Beurteilung maßgebend:

  1. Soweit ersichtlich haben sich Rechtsprechung und Literatur mangels eines konkreten Anlasses bisher noch nicht zur Zulässigkeit von Liveübertragungen öffentlicher Gemeinderatssitzungen durch Kommunen im Internet geäußert.

    Herangezogen werden können jedoch Rechtsprechung und Literatur zu Film- und Tonbandaufnahmen:

    Zu Tonbandaufzeichnungen durch Pressevertreter oder sonstige Besucher in öffentlichen Sitzungen wird zum Teil die Auffassung vertreten, das einzelne Gemeinderatsmitglied könne das Abschalten des Tonbandgeräts während seines Redebeitrags nicht verlangen, weil es hier nicht als "Privatperson" rede und bei öffentlichen Verhandlungen vor kommunalen Organen gehaltene Reden im Sinn des § 48 Abs. 1 Nr. 2 UrhG auch urheberrechtlich nicht geschützt seien (vgl. Bauer/Böhle/Masson/Samper, Bayerische Gemeindeordnung, Art. 52 Rdnr. 8 mit weiteren Nachweisen). Demgegenüber folgern Widtmann/Grasser, Bayerische Gemeindeordnung, Art. 52 Rdnr. 10, aus dem Urteil des Bundesverwaltungsgerichts vom 03.08.1990 (BayVBl 1991, 89) zu Recht, dass Bild- und Tonaufzeichnungen nicht nur eines Gemeinderatsbeschlusses bedürfen, sondern jedes einzelne ehrenamtliche Gemeinderatsmitglied sich der Aufnahme während seines Redebeitrags widersetzen kann mit der Folge, dass der Vorsitzende die Aufnahme dieses Redebeitrags zu untersagen hat (im Ergebnis ebenso u.a. Wilde/Ehmann/Niese/ Knoblauch, Bayerisches Datenschutzgesetz, Teil C Handbuch, Abschnitt XII Nr. 5 Buchst. b sowie Antwort des StMI auf eine schriftliche Anfrage im Bayerischen Landtag vom 16.04.87/06.05.87, LT-Drs. 11/1697, Stemmer, KommunalPraxis BY 1987, 86 und Keller, KommunalPraxis BY 2000, 412, die außerdem noch die Zustimmung des Vorsitzenden im Gemeinderat, also regelmäßig des ersten Bürgermeisters, fordern). In dem zitierten Urteil hat das Bundesverwaltungsgericht entschieden, dass die Pressefreiheit nicht dadurch verletzt wird, dass ein Ratsvorsitzender in Ausführung eines entsprechenden Ratsbeschlusses einem Journalisten untersagt, die öffentliche Sitzung des Rates auf Tonband aufzuzeichnen. In der Begründung führt das Bundesverwaltungsgericht aus, das Recht des Ratsmitglieds auf freie Rede könne durch die Aufzeichnung auf Tonband faktisch empfindlich tangiert werden. Eine von psychologischen Hemmnissen möglichst unbeeinträchtigte Atmosphäre gehöre zu den notwendigen Voraussetzungen eines geordneten Sitzungsbetriebs, den der Ratsvorsitzende zu gewährleisten habe.

    Zu diesen vom Bundesverwaltungsgericht zu Tonaufnahmen geäußerten Bedenken kommt bei Fernsehaufnahmen noch das Bild dazu. Der Eingriff in das Persönlichkeitsrecht des einzelnen Gemeinderatsmitglieds ist hier noch umfassender und stärker als bei reinen Tonaufnahmen (vgl. Stemmer, a.a.O., S. 88).

  2. Die Direktübertragung von öffentlichen Gemeinderatssitzungen im Internet stellt datenschutzrechtlich eine Übermittlung personenbezogener Daten weltweit an eine Vielzahl unbestimmter Personen dar. Betroffen sind dabei nicht nur die Gemeinderatsmitglieder und sonstige Personen (z.B. Gemeindebedienstete). Betroffen sind auch Bürger, deren Angelegenheiten in einer solchen Gemeinderatssitzung personenbezogen behandelt werden. Schließlich sind auch Zuhörer betroffen, wenn sie auf den im Internet verbreiteten Aufnahmen erkennbar sind oder ein Rückschluss auf ihre Person möglich ist.

    Die Erhebung personenbezogener Daten und ihre Übermittlung über das Internet sind nur zulässig, wenn entweder das Bayerische Datenschutzgesetz (BayDSG) oder eine andere Rechtsvorschrift sie erlaubt oder anordnet oder der Betroffene eingewilligt hat (Art. 15 Abs. 1 Nrn. 1 und 2 BayDSG).

    1. Auf Art. 52 Abs. 2 Satz 1 der Gemeindeordnung (GO) kann eine Übertragung öffentlicher Gemeinderatssitzungen im Internet nicht gestützt werden. Aus dieser Vorschrift ergibt sich zwar, dass Gemeinderatssitzungen grundsätzlich öffentlich abzuhalten sind. Damit wird die Transparenz kommunaler Verwaltungstätigkeit gewährleistet. Öffentlichkeit der Sitzungen bedeutet aber nur, dass jedermann im Rahmen des hierfür zur Verfügung stehenden Platzes in der Reihenfolge des Eintreffens freien Zugang zum Sitzungsraum hat (vgl. Bauer/Böhle/Masson/Samper, a.a.O., Art. 52 Rdnr. 7 sowie Widtmann/Grasser, a.a.O., Art. 52 Rdnr. 8). Die Gemeinderatsmitglieder und sonstige Personen, die an der Sitzung teilnehmen, z.B. Gemeindebedienstete, die zu einem Tagesordnungspunkt berichten, sowie Bürger, deren Angelegenheiten personenbezogen in der Sitzung behandelt werden, müssen es daher nach Art. 52 Abs. 2 Satz 1 GO nur hinnehmen, dass Zuhörer der Sitzung beiwohnen, sich ggf. Notizen machen und anschließend in der Presse berichtet wird. Für einen darüber hinaus gehenden Eingriff in ihr informationelles Selbstbestimmungsrecht dergestalt, dass die Sitzung in Bild und Ton im Internet übertragen wird, stellt Art. 52 Abs. 2 Satz 1 GO keine Rechtsgrundlage dar (so auch Wilde/Ehmann/Niese/Knoblauch, Bayerisches Datenschutzgesetz, Kommentar, Teil C, Handbuch XII.5.c).

