BGH gibt über den Datenschutz einen Anspruch auf Löschung auf Ärztebewertungsportal

Gestritten haben sich eine Ärztin und die Betreiber des Ärztebewertungsportales Jameda.de über die Frage, ob das Portal ungefragt die Daten der Ärztin zum Zwecke der Bewertung durch Dritte veröffentlichen darf. In der Pressemitteilung des BGH heißt es dazu:

„Die Beklagte betreibt unter der Internetadresse www.jameda.de ein Arztsuche- und Arztbewertungsportal, auf dem Informationen über Ärzte und Träger anderer Heilberufe kostenfrei abgerufen werden können. Als eigene Informationen der Beklagten werden die sogenannten „Basisdaten“ eines Arztes angeboten. Zu ihnen gehören – soweit der Beklagten bekannt – akademischer Grad, Name, Fachrichtung, Praxisanschrift, weitere Kontaktdaten sowie Sprechzeiten und ähnliche praxisbezogene Informationen. Daneben sind Bewertungen abrufbar, die Nutzer in Form eines Notenschemas, aber auch von Freitextkommentaren, abgegeben haben. Die Beklagte bietet den Ärzten den kostenpflichtigen Abschluss von Verträgen an, bei denen ihr Profil – anders als das Basisprofil der nichtzahlenden Ärzte – mit einem Foto und zusätzlichen Informationen versehen wird. Daneben werden beim Aufruf des Profils eines nichtzahlenden Arztes als „Anzeige“ gekennzeichnet die Profilbilder unmittelbarer Konkurrenten gleicher Fachrichtung im örtlichen Umfeld mit Entfernungsangaben und Noten eingeblendet. Demgegenüber blendet die Beklagte bei Ärzten, die sich bei ihr kostenpflichtig registriert und ein „Premium-Paket“ gebucht haben, keine Konkurrenten auf deren Profil ein.

Die Klägerin ist niedergelassene Dermatologin und Allergologin. Im Portal der Beklagten wird sie als Nichtzahlerin gegen ihren Willen ohne Bild mit ihrem akademischen Grad, ihrem Namen, ihrer Fachrichtung und ihrer Praxisanschrift geführt. Bei Abruf ihres Profils auf dem Portal der Beklagten erscheinen unter der Rubrik „Hautärzte (Dermatologen) (mit Bild) in der Umgebung“ weitere (zahlende) Ärzte mit demselben Fachbereich und mit einer Praxis in der Umgebung der Praxis der Klägerin. Dargestellt wird neben der Note des jeweiligen anderen Arztes die jeweilige Distanz zwischen dessen Praxis und der Praxis der Klägerin. Die Klägerin erhielt in der Vergangenheit mehrfach Bewertungen. Sie beanstandete durch ihre früheren Prozessbevollmächtigten im Jahr 2015 insgesamt 17 abrufbare Bewertungen auf dem Portal der Beklagten. Nach deren Löschung stieg die Gesamtnote der Klägerin von 4,7 auf 1,5.

Die Klägerin verlangt mit der vorliegenden Klage von der Beklagten die vollständige Löschung ihres Eintrags in www.jameda.de, die Löschung ihrer auf der Internetseite www.jameda.de veröffentlichten Daten, auf Unterlassung der Veröffentlichung eines sie betreffenden Profils auf der genannten Internetseite sowie Ersatz vorgerichtlicher Rechtsanwaltskosten. Das Landgericht hat die Klage abgewiesen. Die Berufung der Klägerin blieb ohne Erfolg. Mit der vom Berufungsgericht zugelassenen Revision verfolgt die Klägerin ihre Klageanträge weiter.“

Das oberste Zivilgericht hat der Klage der Ärztin entgegen der Vorinstanzen nun stattgegeben und das Portal verpflichtet, nach § 35 Abs. 2 Satz 2 Nr. 1 BDSG die personenbezogenen Daten zu löschen, da ihre Speicherung unzulässig ist.

Entgegen der Entscheidung des gleichen Senates mit Urteil vom 23. September 2014 – VI ZR 358/13 (BGHZ 202, 242) im Zusammenhang mit dem selben von der Beklagten betriebenen Bewertungsportal sahen die Richter im vorliegenden Fall deutliche Unterschiede gegeben und wichen deshalb von der damals zugunsten der Betreiber des Portals ausgegangen Entscheidung ab.

„Mit der vorbeschriebenen, mit dem Bewertungsportal verbundenen Praxis verlässt die Beklagte ihre Stellung als „neutraler“ Informationsmittler. Während sie bei den nichtzahlenden Ärzten dem ein Arztprofil aufsuchenden Internetnutzer die „Basisdaten“ nebst Bewertung des betreffenden Arztes anzeigt und ihm mittels des eingeblendeten Querbalkens „Anzeige“ Informationen zu örtlich konkurrierenden Ärzten bietet, lässt sie auf dem Profil ihres „Premium“-Kunden – ohne dies dort dem Internetnutzer hinreichend offenzulegen – solche über die örtliche Konkurrenz unterrichtenden werbenden Hinweise nicht zu. Nimmt sich die Beklagte aber in dieser Weise zugunsten ihres Werbeangebots in ihrer Rolle als „neutraler“ Informationsmittler zurück, dann kann sie ihre auf das Grundrecht der Meinungs- und Medienfreiheit (Art. 5 Abs. 1 Satz 1 GG, Art. 10 EMRK) gestützte Rechtsposition gegenüber dem Recht der Klägerin auf Schutz ihrer personenbezogenen Daten (Recht auf informationelle Selbstbestimmung, Art. 2 Abs. 1 i. V. m. Art. 1 Abs. 1 GG, Art. 8 Abs. 1 EMRK) auch nur mit geringerem Gewicht geltend machen. Das führt hier zu einem Überwiegen der Grundrechtsposition der Klägerin, so dass ihr ein „schutzwürdiges Interesse an dem Ausschluss der Speicherung“ ihrer Daten (§ 29 Abs. 1 Satz 1 Nr. 1 BDSG) zuzubilligen ist.“

Somit haben zumindest solche Ärzte, die keinen kostenpflichtigen Eintrag auf einem solchen Bewertungsportal haben eine Option, gegen negative Bewertungen vorzugehen. Die Argumentation des BGH lässt sich zudem auch auf andere Unternehmen und Berufszweige übertragen.

Wenn Sie sich über unberechtigte Bewertungen ärgern, kontaktieren Sie uns, wir prüfen Ihre Möglichkeiten und beraten Sie gern.

 

Urteil vom 20. Februar 2018 – VI ZR 30/17

URTEIL DES GERICHTSHOFS (Große Kammer)

6. Oktober 2015*

„Vorlage zur Vorabentscheidung – Personenbezogene Daten – Schutz natürlicher Personen bei der Verarbeitung dieser Daten – Charta der Grundrechte der Europäischen Union – Art. 7, 8 und 47 – Richtlinie 95/46/EG – Art. 25 und 28 – Übermittlung personenbezogener Daten in Drittländer – Entscheidung 2000/520/EG – Übermittlung personenbezogener Daten in die Vereinigten Staaten
– Unangemessenes Schutzniveau – Gültigkeit – Beschwerde einer natürlichen Person, deren Daten aus der Europäischen Union in die Vereinigten Staaten übermittelt wurden – Befugnisse der nationalen Kontrollstellen“

In der Rechtssache C-362/14

betreffend ein Vorabentscheidungsersuchen nach Art. 267 AEUV, eingereicht vom High Court (Irland) mit Entscheidung vom 17. Juli 2014, beim Gerichtshof eingegangen am 25. Juli 2014, in dem Verfahren

Maximillian Schrems

gegen

Data Protection Commissioner,

Beteiligte:

Digital Rights Ireland Ltd,

erlässt

DER GERICHTSHOF (Große Kammer)

unter Mitwirkung des Präsidenten V. Skouris, des Vizepräsidenten K. Lenaerts, des Kammerpräsidenten A. Tizzano, der Kammerpräsidentin R. Silva de Lapuerta, der Kammerpräsidenten T. von Danwitz (Berichterstatter) und S. Rodin, der Kammerpräsidentin K. Jürimäe, der Richter A. Rosas, E. Juhász, A. Borg Barthet,

* Verfahrenssprache: Englisch.

J. Malenovský und D. Šváby, der Richterin M. Berger sowie der Richter
F. Biltgen und C. Lycourgos, Generalanwalt: Y. Bot,
Kanzler: L. Hewlett, Hauptverwaltungsrätin,

aufgrund des schriftlichen Verfahrens und auf die mündliche Verhandlung vom
24. März 2015,

unter Berücksichtigung der Erklärungen

– von Herrn Schrems, vertreten durch N. Travers, SC, P. O’Shea, BL, und
G. Rudden, Solicitor, sowie durch Rechtsanwalt H. Hofmann,

– des Data Protection Commissioner, vertreten durch P. McDermott, BL, sowie S. More O’Ferrall und D. Young, Solicitors,

– der Digital Rights Ireland Ltd, vertreten durch F. Crehan, BL, sowie
S. McGarr und E. McGarr, Solicitors,

– Irlands, vertreten durch A. Joyce, B. Counihan und E. Creedon als Bevollmächtigte im Beistand von D. Fennelly, BL,

– der belgischen Regierung, vertreten durch J.-C. Halleux und C. Pochet als Bevollmächtigte,

– der tschechischen Regierung, vertreten durch M. Smolek und J. Vláčil als Bevollmächtigte,

– der italienischen Regierung, vertreten durch G. Palmieri als Bevollmächtigte im Beistand von P. Gentili, avvocato dello Stato,

– der österreichischen Regierung, vertreten durch G. Hesse und G. Kunnert als Bevollmächtigte,

– der polnischen Regierung, vertreten durch M. Kamejsza, M. Pawlicka und
B. Majczyna als Bevollmächtigte,

– der slowenischen Regierung, vertreten durch A. Grum und V. Klemenc als Bevollmächtigte,

– der Regierung des Vereinigten Königreichs, vertreten durch L. Christie und
J. Beeko als Bevollmächtigte im Beistand von J. Holmes, Barrister,

– des Europäischen Parlaments, vertreten durch D. Moore, A. Caiola und
M. Pencheva als Bevollmächtigte,

– der Europäischen Kommission, vertreten durch B. Schima, B. Martenczuk,
B. Smulders und J. Vondung als Bevollmächtigte,

– des Europäischen Datenschutzbeauftragten (EDSB), vertreten durch
C. Docksey, A. Buchta und V. Pérez Asinari als Bevollmächtigte,

nach Anhörung der Schlussanträge des Generalanwalts in der Sitzung vom 23.
September 2015 folgendes

Urteil

1 Das Vorabentscheidungsersuchen betrifft die Auslegung, anhand der Art. 7, 8 und 47 der Charta der Grundrechte der Europäischen Union (im Folgenden: Charta), der Art. 25 Abs. 6 und 28 der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABl. L 281, S. 31) in der durch die Verordnung (EG) Nr. 1882/2003 des Europäischen Parlaments und des Rates vom 29. September 2003 (ABl. L 284, S. 1) geänderten Fassung (im Folgenden: Richtlinie 95/46) sowie, der Sache nach, die Gültigkeit der Entscheidung 2000/520/EG der Kommission vom 26. Juli 2000 gemäß der Richtlinie 95/46 über die Angemessenheit des von den Grundsätzen des „sicheren Hafens“ und der diesbezüglichen „Häufig gestellten Fragen“ (FAQ) gewährleisteten Schutzes, vorgelegt vom Handelsministerium der USA (ABl. L 215, S. 7).

2 Dieses Ersuchen ergeht im Rahmen eines Rechtsstreits zwischen Herrn Schrems und dem Data Protection Commissioner (Datenschutzbeauftragter, im Folgenden: Commissioner) wegen dessen Weigerung, eine von Herrn Schrems eingelegte Beschwerde zu prüfen, die sich dagegen richtet, dass die Facebook Ireland Ltd (im Folgenden: Facebook Ireland) personenbezogene Daten ihrer Nutzer in die Vereinigten Staaten übermittelt und auf dort befindlichen Servern speichert.

Rechtlicher Rahmen

Richtlinie 95/46

3 Die Erwägungsgründe 2, 10, 56, 57, 60, 62 und 63 der Richtlinie 95/46 lauten:

„(2) Die Datenverarbeitungssysteme stehen im Dienste des Menschen; sie haben, ungeachtet der Staatsangehörigkeit oder des Wohnorts der natürlichen Personen, deren Grundrechte und -freiheiten und insbesondere deren Privatsphäre zu achten und zum … Wohlergehen der Menschen beizutragen.

(10) Gegenstand der einzelstaatlichen Rechtsvorschriften über die Verarbeitung personenbezogener Daten ist die Gewährleistung der Achtung der Grundrechte und -freiheiten, insbesondere des auch in Artikel 8 der [am 4. November 1950 in Rom unterzeichneten] Europäischen Konvention zum Schutze der Menschenrechte und Grundfreiheiten und in den allgemeinen Grundsätzen des Gemeinschaftsrechts anerkannten Rechts auf die Privatsphäre. Die Angleichung dieser Rechtsvorschriften darf deshalb nicht zu einer Verringerung des durch diese Rechtsvorschriften garantierten Schutzes führen, sondern muss im Gegenteil darauf abzielen, in der Gemeinschaft ein hohes Schutzniveau sicherzustellen.

(56) Grenzüberschreitender Verkehr von personenbezogenen Daten ist für die Entwicklung des internationalen Handels notwendig. Der in der Gemeinschaft durch diese Richtlinie gewährte Schutz von Personen steht der Übermittlung personenbezogener Daten in Drittländer, die ein angemessenes Schutzniveau aufweisen, nicht entgegen. Die Angemessenheit des Schutzniveaus, das ein Drittland bietet, ist unter Berücksichtigung aller Umstände im Hinblick auf eine Übermittlung oder eine Kategorie von Übermittlungen zu beurteilen.

(57) Bietet hingegen ein Drittland kein angemessenes Schutzniveau, so ist die Übermittlung personenbezogener Daten in dieses Land zu untersagen.

(60) Übermittlungen in Drittstaaten dürfen auf jeden Fall nur unter voller Einhaltung der Rechtsvorschriften erfolgen, die die Mitgliedstaaten gemäß dieser Richtlinie, insbesondere gemäß Artikel 8, erlassen haben.

(62) Die Einrichtung unabhängiger Kontrollstellen in den Mitgliedstaaten ist ein wesentliches Element des Schutzes der Personen bei der Verarbeitung personenbezogener Daten.

(63) Diese Stellen sind mit den notwendigen Mitteln für die Erfüllung dieser Aufgabe auszustatten, d. h. Untersuchungs- und Einwirkungsbefugnissen, insbesondere bei Beschwerden, sowie Klagerecht. …

4 Die Artikel 1, 2, 25, 26, 28 und 31 der Richtlinie 95/46 bestimmen:

„Artikel 1

Gegenstand der Richtlinie

(1) Die Mitgliedstaaten gewährleisten nach den Bestimmungen dieser Richtlinie den Schutz der Grundrechte und Grundfreiheiten und insbesondere den Schutz der Privatsphäre natürlicher Personen bei der Verarbeitung personenbezogener Daten.

Artikel 2

Begriffsbestimmungen

Im Sinne dieser Richtlinie bezeichnet der Ausdruck

a) ‚personenbezogene Daten‘: alle Informationen über eine bestimmte oder bestimmbare natürliche Person (‚betroffene Person‘); als bestimmbar wird eine Person angesehen, die direkt oder indirekt identifiziert werden kann, insbesondere durch Zuordnung zu einer Kennnummer oder zu einem oder mehreren spezifischen Elementen, die Ausdruck ihrer physischen, physiologischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität sind;

b) ‚Verarbeitung personenbezogener Daten‘ (‚Verarbeitung‘) jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Speichern, die Organisation, die Aufbewahrung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Benutzung, die Weitergabe durch Übermittlung, Verbreitung oder jede andere Form der Bereitstellung, die Kombination oder die Verknüpfung sowie das Sperren, Löschen oder Vernichten;

d) ‚für die Verarbeitung Verantwortlicher‘ die natürliche oder juristische Person, Behörde, Einrichtung oder jede andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Sind die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten in einzelstaatlichen oder gemeinschaftlichen Rechts- und Verwaltungsvorschriften festgelegt, so können der für die Verarbeitung Verantwortliche bzw. die spezifischen Kriterien für seine Benennung durch einzelstaatliche oder gemeinschaftliche Rechtsvorschriften bestimmt werden;

Artikel 25

Grundsätze

(1) Die Mitgliedstaaten sehen vor, dass die Übermittlung personenbezogener Daten, die Gegenstand einer Verarbeitung sind oder nach der Übermittlung verarbeitet werden sollen, in ein Drittland vorbehaltlich der Beachtung der aufgrund der anderen Bestimmungen dieser Richtlinie erlassenen einzelstaatlichen Vorschriften zulässig ist, wenn dieses Drittland ein angemessenes Schutzniveau gewährleistet.

(2) Die Angemessenheit des Schutzniveaus, das ein Drittland bietet, wird unter Berücksichtigung aller Umstände beurteilt, die bei einer Datenübermittlung oder einer Kategorie von Datenübermittlungen eine Rolle spielen; insbesondere werden die Art der Daten, die Zweckbestimmung sowie die Dauer der geplanten Verarbeitung, das Herkunfts- und das Endbestimmungsland, die in dem betreffenden Drittland geltenden allgemeinen oder sektoriellen Rechtsnormen sowie die dort geltenden Standesregeln und Sicherheitsmaßnahmen berücksichtigt.

(3) Die Mitgliedstaaten und die Kommission unterrichten einander über die Fälle, in denen ihres Erachtens ein Drittland kein angemessenes Schutzniveau im Sinne des Absatzes 2 gewährleistet.

(4) Stellt die Kommission nach dem Verfahren des Artikels 31 Absatz 2 fest, dass ein Drittland kein angemessenes Schutzniveau im Sinne des Absatzes 2 des vorliegenden Artikels aufweist, so treffen die Mitgliedstaaten die erforderlichen Maßnahmen, damit keine gleichartige Datenübermittlung in das Drittland erfolgt.

(5) Zum geeigneten Zeitpunkt leitet die Kommission Verhandlungen ein, um Abhilfe für die gemäß Absatz 4 festgestellte Lage zu schaffen.

(6) Die Kommission kann nach dem Verfahren des Artikels 31 Absatz 2 feststellen, dass ein Drittland aufgrund seiner innerstaatlichen Rechtsvorschriften oder internationaler Verpflichtungen, die es insbesondere infolge der Verhandlungen gemäß Absatz 5 eingegangen ist, hinsichtlich des Schutzes der Privatsphäre sowie der Freiheiten und Grundrechte von Personen ein angemessenes Schutzniveau im Sinne des Absatzes 2 gewährleistet.

Die Mitgliedstaaten treffen die aufgrund der Feststellung der Kommission gebotenen Maßnahmen.

Artikel 26

Ausnahmen

(1) Abweichend von Artikel 25 sehen die Mitgliedstaaten vorbehaltlich entgegenstehender Regelungen für bestimmte Fälle im innerstaatlichen Recht vor, dass eine Übermittlung oder eine Kategorie von Übermittlungen

personenbezogener Daten in ein Drittland, das kein angemessenes Schutzniveau im Sinne des Artikels 25 Absatz 2 gewährleistet, vorgenommen werden kann, sofern

a) die betroffene Person ohne jeden Zweifel ihre Einwilligung gegeben hat oder

b) die Übermittlung für die Erfüllung eines Vertrags zwischen der betroffenen Person und dem für die Verarbeitung Verantwortlichen oder zur Durchführung von vorvertraglichen Maßnahmen auf Antrag der betroffenen Person erforderlich ist oder

c) die Übermittlung zum Abschluss oder zur Erfüllung eines Vertrags erforderlich ist, der im Interesse der betroffenen Person vom für die Verarbeitung Verantwortlichen mit einem Dritten geschlossen wurde oder geschlossen werden soll, oder

d) die Übermittlung entweder für die Wahrung eines wichtigen öffentlichen Interesses oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen vor Gericht erforderlich oder gesetzlich vorgeschrieben ist oder

e) die Übermittlung für die Wahrung lebenswichtiger Interessen der betroffenen Person erforderlich ist oder

f) die Übermittlung aus einem Register erfolgt, das gemäß den Rechts- oder Verwaltungsvorschriften zur Information der Öffentlichkeit bestimmt ist und entweder der gesamten Öffentlichkeit oder allen Personen, die ein berechtigtes Interesse nachweisen können, zur Einsichtnahme offensteht, soweit die gesetzlichen Voraussetzungen für die Einsichtnahme im Einzelfall gegeben sind.

(2) Unbeschadet des Absatzes 1 kann ein Mitgliedstaat eine Übermittlung oder eine Kategorie von Übermittlungen personenbezogener Daten in ein Drittland genehmigen, das kein angemessenes Schutzniveau im Sinne des Artikels 25 Absatz 2 gewährleistet, wenn der für die Verarbeitung Verantwortliche ausreichende Garantien hinsichtlich des Schutzes der Privatsphäre, der Grundrechte und der Grundfreiheiten der Personen sowie hinsichtlich der Ausübung der damit verbundenen Rechte bietet; diese Garantien können sich insbesondere aus entsprechenden Vertragsklauseln ergeben.

(3) Der Mitgliedstaat unterrichtet die Kommission und die anderen Mitgliedstaaten über die von ihm nach Absatz 2 erteilten Genehmigungen.

Legt ein anderer Mitgliedstaat oder die Kommission einen in Bezug auf den Schutz der Privatsphäre, der Grundrechte und [der Grundfreiheiten] der Personen

hinreichend begründeten Widerspruch ein, so erlässt die Kommission die geeigneten Maßnahmen nach dem Verfahren des Artikels 31 Absatz 2.

Die Mitgliedstaaten treffen die aufgrund des Beschlusses der Kommission gebotenen Maßnahmen.

Artikel 28

Kontrollstelle

(1) Die Mitgliedstaaten sehen vor, dass eine oder mehrere öffentliche Stellen beauftragt werden, die Anwendung der von den Mitgliedstaaten zur Umsetzung dieser Richtlinie erlassenen einzelstaatlichen Vorschriften in ihrem Hoheitsgebiet zu überwachen.

Diese Stellen nehmen die ihnen zugewiesenen Aufgaben in völliger Unabhängigkeit wahr.

(2) Die Mitgliedstaaten sehen vor, dass die Kontrollstellen bei der Ausarbeitung von Rechtsverordnungen oder Verwaltungsvorschriften bezüglich des Schutzes der Rechte und Freiheiten von Personen bei der Verarbeitung personenbezogener Daten angehört werden.

(3) Jede Kontrollstelle verfügt insbesondere über:

– Untersuchungsbefugnisse, wie das Recht auf Zugang zu Daten, die Gegenstand von Verarbeitungen sind, und das Recht auf Einholung aller für die Erfüllung ihres Kontrollauftrags erforderlichen Informationen;

– wirksame Einwirkungsbefugnisse, wie beispielsweise die Möglichkeit, im Einklang mit Artikel 20 vor der Durchführung der Verarbeitungen Stellungnahmen abzugeben und für eine geeignete Veröffentlichung der Stellungnahmen zu sorgen, oder die Befugnis, die Sperrung, Löschung oder Vernichtung von Daten oder das vorläufige oder endgültige Verbot einer Verarbeitung anzuordnen, oder die Befugnis, eine Verwarnung oder eine Ermahnung an den für die Verarbeitung Verantwortlichen zu richten oder die Parlamente oder andere politische Institutionen zu befassen;

– das Klagerecht oder eine Anzeigebefugnis bei Verstößen gegen die einzelstaatlichen Vorschriften zur Umsetzung dieser Richtlinie.

Gegen beschwerende Entscheidungen der Kontrollstelle steht der Rechtsweg offen.

(4) Jede Person oder ein sie vertretender Verband kann sich zum Schutz der die Person betreffenden Rechte und Freiheiten bei der Verarbeitung

personenbezogener Daten an jede Kontrollstelle mit einer Eingabe wenden. Die betroffene Person ist darüber zu informieren, wie mit der Eingabe verfahren wurde.

Jede Kontrollstelle kann insbesondere von jeder Person mit dem Antrag befasst werden, die Rechtmäßigkeit einer Verarbeitung zu überprüfen, wenn einzelstaatliche Vorschriften gemäß Artikel 13 Anwendung finden. Die Person ist unter allen Umständen darüber zu unterrichten, dass eine Überprüfung stattgefunden hat.

(6) Jede Kontrollstelle ist im Hoheitsgebiet ihres Mitgliedstaats für die Ausübung der ihr gemäß Absatz 3 übertragenen Befugnisse zuständig, unabhängig vom einzelstaatlichen Recht, das auf die jeweilige Verarbeitung anwendbar ist. Jede Kontrollstelle kann von einer Kontrollstelle eines anderen Mitgliedstaats um die Ausübung ihrer Befugnisse ersucht werden.

Artikel 31

(2) Wird auf diesen Artikel Bezug genommen, so gelten die Artikel 4 und 7 des Beschlusses 1999/468/EG [des Rates vom 28. Juni 1999 zur Festlegung der Modalitäten für die Ausübung der der Kommission übertragenen Durchführungsbefugnisse (ABl. L 184, S. 23)] unter Beachtung von dessen Artikel 8.

…“

Entscheidung 2000/520

5 Die Entscheidung 2000/520 wurde von der Kommission auf der Grundlage von Art. 25 Abs. 6 der Richtlinie 95/46 erlassen.

6 Die Erwägungsgründe 2, 5 und 8 dieser Entscheidung lauten:

„(2) Die Kommission kann feststellen, dass ein Drittland ein angemessenes Datenschutzniveau gewährleistet. In diesem Fall können personenbezogene Daten aus den Mitgliedstaaten übermittelt werden, ohne dass zusätzliche Garantien erforderlich sind.

(5) Das durch diese Entscheidung anerkannte angemessene Schutzniveau für die Übermittlung von Daten aus der Gemeinschaft in die Vereinigten Staaten

sollte erreicht sein, wenn die Organisationen die ‚Grundsätze des ´sicheren Hafens´ zum Datenschutz‘ für den Schutz personenbezogener Daten, die aus einem Mitgliedstaat in die Vereinigten Staaten übermittelt werden (im Folgenden ‚die Grundsätze‘ genannt) sowie die ‚Häufig gestellten Fragen‘ (‚Frequently Asked Questions‘, im Folgenden ‚FAQ‘ genannt) beachten, die Leitlinien für die Umsetzung der von der Regierung der Vereinigten Staaten von Amerika am 21. Juli 2000 veröffentlichten Grundsätze darstellen. Die Organisationen müssen ferner ihre Geschäftsbedingungen zum Datenschutz offen legen und der Zuständigkeit der Federal Trade Commission (FTC) gemäß Abschnitt 5 des Federal Trade Commission Act, der unlautere und irreführende Handlungen und Praktiken, die im Handel erfolgen oder die den Handel beeinträchtigen, verbietet, bzw. der Zuständigkeit anderer gesetzlicher Organe unterliegen, die die Einhaltung der entsprechend den FAQ umgesetzten Grundsätze effektiv gewährleisten.

(8) Im Interesse der Transparenz und um die Fähigkeit der zuständigen Behörden in den Mitgliedstaaten zu erhalten, den Schutz von Personen bei der Verarbeitung ihrer personenbezogenen Daten zu gewährleisten, ist es ungeachtet der Feststellung des angemessenen Schutzniveaus notwendig, in dieser Entscheidung die besonderen Umstände zu nennen, unter denen die Aussetzung bestimmter Datenübermittlungen gerechtfertigt sein sollte.“

7 Die Art. 1 bis 4 der Entscheidung 2000/520 lauten:

„Artikel 1

(1) Es wird davon ausgegangen, dass die dieser Entscheidung als Anhang I beigefügten ‚Grundsätze des ´sicheren Hafens´ zum Datenschutz‘, im Folgenden
‚die Grundsätze‘ genannt, die gemäß den in den vom US-Handelsministerium am
21. Juli 2000 herausgegebenen, dieser Entscheidung als Anhang II beigefügten,
‚Häufig gestellten Fragen‘ (FAQ) enthaltenen Leitlinien umgesetzt werden, für alle unter die Richtlinie 95/46/EG fallenden Tätigkeiten ein im Sinne des Artikels 25 Absatz 2 dieser Richtlinie angemessenes Schutzniveau für personenbezogene Daten gewährleisten, die von der Europäischen Union an in den Vereinigten Staaten niedergelassene Organisationen übermittelt werden, unter Berücksichtigung folgender vom US-Handelsministerium veröffentlichter Dokumente:

a) die ‚sicherer Hafen Durchsetzungsmechanismen‘ (Anhang III),

b) ein Memorandum über Entschädigungen für die Verletzung der Privatsphäre und ausdrückliche Ermächtigungen gemäß dem US-Recht (Anhang IV),

c) ein Schreiben der Federal Trade Commission (Anhang V),

d) ein Schreiben des US-Verkehrsministeriums (Anhang VI).

(2) Im Hinblick auf jede Datenübermittlung müssen folgende Voraussetzungen erfüllt sein:

a) Die Organisation, die die Daten erhält, hat sich eindeutig und öffentlich verpflichtet, die Grundsätze einzuhalten, die entsprechend den FAQ umgesetzt wurden; und

b) die Organisation unterliegt den gesetzlichen Befugnissen einer in Anhang VII dieser Entscheidung aufgeführten staatlichen Einrichtung in den Vereinigten Staaten, die berechtigt ist, im Fall der Nichtbeachtung der Grundsätze, die entsprechend den FAQ umgesetzt wurden, Beschwerden zu prüfen und Abhilfe wegen unlauterer und irreführender Praktiken sowie Schadenersatz für Privatpersonen zu erwirken, und zwar ungeachtet des Landes, in dem sie ihren Wohnsitz haben, oder ihrer Nationalität.

(3) Die Voraussetzungen des Absatzes 2 gelten ab dem Zeitpunkt als erfüllt, zu dem die Organisation, die ihren Beitritt zu den entsprechend den FAQ umgesetzten Grundsätzen bescheinigt, dem Handelsministerium der USA (oder der von ihm benannten Stelle) die öffentliche Bekanntgabe ihrer Verpflichtung nach Absatz 2 Buchstabe a) und die Identität der staatlichen Einrichtung nach Absatz 2 Buchstabe b) mitteilt.

Artikel 2

Die vorliegende Entscheidung betrifft nur die Angemessenheit des Schutzes, der in den Vereinigten Staaten nach den entsprechend den FAQ umgesetzten Grundsätzen gewährt wird, um die Anforderungen des Artikels 25 Absatz 1 der Richtlinie 95/46/EG zu erfüllen. Die Anwendung anderer Bestimmungen der Richtlinie, die sich auf die Verarbeitung personenbezogener Daten in den Mitgliedstaaten beziehen, einschließlich Artikel 4, [bleibt] von dieser Entscheidung unberührt.

Artikel 3

(1) Ungeachtet ihrer Befugnisse, tätig zu werden, um die Einhaltung einzelstaatlicher Vorschriften, die gemäß anderen Bestimmungen als denjenigen des Artikels 25 der Richtlinie 95/46/EG erlassen wurden, zu gewährleisten, können die zuständigen Behörden in den Mitgliedstaaten ihre bestehenden Befugnisse ausüben, zum Schutz von Privatpersonen bei der Verarbeitung ihrer personenbezogenen Daten die Datenübermittlung an eine Organisation auszusetzen, die den Grundsätzen, die entsprechend den FAQ umgesetzt wurden, beigetreten ist, wenn

a) die in Anhang VII dieser Entscheidung erwähnte staatliche Einrichtung in den Vereinigten Staaten oder eine unabhängige Instanz im Sinne von

Buchstabe a) des in Anhang I dieser Entscheidung erwähnten Durchsetzungsgrundsatzes feststellt, dass die betreffende Organisation die Grundsätze, die entsprechend den FAQ umgesetzt wurden, verletzt oder

b) eine hohe Wahrscheinlichkeit besteht, dass die Grundsätze verletzt werden; wenn Grund zur Annahme besteht, dass die jeweilige Durchsetzungsinstanz nicht rechtzeitig angemessene Maßnahmen ergreift bzw. ergreifen wird, um den Fall zu lösen; wenn die fortgesetzte Datenübermittlung für die betroffenen Personen das unmittelbar bevorstehende Risiko eines schweren Schadens schaffen würde und wenn die zuständigen Behörden in den Mitgliedstaaten die Organisation unter den gegebenen Umständen in angemessener Weise unterrichtet und ihr Gelegenheit zu Stellungnahme gegeben haben.

Die Aussetzung ist zu beenden, sobald sichergestellt ist, dass die Grundsätze, die entsprechend den FAQ umgesetzt wurden, befolgt werden, und die zuständigen Behörden in der EU davon in Kenntnis gesetzt sind.

(2) Die Mitgliedstaaten informieren die Kommission unverzüglich, wenn Maßnahmen gemäß Absatz 1 ergriffen wurden.

(3) Die Mitgliedstaaten und die Kommission informieren einander auch über Fälle, bei denen die Maßnahmen der für die Einhaltung der entsprechend den FAQ umgesetzten Grundsätze in den Vereinigten Staaten verantwortlichen Einrichtungen nicht ausreichen, um die Einhaltung zu gewährleisten.

(4) Ergeben die Informationen nach den Absätzen 1, 2 und 3, dass eine der für die Einhaltung der entsprechend den FAQ umgesetzten Grundsätze in den Vereinigten Staaten verantwortlichen Einrichtungen ihrer Aufgabe nicht wirkungsvoll nachkommt, so informiert die Kommission das Handelsministerium der USA und schlägt, wenn nötig, gemäß dem Verfahren nach Artikel 31 der Richtlinie im Hinblick auf eine Aufhebung, Aussetzung oder Beschränkung des Geltungsbereichs dieser Entscheidung entsprechende Maßnahmen vor.

Artikel 4

(1) Diese Entscheidung kann jederzeit im Licht der Erfahrungen mit ihrer Anwendung angepasst werden und/oder dann, wenn das durch die Grundsätze und die FAQ gewährte Schutzniveau in die Rechtsvorschriften der USA übernommen wird.

In jedem Fall nimmt die Kommission drei Jahre, nachdem sie die Mitgliedstaaten von dieser Entscheidung in Kenntnis gesetzt hat, anhand der verfügbaren Informationen eine Bewertung ihrer Umsetzung vor und unterrichtet den nach Artikel 31 der Richtlinie 95/46/EG eingesetzten Ausschuss über sämtliche relevanten Feststellungen, einschließlich aller Erkenntnisse, die die Beurteilung der Vereinbarung in Artikel 1 als zur Gewährleistung des Datenschutzes

angemessen im Sinne von Artikel 25 der Richtlinie 95/46/EG berühren könnten, sowie etwaiger Belege dafür, dass die vorliegende Entscheidung in diskriminierender Weise angewandt wird.

(2) Die Kommission legt erforderlichenfalls gemäß dem Verfahren nach Artikel 31 der Richtlinie Vorschläge für Maßnahmen vor.“

8 In Anhang I der Entscheidung 2000/520 heißt es:

„Grundsätze des ‚sicheren Hafens‘ zum Datenschutz

vorgelegt vom amerikanischen Handelsministerium am 21. Juli 2000

… [D]as Handelsministerium [legt] unter seiner gesetzlichen Autorität, internationalen Handel zu pflegen, zu fördern und zu entwickeln, dieses Papier und so genannte ‚Häufig gestellte Fragen‘ – FAQs (‚die Grundsätze‘) vor. Die Grundsätze wurden in Absprache mit der Industrie und der breiten Öffentlichkeit entwickelt, um den Handel zwischen der Europäischen Union und den Vereinigten Staaten zu erleichtern. Sie sind ausschließlich für den Gebrauch durch US-Organisationen bestimmt, die personenbezogene Daten aus der Europäischen Union erhalten, um sich für den ‚sicheren Hafen‘ und die daraus erwachsende Vermutung der ‚Angemessenheit‘ des Datenschutzes zu qualifizieren. Da die Grundsätze ausschließlich für diesen spezifischen Zweck erarbeitet wurden, können sie für andere Zwecke ungeeignet sein. …

Die Entscheidung der einzelnen Organisationen, sich für den ‚sicheren Hafen‘ zu qualifizieren, ist vollkommen freiwillig, und die Organisationen können sich für das Konzept des ‚sicheren Hafens‘ auf verschiedene Arten qualifizieren. …

Die Geltung dieser Grundsätze kann begrenzt werden a) insoweit, als Erfordernissen der nationalen Sicherheit, des öffentlichen Interesses oder der Durchführung von Gesetzen Rechnung getragen werden muss, b) durch Gesetzesrecht, staatliche Regulierungsvorschriften oder Fallrecht, die unvereinbare Verpflichtungen oder ausdrückliche Ermächtigungen schaffen, vorausgesetzt, die Organisation kann in Wahrnehmung dieser Ermächtigungen nachweisen, dass die Nichteinhaltung der Grundsätze sich auf das Ausmaß beschränkte, das die Einhaltung übergeordneter berechtigter Interessen aufgrund eben dieser Ermächtigung erforderte, oder c) wenn die Richtlinie oder das nationale Recht Ausnahmeregelungen vorsieht, sofern diese Ausnahmeregelungen unter vergleichbaren Voraussetzungen getroffen werden. Im Hinblick auf das Ziel eines wirksameren Schutzes der Privatsphäre sollen die Organisationen die Grundsätze in vollem Umfang und in transparenter Weise anwenden, unter anderem indem sie angeben, in welchen Fällen Abweichungen von den Grundsätzen, die nach b) zulässig sind, bei ihren Datenschutzmaßnahmen regelmäßig Anwendung finden werden. Aus demselben Grund wird, wenn die

Wahlmöglichkeit nach den Grundsätzen und/oder nach dem US-Recht besteht, von den Organisationen erwartet, dass sie sich, sofern möglich, für das höhere Schutzniveau entscheiden.