      Bei einer Übertragung im Internet ist auch zu berücksichtigen, dass damit eine völlig neue Qualität der Veröffentlichung vorgenommen wird. Die Veröffentlichung im Internet erreicht weltweit einen ungleich größeren Personenkreis als jede auflagenbegrenzte schriftliche Presseveröffentlichung oder die Berichterstattung in einem lokalen Rundfunksender. Bild und Ton können von jedermann abgerufen, aufgezeichnet und ausgewertet werden und die weitere Verwendung dieser Aufnahme ist nicht abzusehen. Bei einer Direktübertragung von öffentlichen Gemeinderatssitzungen im Internet werden außerdem die Betroffenen mit ihrer Mimik und Gestik sowie ihre Redebeiträge im Wortlaut weltweit abrufbar. Dies kann dazu führen, dass sich ehrenamtliche Gemeinderatsmitglieder nicht mehr unbefangen und spontan äußern (vgl. BVerwG a.a.O.). Dadurch aber würde die Funktionsfähigkeit des Gemeinderats beeinträchtigt und der Demokratie insgesamt Schaden zugefügt.

    2. Für die Übertragung von Gemeinderatssitzungen im Internet kann nicht Art. 19 Abs. 1 Nr. 2 BayDSG als Rechtsgrundlage herangezogen werden. Nach dieser Vorschrift ist die Übermittlung personenbezogener Daten an nicht-öffentliche Stellen zulässig, wenn die nicht-öffentliche Stelle ein berechtigtes Interesse an der Kenntnis der zu übermittelnden Daten glaubhaft darlegt und der Betroffene kein schutzwürdiges Interesse an dem Ausschluss der Übermittlung hat. Es ist bereits fraglich, ob Art. 19 Abs. 1 Nr. 2 BayDSG hier neben Art. 52 Abs. 2 GO, der die Öffentlichkeit bzw. Nichtöffentlichkeit der Gemeinderatssitzungen bereichsspezifisch regelt, anwendbar ist (vgl. Wilde/Ehmann/Niese/Knoblauch, a.a.O., Teil C Handbuch, Abschnitt XII Nr. 2 Buchst. b). Ungeachtet dessen sind auch die Voraussetzungen dieser Vorschrift nicht erfüllt, da ein berechtigtes Interesse der Öffentlichkeit an einer weltweiten Übertragung von Gemeinderatssitzungen im Internet nicht besteht und die davon Betroffenen ein schutzwürdiges Interesse haben, dass ihre personenbezogenen Daten nur im gesetzlichen Rahmen des Art. 52 Abs. 2 Satz 1 GO an Dritte übermittelt werden. Sie haben außerdem auch ein schutzwürdiges Interesse daran, dass ihre personenbezogenen Daten nicht ohne ihre Einwilligung in Drittländer übermittelt werden, in denen kein angemessenes Datenschutzniveau gewährleistet ist (Art. 21 Abs. 2 Satz 2 BayDSG).

    3. Bei einer Übertragung öffentlicher Gemeinderatssitzungen im Internet dürfen daher aus datenschutzrechtlicher Sicht nur die Personen in Wort und Bild aufgenommen werden, die vorher in die Übertragung eingewilligt haben (Art. 15 Abs. 1 Nr. 2 BayDSG). Die betroffenen Personen sind darauf hinzuweisen, dass bei einer Übertragung im Internet Bild und Ton weltweit von einem unbegrenzten Kreis von Personen abgerufen, aufgezeichnet, unter Umständen verändert und ausgewertet werden können und die weitere Verwendung dieser Aufnahmen nicht abzusehen ist (Grundsatz der informierten Einwilligung, vgl. Art. 15 Abs. 2 BayDSG). Sie dürfen dabei nicht unter einen Entscheidungsdruck gesetzt werden. Das wäre z.B. der Fall, wenn sie in der Öffentlichkeit im Beisein von Zuhörern und der Presse, mit dem Wunsch nach einer Übertragung der Gemeinderatssitzung im Internet konfrontiert würden. Von einer freiwilligen Einwilligung könnte in einem solchen Fall nicht ausgegangen werden. Es muss den Betroffenen daher eine angemessene Überlegungsfrist für ihre Entscheidung eingeräumt werden. Die Einwilligung muss außerdem jederzeit ohne Angabe von Gründen widerrufen werden können. Dies gilt auch für Bürger, deren Angelegenheiten personenbezogen bzw. personenbeziehbar in öffentlicher Gemeinderatssitzung behandelt und im Internet übertragen werden sollen.

      Im Ergebnis bedeutet dies, dass anstelle eines Gemeindebediensteten, der in die Übertragung im Internet nicht eingewilligt hat, ein anderer Mitarbeiter der Gemeinde oder ggf. der erste Bürgermeister den zu einem Tagesordnungspunkt vorgesehenen Bericht der Verwaltung übernehmen muss. Bürgerangelegenheiten, die dem Datenschutz unterliegen, dürfen ohne Einwilligung des Betroffenen in öffentlicher Gemeinderatssitzung ohnehin nur anonymisiert behandelt werden. Verweigert ein Gemeinderatsmitglied seine Einwilligung in die Übertragung, dürfen seine Redebeiträge weder in Bild noch in Ton übertragen werden. Bei einer Liveübertragung im Internet bedeutet dies, dass, da die entsprechenden Sequenzen aus der Aufnahme nicht herausgeschnitten werden können, diese Zeitabschnitte überbrückt werden müssen. Dabei ist zu vermeiden, dass bei jedem Redebeitrag die Verweigerung des Gemeinderatsmitglieds jedes Mal aufs Neue öffentlich dokumentiert wird. Dies kann sich auf das Gemeinderatsmitglied erheblich belastend auswirken, insbesondere, wenn wie im vorliegenden Fall in der Presse mit Überschriften wie "Kamerascheue Politiker" und "Drei CSUler wollten nicht ins Bild" darüber berichtet wird.

      Man könnte deshalb in Erwägung ziehen, bei der Verweigerung eines Gemeinderatsmitglieds die Zulässigkeit einer Übertragung der Gemeinderatssitzung im Internet insgesamt in Zweifel zu ziehen, weil anderenfalls wegen der zu befürchtenden Drucksituation für das Gemeinderatsmitglied eine freiwillige Entscheidung nicht gewährleistet wäre.