…“

9 In Anhang II der Entscheidung 2000/520 heißt es:

„Häufig gestellte Fragen (FAQ)

FAQ 6 – Selbstzertifizierung

F: Wie zertifiziert eine Organisation, dass sie die Grundsätze des ‚sicheren Hafens‘ als verbindlich anerkennt?

A: In den Genuss der Vorteile des ‚sicheren Hafens‘ kommt eine Organisation ab dem Tag, an dem sie dem US-Handelsministerium (oder einer von diesem benannten Stelle) gegenüber erklärt, dass sie entsprechend den nachstehenden Leitlinien den Grundsätzen des ‚sicheren Hafens‘ beitritt (Selbstzertifizierung).

Um sich selbst zu zertifizieren, muss die Organisation dem US- Handelsministerium (oder einer von diesem benannten Stelle) ein von einem leitenden Mitarbeiter im Namen der Organisation unterzeichnetes Schreiben vorlegen, das mindestens folgende Angaben enthält:

1. Name der Organisation, Postanschrift, E-Mail-Adresse, Telefon- und Faxnummer;

2. Beschreibung der Tätigkeit der Organisation im Zusammenhang mit personenbezogenen Daten aus der EU und

3. Beschreibung der Geschäftsbedingungen für den Datenschutz der Organisation, die folgende Angaben umfassen muss: a) Ort, an dem diese Beschreibung von der Öffentlichkeit eingesehen werden kann;
b) Tag, an dem diese Vorkehrungen in Kraft gesetzt wurden;
c) Kontaktstelle, die für die Bearbeitung von Beschwerden, Auskunftsersuchen und anderen Angelegenheiten des sicheren Hafens zuständig ist; d) die gesetzliche Aufsichtsbehörde, die über Beschwerden gegen die Organisation wegen unlauteren oder irreführenden Geschäftsgebarens und wegen Verletzung von datenschutzrechtlichen Vorschriften entscheidungsbefugt ist (und im Anhang zu den Grundsätzen aufgeführt ist); e) die Bezeichnungen aller Datenschutzprogramme, an denen die Organisation teilnimmt; f) die Art der anlassunabhängigen Kontrolle (z. B. intern oder extern) … und

g) das unabhängige Schiedsverfahren zur Behandlung ungelöster Beschwerdefälle.

Wenn die Organisation wünscht, dass ihr die Vorteile des sicheren Hafens auch bei Personaldaten zuteil werden, die zur Verwendung im Rahmen von Beschäftigungsverhältnissen aus der EU übermittelt werden, muss es eine gesetzliche Aufsichtsbehörde geben, die über Beschwerden gegen die Organisation hinsichtlich Arbeitnehmerdaten beschwerdebefugt ist; diese Stelle muss im Anhang zu den Grundsätzen genannt sein. …

Das Ministerium (oder die von ihm benannte Stelle) führt eine Liste aller Organisationen, die sich selbst zertifizieren und denen damit die Vorteile des
‚sicheren Hafens‘ zustehen. Die Liste wird nach den jährlich eingehenden Selbstzertifizierungsschreiben und den nach FAQ 11 eingegangenen Mitteilungen aktualisiert. …

FAQ 11 – Schiedsverfahren und Durchsetzungsprinzip

F: Wie sind die im Durchsetzungsprinzip enthaltenen Anforderungen an die Behandlung von Beschwerden in die Praxis umzusetzen und was geschieht, wenn eine Organisation fortgesetzt gegen die Grundsätze des ‚sicheren Hafens‘ verstößt?

A: Im Durchsetzungsprinzip ist festgelegt, wie den Grundsätzen des sicheren Hafens Geltung zu verschaffen ist. Wie Punkt b) des Durchsetzungsgrundsatzes zu entsprechen ist, wird in FAQ 7 (Kontrolle) ausgeführt. Diese FAQ 11 befasst sich mit den Punkten a) und c), die beide die Forderung nach unabhängigen Schiedsstellen enthalten. Das Beschwerdeverfahren kann auf verschiedene Weise ausgestaltet werden, es muss aber die im Durchsetzungsgrundsatz genannten Anforderungen erfüllen. Organisationen können diese Forderungen des Durchsetzungsgrundsatzes wie folgt erfüllen: 1. indem sie von der Privatwirtschaft entwickelte Datenschutzprogramme befolgen, in deren Regeln die Grundsätze des ‚sicheren Hafens‘ integriert sind und die wirksame Durchsetzungsmechanismen vorsehen, wie sie im Durchsetzungsgrundsatz beschrieben sind; 2. indem sie sich gesetzlich oder durch Rechtsverordnung vorgesehenen Kontrollorganen unterwerfen, die Beschwerden von Einzelpersonen nachgehen und Streitigkeiten schlichten;
3. indem sie sich verpflichten, mit den Datenschutzbehörden in der Europäischen Union oder mit deren bevollmächtigten Vertretern zusammenzuarbeiten. Die hier angeführten Möglichkeiten sind Beispiele, es handelt sich nicht um eine abschließende Aufzählung. Die Privatwirtschaft kann auch andere Durchsetzungsmechanismen einführen, sie müssen nur die Forderungen erfüllen, die im Durchsetzungsgrundsatz und in den FAQ

niedergelegt sind. Zu beachten ist, dass die Forderungen des Durchsetzungsgrundsatzes die Forderung ergänzen, die im dritten Absatz der Einführung zu den Grundsätzen des sicheren Hafens formuliert ist. Danach müssen auch bei Selbstregulierung Verstöße gegen die Grundsätze gemäß Abschnitt 5 des Federal Trade Commission Act oder einem ähnlichen Gesetz verfolgbar sein.

Anrufung unabhängiger Beschwerdestellen:

Die Verbraucher sollen dazu angehalten werden, Beschwerden zunächst an die Organisation zu richten, die ihre Daten verarbeitet, ehe sie eine unabhängige Beschwerdestelle anrufen. …

Befassung der FTC:

Die FTC will Beschwerden wegen Verletzung der Grundsätze des sicheren Hafens, die Selbstregulierungsorgane für den Datenschutz wie BBBOnline und TRUSTe und EU-Mitgliedstaaten an sie verweisen, vorrangig behandeln, und feststellen, ob gegen Abschnitt 5 des FTC Act verstoßen wurde, der unlautere und irreführende Geschäftspraktiken verbietet. …

…“

10 Anhang IV der Entscheidung 2000/520 sieht vor:

„Datenschutz und Schadenersatz, rechtliche Ermächtigungen, Fusionen und Übernahmen im Rahmen des US-amerikanischen Rechts

Diese Stellung[nahme] nimmt Bezug auf das Ersuchen der Europäischen Kommission um Klärung des US-amerikanischen Rechts in Bezug auf
a) Schadenersatzansprüche wegen Verletzung der Privatsphäre, b) ‚ausdrückliche Ermächtigungen‘ im Rahmen des US-amerikanischen Rechts für die Verwendung personenbezogener Informationen auf eine Art und Weise, die nicht in Einklang mit den US-Grundsätzen des sicheren Hafens steht, sowie c) die Auswirkungen von Fusionen und Übernahmen auf nach Maßgabe der Grundsätze des sicheren Hafens übernommene Verpflichtungen.

B. Ausdrückliche rechtliche Ermächtigungen

Die Grundsätze des sicheren Hafens sehen eine Ausnahme vor, wenn aufgrund der Gesetze, Rechtsvorschriften oder des Fallrechts ‚widersprüchliche Verpflichtungen oder ausdrückliche Ermächtigungen entstehen, stets vorausgesetzt, dass ein Unternehmen bei der Ausübung einer solchen

Ermächtigung demonstrieren kann, dass seine Nichtbefolgung der Grundsätze auf den Umfang beschränkt ist, der erforderlich ist, um den durch eine solche Ermächtigung geförderten ausschlaggebenden legitimen Interessen nachzukommen‘. Es steht jedoch eindeutig fest, dass, wenn aufgrund des US- amerikanischen Rechts eine den Grundsätzen des sicheren Hafens entgegenstehende Verpflichtung auferlegt wird, die US-Unternehmen die Gesetze einhalten müssen, und zwar ungeachtet dessen, ob sie auf die Grundsätze des sicheren Hafens verpflichtet sind oder nicht. Während die Grundsätze des sicheren Hafens darauf abzielen, die Unterschiede zwischen dem US-amerikanischen und den europäischen Rechtssystemen für den Schutz der Privatsphäre zu überbrücken, haben wir uns, was ausdrückliche Ermächtigungen betrifft, den Vorrechten unserer gewählten Gesetzgeber zu fügen. Durch die in beschränktem Umfang mögliche Abweichung von einer strikten Befolgung der Grundsätze des sicheren Hafens soll ein Gleichgewicht geschaffen werden, um somit den berechtigten Interessen beider Seiten nachzukommen.

Ausnahmen sind beschränkt auf Fälle, bei denen eine ausdrückliche Ermächtigung vorliegt. Daher müssen in dieser Grenzsituation die entsprechenden Gesetze, Rechtsverordnungen oder Gerichtsentscheidungen das spezifische Verhalten der auf die Grundsätze des sicheren Hafens verpflichteten Unternehmen ausdrücklich genehmigen. Anders ausgedrückt, würde die Ausnahme nicht in Fällen gelten, hinsichtlich deren keine entsprechende rechtliche Äußerung vorliegt. Darüber hinaus würde die Ausnahme nur gelten, wenn die ausdrückliche Ermächtigung der Befolgung der Grundsätze des sicheren Hafens entgegensteht. Auch in einem solchen Fall ‚beschränkt sich die Ausnahme auf das Maß, das erforderlich ist, um den durch eine solche Ermächtigung geförderten ausschlaggebenden rechtmäßigen Interessen nachzukommen‘. So würde beispielsweise in Fällen, bei denen das Recht eine Gesellschaft lediglich ermächtigt, staatlichen Stellen personenbezogene Informationen zu liefern, die Ausnahme nicht gelten. Umgekehrt wäre jedoch in Fällen, bei denen das Recht eine Gesellschaft explizit ermächtigt, staatlichen Stellen ohne die jeweilige Zustimmung des Einzelnen personenbezogene Informationen zu liefern, eine ‚ausdrückliche Ermächtigung‘ gegeben, auf eine Art und Weise zu handeln, die den Grundsätzen des sicheren Hafens entgegensteht. Oder aber spezifische Ausnahmen von den ausdrücklichen Erfordernissen, eine entsprechende Mitteilung zu machen und die Zustimmung einzuholen, würden in den Ausnahmebereich fallen (da dies einer spezifischen Ermächtigung gleichkommen würde, Informationen ohne entsprechende Mitteilung und Zustimmung offen zu legen). So könnte beispielsweise ein Gesetz, das Ärzten gestattet, die medizinischen Daten ihrer Patienten ohne die vorherige Zustimmung der Patienten an Beamte des Gesundheitsamts weiterzugeben, eine Ausnahme vom Mitteilungs- und Wahlmöglichkeitsgrundsatz gewähren. Diese Ermächtigung würde es einem Arzt nicht gestatten, dieselben medizinischen Daten an Gesundheitsvorsorgeeinrichtungen oder kommerzielle pharmazeutische Forschungslabors weiterzugeben, was das Maß der von Rechts wegen erteilten Ermächtigung übersteigen und daher die Reichweite des Ausnahmefalls überschreiten würde. Bei der in Frage stehenden rechtlichen Ermächtigung kann

es sich um eine ‚einzelne‘ Ermächtigung handeln, bestimmte Dinge mit personenbezogenen Daten zu tun; wie die nachstehenden Beispiele jedoch zeigen, handelt es sich eher um eine Ausnahme im Hinblick auf ein weitreichenderes Gesetz, das die Erhebung, Verwendung und Offenlegung personenbezogener Informationen verbietet.

…“

Mitteilung COM(2013) 846 final

11 Am 27. November 2013 erließ die Kommission eine Mitteilung an das Europäische Parlament und den Rat mit dem Titel „Wiederherstellung des Vertrauens beim Datenaustausch zwischen der EU und den USA“ (COM[2013] 846 final) (im Folgenden: Mitteilung COM[2013] 846 final). Begleitet wurde diese Mitteilung von einem ebenfalls vom 27. November 2013 datierenden Bericht über die Ergebnisse der EU-Ko-Vorsitzenden der Ad-hoc-Arbeitsgruppe EU-USA zum Datenschutz („Report on the Findings by the EU Co-chairs of the ad hoc EU-US Working Group on Data Protection“). Dieser Bericht war, wie aus seinem Abschnitt 1 hervorgeht, in Zusammenarbeit mit den Vereinigten Staaten von Amerika erstellt worden, nachdem bekannt geworden war, dass es dort mehrere Überwachungsprogramme gibt, die auch die Sammlung und Verarbeitung personenbezogener Daten in großem Umfang einschließen. Der Bericht enthält u. a. eine eingehende Analyse der Rechtsordnung der Vereinigten Staaten, insbesondere in Bezug auf die Rechtsgrundlagen der Überwachungsprogramme sowie der Sammlung und Verarbeitung personenbezogener Daten durch die amerikanischen Behörden.

12 In Abschnitt 1 der Mitteilung COM(2013) 846 final führt die Kommission aus:
„Das Thema Handelsbeziehungen ist Gegenstand der Entscheidung [2000/520]. Die Entscheidung bietet die Rechtsgrundlage für die Übermittlung personenbezogener Daten aus der EU an in den USA niedergelassene Unternehmen, die die Datenschutz-Grundsätze (‚Safe Harbor‘) beachten.“ Ferner hebt die Kommission in Abschnitt 1 den immer größeren Stellenwert des Austauschs personenbezogener Daten hervor, der u. a. mit der Entwicklung der digitalen Wirtschaft zusammenhänge; diese habe nämlich „zu einem exponentiellen Anstieg der Quantität, Qualität, Vielfalt und Art der Tätigkeiten im Bereich der Datenverarbeitung geführt“.

13 In Abschnitt 2 dieser Mitteilung führt die Kommission aus, dass „die Bedenken mit Blick auf das Schutzniveau für in die USA übertragene personenbezogene Daten von EU-Bürgern immer weiter zu[nehmen]“ und dass „[a]ufgrund des freiwilligen und deklaratorischen Charakters des [Safe-Harbor-]Systems … das Augenmerk verstärkt auf dessen Transparenz und Durchsetzung gelegt [wird]“.

14 Weiter heißt es in Abschnitt 2: „Die im Rahmen des ‚sicheren Hafens‘ an die USA übermittelten personenbezogenen Daten von EU-Bürgern können durch die US-

Behörden in einer Weise eingesehen und weiterverarbeitet werden, die mit dem eigentlichen Zweck ihrer Erfassung in der EU und mit den Gründen für ihre Übermittlung in die USA unvereinbar ist. Die Mehrzahl der US-Internetfirmen, bei denen sich ein unmittelbarer Zusammenhang zu den [Überwachungsprogrammen] herstellen lässt, ist den Safe-Harbor-Grundsätzen beigetreten.“

15 In Abschnitt 3.2 der Mitteilung COM(2013) 846 final stellt die Kommission fest, dass es bei der Umsetzung der Entscheidung 2000/520 eine Reihe von Schwachstellen gebe. Zum einen hielten sich amerikanische zertifizierte Unternehmen nicht an die in Art. 1 Abs. 1 der Entscheidung 2000/520 aufgestellten Grundsätze (im Folgenden: Grundsätze des „sicheren Hafens“), so dass Verbesserungen der Entscheidung erforderlich seien, die „sowohl auf die strukturellen Mängel bei der Transparenz und der Durchsetzung als auch auf die wichtigsten Grundsätze des ‚sicheren Hafens‘ und die Ausnahmeregelungen aus Gründen der nationalen Sicherheit“ ausgerichtet sein sollten. Zum anderen diene das System des sicheren Hafens „als Kanal für die Übertragung personenbezogener Daten von EU-Bürgern von der EU in die USA durch Unternehmen, die zur Freigabe von Daten an US-Geheimdienste im Rahmen der Datenerhebungsprogramme dieser Dienste aufgefordert werden“.

16 Die Kommission zieht daraus in Abschnitt 3.2 folgenden Schluss: „Angesichts der festgestellten Schwachstellen kann das Safe-Harbor-System nicht wie bisher fortgeführt werden. Seine Aufhebung würde allerdings den Interessen der beteiligten Unternehmen in der EU und in den USA schaden.“ Schließlich fügt sie in Abschnitt 3.2 hinzu, sie werde „mit den US-Behörden unverzüglich Gespräche über die festgestellten Mängel aufnehmen“.

Mitteilung COM(2013) 847 final

17 Am 27. November 2013 erließ die Kommission ferner eine Mitteilung an das Europäische Parlament und den Rat über die Funktionsweise der Safe-Harbor- Regelung aus Sicht der EU-Bürger und der in der EU niedergelassenen Unternehmen (COM[2013] 847 final) (im Folgenden: Mitteilung COM[2013] 847 final). Wie sich aus Abschnitt 1 dieser Mitteilung ergibt, beruht sie u. a. auf Informationen der Ad-hoc-Arbeitsgruppe EU-USA und stützt sich auf zwei in den Jahren 2002 und 2004 veröffentlichte Bewertungsberichte der Kommission.

18 Nach Abschnitt 1 der Mitteilung basiert die Funktionsweise der Entscheidung 2000/520 „auf den Verpflichtungserklärungen und Selbstzertifizierungen der beteiligten Unternehmen“. Weiter heißt es dort: „Die Beteiligung ist zwar freiwillig, jedoch sind die Unternehmen danach an die geltenden Vorschriften gebunden.“

19 Außerdem geht aus Abschnitt 2.2 der Mitteilung COM(2013) 847 final hervor, dass am 26. September 2013 insgesamt 3 246 Unternehmen zahlreicher Wirtschafts- und Dienstleistungsbranchen zertifiziert waren. Dabei handelte es sich hauptsächlich um Unternehmen, die auf dem Binnenmarkt der Union Dienstleistungen anboten, insbesondere um Internetfirmen; teilweise waren es Niederlassungen von Unternehmen aus der Union mit Tochtergesellschaften in den Vereinigten Staaten. Einige dieser Unternehmen verarbeiteten Daten von Mitarbeitern in Europa, die zu personaltechnischen Zwecken in die Vereinigten Staaten übermittelt wurden.

20 In Abschnitt 2.2 hebt die Kommission überdies Folgendes hervor: „Ist seitens der USA keine ausreichende Transparenz oder Durchsetzung gewährleistet, liegt die Verantwortung bei den europäischen Datenschutzbehörden sowie bei den an der Safe-Harbor-Regelung beteiligten Unternehmen.“

21 Wie insbesondere den Abschnitten 3 bis 5 und 8 der Mitteilung COM(2013) 847 final zu entnehmen ist, hielt eine erhebliche Zahl zertifizierter Unternehmen die Grundsätze des „sicheren Hafens“ nicht oder nicht vollständig ein.