      Andererseits muss aber auch berücksichtigt werden, dass dann unter Umständen ein einziges Gemeinderatsmitglied gegen den erklärten Willen aller anderen Gemeinderatsmitglieder eine Einstellung der öffentlichen Sitzung in das Internet verhindern könnte und der öffentliche Druck auf den Verweigerer mindestens genauso groß wäre. Ich halte eine Internetübertragung angesichts dessen trotzdem für vertretbar, wenn der Weigerung eines Gemeinderatsmitglieds dadurch Rechnung getragen wird, dass seine Redebeiträge in Wort und Bild aus der Übertragung ausgeblendet werden und die Dokumentierung seiner Weigerung durch entsprechende Aufnahmetechniken vermieden wird. Gegebenenfalls ist anstatt einer Liveübertragung eine Aufzeichnung ins Internet einzustellen.

    4. Der Zuhörerbereich ist von einer Übertragung im Internet auszunehmen, da es hier den Umständen nach nicht möglich ist, von den einzelnen Zuhörern eine rechtswirksame Einwilligung einzuholen. Eine entsprechende Frage in den Zuhörerraum vor Beginn der Sitzung würde den Anforderungen an eine Einwilligung im Sinn des Art. 15 Abs. 2 und 3 BayDSG nicht genügen.

  3. Werden von Gemeinderatsmitglieder, die ihre Einwilligung in die Übertragung verweigert haben, zwar keine Bilder gezeigt, jedoch der Wortlaut ihrer Beiträge ausgestrahlt, liegt ebenfalls ein Verstoß gegen datenschutzrechtliche Bestimmungen vor, da diese Beiträge nicht ausgestrahlt werden dürfen.

4.2.3 Elektronische Ratsinformationssysteme

Immer mehr Gemeinden planen die Einführung eines elektronischen Ratsinformationssystems in einem geschützten Bereich auf ihrer Homepage, in dem beispielsweise Sitzungsvorlagen, Sitzungsniederschriften und die Einladungen zu den Sitzungen zum Abruf bereitstehen sollen. Aus datenschutzrechtlicher Sicht vertritt der Bayerische Landesbeauftragte für den Datenschutz dazu folgende Auffassung:

Sitzungsvorlagen der Verwaltung sind interne Ausarbeitungen für den Gemeinderat bzw. die Ausschüsse. Die Vorlagen werden nur insoweit in die öffentliche Sitzung eingeführt, als sie der Bürgermeister mündlich vorträgt. Eine Bereitstellung von Sitzungsunterlagen zum Abruf durch die Gemeinderatsmitglieder kommt daher nur für solche Unterlagen in Betracht, die nicht lediglich als Tischvorlagen für die Dauer der Sitzung zur Verfügung gestellt werden sollen und setzt voraus, dass Dritte weder lesend noch schreibend auf die Unterlagen zugreifen können. Ebenso sind unbefugte Kenntnisnahmen und Zugriffe auf Einladungen zu Sitzungen, die auch die Angaben der Tagesordnungspunkte der nichtöffentlichen Sitzungen erfordern, und auf Sitzungsniederschriften, die nur für die Gemeinderatsmitglieder bestimmt sind, auszuschließen.

Um wirksam ausschließen zu können, dass Dritten ein Zugriff auf dienstliche Unterlagen im häuslichen Computer ermöglicht wird, sollte ein Speichern dieser Unterlagen auf dem häuslichen Computer der Gemeinderatsmitglieder, der in aller Regel keine professionellen Sicherheitskomponenten enthält, untersagt sein. Im Bedarfsfalle könnten die Unterlagen zu Hause ausgedruckt werden. Die Ausdrucke lassen sich im häuslichen Bereich kostengünstiger schützen als gespeicherte Informationen.

Aus technisch-organisatorischer Sicht ergeben sich darüber hinaus noch folgende Anmerkungen:

  • Sollte für den Zugriffsschutz auf das Ratsinformationssystem lediglich ein gemeinsames Passwort zur Authentisierung genutzt werden (welches somit allen Berechtigten bekannt sein muss), ist dies abzulehnen, da ansonsten auch ausgeschiedene Gemeinderatsmitglieder weiterhin Zugriff auf diesen Bereich hätten. Es muss somit gewährleistet sein, dass jeder Berechtigte zur Identifizierung und Authentisierung über eine eigene Benutzerkennung und ein individuelles - nur ihm bekanntes - Passwort verfügt.
  • Eine eventuelle Datenübertragung zwischen dem Ratsinformationssystem und dem Rechner eines Berechtigten über das Internet muss verschlüsselt erfolgen. Die Errichtung eines VPN (Virtuellen Privaten Netzes) zur Gewährleistung der Vertraulichkeit wird dringend angeraten.
  • Die Authentizität und die Integrität der Daten im Ratsinformationssystem müssen (z.B. durch den Einsatz der elektronischen Signatur) gewährleistet sein. Gleiches gilt für eine eventuelle Datenübertragung über das Internet.
  • Falls ein Download von Dateien aus dem Ratsinformationssystem erlaubt ist, müssen die PCs der Empfänger der Datenübertragung ebenfalls gegen einen unerlaubten Zugriff auf die übermittelten Daten gesichert werden.

4.2.4 Veröffentlichung personenbezogener Daten aus sonstigen Anlässen auf kommunalen Internetseiten

  1. Veröffentlichung von Personenstandsdaten im Internet

    Die Veröffentlichung von Geburten, Eheschließungen und Sterbefällen im Internet stellt eine Datenübermittlung im Sinn des Art. 4 Abs. 6 Satz 2 Nr. 3 BayDSG dar. Mangels einer Rechtsvorschrift, die eine derartige Veröffentlichung erlaubt, ist diese nur dann zulässig, wenn die Betroffenen, bei Sterbefällen die Angehörigen, darin eingewilligt haben (Art. 15 Abs. 1 BayDSG). Die betroffenen Bürger müssen dabei informiert werden, für welchen Zeitraum und auf welches Medium (z.B. Veröffentlichung im Amtsblatt, in der Tageszeitung, auf der gemeindlichen Homepage) sich die Einwilligung bezieht. So sind bspw. die Betroffenen, die der Veröffentlichung ihrer Daten im Amtsblatt zustimmen, auch darüber zu informieren, dass das Amtsblatt mit diesen Daten zusätzlich auf der Homepage der Gemeinde eingesehen werden kann.