22 Überdies weist die Kommission in Abschnitt 7 der Mitteilung darauf hin, dass
„alle Unternehmen, die am Programm PRISM [Programm zur umfassenden Sammlung von Informationen] beteiligt sind und den US-Behörden den Zugriff auf in den USA gespeicherte und verarbeitete Daten gestatten, der Safe-Harbor- Regelung beigetreten [sind]“, die damit „zu einem Informationskanal geworden [ist], über den die US-Nachrichtendienste auf personenbezogene Daten zugreifen können, die ursprünglich in der EU verarbeitet worden sind“. Hierzu stellt die Kommission in Abschnitt 7.1 der Mitteilung fest, dass „das US-amerikanische Recht die umfassende Erhebung und Verarbeitung personenbezogener Daten zu[lässt], die von Unternehmen mit Sitz in den USA gespeichert oder in anderer Weise verarbeitet werden. … Diese groß angelegten Programme können dazu führen, dass auf der Grundlage der Safe-Harbor-Regelung transferierte Daten von US-Behörden über das Maß hinaus, das für den Schutz der nationalen Sicherheit (im Sinne der Ausnahmeklausel in der [Entscheidung 2000/520]) unbedingt nötig und angemessen wäre, abgerufen und weiterverarbeitet werden.“

23 In Abschnitt 7.2 („Beschränkungen und Rechtsschutzmöglichkeiten“) der Mitteilung COM(2013) 847 final hebt die Kommission hervor, dass „die nach US- amerikanischem Recht verfügbaren Garantien größtenteils nur US-Bürgern oder Personen mit rechtmäßigem Wohnsitz in den USA zu[stehen]. Auch gibt es weder für EU- noch für US-Bürger die Möglichkeit, Auskunft über ihre Daten, deren Berichtigung oder Löschung zu erwirken, die im Rahmen der US- Überwachungsprogramme erhoben und weiterverarbeitet werden. Administrative oder gerichtliche Rechtsbehelfe stehen gleichfalls nicht zur Verfügung.“

24 Nach Abschnitt 8 der Mitteilung COM(2013) 847 final gehörten zu den zertifizierten Unternehmen „Web-Unternehmen wie Google, Facebook, Microsoft, Apple und Yahoo“ mit „mehreren Hundert Millionen Kunden in Europa“, die personenbezogene Daten zur Verarbeitung in die Vereinigten Staaten übermittelten.

25 Die Kommission kam in Abschnitt 8 zu folgendem Schluss: „Ernsthaft in Frage zu stellen ist …, ob die Datenschutzrechte europäischer Bürger, deren Daten in die USA übermittelt werden, angesichts des umfassenden Zugriffs der Nachrichtendienste auf Daten, die von Safe-Harbor-Unternehmen in die USA übermittelt werden, kontinuierlich geschützt sind.“

Ausgangsverfahren und Vorlagefragen

26 Herr Schrems, ein in Österreich wohnhafter österreichischer Staatsangehöriger, nutzt seit 2008 das soziale Netzwerk Facebook (im Folgenden: Facebook).

27 Alle im Unionsgebiet wohnhaften Personen, die Facebook nutzen wollen, müssen bei ihrer Anmeldung einen Vertrag mit Facebook Ireland abschließen, einer Tochtergesellschaft der in den Vereinigten Staaten ansässigen Facebook Inc. Die personenbezogenen Daten der im Unionsgebiet wohnhaften Nutzer von Facebook werden ganz oder teilweise an Server der Facebook Inc., die sich in den Vereinigten Staaten befinden, übermittelt und dort verarbeitet.

28 Am 25. Juni 2013 legte Herr Schrems beim Commissioner eine Beschwerde ein, mit der er ihn im Wesentlichen aufforderte, in Ausübung der ihm übertragenen Befugnisse Facebook Ireland die Übermittlung seiner personenbezogenen Daten in die Vereinigten Staaten zu untersagen. Er machte geltend, das Recht und die Praxis der Vereinigten Staaten gewährleisteten keinen ausreichenden Schutz der in diesem Land gespeicherten personenbezogenen Daten vor den Überwachungstätigkeiten der dortigen Behörden. Dabei verwies er auf die von Herrn Edward Snowden enthüllten Tätigkeiten der Nachrichtendienste der Vereinigten Staaten, insbesondere der National Security Agency (im Folgenden: NSA).

29 Da sich der Commissioner nicht für verpflichtet hielt, die von Herrn Schrems in seiner Beschwerde gerügten Tatsachen zu untersuchen, wies er die Beschwerde als unbegründet zurück. Er war nämlich der Ansicht, dass es keine Beweise für einen Zugriff der NSA auf die personenbezogenen Daten von Herrn Schrems gebe. Er fügte hinzu, die von Herrn Schrems in seiner Beschwerde erhobenen Rügen könnten nicht mit Erfolg geltend gemacht werden, da alle die Angemessenheit des Schutzes personenbezogener Daten in den Vereinigten Staaten betreffenden Fragen im Einklang mit der Entscheidung 2000/520 zu klären seien und da die Kommission in dieser Entscheidung festgestellt habe, dass die Vereinigten Staaten von Amerika ein angemessenes Schutzniveau gewährleisteten.

30 Herr Schrems erhob gegen die im Ausgangsverfahren in Rede stehende Entscheidung Klage beim High Court. Dieser stellte nach Prüfung der von den Parteien des Ausgangsverfahrens vorgelegten Beweise fest, dass die elektronische Überwachung und Erfassung der aus der Union in die Vereinigten Staaten übermittelten personenbezogenen Daten notwendigen und unerlässlichen Zielen von öffentlichem Interesse diene. Die Enthüllungen von Herrn Snowden hätten jedoch gezeigt, dass die NSA und andere Bundesbehörden „erhebliche Exzesse“ begangen hätten.

31 Der High Court fügte hinzu, die Unionsbürger hätten keinen wirksamen Anspruch auf rechtliches Gehör. Die Überwachung der Handlungen der Nachrichtendienste finde ex parte und unter Geheimhaltung statt. Sobald die personenbezogenen Daten in die Vereinigten Staaten übermittelt worden seien, könnten die NSA und andere Bundesbehörden wie das Federal Bureau of Investigation (FBI) darauf im Rahmen der von ihnen praktizierten massenhaften und wahllosen Überwachung und Erfassung zugreifen.

32 Das irische Recht verbiete die Übermittlung personenbezogener Daten ins Ausland, es sei denn, das betreffende Drittland gewährleiste ein angemessenes Schutzniveau der Privatsphäre sowie der Grundrechte und Grundfreiheiten. Der Stellenwert der durch die irische Verfassung garantierten Rechte auf Privatsphäre und auf Unverletzlichkeit der Wohnung gebiete es, dass jeder Eingriff in diese Rechte verhältnismäßig sei und den gesetzlichen Anforderungen entspreche.

33 Der massenhafte und undifferenzierte Zugriff auf personenbezogene Daten verstoße offenkundig gegen den Grundsatz der Verhältnismäßigkeit und die durch die irische Verfassung geschützten Grundwerte. Die Erfassung elektronischer Kommunikation könne nur dann als verfassungsgemäß angesehen werden, wenn nachgewiesen werde, dass sie zielgerichtet sei, dass die Überwachung bestimmter Personen oder Personengruppen im Interesse der nationalen Sicherheit oder der Verbrechensbekämpfung objektiv gerechtfertigt sei und dass es angemessene und nachprüfbare Schutzmechanismen gebe. Wäre die Rechtssache des Ausgangsverfahrens allein anhand des irischen Rechts zu prüfen, wäre daher festzustellen, dass der Commissioner in Anbetracht ernster Zweifel daran, ob die Vereinigten Staaten von Amerika ein angemessenes Schutzniveau der personenbezogenen Daten gewährleisteten, eine Untersuchung der von Herrn Schrems in seiner Beschwerde gerügten Tatsachen hätte vornehmen müssen und die Beschwerde zu Unrecht zurückgewiesen hätte.

34 Da diese Rechtssache jedoch die Durchführung des Rechts der Union im Sinne von Art. 51 der Charta betreffe, sei die Rechtmäßigkeit der im Ausgangsverfahren in Rede stehenden Entscheidung anhand des Unionsrechts zu beurteilen. Die Entscheidung 2000/520 genüge aber weder den Anforderungen der Art. 7 und 8 der Charta noch den vom Gerichtshof im Urteil Digital Rights Ireland u. a. (C-293/12 und C-594/12, EU:C:2014:238) aufgestellten Grundsätzen. Das durch Art. 7 der Charta und durch die Grundwerte, die sich aus den gemeinsamen

Verfassungstraditionen der Mitgliedstaaten ergäben, gewährleistete Recht auf Achtung der Privatsphäre würde seiner Tragweite völlig beraubt, wenn den Behörden gestattet würde, auf die elektronische Kommunikation in beliebiger und pauschaler Weise, ohne jede auf Erwägungen der nationalen Sicherheit oder der Verbrechensverhütung, die speziell mit den Betroffenen in Zusammenhang stünden, basierende objektive Rechtfertigung und ohne begleitende angemessene und nachprüfbare Schutzmechanismen zuzugreifen.

35 Im Übrigen stelle Herr Schrems mit seiner Klage de facto die Rechtmäßigkeit der durch die Entscheidung 2000/520 geschaffenen Safe-Harbor-Regelung in Frage, auf der die im Ausgangsverfahren in Rede stehende Entscheidung beruhe. Auch wenn er die Gültigkeit weder der Richtlinie 95/46 noch der Entscheidung 2000/520 förmlich angefochten habe, stelle sich daher die Frage, ob der Commissioner im Hinblick auf Art. 25 Abs. 6 der Richtlinie an die von der Kommission in ihrer Entscheidung getroffene Feststellung, dass die Vereinigten Staaten von Amerika ein angemessenes Schutzniveau gewährleisteten, gebunden gewesen sei oder ob Art. 8 der Charta ihn ermächtigt hätte, sich gegebenenfalls über eine solche Feststellung hinwegzusetzen.

36 Unter diesen Umständen hat der High Court beschlossen, das Verfahren auszusetzen und dem Gerichtshof folgende Fragen zur Vorabentscheidung vorzulegen:

1. Ist ein unabhängiger Amtsträger, der von Rechts wegen mit der Handhabung und der Durchsetzung von Rechtsvorschriften über den Datenschutz betraut ist, bei der Prüfung einer bei ihm eingelegten Beschwerde, dass personenbezogene Daten in ein Drittland (im vorliegenden Fall in die Vereinigten Staaten von Amerika) übermittelt würden, dessen Recht und Praxis keinen angemessenen Schutz der Betroffenen gewährleisteten, im Hinblick auf die Art. 7, 8 und 47 der Charta, unbeschadet der Bestimmungen von Art. 25 Abs. 6 der Richtlinie 95/46, absolut an die in der Entscheidung 2000/520 enthaltene gegenteilige Feststellung der Union gebunden?

2. Oder kann und/oder muss der Amtsträger stattdessen im Licht tatsächlicher Entwicklungen, die seit der erstmaligen Veröffentlichung der Entscheidung der Kommission eingetreten sind, eigene Ermittlungen in dieser Sache anstellen?

Zu den Vorlagefragen

37 Mit seinen Vorlagefragen, die gemeinsam zu prüfen sind, möchte das vorlegende Gericht wissen, ob und inwieweit Art. 25 Abs. 6 der Richtlinie 95/46 im Licht der Art. 7, 8 und 47 der Charta dahin auszulegen ist, dass eine aufgrund dieser Bestimmung ergangene Entscheidung wie die Entscheidung 2000/520, in der die Kommission feststellt, dass ein Drittland ein angemessenes Schutzniveau gewährleistet, eine Kontrollstelle eines Mitgliedstaats im Sinne von Art. 28 der

Richtlinie daran hindert, die Eingabe einer Person zu prüfen, die sich auf den Schutz ihrer Rechte und Freiheiten bei der Verarbeitung sie betreffender personenbezogener Daten, die aus einem Mitgliedstaat in dieses Drittland übermittelt wurden, bezieht, wenn diese Person geltend macht, dass das Recht und die Praxis dieses Landes kein angemessenes Schutzniveau gewährleisteten.

Zu den Befugnissen der nationalen Kontrollstellen im Sinne von Art. 28 der Richtlinie 95/46 bei Vorliegen einer nach Art. 25 Abs. 6 dieser Richtlinie ergangenen Entscheidung der Kommission

38 Zunächst ist darauf hinzuweisen, dass die Bestimmungen der Richtlinie 95/46, soweit sie die Verarbeitung personenbezogener Daten regeln, die zu Beeinträchtigungen der Grundfreiheiten und insbesondere des Rechts auf Achtung der Privatsphäre führen kann, notwendigerweise im Licht der durch die Charta garantierten Grundrechte auszulegen sind (vgl. Urteile Österreichischer Rundfunk u. a., C-465/00, C-138/01 und C-139/01, EU:C:2003:294, Rn. 68, Google Spain und Google, C-131/12, EU:C:2014:317, Rn. 68, sowie Ryneš, C-212/13, EU:C:2014:2428, Rn. 29).

39 Wie sich aus Art. 1 und aus den Erwägungsgründen 2 und 10 der Richtlinie 95/46 ergibt, soll diese nicht nur einen wirksamen und umfassenden Schutz der Grundfreiheiten und Grundrechte natürlicher Personen, insbesondere des Grundrechts auf Achtung der Privatsphäre, bei der Verarbeitung personenbezogener Daten gewährleisten, sondern auch ein hohes Niveau des Schutzes dieser Grundrechte und Grundfreiheiten. Die Bedeutung sowohl des durch Art. 7 der Charta gewährleisteten Grundrechts auf Achtung des Privatlebens als auch des durch ihren Art. 8 gewährleisteten Grundrechts auf Schutz personenbezogener Daten wird im Übrigen in der Rechtsprechung des Gerichtshofs hervorgehoben (vgl. Urteile Rijkeboer, C-553/07, EU:C:2009:293, Rn. 47, Digital Rights Ireland u. a., C-293/12 und C-594/12, EU:C:2014:238, Rn. 53, sowie Google Spain und Google, C-131/12, EU:C:2014:317, Rn. 53, 66 und 74 sowie die dort angeführte Rechtsprechung).

40 Zu den Befugnissen, über die die nationalen Kontrollstellen hinsichtlich der Übermittlung personenbezogener Daten in Drittländer verfügen, ist festzustellen, dass Art. 28 Abs. 1 der Richtlinie 95/46 den Mitgliedstaaten vorschreibt, eine oder mehrere öffentliche Stellen damit zu beauftragen, in völliger Unabhängigkeit die Einhaltung der Unionsvorschriften über den Schutz natürlicher Personen bei der Verarbeitung solcher Daten zu überwachen. Dieses Erfordernis ergibt sich auch aus dem Primärrecht der Union, namentlich aus Art. 8 Abs. 3 der Charta und aus Art. 16 Abs. 2 AEUV (vgl. in diesem Sinne Urteile Kommission/Österreich, C-614/10, EU:C:2012:631, Rn. 36, und Kommission/Ungarn, C-288/12, EU:C:2014:237, Rn. 47).

41 Die Gewährleistung der Unabhängigkeit der nationalen Kontrollstellen soll die wirksame und zuverlässige Kontrolle der Einhaltung der Vorschriften zum Schutz

natürlicher Personen bei der Verarbeitung personenbezogener Daten sicherstellen und ist im Licht dieses Zwecks auszulegen. Sie wurde eingeführt, um die von den Entscheidungen der Kontrollstellen betroffenen Personen und Einrichtungen stärker zu schützen. Die Einrichtung unabhängiger Kontrollstellen in den Mitgliedstaaten stellt daher – wie dem 62. Erwägungsgrund der Richtlinie 95/46 zu entnehmen ist – ein wesentliches Element zur Wahrung des Schutzes der Personen bei der Verarbeitung personenbezogener Daten dar (vgl. Urteile Kommission/Deutschland, C-518/07, EU:C:2010:125, Rn. 25, und Kommission/Ungarn, C-288/12, EU:C:2014:237, Rn. 48 und die dort angeführte Rechtsprechung).

42 Um diesen Schutz zu gewährleisten, müssen die nationalen Kontrollstellen u. a. für einen angemessenen Ausgleich zwischen der Achtung des Grundrechts auf Privatsphäre und den Interessen sorgen, die einen freien Verkehr personenbezogener Daten gebieten (vgl. in diesem Sinne Urteile Kommission/Deutschland, C-518/07, EU:C:2010:125, Rn. 24, und Kommission/Ungarn, C-288/12, EU:C:2014:237, Rn. 51).

43 Zu diesem Zweck verfügen die Kontrollstellen über eine große Bandbreite von Befugnissen, die in Art. 28 Abs. 3 der Richtlinie 95/46 in nicht abschließender Weise aufgezählt werden und, wie im 63. Erwägungsgrund der Richtlinie hervorgehoben wird, notwendige Mittel für die Erfüllung ihrer Aufgaben darstellen. So verfügen sie u. a. über Untersuchungsbefugnisse wie etwa das Recht auf Einholung aller für die Erfüllung ihres Kontrollauftrags erforderlichen Informationen, über wirksame Einwirkungsbefugnisse wie etwa die Befugnis, das vorläufige oder endgültige Verbot einer Verarbeitung von Daten anzuordnen, oder über das Klagerecht.

44 Zwar geht aus Art. 28 Abs. 1 und 6 der Richtlinie 95/46 hervor, dass die Befugnisse der nationalen Kontrollstellen die Verarbeitung personenbezogener Daten im Hoheitsgebiet ihres Mitgliedstaats betreffen, so dass Art. 28 ihnen keine Befugnisse in Bezug auf die Verarbeitung solcher Daten im Hoheitsgebiet eines Drittlands verleiht.

45 Die Übermittlung personenbezogener Daten aus einem Mitgliedstaat in ein Drittland stellt jedoch als solche eine Verarbeitung personenbezogener Daten im Sinne von Art. 2 Buchst. b der Richtlinie 95/46 dar (vgl. in diesem Sinne Urteil Parlament/Rat und Kommission, C-317/04 und C-318/04, EU:C:2006:346, Rn. 56), die im Hoheitsgebiet eines Mitgliedstaats vorgenommen wird. In dieser Bestimmung wird die „Verarbeitung personenbezogener Daten“ nämlich als
„jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede Vorgangsreihe im Zusammenhang mit personenbezogenen Daten“ definiert und als Beispiel „die Weitergabe durch Übermittlung, Verbreitung oder jede andere Form der Bereitstellung“ genannt.

46 Im 60. Erwägungsgrund der Richtlinie 95/46 heißt es, dass Übermittlungen personenbezogener Daten in Drittländer nur unter voller Einhaltung der Rechtsvorschriften erfolgen dürfen, die die Mitgliedstaaten gemäß dieser Richtlinie erlassen haben. Insoweit wurde in Kapitel IV der Richtlinie, in dem sich ihre Art. 25 und 26 befinden, eine Regelung geschaffen, die eine Kontrolle der Übermittlungen personenbezogener Daten in Drittländer durch die Mitgliedstaaten gewährleisten soll. Diese Regelung ergänzt die allgemeine Regelung in Kapitel II der Richtlinie über die allgemeinen Bedingungen für die Rechtmäßigkeit der Verarbeitung personenbezogener Daten (vgl. in diesem Sinne Urteil Lindqvist, C-101/01, EU:C:2003:596, Rn. 63).

47 Da die nationalen Kontrollstellen gemäß Art. 8 Abs. 3 der Charta und Art. 28 der Richtlinie 95/46 die Einhaltung der Unionsvorschriften über den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten zu überwachen haben, ist jede von ihnen zu der Prüfung befugt, ob bei einer Übermittlung personenbezogener Daten aus ihrem Mitgliedstaat in ein Drittland die in der Richtlinie 95/46 aufgestellten Anforderungen eingehalten werden.

48 Im 56. Erwägungsgrund der Richtlinie 95/46 wird zwar anerkannt, dass die Übermittlung personenbezogener Daten aus den Mitgliedstaaten in Drittländer für die Entwicklung des internationalen Handels notwendig ist, doch gilt nach ihrem Art. 25 Abs. 1 der Grundsatz, dass eine solche Übermittlung nur zulässig ist, wenn die Drittländer ein angemessenes Schutzniveau gewährleisten.

49 Außerdem heißt es im 57. Erwägungsgrund der Richtlinie, dass Übermittlungen personenbezogener Daten in Drittländer, die kein angemessenes Schutzniveau bieten, zu untersagen sind.

50 Zum Zweck der Kontrolle der Übermittlungen personenbezogener Daten in Drittländer anhand des Schutzniveaus dieser Daten im jeweiligen Drittland werden den Mitgliedstaaten und der Kommission in Art. 25 der Richtlinie 95/46 eine Reihe von Verpflichtungen auferlegt. Insbesondere kann nach diesem Artikel, wie der Generalanwalt in Nr. 86 seiner Schlussanträge ausgeführt hat, die Feststellung, ob ein Drittland ein angemessenes Schutzniveau gewährleistet, sowohl von den Mitgliedstaaten als auch von der Kommission getroffen werden.

51 Die Kommission kann auf der Grundlage von Art. 25 Abs. 6 der Richtlinie 95/46 eine Entscheidung erlassen, in der sie feststellt, dass ein Drittland ein angemessenes Schutzniveau gewährleistet. Eine solche Entscheidung richtet sich nach Art. 25 Abs. 6 Unterabs. 2 an die Mitgliedstaaten, die die aufgrund der Feststellung gebotenen Maßnahmen treffen müssen. Nach Art. 288 Abs. 4 AEUV bindet sie alle Mitgliedstaaten und ist damit für alle Organe der Mitgliedstaaten verbindlich (vgl. in diesem Sinne Urteile Albako Margarinefabrik, 249/85, EU:C:1987:245, Rn. 17, und Mediaset, C-69/13, EU:C:2014:71, Rn. 23), soweit sie die Übermittlung personenbezogener Daten aus den Mitgliedstaaten in das betreffende Drittland gestattet.

52 Solange die Entscheidung der Kommission vom Gerichtshof nicht für ungültig erklärt wurde, können die Mitgliedstaaten und ihre Organe, zu denen ihre unabhängigen Kontrollstellen gehören, somit zwar keine dieser Entscheidung zuwiderlaufenden Maßnahmen treffen, wie etwa Rechtsakte, mit denen verbindlich festgestellt wird, dass das Drittland, auf das sich die Entscheidung bezieht, kein angemessenes Schutzniveau gewährleistet. Für die Rechtsakte der Unionsorgane gilt nämlich grundsätzlich eine Vermutung der Rechtmäßigkeit, so dass sie Rechtswirkungen entfalten, solange sie nicht zurückgenommen, im Rahmen einer Nichtigkeitsklage für nichtig erklärt oder infolge eines Vorabentscheidungsersuchens oder einer Einrede der Rechtswidrigkeit für ungültig erklärt wurden (Urteil Kommission/Griechenland, C-475/01, EU:C:2004:585, Rn. 18 und die dort angeführte Rechtsprechung).

53 Eine nach Art. 25 Abs. 6 der Richtlinie 95/46 ergangene Entscheidung der Kommission wie die Entscheidung 2000/520 kann Personen, deren personenbezogene Daten in ein Drittland übermittelt wurden oder werden könnten, jedoch nicht daran hindern, die nationalen Kontrollstellen zum Schutz der diese Personen betreffenden Rechte und Freiheiten bei der Verarbeitung solcher Daten mit einer Eingabe im Sinne von Art. 28 Abs. 4 der Richtlinie zu befassen. Desgleichen kann eine derartige Entscheidung, wie der Generalanwalt insbesondere in den Nrn. 61, 93 und 116 seiner Schlussanträge ausgeführt hat, die den nationalen Kontrollstellen durch Art. 8 Abs. 3 der Charta und durch Art. 28 der Richtlinie ausdrücklich zuerkannten Befugnisse weder beseitigen noch beschränken.

54 Weder Art. 8 Abs. 3 der Charta noch Art. 28 der Richtlinie 95/46 schließt die Kontrolle der Übermittlungen personenbezogener Daten in Drittländer, die Gegenstand einer Entscheidung der Kommission nach Art. 25 Abs. 6 der Richtlinie waren, vom Zuständigkeitsbereich der nationalen Kontrollstellen aus.

55 Insbesondere sieht Art. 28 Abs. 4 Unterabs. 1 der Richtlinie 95/46, der bestimmt, dass sich jede Person „zum Schutz der die Person betreffenden Rechte und Freiheiten bei der Verarbeitung personenbezogener Daten“ mit einer Eingabe an die nationalen Kontrollstellen wenden kann, keine Ausnahme für den Fall vor, dass die Kommission eine Entscheidung nach Art. 25 Abs. 6 der Richtlinie erlassen hat.

56 Außerdem würde es dem durch die Richtlinie 95/46 geschaffenen System sowie dem Zweck ihrer Art. 25 und 28 zuwiderlaufen, wenn eine Entscheidung der Kommission nach Art. 25 Abs. 6 der Richtlinie eine nationale Kontrollstelle daran hindern würde, die Eingabe einer Person zum Schutz der sie betreffenden Rechte und Freiheiten bei der Verarbeitung ihrer personenbezogenen Daten zu prüfen, die aus einem Mitgliedstaat in ein Drittland, das Gegenstand dieser Entscheidung ist, übermittelt wurden oder werden könnten.

57 Art. 28 der Richtlinie 95/46 kommt vielmehr seinem Wesen nach bei jeder Verarbeitung personenbezogener Daten zur Anwendung. Auch wenn die Kommission eine Entscheidung nach Art. 25 Abs. 6 der Richtlinie getroffen hat, müssen die nationalen Kontrollstellen daher, wenn sich eine Person mit einer Eingabe zum Schutz ihrer Rechte und Freiheiten bei der Verarbeitung ihrer personenbezogenen Daten an sie wendet, in völliger Unabhängigkeit prüfen können, ob bei der Übermittlung dieser Daten die in der Richtlinie aufgestellten Anforderungen gewahrt werden.

58 Wäre dem nicht so, würde den Personen, deren personenbezogene Daten in das betreffende Drittland übermittelt wurden oder werden könnten, das durch Art. 8 Abs. 1 und 3 der Charta garantierte Recht vorenthalten, sich mit einer Eingabe zum Schutz ihrer Grundrechte an die nationalen Kontrollstellen zu wenden (vgl. entsprechend Urteil Digital Rights Ireland u. a., C-293/12 und C-594/12, EU:C:2014:238, Rn. 68).

59 Eine Eingabe im Sinne von Art. 28 Abs. 4 der Richtlinie 95/46, mit der eine Person, deren personenbezogene Daten in ein Drittland übermittelt wurden oder werden könnten, wie im Ausgangsverfahren geltend macht, dass ungeachtet der Feststellungen der Kommission in einer nach Art. 25 Abs. 6 der Richtlinie ergangenen Entscheidung das Recht und die Praxis dieses Landes kein angemessenes Schutzniveau gewährleisteten, ist dahin zu verstehen, dass sie der Sache nach die Vereinbarkeit dieser Entscheidung mit dem Schutz der Privatsphäre sowie der Freiheiten und Grundrechte von Personen betrifft.

60 Insoweit ist auf die ständige Rechtsprechung des Gerichtshofs hinzuweisen, wonach die Union eine Rechtsunion ist, in der alle Handlungen ihrer Organe der Kontrolle daraufhin unterliegen, ob sie insbesondere mit den Verträgen, den allgemeinen Rechtsgrundsätzen und den Grundrechten im Einklang stehen (vgl. in diesem Sinne Urteile Kommission u. a./Kadi, C-584/10 P, C-593/10 P und C-595/10 P, EU:C:2013:518, Rn. 66, Inuit Tapiriit Kanatami u. a./Parlament und Rat, C-583/11 P, EU:C:2013:625, Rn. 91, und Telefónica/Kommission, C-274/12 P, EU:C:2013:852, Rn. 56). Die nach Art. 25 Abs. 6 der Richtlinie 95/46 ergangenen Entscheidungen der Kommission können daher einer solchen Kontrolle nicht entzogen sein.

61 Gleichwohl ist allein der Gerichtshof befugt, die Ungültigkeit eines Unionsrechtsakts wie einer nach Art. 25 Abs. 6 der Richtlinie 95/46 ergangenen Entscheidung der Kommission festzustellen, wobei die Ausschließlichkeit dieser Zuständigkeit Rechtssicherheit gewährleisten soll, indem sie die einheitliche Anwendung des Unionsrechts sicherstellt (vgl. Urteile Melki und Abdeli, C-188/10 und C-189/10, EU:C:2010:363, Rn. 54, sowie CIVAD, C-533/10, EU:C:2012:347, Rn. 40).

62 Die nationalen Gerichte sind zwar berechtigt, die Gültigkeit eines Unionsrechtsakts wie einer nach Art. 25 Abs. 6 der Richtlinie 95/46 ergangenen

Entscheidung der Kommission zu prüfen; sie sind jedoch nicht befugt, selbst die Ungültigkeit eines solchen Rechtsakts festzustellen (vgl. in diesem Sinne Urteile Foto-Frost, 314/85, EU:C:1987:452, Rn. 15 bis 20, sowie IATA und ELFAA, C-344/04, EU:C:2006:10, Rn. 27). Erst recht sind die nationalen Kontrollstellen bei der Prüfung einer Eingabe im Sinne von Art. 28 Abs. 4 der Richtlinie, die die Vereinbarkeit einer nach Art. 25 Abs. 6 der Richtlinie ergangenen Entscheidung der Kommission mit dem Schutz der Privatsphäre sowie der Freiheiten und Grundrechte von Personen zum Gegenstand hat, nicht befugt, selbst die Ungültigkeit einer solchen Entscheidung festzustellen.

63 In Anbetracht der vorstehenden Erwägungen ist es, wenn sich eine Person, deren personenbezogene Daten in ein Drittland übermittelt wurden oder werden könnten, das Gegenstand einer nach Art. 25 Abs. 6 der Richtlinie 95/46 ergangenen Entscheidung der Kommission ist, mit einer Eingabe zum Schutz ihrer Rechte und Freiheiten bei der Verarbeitung dieser Daten an eine nationale Kontrollstelle wendet und im Rahmen dieser Eingabe – wie im Ausgangsverfahren – die Vereinbarkeit der betreffenden Entscheidung mit dem Schutz der Privatsphäre sowie der Freiheiten und Grundrechte von Personen in Frage stellt, Sache der angerufenen Kontrollstelle, die Eingabe mit aller gebotenen Sorgfalt zu prüfen.

64 Falls die Kontrollstelle zu dem Ergebnis kommt, dass das Vorbringen, auf das sich eine solche Eingabe stützt, unbegründet ist, und die Eingabe deshalb zurückweist, muss der Person, von der die Eingabe stammt, nach Art. 28 Abs. 3 Unterabs. 2 der Richtlinie 95/46 im Licht von Art. 47 der Charta der Rechtsweg offenstehen, damit sie eine solche sie beschwerende Entscheidung vor den nationalen Gerichten anfechten kann. Angesichts der in den Rn. 61 und 62 des vorliegenden Urteils angeführten Rechtsprechung müssen diese Gerichte das Verfahren aussetzen und dem Gerichtshof ein Ersuchen um Vorabentscheidung über die Gültigkeit vorlegen, wenn sie der Auffassung sind, dass einer oder mehrere der von den Parteien vorgebrachten oder gegebenenfalls von Amts wegen geprüften Ungültigkeitsgründe durchgreifen (vgl. in diesem Sinne Urteil T & L Sugars und Sidul Açúcares/Kommission, C-456/13 P, EU:C:2015:284, Rn. 48 und die dort angeführte Rechtsprechung).

65 Hält die Kontrollstelle die Rügen der Person, die sich mit einer Eingabe zum Schutz ihrer Rechte und Freiheiten bei der Verarbeitung ihrer personenbezogenen Daten an sie gewandt hat, dagegen für begründet, muss sie nach Art. 28 Abs. 3 Unterabs. 1 dritter Gedankenstrich der Richtlinie 95/46 im Licht insbesondere von Art. 8 Abs. 3 der Charta ein Klagerecht haben. Insoweit ist es Sache des nationalen Gesetzgebers, Rechtsbehelfe vorzusehen, die es der betreffenden nationalen Kontrollstelle ermöglichen, die von ihr für begründet erachteten Rügen vor den nationalen Gerichten geltend zu machen, damit diese, wenn sie die Zweifel der Kontrollstelle an der Gültigkeit der Entscheidung der Kommission teilen, um eine Vorabentscheidung über deren Gültigkeit ersuchen.

66 Nach alledem ist auf die vorgelegten Fragen zu antworten, dass Art. 25 Abs. 6 der Richtlinie 95/46 im Licht der Art. 7, 8 und 47 der Charta dahin auszulegen ist, dass eine aufgrund dieser Bestimmung ergangene Entscheidung wie die Entscheidung 2000/520, in der die Kommission feststellt, dass ein Drittland ein angemessenes Schutzniveau gewährleistet, eine Kontrollstelle eines Mitgliedstaats im Sinne von Art. 28 der Richtlinie nicht daran hindert, die Eingabe einer Person zu prüfen, die sich auf den Schutz ihrer Rechte und Freiheiten bei der Verarbeitung sie betreffender personenbezogener Daten, die aus einem Mitgliedstaat in dieses Drittland übermittelt wurden, bezieht, wenn diese Person geltend macht, dass das Recht und die Praxis dieses Landes kein angemessenes Schutzniveau gewährleisteten.

Zur Gültigkeit der Entscheidung 2000/520

67 Wie aus den Erläuterungen der vorgelegten Fragen durch das vorlegende Gericht hervorgeht, macht Herr Schrems im Ausgangsverfahren geltend, dass das Recht und die Praxis der Vereinigten Staaten kein angemessenes Schutzniveau im Sinne von Art. 25 der Richtlinie 95/46 gewährleisteten. Wie der Generalanwalt in den Nrn. 123 und 124 seiner Schlussanträge ausgeführt hat, äußert Herr Schrems Zweifel an der Gültigkeit der Entscheidung 2000/520, die das vorlegende Gericht im Übrigen der Sache nach zu teilen scheint. Unter diesen Umständen ist angesichts der Feststellungen in den Rn. 60 bis 63 des vorliegenden Urteils, um dem vorlegenden Gericht eine vollständige Antwort zu geben, zu prüfen, ob diese Entscheidung im Licht der Charta den Anforderungen der Richtlinie entspricht.

Zu den Anforderungen, die sich aus Art. 25 Abs. 6 der Richtlinie 95/46 ergeben

68 Wie bereits in den Rn. 48 und 49 des vorliegenden Urteils ausgeführt, verbietet Art. 25 Abs. 1 der Richtlinie 95/46 Übermittlungen personenbezogener Daten in ein Drittland, das kein angemessenes Schutzniveau gewährleistet.

69 In Bezug auf die Kontrolle solcher Übermittlungen bestimmt jedoch Art. 25 Abs. 6 Unterabs. 1 der Richtlinie, dass die Kommission „feststellen [kann], dass ein Drittland aufgrund seiner innerstaatlichen Rechtsvorschriften oder internationaler Verpflichtungen … hinsichtlich des Schutzes der Privatsphäre sowie der Freiheiten und Grundrechte von Personen ein angemessenes Schutzniveau im Sinne des Absatzes 2 [dieses Artikels] gewährleistet“.

70 Zwar enthält weder Art. 25 Abs. 2 der Richtlinie 95/46 noch eine andere Bestimmung der Richtlinie eine Definition des Begriffs des angemessenen Schutzniveaus. Insbesondere sieht Art. 25 Abs. 2 der Richtlinie lediglich vor, dass die Angemessenheit des Schutzniveaus, das ein Drittland bietet, „unter Berücksichtigung aller Umstände beurteilt [wird], die bei einer Datenübermittlung oder einer Kategorie von Datenübermittlungen eine Rolle spielen“, und enthält eine nicht abschließende Aufzählung der bei einer solchen Beurteilung zu berücksichtigenden Umstände.

71 Wie schon aus dem Wortlaut von Art. 25 Abs. 6 der Richtlinie 95/46 hervorgeht, verlangt diese Bestimmung jedoch zum einen, dass ein Drittland aufgrund seiner innerstaatlichen Rechtsvorschriften oder internationaler Verpflichtungen ein angemessenes Schutzniveau „gewährleistet“. Zum anderen ist nach dieser Bestimmung die Angemessenheit des Schutzniveaus, das ein Drittland gewährleistet, „hinsichtlich des Schutzes der Privatsphäre sowie der Freiheiten und Grundrechte von Personen“ zu beurteilen.

72 Somit setzt Art. 25 Abs. 6 der Richtlinie 95/46 die in Art. 8 Abs. 1 der Charta ausdrücklich vorgesehene Pflicht zum Schutz personenbezogener Daten um und soll, wie der Generalanwalt in Nr. 139 seiner Schlussanträge ausgeführt hat, den Fortbestand des hohen Niveaus dieses Schutzes im Fall der Übermittlung personenbezogener Daten in ein Drittland gewährleisten.

73 Zwar impliziert das Wort „angemessen“ in Art. 25 Abs. 6 der Richtlinie 95/46, dass nicht verlangt werden kann, dass ein Drittland ein dem in der Unionsrechtsordnung garantiertes identisches Schutzniveau gewährleistet. Wie der Generalanwalt in Nr. 141 seiner Schlussanträge ausgeführt hat, ist der Ausdruck „angemessenes Schutzniveau“ jedoch so zu verstehen, dass verlangt wird, dass das Drittland aufgrund seiner innerstaatlichen Rechtsvorschriften oder internationaler Verpflichtungen tatsächlich ein Schutzniveau der Freiheiten und Grundrechte gewährleistet, das dem in der Union aufgrund der Richtlinie 95/46 im Licht der Charta garantierten Niveau der Sache nach gleichwertig ist. Ohne ein solches Erfordernis würde nämlich das in der vorstehenden Randnummer erwähnte Ziel missachtet. Außerdem könnte das durch die Richtlinie 95/46 im Licht der Charta garantierte hohe Schutzniveau leicht umgangen werden, indem personenbezogene Daten aus der Union in Drittländer übermittelt würden, um dort verarbeitet zu werden.