  2. Veröffentlichung der Anschriften von Vereinen auf der Homepage der Gemeinde

    Die Veröffentlichung der Anschriften von Vereinen auf der Homepage der jeweiligen Gemeinde ist regelmäßig ohne Zustimmung der Vereine zulässig. Dies gilt auch dann, wenn - wie bei kleinen Vereinen üblich - der Verein unter der Anschrift des Vereinsvorsitzenden zu erreichen ist (vgl. Wilde/Ehmann/Niese/Knoblauch, Kommentar zum Bayerischen Datenschutzgesetz, Teil C Handbuch, XII.8.a) cc)). Die Vereinsanschrift ist regelmäßig ein offenkundiges, nach dem Willen der Beteiligten auf Kenntnis und Verbreitung in der Öffentlichkeit angelegtes Datum und deshalb nicht schutzbedürftig. Soweit jedoch über die Bekanntgabe der Vereinsanschrift hinausgehende Veröffentlichungen beabsichtigt sind (z.B. die der privaten Telefonnummer von Vorstandsmitgliedern etc.), ist dies nur mit Einwilligung der Betroffenen zulässig (vgl. Art. 15 Abs. 1 Nr. 2 BayDSG).

    Die Bekanntgabe von Anschriften der Vereine durch die Gemeinde dient dazu, den Bürgern die Kontaktaufnahme mit den örtlichen Vereinen zu erleichtern. In aller Regel haben die Vereine ein eigenes Interesse daran, dass ihre Kontaktadressen den Bürgern bekannt sind und hierzu von der Gemeinde veröffentlicht werden. Von der Veröffentlichung muss die Gemeinde daher in diesen Fällen nur auf ausdrücklichen Wunsch eines Vereins absehen. Bei Zweifeln am Veröffentlichungsinteresse des Vereins sollte dessen Einwilligung eingeholt werden.

  3. Übertragung von Bildern öffentlicher Märkte mittels Web-Cams

    Die Übertragung von Bildern öffentlicher Märkte durch Kommunen im Internet mittels einer Web-Cam ist aus datenschutzrechtlicher Sicht wie folgt zu bewerten:

    Nach Art. 15 Abs. 1 des Bayerischen Datenschutzgesetzes ist die Erhebung, Verarbeitung und Nutzung personenbezogener Daten nur auf der Grundlage eines Gesetzes oder einer Einwilligung der Betroffenen zulässig. Für die Erhebung personenbezogener Daten und deren Übermittlung über das Internet an die Allgemeinheit mittels einer Web-Cam durch Kommunen gibt es keine Rechtsgrundlage. Eine Einwilligung in die Datenerhebung und -übermittlung ist schon angesichts eines nicht bestimmbaren Personenkreises potenziell Betroffener und der fehlenden Freiwilligkeit ausgeschlossen. Web-Cam-Aufnahmen und deren Übertragung im Internet sind daher nur dann zulässig, wenn jede Beeinträchtigung schutzwürdiger Interessen, insbesondere des Persönlichkeitsrechts von Bürgern ausgeschlossen ist. Das ist nur dann der Fall, wenn die Aufnahmen nicht personenbezogen sind, d.h. wenn auf den Bildern weder Personen noch Fahrzeuge identifizierbar sind. Bloße Übersichtsaufnahmen (Panoramabilder) ohne Personenbezug sind datenschutzrechtlich unbedenklich.

    Selbst wenn auf den Bildern im Internet weder die Gesichter der aufgenommen Personen noch Kfz-Kennzeichen erkennbar sind, kann trotzdem ein Personenbezug vorliegen. Dazu genügt es bereits, dass Internetbenutzer, die aufgenommene Personen persönlich oder zumindest vom Sehen her kennen, diese z.B. anhand der Körperhaltung, Kleidung, mitgeführten Gegenständen etc. identifizieren können. Die Kameraeinstellung oder der Kamerastandort ist deshalb so zu wählen, dass auch eine derartige Identifizierung von Personen ausgeschlossen ist.

    Bei durch den Nutzer schwenk- und zoombaren Kameras ist insbesondere zusätzlich sicherzustellen, dass damit keine Aufnahmen durch Fenster oder Türen in Gebäude hinein möglich sind.

4.2.5 Sonstige Veröffentlichungen

  1. Veröffentlichung von Schülerdaten und Schülerfotos

    Bezüglich der Veröffentlichung von personenbezogen Daten auf der Homepage von Schulen muss darauf hingewiesen werden, dass im Hinblick auf die enge lokale Begrenzung des Aufgaben- und Wirkungsbereichs von Schulen das Persönlichkeitsrecht der Schüler, Eltern, Lehrer und des sonstigen Schulpersonals Vorrang vor dem Informationsinteresse einer breiteren Öffentlichkeit (Internetnutzer) hat. Vor der Einstellung personenbezogener Daten ins Internet ist daher die Einwilligung der Betroffenen einzuholen. Bei minderjährigen Schülern, die bereits die entsprechende Einsichtsfähigkeit besitzen (ab etwa 15 Jahren), bedarf es deren Einwilligung, im Übrigen der Einwilligung der Erziehungsberechtigten. Die Einholung der Einwilligung hat so zu erfolgen, dass sich die Betroffenen nicht einem Gruppendruck ausgesetzt fühlen. Sie sind dabei darauf hinzuweisen, dass sich ins Internet eingestellte Erreichbarkeitsdaten in der Regel problemlos auslesen lassen und damit nachteilige Auswirkungen verbunden sein können. Das Staatsministerium für Unterricht und Kultus hat Hinweise zu Veröffentlichungen der Schulen im Internet in die "Erläuternden Hinweise für die Schulen zum Vollzug des Bayerischen Datenschutzgesetzes" eingefügt.

    Bei Veröffentlichungen, die Schüler oder andere Personen auf der Homepage oder im Jahresbericht einer Schule abbilden (Klassenfotos etc.), handelt es sich um Datenübermittlungen an Dritte, die nur aufgrund der Einwilligung der Betroffenen zulässig sind (vgl. Art. 15 Abs. 1 BayDSG), da die Voraussetzungen des Art. 85 Abs. 1 BayEUG nicht erfüllt sind. Dies gilt auch dann, wenn den Fotos Namenslisten oder sonstige Namensangaben nicht hinzugefügt sind; denn auch in diesen Fällen sind die auf den Fotos abgebildeten Personen für jeden Betrachter identifizierbar, die dadurch übermittelten Daten also personenbeziehbar (vgl. Art. 4 Abs. 1 BayDSG).