74 Aus dem ausdrücklichen Wortlaut von Art. 25 Abs. 6 der Richtlinie 95/46 geht hervor, dass es die Rechtsordnung des Drittlands, auf das sich die Entscheidung der Kommission bezieht, ist, die ein angemessenes Schutzniveau gewährleisten muss. Auch wenn sich die Mittel, auf die das Drittland insoweit zurückgreift, um ein solches Schutzniveau zu gewährleisten, von denen unterscheiden können, die in der Union herangezogen werden, um die Wahrung der Anforderungen, die sich aus der Richtlinie im Licht der Charta ergeben, zu gewährleisten, müssen sich diese Mittel gleichwohl in der Praxis als wirksam erweisen, um einen Schutz zu gewährleisten, der dem in der Union garantierten der Sache nach gleichwertig ist.

75 Unter diesen Umständen ist die Kommission bei der Prüfung des von einem Drittland gebotenen Schutzniveaus verpflichtet, den Inhalt der in diesem Land geltenden, aus seinen innerstaatlichen Rechtsvorschriften oder internationalen Verpflichtungen resultierenden Regeln sowie die zur Gewährleistung der Einhaltung dieser Regeln dienende Praxis zu beurteilen, wobei sie nach Art. 25 Abs. 2 der Richtlinie 95/46 alle Umstände zu berücksichtigen hat, die bei einer Übermittlung personenbezogener Daten in ein Drittland eine Rolle spielen.

76 Desgleichen obliegt es der Kommission in Anbetracht der Tatsache, dass das durch ein Drittland gewährleistete Schutzniveau Veränderungen unterworfen sein kann, im Anschluss an den Erlass einer Entscheidung nach Art. 25 Abs. 6 der Richtlinie 95/46 in regelmäßigen Abständen zu prüfen, ob die Feststellung zur Angemessenheit des vom fraglichen Drittland gewährleisteten Schutzniveaus in sachlicher und rechtlicher Hinsicht nach wie vor gerechtfertigt ist. Eine solche Prüfung ist jedenfalls dann geboten, wenn Anhaltspunkte vorliegen, die Zweifel daran wecken.

77 Zudem sind, wie der Generalanwalt in den Nrn. 134 und 135 seiner Schlussanträge ausgeführt hat, bei der Prüfung der Gültigkeit einer nach Art. 25 Abs. 6 der Richtlinie 95/46 ergangenen Entscheidung der Kommission auch nach dem Erlass dieser Entscheidung eingetretene Umstände zu berücksichtigen.

78 Hierzu ist festzustellen, dass angesichts der besonderen Bedeutung des Schutzes personenbezogener Daten für das Grundrecht auf Achtung der Privatsphäre und der großen Zahl von Personen, deren Grundrechte im Fall der Übermittlung personenbezogener Daten in ein Drittland, das kein angemessenes Schutzniveau gewährleistet, verletzt werden können, der Wertungsspielraum der Kommission hinsichtlich der Angemessenheit des durch ein Drittland gewährleisteten Schutzniveaus eingeschränkt ist, so dass eine strikte Kontrolle der Anforderungen vorzunehmen ist, die sich aus Art. 25 der Richtlinie 95/46 im Licht der Charta ergeben (vgl. entsprechend Urteil Digital Rights Ireland u. a., C-293/12 und C-594/12, EU:C:2014:238, Rn. 47 und 48).

Zu Art. 1 der Entscheidung 2000/520

79 Die Kommission ist in Art. 1 Abs. 1 der Entscheidung 2000/520 davon ausgegangen, dass die ihr als Anhang I beigefügten Grundsätze, die gemäß den Leitlinien in den dieser Entscheidung als Anhang II beigefügten FAQ umgesetzt würden, ein angemessenes Schutzniveau für personenbezogene Daten gewährleisteten, die von der Union an in den Vereinigten Staaten niedergelassene Organisationen übermittelt würden. Aus dieser Bestimmung geht hervor, dass sowohl die genannten Grundsätze als auch die FAQ vom amerikanischen Handelsministerium herausgegeben wurden.

80 Der Beitritt einer Organisation zu den Grundsätzen des „sicheren Hafens“ erfolgt auf der Grundlage eines Systems der Selbstzertifizierung, wie sich aus Art. 1 Abs. 2 und 3 der Entscheidung 2000/520 in Verbindung mit den FAQ 6 in ihrem Anhang II ergibt.

81 Auch wenn der Rückgriff eines Drittlands auf ein System der Selbstzertifizierung als solcher nicht gegen das Erfordernis in Art. 25 Abs. 6 der Richtlinie 95/46 verstößt, dass in dem betreffenden Drittland „aufgrund seiner innerstaatlichen Rechtsvorschriften oder internationaler Verpflichtungen“ ein angemessenes Schutzniveau gewährleistet sein muss, beruht die Zuverlässigkeit eines solchen

Systems im Hinblick auf dieses Erfordernis wesentlich auf der Schaffung wirksamer Überwachungs- und Kontrollmechanismen, die es erlauben, in der Praxis etwaige Verstöße gegen Regeln zur Gewährleistung des Schutzes der Grundrechte, insbesondere des Rechts auf Achtung der Privatsphäre sowie des Rechts auf den Schutz personenbezogener Daten, zu ermitteln und zu ahnden.

82 Im vorliegenden Fall sind die Grundsätze des „sicheren Hafens“ nach Abs. 2 von Anhang I der Entscheidung 2000/520 „ausschließlich für den Gebrauch durch US- Organisationen bestimmt, die personenbezogene Daten aus der Europäischen Union erhalten, um sich für den ‚sicheren Hafen‘ und die daraus erwachsende Vermutung der ‚Angemessenheit‘ des Datenschutzes zu qualifizieren“. Diese Grundsätze gelten somit nur für selbstzertifizierte US-Organisationen, die aus der Union personenbezogene Daten erhalten, ohne dass von den amerikanischen Behörden die Einhaltung der genannten Grundsätze verlangt wird.

83 Zudem betrifft die Entscheidung 2000/520 nach ihrem Art. 2 „nur die Angemessenheit des Schutzes, der in den Vereinigten Staaten nach den entsprechend den FAQ umgesetzten Grundsätzen [des ‚sicheren Hafens‘] gewährt wird, um die Anforderungen des Artikels 25 Absatz 1 der Richtlinie [95/46] zu erfüllen“; sie enthält dagegen keine hinreichenden Feststellungen zu den Maßnahmen, mit denen die Vereinigten Staaten von Amerika aufgrund ihrer innerstaatlichen Rechtsvorschriften oder internationaler Verpflichtungen im Sinne von Art. 25 Abs. 6 der Richtlinie ein angemessenes Schutzniveau gewährleisten.

84 Hinzu kommt, dass die Geltung der genannten Grundsätze nach Abs. 4 von Anhang I der Entscheidung 2000/520 begrenzt werden kann, und zwar u. a.
„insoweit, als Erfordernissen der nationalen Sicherheit, des öffentlichen Interesses oder der Durchführung von Gesetzen Rechnung getragen werden muss“, sowie
„durch Gesetzesrecht, staatliche Regulierungsvorschriften oder Fallrecht, die unvereinbare Verpflichtungen oder ausdrückliche Ermächtigungen schaffen, vorausgesetzt, die Organisation kann in Wahrnehmung dieser Ermächtigungen nachweisen, dass die Nichteinhaltung der Grundsätze sich auf das Ausmaß beschränkte, das die Einhaltung übergeordneter berechtigter Interessen aufgrund eben dieser Ermächtigung erforderte“.

85 Hierzu wird in Abschnitt B von Anhang IV der Entscheidung 2000/520 hinsichtlich der Grenzen für die Geltung der Grundsätze des „sicheren Hafens“ Folgendes hervorgehoben: „Es steht jedoch eindeutig fest, dass, wenn aufgrund des US-amerikanischen Rechts eine den Grundsätzen des sicheren Hafens entgegenstehende Verpflichtung auferlegt wird, die US-Unternehmen die Gesetze einhalten müssen, und zwar ungeachtet dessen, ob sie auf die Grundsätze des sicheren Hafens verpflichtet sind oder nicht.“

86 In der Entscheidung 2000/520 wird somit den „Erfordernissen der nationalen Sicherheit, des öffentlichen Interesses oder der Durchführung von Gesetzen“ Vorrang vor den Grundsätzen des „sicheren Hafens“ eingeräumt; aufgrund dieses

Vorrangs sind die selbstzertifizierten US-Organisationen, die aus der Union personenbezogene Daten erhalten, ohne jede Einschränkung verpflichtet, die Grundsätze des „sicheren Hafens“ unangewandt zu lassen, wenn sie in Widerstreit zu den genannten Erfordernissen stehen und sich deshalb als mit ihnen unvereinbar erweisen.

87 Angesichts ihres generellen Charakters ermöglicht die Ausnahme in Abs. 4 von Anhang I der Entscheidung 2000/520 es daher, gestützt auf Erfordernisse der nationalen Sicherheit, des öffentlichen Interesses oder von Rechtsvorschriften der Vereinigten Staaten in die Grundrechte der Personen einzugreifen, deren personenbezogene Daten aus der Union in die Vereinigten Staaten übermittelt werden oder werden könnten. Für die Feststellung des Vorliegens eines Eingriffs in das Grundrecht auf Achtung der Privatsphäre kommt es nicht darauf an, ob die betreffenden Informationen über die Privatsphäre sensiblen Charakter haben oder ob die Betroffenen durch den Eingriff Nachteile erlitten haben könnten (Urteil Digital Rights Ireland u. a., C-293/12 und C-594/12, EU:C:2014:238, Rn. 33 und die dort angeführte Rechtsprechung).

88 Überdies enthält die Entscheidung 2000/520 keine Feststellung dazu, ob es in den Vereinigten Staaten staatliche Regeln gibt, die dazu dienen, etwaige Eingriffe – zu denen die staatlichen Stellen dieses Landes in Verfolgung berechtigter Ziele wie der nationalen Sicherheit berechtigt wären – in die Grundrechte der Personen, deren Daten aus der Union in die Vereinigten Staaten übermittelt werden, zu begrenzen.

89 Hinzu kommt, dass die Entscheidung 2000/520 keine Feststellung zum Bestehen eines wirksamen gerichtlichen Rechtsschutzes gegen derartige Eingriffe enthält. Wie der Generalanwalt in den Nrn. 204 bis 206 seiner Schlussanträge ausgeführt hat, beziehen sich die privaten Schiedsmechanismen und die Verfahren vor der Federal Trade Commission, deren insbesondere in den FAQ 11 in Anhang II der Entscheidung beschriebene Befugnisse auf Handelsstreitigkeiten beschränkt sind, auf die Einhaltung der Grundsätze des „sicheren Hafens“ durch die amerikanischen Unternehmen und können nicht im Rahmen von Streitigkeiten über die Rechtmäßigkeit von Eingriffen in Grundrechte, die sich aus Maßnahmen staatlichen Ursprungs ergeben, zur Anwendung kommen.

90 Die vorstehende Analyse der Entscheidung 2000/520 wird im Übrigen bestätigt durch die von der Kommission selbst vorgenommene Beurteilung der aus der Umsetzung dieser Entscheidung resultierenden Sachlage. Sie stellt nämlich insbesondere in den Abschnitten 2 und 3.2 der Mitteilung COM(2013) 846 final sowie in den Abschnitten 7.1, 7.2 und 8 der Mitteilung COM(2013) 847 final, die in den Rn. 13 bis 16 bzw. den Rn. 22, 23 und 25 des vorliegenden Urteils wiedergegeben werden, fest, dass die amerikanischen Behörden auf die aus den Mitgliedstaaten in die Vereinigten Staaten übermittelten personenbezogenen Daten zugreifen und sie in einer Weise verarbeiten konnten, die namentlich mit den Zielsetzungen ihrer Übermittlung unvereinbar war und über das hinausging,

was zum Schutz der nationalen Sicherheit absolut notwendig und verhältnismäßig war. Desgleichen stellte die Kommission fest, dass es für die Betroffenen keine administrativen oder gerichtlichen Rechtsbehelfe gab, die es ihnen erlaubten, Zugang zu den sie betreffenden Daten zu erhalten und gegebenenfalls deren Berichtigung oder Löschung zu erwirken.

91 Zu dem innerhalb der Union garantierten Schutzniveau der Freiheiten und Grundrechte ist festzustellen, dass eine Unionsregelung, die einen Eingriff in die durch die Art. 7 und 8 der Charta garantierten Grundrechte enthält, nach ständiger Rechtsprechung des Gerichtshofs klare und präzise Regeln für die Tragweite und die Anwendung einer Maßnahme vorsehen und Mindestanforderungen aufstellen muss, so dass die Personen, deren personenbezogene Daten betroffen sind, über ausreichende Garantien verfügen, die einen wirksamen Schutz ihrer Daten vor Missbrauchsrisiken sowie vor jedem unberechtigten Zugang zu diesen Daten und jeder unberechtigten Nutzung ermöglichen. Das Erfordernis, über solche Garantien zu verfügen, ist umso bedeutsamer, wenn die personenbezogenen Daten automatisch verarbeitet werden und eine erhebliche Gefahr des unberechtigten Zugangs zu ihnen besteht (Urteil Digital Rights Ireland u. a., C-293/12 und C-594/12, EU:C:2014:238, Rn. 54 und 55 sowie die dort angeführte Rechtsprechung).

92 Darüber hinaus verlangt der Schutz des Grundrechts auf Achtung des Privatlebens auf Unionsebene vor allem, dass sich die Ausnahmen vom Schutz personenbezogener Daten und dessen Einschränkungen auf das absolut Notwendige beschränken (Urteil Digital Rights Ireland u. a., C-293/12 und C-594/12, EU:C:2014:238, Rn. 52 und die dort angeführte Rechtsprechung).

93 Nicht auf das absolut Notwendige beschränkt ist eine Regelung, die generell die Speicherung aller personenbezogenen Daten sämtlicher Personen, deren Daten aus der Union in die Vereinigten Staaten übermittelt wurden, gestattet, ohne irgendeine Differenzierung, Einschränkung oder Ausnahme anhand des verfolgten Ziels vorzunehmen und ohne ein objektives Kriterium vorzusehen, das es ermöglicht, den Zugang der Behörden zu den Daten und deren spätere Nutzung auf ganz bestimmte, strikt begrenzte Zwecke zu beschränken, die den sowohl mit dem Zugang zu diesen Daten als auch mit deren Nutzung verbundenen Eingriff zu rechtfertigen vermögen (vgl. in diesem Sinne, in Bezug auf die Richtlinie 2006/24/EG des Europäischen Parlaments und des Rates vom 15. März 2006 über die Vorratsspeicherung von Daten, die bei der Bereitstellung öffentlich zugänglicher elektronischer Kommunikationsdienste oder öffentlicher Kommunikationsnetze erzeugt oder verarbeitet werden, und zur Änderung der Richtlinie 2002/58/EG [ABl. L 105, S. 54], Urteil Digital Rights Ireland u. a., C-293/12 und C-594/12, EU:C:2014:238, Rn. 57 bis 61).

94 Insbesondere verletzt eine Regelung, die es den Behörden gestattet, generell auf den Inhalt elektronischer Kommunikation zuzugreifen, den Wesensgehalt des durch Art. 7 der Charta garantierten Grundrechts auf Achtung des Privatlebens

(vgl. in diesem Sinne Urteil Digital Rights Ireland u. a., C-293/12 und C-594/12, EU:C:2014:238, Rn. 39).

95 Desgleichen verletzt eine Regelung, die keine Möglichkeit für den Bürger vorsieht, mittels eines Rechtsbehelfs Zugang zu den ihn betreffenden personenbezogenen Daten zu erlangen oder ihre Berichtigung oder Löschung zu erwirken, den Wesensgehalt des in Art. 47 der Charta verankerten Grundrechts auf wirksamen gerichtlichen Rechtsschutz. Nach Art. 47 Abs. 1 der Charta hat nämlich jede Person, deren durch das Recht der Union garantierte Rechte oder Freiheiten verletzt worden sind, das Recht, nach Maßgabe der in diesem Artikel vorgesehenen Bedingungen bei einem Gericht einen wirksamen Rechtsbehelf einzulegen. Insoweit ist schon das Vorhandensein einer wirksamen, zur Gewährleistung der Einhaltung des Unionsrechts dienenden gerichtlichen Kontrolle dem Wesen eines Rechtsstaats inhärent (vgl. in diesem Sinne Urteile Les Verts/Parlament, 294/83, EU:C:1986:166, Rn. 23, Johnston, 222/84, EU:C:1986:206, Rn. 18 und 19, Heylens u. a., 222/86, EU:C:1987:442, Rn. 14, sowie UGT-Rioja u. a., C-428/06 bis C-434/06, EU:C:2008:488, Rn. 80).

96 Nach den namentlich in den Rn. 71, 73 und 74 des vorliegenden Urteils getroffenen Feststellungen erfordert der Erlass einer Entscheidung der Kommission nach Art. 25 Abs. 6 der Richtlinie 95/46 die gebührend begründete Feststellung dieses Organs, dass das betreffende Drittland aufgrund seiner innerstaatlichen Rechtsvorschriften oder internationaler Verpflichtungen tatsächlich ein Schutzniveau der Grundrechte gewährleistet, das dem in der Rechtsordnung der Union garantierten Niveau, wie es sich insbesondere aus den vorstehenden Randnummern des vorliegenden Urteils ergibt, der Sache nach gleichwertig ist.

97 Die Kommission hat jedoch in der Entscheidung 2000/520 nicht festgestellt, dass die Vereinigten Staaten von Amerika aufgrund ihrer innerstaatlichen Rechtsvorschriften oder internationaler Verpflichtungen tatsächlich ein angemessenes Schutzniveau „gewährleisten“.

98 Daher ist, ohne dass es einer Prüfung des Inhalts der Grundsätze des „sicheren Hafens“ bedarf, der Schluss zu ziehen, dass Art. 1 der Entscheidung 2000/520 gegen die in Art. 25 Abs. 6 der Richtlinie 95/46 im Licht der Charta festgelegten Anforderungen verstößt und aus diesem Grund ungültig ist.

Zu Art. 3 der Entscheidung 2000/520

99 Wie aus den Erwägungen in den Rn. 53, 57 und 63 des vorliegenden Urteils hervorgeht, müssen die nationalen Kontrollstellen nach Art. 28 der Richtlinie 95/46 im Licht insbesondere von Art. 8 der Charta jede Eingabe einer Person zum Schutz ihrer Rechte und Freiheiten bei der Verarbeitung sie betreffender personenbezogener Daten in völliger Unabhängigkeit prüfen können. Dies gilt in besonderem Maß, wenn diese Person im Rahmen einer solchen Eingabe Fragen

nach der Vereinbarkeit einer nach Art. 25 Abs. 6 der Richtlinie ergangenen Entscheidung der Kommission mit dem Schutz der Privatsphäre sowie der Freiheiten und Grundrechte von Personen aufwirft.

100 Art. 3 Abs. 1 Unterabs. 1 der Entscheidung 2000/520 sieht aber eine spezifische Regelung hinsichtlich der Befugnisse vor, über die die nationalen Kontrollstellen in Bezug auf eine von der Kommission zum angemessenen Schutzniveau getroffene Feststellung im Sinne von Art. 25 der Richtlinie 95/46 verfügen.