    Für den Jahresbericht einer Schule gibt es zwar in Art. 85 Abs. 3 BayEUG eine ausdrückliche Rechtsgrundlage. Zu dem schon danach zulässigen Inhalt eines Jahresberichts sind jedoch Fotos nicht zu zählen. Angesichts des engen Adressatenkreises eines Jahresberichts kann es allerdings als ausreichend angesehen werden, wenn die Betroffenen zu Beginn eines jeden Schuljahres hinreichend deutlich darüber informiert werden, dass Fotos in den Jahresbericht aufgenommen werden sollen und ihnen die Möglichkeit eines Widerspruchs eingeräumt wird. Sofern nur einzelne auf einem Foto abgebildete Personen von ihrem Widerspruchsrecht Gebrauch machen, können diese dann in geeigneter Form unkenntlich gemacht werden.

    Für Fotos, die Schüler oder andere Personen abbilden, auf der Homepage einer Schule oder auch für die Weitergabe der Fotos an die (lokale) Presse gibt es keine normative Rechtsgrundlage. Hier kann auf eine ausdrückliche Einwilligung der Betroffenen, die wiederum vorher auch über die besonderen Risiken einer solchen Veröffentlichung zu informieren sind, nicht verzichtet werden (vgl. Art. 15 Abs. 1 Nr. 2, Abs. 2 bis 4 BayDSG). Ergänzend ist darauf hinzuweisen, dass pauschale Einverständniserklärungen, z.B. beim Schuleintritt, nicht ausreichend sind.

    Das Bayerische Staatsministerium für Unterricht und Kultus empfiehlt in seinen bereits erwähnten "Erläuternden Hinweise für die Schulen zum Vollzug des Bayerischen Datenschutzgesetzes" dazu folgende Vorgehensweisen:

    1. Klassenfotos, die sowohl für die Veröffentlichung im gedruckten Jahresbericht als auch auf der Schulhomepage vorgehen sind, können zwei Mal aufgenommen werden. Eine der Aufnahmen ist für den Abdruck im Jahresbericht bestimmt - wobei auch hier Fotos der Einwilligung bedürfen - die andere Aufnahme für die Veröffentlichung auf der Schulhomepage. Die nicht mit ihrer Veröffentlichung im Internet einverstandenen Schüler (bzw. Schüler, bei denen die erforderliche Einwilligung ihrer Erziehungsberechtigten nicht vorliegt) sollen bei der für das Internet bestimmten Aufnahme Gelegenheit erhalten, beiseite zu treten.
    2. Schulen können Klassenfotos vor der Einstellung ins Internet mit Hilfe von geeigneter Software so bearbeiten, dass diejenigen Schüler in der Aufnahme unkenntlich gemacht werden, deren Einwilligung zur Internetveröffentlichung nicht vorliegt.
  2. Veröffentlichung von Forschungsergebnissen

    Die allgemein zugängliche Veröffentlichung von Forschungsergebnissen, die Einzelpersonen betreffen, ist nur zulässig, wenn die Daten vor ihrer Veröffentlichung anonymisiert oder hinreichend pseudonymisiert wurden, so dass es außenstehenden Dritten auch mit Zusatzwissen nicht möglich ist, einen Personenbezug herzustellen. Ggf. müssen auch weitere Daten zusätzlich abstrahiert oder verändert werden, so dass z.B. das Geburtsdatum durch das Lebensalter ersetzt wird oder exakte Ortsangaben durch regionale Ortsangaben ersetzt werden. In jedem Falle ist größte Vorsicht und Sorgfalt geboten und die frühzeitige Kontaktaufnahme mit dem internen Datenschutzbeauftragten wird dringend angeraten. Von der Aufnahme sehr sensibler Daten in das Internet, wie z.B. umfassender medizinischer Befundberichte mit zusätzlichen identifizierenden Daten wie Aufnahmezeitpunkt, Behandlungsgrund oder Behandlungszeit, ist davon abzuraten, wenn konkret identifizierende Daten wie Namen, Adresse oder Geburtsdatum nicht beigefügt sind. Angesichts der Sensibilität der Informationen ist auch ein geringfügiges Identifizierungsrisiko nicht zu vertreten. Ein solches besteht aber im Hinblick auf den engeren Bekanntenkreis der Betroffenen.

4.2.6 Technisch-organisatorische Datensicherheitsmaßnahmen

Um eine sichere und datenschutzgerechte Veröffentlichung von Informationen auf Homepages zu gewährleisten, sind folgende Aspekte zu berücksichtigen:

  1. Web-Server
    • Die Entwicklungsumgebung für das Internet- und Intranetangebot soll von der Produktionsumgebung strikt getrennt gehalten werden, d.h. auf dem Web-Server sollen nur solche Daten gespeichert werden, die tatsächlich zur Veröffentlichung bestimmt sind. Entwicklungsverzeichnisse und -dateien sowie Arbeitsverzeichnisse und -dateien sollen auf einem anderen Rechner als dem Web-Server gespeichert sein.
    • Der Web-Server soll so konfiguriert werden, dass aus dem Internet und Intranet ein Anzeigen der Verzeichnisstruktur ("Directory Listing") nicht möglich ist.
    • Informationsangebote sollten auf dem Server in virtuellen Verzeichnissen abgelegt werden, so dass der tatsächliche Verzeichnisname, unter dem die Informationen gespeichert sind, Nutzern gegenüber verborgen bleibt.
    • Verzeichnisse, die nicht allgemein sondern nur einem begrenzten Besucherkreis zugänglich sein sollen, sollen mit Passwörtern abgesichert werden. In diesem Fall muss darauf geachtet werden, dass entweder die Verwendung von Einmalpassworten möglich ist oder eine gesicherte Übertragung der Mehrfach-Passwörter erfolgen kann und der Web-Server zur Präsentation der Information in einen abgesicherten Übertragungsmodus (S-HTTP) wechselt.
    • Die Schreibrechte auf den Server und in einzelne Verzeichnisse des Servers sollen auf das unabdingbare Maß beschränkt und abgesichert werden.
  2. Organisation
    • Es soll klar festgelegt und dokumentiert werden, wer für die Installation und Pflege des Web-Servers, für die Pflege der darauf gespeicherten Informationsangebote und für die Freigabe der auf den Web-Server zu übernehmenden Informationen zuständig ist.
    • Unter Beteiligung des behördlichen Datenschutzbeauftragten sollen Richtlinien erstellt werden, wie personenbezogene Daten vor Veröffentlichung in Internet und Intranet zu anonymisieren bzw. mindestens zu pseudonymisieren sind - gegebenenfalls für einzelne Bereiche unterschiedlich - und welche evtl. weiteren Maßnahmen ergriffen werden müssen.
    • Bei Veröffentlichung von personenbezogenen Daten, auch z.B. in Form von Namenslisten, ist eine datenschutzrechtliche Freigabe gem. Art. 26 BayDSG erforderlich.
  3. Durchführung und Kontrollen
    • Vor dem Kopieren von Dateien und Verzeichnissen auf den Web-Server sollten diese durch einen unabhängigen Dritten, z.B. den behördlichen Datenschutzbeauftragten, auf inhaltliche Konformität mit den obigen Richtlinien geprüft werden.
    • Werden die zu veröffentlichenden Seiten automatisch erzeugt (z.B. aus Datenbanken heraus), so ist dabei größte Vorsicht hinsichtlich der automatisch übernommenen Datenfelder und Dateninhalte geboten. Neben der Browserdarstellung ist auch der Quelltext der Seite auf Konformität mit den obigen Richtlinien zu überprüfen.
    • Soweit möglich, sollten Dateien vor einer Übernahme auf unbeabsichtigt enthaltene personenbezogene Daten, z.B. Namen, dv-technisch durchsucht werden.
    • Das Kopieren von Dateien aus der Entwicklungsumgebung auf den Web-Server und in das veröffentlichte Informationsangebot soll unter Beachtung größtmöglicher Sorgfalt erfolgen.
    • Vor dem Kopieren ganzer Verzeichnisse oder Verzeichnisstrukturen aus der Entwicklungsumgebung müssen diese sorgfältig überprüft werden, damit keine Dateien auf dem Web-Server zur Veröffentlichung gelangen, die nicht für die Veröffentlichung bestimmt sind. Solche Dateien sollten vor dem Kopiervorgang aus allen verwendeten Verzeichnissen entfernt werden.
    • Um nicht doch Dateien, die nicht für eine Veröffentlichung bestimmt sind, in das veröffentlichte Informationsangebot mit zu übernehmen, sollen alle Verzeichnisse - auch solche, in die nur als Zwischenschritt kopiert wird - auf "Alt-Dateien" durchsucht werden. Diese Alt-Dateien sollen vorab entfernt werden, insbesondere wenn nicht einzelne Dateien sondern ganze Verzeichnisse kopiert werden sollen.
    • Wird das Kopieren von Dateien und Verzeichnissen mittels einer FTP-Client-Software (File Transfer Protocoll (FTP)) ausgeführt, so sollte der abgeschlossene Kopiervorgang anhand der evtl. automatisch erzeugten Protokolldateien unmittelbar nach dessen Ende auf Korrektheit geprüft werden.

5. Elektronische Gästebücher und Internet-Foren

Elektronische Gästebücher und Internet-Foren auf der eigenen Homepage erfreuen sich insbesondere bei Kommunen immer größerer Beliebtheit, dienen sie doch dazu, Kontakte mit den Bürgern zu pflegen. So können diese beispielsweise Kommentare zu aktuellen politischen Themen oder auch nur ihr Lob bzw. ihre Kritik bezüglich der Gestaltung der Homepage kundtun.

Allerdings werden diese Gästebücher und Foren gelegentlich auch dazu missbraucht, politisch radikalen Inhalt einzutragen, andere Personen (insbesondere Politiker) zu beleidigen und sonstige strafrechtlich relevante Eintragungen vorzunehmen. Aus diesem Grunde sind verschiedene Kommunen mit der Frage an den Bayerischen Landesbeauftragten für den Datenschutz herangetreten, ob und wie sie gegen derartiges Fehlverhalten vorgehen könnten, ohne dabei den Datenschutz zu verletzen. Insbesondere das Mitloggen der IP-Adressen und die Erfassung personenbezogener Daten der Gästebuchnutzer spielten bei diesen Überlegungen eine große Rolle.

Elektronische Gästebücher und Internet-Foren stellen Telemedien im Sinne des § 1 Abs. 1 TMG dar, da sie elektronische Informations- und Kommunikationsdienste sind, die für eine individuelle Nutzung von kombinierbaren Daten, wie Zeichen, Bilder oder Töne bestimmt sind und ihnen eine Übermittlung mittels Telekommunikation zugrunde liegt.

Die Betreiber einer entsprechenden Homepage sind sog. Diensteanbieter im Sinne des Telemediengesetzes, da sie als juristische Personen ein eigenes Telemedium zur Nutzung bereithalten bzw. den Zugang zu dessen Nutzung vermitteln (§ 2 Nr. 1 TMG).

Gemäß § 12 Abs. 1 TMG dürfen personenbezogene Daten vom Diensteanbieter zur Durchführung von Telemedien nur erhoben oder verwendet werden, soweit dieses Gesetz oder eine andere Rechtsvorschrift es erlaubt oder der Nutzer eingewilligt hat. Weiter bestimmt § 13 Abs. 6 TMG, dass der Diensteanbieter dem Nutzer die Inanspruchnahme von Telemedien und ihre Bezahlung anonym oder unter Pseudonym zu ermöglichen hat, soweit dies technisch möglich und zumutbar ist.

Unter Pseudonymisieren ist dabei das Verändern personenbezogener Daten durch eine Zuordnungsvorschrift dergestalt zu verstehen, dass die Einzelangaben über persönliche oder sachliche Verhältnisse ohne Kenntnis oder Nutzung der Zuordnungsvorschrift nicht mehr einer natürlichen Person zugeordnet werden können. Ein Pseudonym kann beispielsweise ein erfundener Name oder eine Kurzbezeichnung sein, die aus sich heraus die Identität des Nutzers nicht preisgeben, aber z.B. über eine Referenzliste beim Diensteanbieter mit der tatsächlichen Identität des Nutzers zusammengeführt werden können.

So setzt auch § 13 Abs. 7 Satz 1 TMG voraus, dass der Diensteanbieter Daten zu dem Pseudonym des Nutzers speichert. Dies bedeutet, dass ein Diensteanbieter entweder selbst die Pseudonyme vergibt oder ihm zumindest bekannt sein muss, wer sich dahinter verbirgt. In beiden Fällen sind ihm somit die Identitäten des Besuchers seiner Internetseiten bekannt.