101 Nach dieser Bestimmung können die Kontrollstellen unter restriktiven Voraussetzungen, mit denen eine erhöhte Eingriffsschwelle geschaffen wird,
„[u]ngeachtet ihrer Befugnisse, tätig zu werden, um die Einhaltung einzelstaatlicher Vorschriften, die gemäß anderen Bestimmungen als denjenigen des Artikels 25 der Richtlinie [95/46] erlassen wurden, zu gewährleisten, … die Datenübermittlung an eine Organisation [aussetzen], die den Grundsätzen [der Entscheidung 2000/520] beigetreten ist“. Diese Bestimmung beeinträchtigt zwar nicht die Befugnisse der Kontrollstellen, tätig zu werden, um die Einhaltung einzelstaatlicher Vorschriften zu gewährleisten, die gemäß der Richtlinie erlassen wurden, doch nimmt sie ihnen die Möglichkeit, Maßnahmen zu ergreifen, die die Einhaltung von Art. 25 der Richtlinie gewährleisten sollen.

102 Art. 3 Abs. 1 Unterabs. 1 der Entscheidung 2000/520 ist somit dahin zu verstehen, dass er den nationalen Kontrollstellen Befugnisse entzieht, die ihnen nach Art. 28 der Richtlinie 95/46 für den Fall zustehen, dass eine Person im Rahmen einer Eingabe aufgrund dieser Bestimmung Gesichtspunkte vorbringt, die geeignet sind, die Vereinbarkeit einer Entscheidung der Kommission, mit der auf der Grundlage von Art. 25 Abs. 6 der Richtlinie festgestellt wird, dass ein Drittland ein angemessenes Schutzniveau gewährleistet, mit dem Schutz der Privatsphäre sowie der Freiheiten und Grundrechte von Personen in Frage zu stellen.

103 Die Durchführungsbefugnis, die der Unionsgesetzgeber der Kommission in Art. 25 Abs. 6 der Richtlinie 95/46 einräumt, berechtigt dieses Organ jedoch nicht, die in der vorstehenden Randnummer genannten Befugnisse der nationalen Kontrollstellen zu beschränken.

104 Unter diesen Umständen ist festzustellen, dass die Kommission mit dem Erlass von Art. 3 der Entscheidung 2000/520 die ihr durch Art. 25 Abs. 6 der Richtlinie 95/46 im Licht der Charta übertragene Zuständigkeit überschritten hat, so dass dieser Artikel ungültig ist.

105 Da die Art. 1 und 3 der Entscheidung 2000/520 untrennbar mit deren Art. 2 und 4 sowie deren Anhängen verbunden sind, berührt ihre Ungültigkeit die Gültigkeit der gesamten Entscheidung.

106 Aus den vorstehenden Erwägungen ist der Schluss zu ziehen, dass die Entscheidung 2000/520 ungültig ist.

Kosten

107 Für die Parteien des Ausgangsverfahrens ist das Verfahren ein Zwischenstreit in dem beim vorlegenden Gericht anhängigen Rechtsstreit; die Kostenentscheidung ist daher Sache dieses Gerichts. Die Auslagen anderer Beteiligter für die Abgabe von Erklärungen vor dem Gerichtshof sind nicht erstattungsfähig.

Aus diesen Gründen hat der Gerichtshof (Große Kammer) für Recht erkannt:

1. Art. 25 Abs. 6 der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr in der durch die Verordnung (EG) Nr. 1882/2003 des Europäischen Parlaments und des Rates vom 29. September 2003 geänderten Fassung ist im Licht der Art. 7, 8 und 47 der Charta der Grundrechte der Europäischen Union dahin auszulegen, dass eine aufgrund dieser Bestimmung ergangene Entscheidung wie die Entscheidung 2000/520/EG der Kommission vom 26. Juli 2000 gemäß der Richtlinie 95/46 über die Angemessenheit des von den Grundsätzen des „sicheren Hafens“ und der diesbezüglichen „Häufig gestellten Fragen“ (FAQ) gewährleisteten Schutzes, vorgelegt vom Handelsministerium der USA, in der die Europäische Kommission feststellt, dass ein Drittland ein angemessenes Schutzniveau gewährleistet, eine Kontrollstelle eines Mitgliedstaats im Sinne von Art. 28 der Richtlinie in geänderter Fassung nicht daran hindert, die Eingabe einer Person zu prüfen, die sich auf den Schutz ihrer Rechte und Freiheiten bei der Verarbeitung sie betreffender personenbezogener Daten, die aus einem Mitgliedstaat in dieses Drittland übermittelt wurden, bezieht, wenn diese Person geltend macht, dass das Recht und die Praxis dieses Landes kein angemessenes Schutzniveau gewährleisteten.

2. Die Entscheidung 2000/520 ist ungültig.

BGH bejaht Löschungsanspruch gegen Domaininhaber

In einem kürzlich veröffentlichten Urteil (Urt. v. 06.11.2013 – I ZR 153/12) sprach der erste Zivilsenat des BGH dem des Saarländischen Rundfunks gegen den Domaininhaber einen Anspruch auf Löschung der Domain „sr.de“ zu. Die Karlsruher Richter sahen in der Registrierung der Domain eine unberechtigte Namensanmaßung im Sinne des § 12 BGB. Damit widersprach der BGH dem Berufungsgericht (OLG Frankfurt/Main), welches die Ansicht vertrat, es läge kein namensmäßiger Gebrauch vor, da eine aus zwei Buchstaben bestehende Abkürzung nicht stets als Hinweis auf einen Namen aufgefasst werde, sondern es aus Sicht der angesprochenen Verkehrskreise ebenso möglich sei, dass die Buchstabenfolge als Abkürzung für ein oder zwei Worte stehe, mit denen der unter dem Domainnamen abrufbare Inhalt bezeichnet werde.

BUNDESGERICHTSHOF
IM NAMEN DES VOLKES
URTEIL
I ZR 153/12 Verkündet am: 6. November 2013

Der I. Zivilsenat des Bundesgerichtshofs hat auf die mündliche Verhandlung vom 6. November 2013 durch den Vorsitzenden Richter Prof. Dr. Dr. h.c. Bornkamm und die Richter Prof. Dr. Büscher, Prof. Dr. Schaffert, Dr. Kirchhoff und Dr. Löffler
für Recht erkannt:

  1. Auf die Revision des Beklagten wird das Urteil des 6. Zivilsenats des Oberlandesgerichts Frankfurt am Main vom 10. Juli 2012 im Kostenpunkt und insoweit aufgehoben, als zum Nachteil des Beklagten erkannt worden ist.
  2. Die Berufung des Klägers gegen das Urteil des Landgerichts Frankfurt am Main – 18. Zivilkammer – vom 10. August 2011 wird insgesamt zurückgewiesen.
  3. Die Kosten der Rechtsmittel trägt der Kläger.

Von Rechts wegen

Tatbestand:
Der Kläger ist Inhaber des bei der DENIC e.G. registrierten Internet-Domainnamens „sr.de“. Inhalte sind über diese Internetadresse nicht abrufbar. Der Beklagte benutzt seit seiner Gründung im Jahr 1957 die Buchstabenfolge „SR“ als Abkürzung für seine Unternehmensbezeichnung „Saarländischer
Rundfunk“. Er ist Inhaber der beim Deutschen Patent- und Markenamt als verkehrsdurchgesetzt für eine Reihe von Dienstleistungen im Bereich Rundfunk und Fernsehen eingetragenen Wortmarke „SR“.
Der Beklagte ließ durch die DENIC e.G. einen sogenannten Dispute-Eintrag für den Domainnamen „sr.de“ eintragen mit der Folge, dass der Kläger diesen zwar weiter nutzen, nicht aber auf Dritte übertragen kann. Mit Schreiben vom 13. Januar 2011 forderte der Beklagte den Kläger erfolglos auf, den Domainnamen freizugeben.
Der Kläger hält den Dispute-Eintrag für unberechtigt und begehrt mit der Klage dessen Löschung. Der Beklagte ist dem entgegengetreten und hat den Kläger widerklagend auf Löschung des Domainnamens in Anspruch genommen. Er ist der Auffassung, ihm stünden aus § 12 BGB ältere Rechte an dem Domainnamen zu. Er hat beantragt,
den Kläger zu verurteilen, in die Löschung der Domain „sr.de“ gegenüber der DENIC e.G. einzuwilligen.
Das Landgericht hat die Klage abgewiesen und den Kläger auf die Widerklage antragsgemäß verurteilt. Auf die Berufung des Klägers hat das Berufungsgericht die Widerklage abgewiesen und das weitergehende Rechtsmittel zurückgewiesen. Mit der vom Senat zugelassenen Revision, deren Zurückweisung der Kläger beantragt, begehrt der Beklagte die Wiederherstellung des erstinstanzlichen Urteils.

Entscheidungsgründe

I. Die Revision richtet sich allein gegen die Abweisung der Widerklage. Insoweit hat das Berufungsgericht angenommen, der Beklagte habe gegen den Kläger keinen Anspruch auf Löschung des Domainnamens aus § 12 BGB. Zwar stehe ihm ein Namensrecht an der Buchstabenfolge „SR“ zu. Es sei jedoch fraglich, ob durch die Registrierung dieser Buchstabenfolge als Domainname eine Zuordnungsverwirrung eingetreten sei. Jedenfalls im Rahmen der vorzunehmenden Interessenabwägung überwiege das schützenswerte Interesse des Klägers, den Domainnamen auch für die Zwecke seiner Veräußerung zu registrieren.
II. Die dagegen gerichtete Revision hat Erfolg. Sie führt im Umfang der Anfechtung zur Aufhebung des Berufungsurteils und zur Wiederherstellung des landgerichtlichen Urteils. Dem Beklagten steht gemäß § 12 BGB ein Anspruch auf Löschung des Domainnamens „sr.de“ zu.
1. Das Berufungsgericht ist mit Recht davon ausgegangen, dass sich der Beklagte für den auf die Abkürzung seines Unternehmenskennzeichens gestützten Löschungsanspruch grundsätzlich auf § 12 Satz 1 Fall 2 BGB stützen kann, ohne dass diese allgemeine namensrechtliche Anspruchsgrundlage durch die spezielleren Vorschriften gemäß §§ 5, 15 MarkenG ausgeschlossen ist.
Allerdings geht der zeichenrechtliche Schutz aus §§ 5, 15 MarkenG in seinem Anwendungsbereich grundsätzlich dem Namensschutz des § 12 BGB vor (BGH, Urteil vom 9. September 2004 I ZR 65/02, GRUR 2005, 430 = WRP 2005, 488 mho.de, mwN). Der namensrechtliche Schutz von Unternehmenskennzeichen nach § 12 BGB kommt jedoch in Betracht, soweit der Funktionsbereich des Unternehmens ausnahmsweise durch eine Verwendung der Unternehmensbezeichnung außerhalb der kennzeichenrechtlichen Verwechslungsgefahr berührt wird. Dies ist der Fall, wenn die Unternehmensbezeichnung nicht im geschäftlichen Verkehr (vgl. BGH, Urteil vom 22. November 2001 – I ZR 138/99, BGHZ 149, 191, 198 shell.de; Urteil vom 24. April 2008 I ZR 159/05, GRUR 2008, 1099 Rn. 10 = WRP 2008, 1520 afilias.de) oder außerhalb der Branchennähe (vgl. BGH, GRUR 2005, 430 f. mho.de) benutzt wird oder wenn mit der Löschung eines Domainnamens eine Rechtsfolge begehrt wird, die aus kennzeichenrechtlichen Vorschriften grundsätzlich nicht hergeleitet werden kann (BGH, Urteil vom 9. November 2011 I ZR 150/09, GRUR 2012, 304 Rn. 32 = WRP 2012, 330 Basler Haar-Kosmetik). Nach diesen Maßstäben ist im Streitfall der Anwendungsbereich des § 12 BGB eröffnet. Der Kläger hat den Domainnamen bislang nicht verwendet, so dass sich der Löschungsanspruch nicht gegen einen im geschäftlichen Verkehr benutzten Domainnamen richtet. Mangels Benutzung lassen sich auch nicht die Voraussetzungen einer Branchennähe und einer Verwechslungsgefahr im Sinne von § 15 Abs. 2 MarkenG feststellen.
2. Zutreffend hat das Berufungsgericht ferner angenommen, dem Beklagten stehe ein Namensrecht im Sinne von § 12 BGB an der Abkürzung „sr“ seines Unternehmenskennzeichens zu.
§ 12 BGB schützt auch die Firma oder einen unterscheidungskräftigen Firmenbestandteil einer Gesellschaft oder eines einzelkaufmännischen Unternehmens (BGHZ 149, 191, 197 f. shell.de, mwN). Der Schutz des Namensrechts gemäß § 12 BGB setzt namensmäßige Unterscheidungskraft der Bezeichnung von Hause aus oder Verkehrsgeltung voraus (vgl. BGH, Urteil vom 16. Dezember 2004 – I ZR 69/02, GRUR 2005, 517, 518 = WRP 2005, 614 Literaturhaus, mwN). Die Benutzung einer Unternehmensbezeichnung mit Namensfunktion begründet zugunsten des Unternehmensträgers neben einem
Recht am Unternehmenskennzeichen in aller Regel auch ein Namensrecht im Sinne des § 12 BGB. Dieses entsteht bei von Hause aus unterscheidungskräftigen Bezeichnungen ebenso wie der Schutz des Unternehmenskennzeichens nach § 5 Abs. 2 Satz 1 MarkenG mit der Aufnahme der Benutzung im geschäftlichen Verkehr (BGH, GRUR 2005, 430 f. mho.de). Für Abkürzungen, die aus dem Firmenbestandteil gebildet werden, gilt nichts anderes. Erforderlich ist allerdings auch hier, dass die Abkürzung selbst Unterscheidungskraft aufweist (BGH, Urteil vom 19. Februar 2009 I ZR 135/06, GRUR 2009, 685 Rn. 17 = WRP 2009, 803 ahd.de).
Nach diesen Grundsätzen hat das Berufungsgericht mit Recht ein Namensrecht des Beklagten aufgrund einer lang andauernden und bundesweiten Benutzung der aus seiner Unternehmensbezeichnung gebildeten Abkürzung „SR“ angenommen. Diese Annahme begegnet keinen rechtlichen Bedenken. Das Berufungsgericht ist weiter davon ausgegangen, dass der Beklagte die Abkürzung „sr“ zudem in Kleinschreibung für sein Unternehmen als Rundfunkanstalt seit geraumer Zeit bundesweit benutzt. Die Buchstabenfolge verfügt, auch wenn sie nicht als Wort aussprechbar ist, über originäre Unterscheidungskraft (vgl. BGH, Urteil vom 5. Oktober 2000 I ZR 166/98, BGHZ 145, 279, 281 f. DB-Immobilienfonds; BGH, GRUR 2005, 430, 431 mho.de). Insbesondere hat das Berufungsgericht keine bestimmte beschreibende Verwendung festgestellt (vgl. BGH, GRUR 2009, 685 Rn. 18 ahd.de). Es hat außerdem auf die landgerichtlichen Feststellungen Bezug genommen, wonach der Bezeichnung „SR“ als Abkürzung des Unternehmensnamens des Beklagten Verkehrsgeltung zukommt.
3. Mit Erfolg wendet sich die Revision gegen die Beurteilung des Berufungsgerichts, es fehle an den weiteren Voraussetzungen des Löschungsanspruchs gemäß § 12 BGB.
a) Das Berufungsgericht hat angenommen, es sei fraglich, ob durch die Registrierung der Buchstabenfolge „sr.de“ als Domainname eine Zuordnungsverwirrung eingetreten sei. Jedenfalls sei eine Verwirrung nicht schwerwiegend, weil sie durch die sich bei Eingabe des Domainnamens öffnende Homepage rasch wieder beseitigt werde. Es komme hinzu, dass eine bundesweite Zuordnungsverwirrung nicht vorliegen dürfte, weil der Verkehr in der Verwendung des Zeichens „sr.de“ nicht bundesweit den Hinweis auf den Namen des Betreibers erblicke. Jedenfalls im Rahmen der vorzunehmenden Interessenabwägung überwiege das schützenswerte Interesse des Klägers, die Domain auch für die Zwecke ihrer Veräußerung zu registrieren. Diese Beurteilung hält der rechtlichen Nachprüfung nicht stand.
b) Entgegen der Annahme des Berufungsgerichts ist eine im Streitfall allein in Betracht kommende unberechtigte Namensanmaßung im Sinne von § 12 Satz 1 Fall 2 BGB zu bejahen. Diese setzt voraus, dass ein Dritter unbefugt den Namen oder eine als Namen geschützte Bezeichnung gebraucht, dadurch eine Zuordnungsverwirrung eintritt und schutzwürdige Interessen des Namensträgers verletzt werden (vgl. BGH, Urteil vom 2. Dezember 2004 I ZR 92/02, BGHZ 161, 216, 220 f. Pro Fide Catholica; BGH, GRUR 2012, 304 Rn. 37 Basler Haar-Kosmetik). So liegt es auch im Streitfall.
aa) Der Kläger hat die Unternehmensbezeichnung „sr“ durch die Registrierung des Domainnamens „sr.de“ namensmäßig gebraucht.
(1) Allerdings hat das Berufungsgericht angenommen, aus dem Umstand, dass die Abkürzung „sr“ als Unternehmenskennzeichen geschützt sei, folge nicht ohne weiteres, dass diese Bezeichnung bei einer Verwendung als Internetadresse auf den Namen des Betreibers hinweise. Eine aus zwei Buchstaben bestehende Abkürzung werde nicht stets als Hinweis auf einen Namen aufgefasst; vielmehr sei es aus Sicht der angesprochen Verkehrskreise ebenso möglich, dass eine solche Buchstabenfolge als Abkürzung für ein oder zwei Worte stehe, mit denen der unter diesem Domainnamen aufrufbare Inhalt bezeichnet werde.
(2) Dieser Beurteilung kann nicht zugestimmt werden. Zwar ist es denkbar, dass der Verkehr in einem Domainnamen ausschließlich eine Beschreibung des Inhalts der damit bezeichneten Website sieht (vgl. BGH, Urteil vom 31. Mai 2012 I ZR 135/10, GRUR 2012, 832 Rn. 22 f. = WRP 2012, 940 ZAPPA). Insoweit sind jedoch konkrete Feststellungen erforderlich. Daran fehlt es hier. Das Berufungsgericht hat keinerlei Feststellungen dazu getroffen, welche inhaltsbeschreibende Bedeutung die Abkürzung „sr“ haben könnte. Es bleibt deshalb bei dem Grundsatz, dass schon in dem Registrieren eines Namens und der Aufrechterhaltung der Registrierung ein Namensgebrauch liegt (vgl. BGH, GRUR 2008, 1099 Rn. 19 afilias.de).
bb) Der Kläger hat den Domainnamen „sr.de“ auch unbefugt benutzt.
Unbefugt ist der Gebrauch eines Namens, wenn dem Verwender kein eigenes Benutzungsrecht zusteht (BGH, Urteil vom 8. Februar 1996 I ZR 216/93, GRUR 1996, 422, 423 = WRP 1996, 541 J.C. Winter; Urteil vom 21. September 2006 I ZR 201/03, GRUR 2007, 259 Rn. 14 = WRP 2007, 76 solingen.info; BGH, GRUR 2008, 1099 Rn. 20 afilias.de). Im Streitfall steht dem Kläger weder ein eigenes prioritätsälteres Namens- oder sonstiges Kennzeichenrecht an der Abkürzung „sr“ zu, noch ist ihm die Benutzung von einem Inhaber eines solchen Rechts gestattet worden.
cc) Auch das Merkmal der Zuordnungsverwirrung ist zu bejahen.
(1) Eine Zuordnungsverwirrung liegt im Regelfall bereits dann vor, wenn ein Dritter einen fremden Namen namensmäßig im Rahmen einer Internetadresse verwendet. Der Verkehr sieht in der Verwendung eines unterscheidungskräftigen, nicht sogleich als Gattungsbegriff verstandenen Zeichens als Internetadresse im Allgemeinen einen Hinweis auf den Namen des Betreibers des jeweiligen Internetauftritts (BGHZ 149, 191, 199 shell.de; BGH, GRUR 2008, 1099 Rn. 25 afilias.de; GRUR 2012, 304 Rn. 39 Basler Haar-Kosmetik).
(2) Das Berufungsgericht hat allerdings angenommen, für den auf eine Löschung des Domainnamens schlechthin gerichteten Klageantrag sei eine bundesweite Zuordnungsverwirrung erforderlich. Daran fehle es, weil der von dem Beklagten vorgetragenen Bekanntheit der Bezeichnung „sr“ von 87% für das Saarland keine bundesweite Bekanntheit zu entnehmen sei. Diese Beurteilung ist nicht frei von Rechtsfehlern.
Unternehmenskennzeichen sind in der Regel bundesweit geschützt. Zwar kann das Namensrecht von Unternehmen ausnahmsweise nur regional beschränkt bestehen. Dies setzt aber voraus, dass das Unternehmen nach seinem Zweck und Zuschnitt nur lokal oder regional tätig und auch nicht auf Expansion ausgelegt ist (BGH, Urteil vom 22. Juli 2004 I ZR 135/01, GRUR 2005, 262, 263 = WRP 2005, 228 soco.de; MünchKomm.BGB/Säcker, 6. Aufl., § 12 Rn. 64). Diese besonderen Umstände hat das Berufungsgericht nicht festgestellt. Da Rundfunkanstalten im Rahmen des ARD-Verbundes erfahrungsgemäß auch Programmbeiträge für eine bundesweite Ausstrahlung produzieren, fehlt jeder Anhaltspunkt für eine bloß regional begrenzte Tätigkeit des Beklagten. Die Revisionserwiderung geht ebenfalls davon aus, dass das Sendegebiet des Beklagten nicht auf das Saarland beschränkt ist.
Zu berücksichtigen ist ferner, dass eine nur regional wirkende Löschung von Domainnamen nicht möglich ist. Ein regional oder lokal tätiger Anbieter ist jedenfalls gegenüber einem Nichtberechtigten nicht verpflichtet, eine nur in seinem räumlichen Tätigkeitsbereich bestehende Gefahr einer namensrechtlichen Zuordnungsverwirrung hinzunehmen. Ihm steht daher gegenüber einem Nichtberechtigten ein uneingeschränkter Löschungsanspruch zu (zum Recht der Gleichnamigen vgl. BGH, GRUR 2005, 262, 263 soco.de; BGH, Urteil vom 23. Juni 2005 I ZR 288/02, GRUR 2006, 159, 160 = WRP 2006, 238 hufeland.de).
(3) Entgegen der Annahme des Berufungsgerichts wird eine Zuordnungsverwirrung auch nicht durch das Öffnen der Webseite nachträglich relativiert, weil die das Namensrecht beeinträchtigende Wirkung unabhängig von der Verwendung des Domainnamens bereits durch die in der Registrierung liegenden Ausschlusswirkung eintritt (vgl. BGHZ 149, 191, 199 shell.de; BGH, GRUR 2007, 259 Rn. 21 ff. solingen.info). Im Streitfall kommt hinzu, dass nach den getroffenen Feststellungen auf der durch den angegriffenen Domainnamen bezeichneten Internetseite keine Inhalte hinterlegt sind und bereits deshalb hinreichend sichere Anhaltspunkte für die Annahme fehlen, dem Verkehr werde sogleich nach dem Öffnen der Internetseite deutlich werden, dass er sich nicht auf der Seite des Beklagten befinden könne.
dd) Mit Erfolg wendet sich die Revision auch gegen die Annahme des Berufungsgerichts, im Streitfall sei bei der vorzunehmenden Abwägung dem Interesse des Klägers der Vorrang einzuräumen.
(1) Das Berufungsgericht hat insoweit angenommen, der Umstand, dass im Streitfall möglicherweise bei einem sehr kleinen Teil der angesprochenen Verkehrskreise eine anfängliche Zuordnungsverwirrung vorliege, die sehr schnell durch das Öffnen der Homepage beseitigt werde, führe nicht dazu, dass der Kläger verpflichtet sei, in die Löschung einzuwilligen. Zwar sei nicht zu verkennen, dass auch auf Seiten des Klägers schützenswerte Belange nicht in dem Maße vorlägen, wie sie bei einer mit Inhalten ausgefüllten Homepage vorhanden seien. Der Kläger sei jedoch nicht verpflichtet, den Domainnamen umgehend mit Inhalten zu versehen. Es sei durchaus auch legitim, sich Internet-Domainnamen zum Zwecke der Weiterveräußerung registrieren zu lassen. Dem kann nicht zugestimmt werden.
(2) Das Berufungsgericht hat nicht genügend berücksichtigt, dass schutzwürdige Interessen des Namensträgers in Fallgestaltungen wie der vorliegenden typischerweise bereits dadurch beeinträchtigt werden, dass der Name durch einen Nichtberechtigten als Domainname unter der in Deutschland üblichen Top-Level-Domain „.de“ registriert wird. Die den Berechtigten ausschließende Wirkung setzt bei der Verwendung eines fremden Namens als Domainname bereits mit der Registrierung und nicht erst mit der Benutzung der Domain ein (BGH, Urteil vom 26. Juni 2003 I ZR 296/00, BGHZ 155, 273, 276 f. maxem.de; Urteil vom 8. Februar 2007 – I ZR 59/04, BGHZ 171, 104 Rn. 11 grundke.de; BGH, GRUR 2012, 304 Rn. 29 Basler Haar-Kosmetik; BGH, Urteil vom 13. Dezember 2012 I ZR 150/11, GRUR 2013, 294 Rn. 14 = WRP 2013, 338 dlg.de). Demgegenüber kann ein Nichtberechtigter nur ausnahmsweise auf schützenswerte Belange verweisen, die im Rahmen der Interessenabwägung zu seinen Gunsten zu berücksichtigen sind. Dies ist etwa der Fall, wenn die Registrierung des Domainnamens durch den Nichtberechtigten nur der erste Schritt im Zuge der für sich genommen rechtlich unbedenklichen Aufnahme einer entsprechenden Benutzung als Unternehmenskennzeichen ist oder wenn das Kennzeichen- oder Namensrecht des Berechtigten erst nach der Registrierung des Domainnamens durch den Domaininhaber entstanden ist (vgl. BGH, GRUR 2008, 1099 Rn. 27 ff. – afilias.de; GRUR 2012, 304 Rn. 40 Basler Haar-Kosmetik, mwN). Derartige Umstände hat das Berufungsgericht nicht festgestellt.
(3) Entgegen der Ansicht des Berufungsgerichts ist bei der Interessenabwägung gemäß § 12 BGB zudem zu Lasten des Klägers zu berücksichtigen, dass er den angegriffenen Domainnamen nicht selbst nutzen möchte, sondern sich sein Interesse darauf beschränkt, den Domainnamen zu veräußern.
Im Rahmen der Prüfung einer Namensverletzung gemäß § 12 BGB geht es um die Abwägung namensrechtlich relevanter Interessen. Insoweit ist von maßgebender Bedeutung, ob die Parteien, deren Interessen abzuwägen sind, den Namen auch namensmäßig benutzen wollen (im Hinblick auf den Berechtigten vgl. BGH, Urteil vom 19. Februar 2004 I ZR 82/01, GRUR 2004, 619, 621 = WRP 2004, 769 kurt-biedenkopf.de; im Hinblick auf den Nichtberechtigten vgl. BGH, GRUR 2008, 1099 Rn. 28 f. afilias.de). Daraus folgt, dass das bloße Interesse des Nichtberechtigten am Weiterverkauf des registrierten und nicht als Adresse einer mit Inhalten versehenen Internetseite verwendeten Domainnamens bei der Prüfung eines namensrechtlichen Löschungsanspruchs nicht schutzwürdig ist.
4. Da sich das angegriffene Urteil auch nicht aus anderen Gründen als richtig erweist (§ 561 ZPO), ist es aufzuheben, soweit zum Nachteil des Beklagten erkannt und die Widerklage abgewiesen worden ist (§ 562 Abs. 1 ZPO). Der Senat kann in der Sache selbst entscheiden, weil keine weiteren Feststellungen zu erwarten sind und die Sache zur Endentscheidung reif ist (§ 563 Abs. 3 ZPO). Danach steht dem Beklagten aufgrund der vorstehenden Erwägungen der mit der Widerklage verfolgte Löschungsanspruch wegen Namensanmaßung nach § 12 Satz 1 Fall 2 BGB zu.