Ein Pseudonym schützt einen Nutzer von Gästebüchern oder Foren somit nicht vor der Kenntnis durch den Diensteanbieter, wohl aber muss dieser durch entsprechende technische und organisatorische Vorkehrungen sicherstellen, dass die wahre Identität des Nutzers anderen Nutzern gegenüber nicht bekannt wird.

Diensteanbieter sind gemäß § 7 Abs. 2 Satz 1 TMG nicht verpflichtet, die von ihnen übermittelten oder gespeicherten Informationen zu überwachen oder nach Umständen zu forschen, die auf eine rechtswidrige Tätigkeit hinweisen. Hat ein Betreiber einer Homepage allerdings Kenntnis von entsprechenden Einträgen und entfernt sie nicht, so haftet er für diese Inhalte (vgl. § 10 TMG).

Eine Klausel (Disclaimer), die lediglich einen Haftungsausschluss beinhaltet, entlastet dagegen einen Betreiber nicht generell bezüglich der Haftung gegenüber geschädigten Dritten (OLG München, Urteil vom 17.5.2002, Az.: 21 U 5569/01).

Kommunale Internet-Foren und Gästebücher können als eine öffentliche Einrichtung der Gemeinde i.S.d. Art. 21 Gemeindeordnung (GO) angesehen werden. Die Gemeinden dürfen keine rechtswidrigen (oder gar strafbaren) Benutzungen ihrer öffentlichen gemeindlichen Einrichtungen dulden. Sie sind als Körperschaften des öffentlichen Rechts in besonderer Weise Gesetz und Recht verpflichtet und somit dazu aufgerufen, derartige rechtswidrige oder strafbare Benutzung zu unterbinden. Sie können faktisch auch nicht dazu gezwungen werden, strafrechtlich relevante oder sogar verfassungsfeindliche Inhalte in ihren Foren und Gästebüchern zu dulden.

Für ein datenschutzgerechtes Betreiben von Gästebüchern und Internet-Foren empfiehlt sich daher folgende Vorgehensweise:

  • Eintragungen im Gästebuch bzw. Forum werden nicht anonym, sondern nur unter einem selbst gewählten Pseudonym - nach vorheriger Anmeldung mit personenbezogenen Daten - zugelassen.
  • Die wahren Identitäten der Nutzer werden nicht veröffentlicht, können aber vom Betreiber der Homepage ermittelt und bei strafbaren Handlungen den Ermittlungsbehörden übergeben werden.
  • Darauf sollte in den Nutzungsbedingungen des Gästebuches bzw. des Forums hingewiesen werden. Soweit technisch möglich, sollte einem Nutzer zusätzlich bei der Vornahme seines Eintrages ein entsprechender Hinweis eingeblendet werden.
  • Bei einer relativ geringen Anzahl von Einträgen pro Tag empfiehlt es sich, eine Moderation des Gästebuches bzw. des Forums mit Vorbehalt einer Freischaltung der einzelnen Einträge erst nach Sichtung durch den Betreiber der Homepage vorzunehmen. Darauf sind die Eintragswilligen vorab bereits bei ihrer Registrierung hinzuweisen.
  • Ist eine Vorabkontrolle aufgrund des hohen Aufkommens von Einträgen nicht möglich, so sollte zumindest einmal täglich der Inhalt des Gästebuches bzw. der Foren auf strafrechtlich relevante Inhalte durchgesehen werden. Derartige Inhalte sind dann natürlich unverzüglich zu entfernen.

Aufgrund eines Urteils des Amtsgerichts Mitte Berlin vom 06.09.2007 mit Az. 23 S 3/07 gegen das Bundesjustizministerium, wonach das Speichern von IP Adressen grundsätzlich gegen § 15 Telemediengesetz (TMG) verstoße, sollte möglichst keinerlei Protokollierung beim Besuch der Web-Seiten stattfinden.

Auf keinem Fall zulässig ist eine vorsorgliche Protokollierung von IP-Adressen zum Zwecke einer evtl. späteren Strafverfolgung, weil möglicherweise zukünftig ein Besucher des Gästebuches oder des Forums dort strafrechtlich relevante Eintragungen vornehmen könnte.

6. Verlinkung auf der Homepage

Nahezu jede Behörde bietet die Möglichkeit, von ihrer Homepage aus auf die Web-Seiten anderer Anbieter zu verlinken. Das Setzen so genannter (Hyper-)Links auf fremde Web-Seiten ist aber ohne Einwilligung des davon betroffenen Homepage-Betreibers rechtlich umstritten. Einerseits wird argumentiert, dass, wer eine Homepage betreibt, damit rechnen muss (und wohl auch will), dass seine Webseiten aufgerufen werden, andererseits kann eine (ungewünschte) Verlinkung u.U. zu Problemen mit dem

  • Zivilrecht (z.B. Schadensersatzforderungen),
  • Urheberrecht (eine verlinkte Webseite kann Werke im Sinne des § 1 UrhG enthalten),
  • Wettbewerbsrecht (evtl. sittenwidrige Leistungsübernahme, Herkunftstäuschung beim so genannten Framing) usw.

führen.

Einige Firmen sind inzwischen sogar dazu übergegangen, Rechnungen für die "unerlaubte Nutzung von Leistungen" an Betreiber von Webseiten zu versenden, die Links auf die Webseite dieser Firmen gesetzt haben. Auf immer mehr Webseiten finden sich auch Hinweise darauf, unter welchen Voraussetzungen ein Verlinken auf ihre Seite erlaubt bzw. verboten ist. Diese Hinweise sind zumeist im Impressum, in der Datenschutzerklärung oder einer eigenen "Linking Policy" integriert.

Es kann daher nur geraten werden, vor dem Setzen eines Links zu einer Webseite die schriftliche Einwilligung des betreffenden Homepage-Betreibers einzuholen oder sich zumindest davon zu vergewissern, dass diese Webseiten keine Erklärung beinhalten, die eine Verlinkung verbieten.

Da es auch Behörden gibt, die das Setzen von Links regulieren, empfiehlt sich bezüglich der Verlinkung zu anderen Behörden die gleiche Vorgehensweise. Gleiches gilt für die Veröffentlichung nicht anklickbarer Internetadressen auf der eigenen Homepage, da auch diese Adressen mittels Abtippen oder Kopieren sofort in den Browser eines Homepage-Besuchers übernommen werden können.

Im Übrigen ist die Weitervermittlung zu einem anderen Diensteanbieter dem Nutzer anzuzeigen (§ 13 Abs. 5 TMG). Unter Weitervermittlung zu einem anderen Diensteanbieter ist zu verstehen, dass ein entsprechender Link angeboten wird, bei dessen Betätigung das Angebot dieses anderen Diensteanbieters bereitgestellt wird. Die Unterrichtung über eine derartige Weitervermittlung kann relativ einfach durch deutliche Kennzeichnung des Links z.B. mittels des Zusatzes "Extern" oder "Link- neues Fenster" und Eröffnen eines neuen Browserfensters praktisch umgesetzt werden.

Bezüglich der Setzung externer Links sollten insbesondere folgende Regeln beachtet werden:

  • Klare Kennzeichnung von externen Links.
  • Externe Links sollten immer in neuen Browser-Fenstern geöffnet werden.
  • Das Setzen so genannter "Deep-Links" sollte vermieden werden. Stattdessen sollte immer auf die Startseite eines Internetauftritts verlinkt werden.
  • Auf der eigenen Homepage sollte vermerkt sein, wann ein externer Link gesetzt wurde. Dies ist insbesondere hilfreich, wenn anschließend ein Inhaltswechsel des verlinkten Internetauftritts stattgefunden hat.
  • Von Zeit zu Zeit sollten die gesetzten Links überprüft werden.

7. Disclaimer

Im Zusammenhang mit dem Internet wird der Begriff Disclaimer (engl. für abstreiten) für einen Haftungsausschluss verwendet. Dabei wird zwischen drei Arten von Disclaimern (E-Mail-Disclaimer, Homepage-Disclaimer und Disclaimer beim Betrieb eines Internet-Forums bzw. eines elektronischen Gästebuches) unterschieden.

Mit Hilfe von Homepage-Disclaimern (auch als Web-Disclaimer bezeichnet) distanziert sich ein Homepage-Betreiber von den Inhalten von anderen Internetauftritten, zu deren Web-Seiten Links von seiner Homepage aus gesetzt sind.

Grundsätzlich kommt eine Haftung für Links auf fremde Inhalte immer dann in Betracht, wenn der Verlinkende von deren rechtswidrigen Inhalten Kenntnis hat. Ein Homepage-Betreiber sollte sich daher vor dem Setzen eines Links davon vergewissern, dass auf den Zielseiten nichts Verbotenes steht. Tauchen auf den aufgesuchten Seiten illegale Inhalte erst nach dieser Prüfung auf, hat das für den Linkenden keine Konsequenzen, solange er nicht - etwa durch den Hinweis eines Surfers - nachweisbar davon Kenntnis erlangt. Eine weiter gehende Nachforschungspflicht besteht nach herrschender Meinung nicht.

Der Disclaimer in unserer Online-Datenschutzerklärung lautet beispielsweise wie folgt:

"Im Informationsangebot des Bayerischen Landesbeauftragten für den Datenschutz befinden sich Querverweise ("Links"), die in dieser Weise gekennzeichnet sind:

externe Links:

www.datenschutz.de (externer Link)

interne Links:

Datenschutzerklärung

Externe Links öffnen sich immer in einem neuen Fenster.

Durch einen externen Querverweis vermittelt der Bayerische Landesbeauftragte für den Datenschutz den Zugang zur Nutzung dieser Inhalte (§ 8 Telemediengesetz). Für diese "fremden" Inhalte ist er nicht verantwortlich, da er die Übermittlung der Information nicht veranlasst, den Adressaten der übermittelten Informationen nicht auswählt und die übermittelten Informationen auch nicht ausgewählt oder verändert hat. Auch eine automatische kurzzeitige Zwischenspeicherung dieser "fremden Informationen" erfolgt wegen der gewählten Aufruf- und Verlinkungsmethodik durch den Bayerischen Landesbeauftragten für den Datenschutz nicht, so dass sich auch dadurch keine Verantwortlichkeit des Bayerischen Landesbeauftragten für den Datenschutz für diese fremden Inhalte ergibt.

Bei der erstmaligen Verknüpfung mit diesen Internetangeboten hat der Bayerische Landesbeauftragte für den Datenschutz den fremden Inhalt jedoch daraufhin überprüft, ob durch ihn eine mögliche zivilrechtliche oder strafrechtliche Verantwortlichkeit ausgelöst wird."

Ein E-Mail-Disclaimer hat häufig zum Inhalt, dass der Lesende, sollte er die E-Mail versehentlich erhalten haben und nicht der gemeinte Empfänger sein, den Inhalt der betreffenden E-Mail sofort wieder vergessen möge und die E-Mail wahlweise an den Absender zurück oder an den gewünschten Empfänger senden soll.

Beispiel: "Dies ist eine vertrauliche Nachricht und nur für den Adressaten bestimmt. Es ist nicht erlaubt, diese Nachricht zu kopieren oder Dritten zugänglich zu machen. Sollten Sie irrtümlich diese Nachricht erhalten haben, bitte ich Sie, diese Nachricht unverzüglich zu löschen oder an den eigentlichen Adressaten weiterzuleiten."

Allerdings sind solche E-Mail-Disclaimer nach überwiegender Ansicht der Juristen unwirksam. Diese Unwirksamkeit begründet sich insbesondere aus zwei Umständen: Einmal ist es unmöglich, einen Dritten dazu zu bringen, etwas zu vergessen. Zweitens kann es sich bei diesen Disclaimern höchstens um Allgemeine Geschäftsbedingungen (AGB) handeln. Diese müssten aber bereits vor dem Öffnen der E-Mail dem Empfänger bekannt sein, ansonsten können sie keinen Vertragsbestandteil darstellen. Meistens befinden sich solche Textabschnitte jedoch erst am Ende einer Nachricht, was nahezu jegliche rechtliche Relevanz ausschließt.

Kurz gesagt, entsprechende Erklärungen in E-Mails können zwar der Abschreckung Unbefugter dienen, führen aber nicht zu einer gesteigerten Vertraulichkeitsverpflichtung eines irrtümlichen Adressaten.

Die dritte Art der Disclaimer wird im Zusammenhang mit elektronischen Gästebüchern und Internet-Foren veröffentlicht. In ihnen distanziert sich ein Betreiber eines entsprechenden Forums vom Inhalt der Einträge in seinem Gästebuch bzw. Forum.