III . Die Entscheidung über die Kosten folgt aus § 91 Abs. 1, § 97 Abs. 1 ZPO.

LG Frankfurt/Main, Entscheidung vom 10.08.2011 – 2-18 O 20/11 –
OLG Frankfurt/Main, Entscheidung vom 10.07.2012 – 6 U 168/11 –

EuGH zu Kopierschutz-Vorrichtungen von Nintendo-Konsolen

Der EuGH (Urt. v. 23.01.2014; Az.: C-355/12) hat entschieden, dass es Softwareanbietern in bestimmten Fällen gestattet ist, den Kopierschutz von Nintendo-Geräten zu umgehen. Voraussetzung ist jedoch, dass die Umgehung der Schutzvorrichtungen nötig ist, um es Nutzern zu ermöglichen, auf den Geräten die eigene Software des Anbieters abzuspielen. Die Umgehung der Schutzmechanismen zum Zwecke des Abspielens raubkopierter Spiele bleibt jedoch weiterhin verboten.

In der Rechtssache C-355/12

betreffend ein Vorabentscheidungsersuchen nach Art. 267 AEUV, eingereicht vom Tribunale di Milano (Italien) mit Entscheidung vom 22. Dezember 2011, beim Gerichtshof eingegangen am 26. Juli 2012, in dem Verfahren

Nintendo Co. Ltd,

Nintendo of America Inc.,

Nintendo of Europe GmbH

PC Box Srl,

9Net Srl

 

erlässt

DER GERICHTSHOF (Vierte Kammer)

aufgrund des schriftlichen Verfahrens und auf die mündliche Verhandlung vom 30. Mai 2013,

unter Berücksichtigung der Erklärungen

– der Nintendo Co. Ltd, der Nintendo of America Inc. und der Nintendo of Europe GmbH, vertreten durch …

– der PC Box Srl, vertreten durch …

– der polnischen Regierung, vertreten durch …

– er Europäischen Kommission, vertreten durch …

nach Anhörung der Schlussanträge der Generalanwältin in der Sitzung vom 19. September 2013

folgendes

Urteil

Das Vorabentscheidungsersuchen betrifft die Auslegung von Art. 6 der Richtlinie 2001/29/EG des Europäischen Parlaments und des Rates vom 22. Mai 2001 zur Harmonisierung bestimmter Aspekte des Urheberrechts und der verwandten Schutzrechte in der Informationsgesellschaft (ABl. L 167, S. 10).

Dieses Ersuchen ergeht im Rahmen eines Rechtsstreits zwischen der Nintendo Co. Ltd, der Nintendo of America Inc. und der Nintendo of Europe GmbH (im Folgenden zusammen: Nintendo-Unternehmen) einerseits und der PC Box Srl (im Folgenden: PC Box) und der 9Net Srl (im Folgenden: 9Net) andererseits über den Vertrieb von „mod chips“ und „game copiers“ (im Folgenden: Geräte von PC Box) durch PC Box über deren von 9Net betriebene Website.

Rechtlicher Rahmen

Völkerrecht

Art. 2 Abs. 1 der am 9. September 1886 in Bern unterzeichneten Übereinkunft zum Schutz von Werken der Literatur und Kunst (Pariser Fassung vom 24. Juli 1971) in der am 28. September 1979 geänderten Fassung bestimmt:

„Die Bezeichnung ‚Werke der Literatur und Kunst‘ umfasst alle Erzeugnisse auf dem Gebiet der Literatur, Wissenschaft und Kunst, ohne Rücksicht auf die Art und Form des Ausdrucks …“

 Unionsrecht

 Richtlinie 2001/29

In den Erwägungsgründen 9 und 47 bis 50 der Richtlinie 2001/29 heißt es:

„(9) Jede Harmonisierung des Urheberrechts und der verwandten Schutzrechte muss von einem hohen Schutzniveau ausgehen, da diese Rechte für das geistige Schaffen wesentlich sind. …

(47) Im Zuge der technischen Entwicklung werden Rechtsinhaber von technischen Maßnahmen Gebrauch machen können, die dazu bestimmt sind, die Verhinderung oder Einschränkung von Handlungen zu erreichen, die von den Inhabern von Urheberrechten oder verwandten Schutzrechten oder des Sui-generis-Rechts an Datenbanken nicht genehmigt worden sind. Es besteht jedoch die Gefahr, dass die Umgehung des durch diese Vorrichtungen geschaffenen technischen Schutzes durch rechtswidrige Handlungen ermöglicht oder erleichtert wird. Um ein uneinheitliches rechtliches Vorgehen zu vermeiden, das den Binnenmarkt in seiner Funktion beeinträchtigen könnte, muss der rechtliche Schutz vor der Umgehung wirksamer technischer Maßnahmen und vor der Bereitstellung entsprechender Vorrichtungen und Produkte bzw. der Erbringung entsprechender Dienstleistungen harmonisiert werden.

(48) Dieser Rechtsschutz sollte für technische Maßnahmen gelten, die wirksam Handlungen beschränken, die von den Inhabern von Urheberrechten oder verwandten Schutzrechten oder des Sui-generis-Rechts an Datenbanken nicht genehmigt worden sind, ohne jedoch den normalen Betrieb elektronischer Geräte und deren technische Entwicklung zu behindern. Dieser Rechtsschutz verpflichtet nicht dazu, Vorrichtungen, Produkte, Komponenten oder Dienstleistungen zu entwerfen, die den technischen Maßnahmen entsprechen, solange diese Vorrichtungen, Produkte, Komponenten oder Dienstleistungen nicht in anderer Weise unter das Verbot des Artikels 6 fallen. Dieser Rechtsschutz sollte auch das Verhältnismäßigkeitsprinzip berücksichtigen, und es sollten nicht jene Vorrichtungen oder Handlungen untersagt werden, deren wirtschaftlicher Zweck und Nutzen nicht in der Umgehung technischer Schutzvorkehrungen besteht. Insbesondere dürfen die Forschungsarbeiten im Bereich der Verschlüsselungstechniken dadurch nicht behindert werden.

(49) Der Rechtsschutz technischer Maßnahmen lässt einzelstaatliche Rechtsvorschriften unberührt, die den privaten Besitz von Vorrichtungen, Erzeugnissen oder Bestandteilen zur Umgehung technischer Maßnahmen untersagen.

(50) Ein solcher harmonisierter Rechtsschutz lässt die speziellen Schutzbestimmungen gemäß der Richtlinie [2009/24/EG des Europäischen Parlaments und des Rates vom 23. April 2009 über den Rechtsschutz von Computerprogrammen (ABl. L 111, S. 16)] unberührt. Er sollte insbesondere nicht auf den Schutz der in Verbindung mit Computerprogrammen verwendeten technischen Maßnahmen Anwendung finden, der ausschließlich in jener Richtlinie behandelt wird. Er sollte die Entwicklung oder Verwendung anderer Mittel zur Umgehung technischer Maßnahmen, die erforderlich sind, um Handlungen nach Artikel 5 Absatz 3 oder Artikel 6 der Richtlinie [2009/24] zu ermöglichen, nicht aufhalten oder verhindern. Artikel 5 und 6 jener Richtlinie sehen ausschließlich Ausnahmen von den auf Computerprogramme anwendbaren ausschließlichen Rechten vor.“

Art. 1 der Richtlinie 2001/29 bestimmt:

„(1) Gegenstand dieser Richtlinie ist der rechtliche Schutz des Urheberrechts und der verwandten Schutzrechte im Rahmen des Binnenmarkts, insbesondere in Bezug auf die Informationsgesellschaft.

(2) Außer in den in Artikel 11 genannten Fällen lässt diese Richtlinie die bestehenden gemeinschaftsrechtlichen Bestimmungen über folgende Bereiche unberührt und beeinträchtigt sie in keiner Weise:

a) über den rechtlichen Schutz von Computerprogrammen;

…“

Art. 6 Abs. 1 bis 3 dieser Richtlinie lautet:

„(1) Die Mitgliedstaaten sehen einen angemessenen Rechtsschutz gegen die Umgehung wirksamer technischer Maßnahmen durch eine Person vor, der bekannt ist oder den Umständen nach bekannt sein muss, dass sie dieses Ziel verfolgt.

(2) Die Mitgliedstaaten sehen einen angemessenen Rechtsschutz gegen die Herstellung, die Einfuhr, die Verbreitung, den Verkauf, die Vermietung, die Werbung im Hinblick auf Verkauf oder Vermietung und den Besitz zu kommerziellen Zwecken von Vorrichtungen, Erzeugnissen oder Bestandteilen sowie die Erbringung von Dienstleistungen vor,

a) die Gegenstand einer Verkaufsförderung, Werbung oder Vermarktung mit dem Ziel der Umgehung wirksamer technischer Maßnahmen sind oder

b) die, abgesehen von der Umgehung wirksamer technischer Maßnahmen, nur einen begrenzten wirtschaftlichen Zweck oder Nutzen haben oder

c) die hauptsächlich entworfen, hergestellt, angepasst oder erbracht werden, um die Umgehung wirksamer technischer Maßnahmen zu ermöglichen oder zu erleichtern.

(3) Im Sinne dieser Richtlinie bezeichnet der Ausdruck ‚technische Maßnahmen‘ alle Technologien, Vorrichtungen oder Bestandteile, die im normalen Betrieb dazu bestimmt sind, Werke oder sonstige Schutzgegenstände betreffende Handlungen zu verhindern oder einzuschränken, die nicht von der Person genehmigt worden sind, die Inhaber der Urheberrechte oder der dem Urheberrecht verwandten gesetzlich geschützten Schutzrechte oder des in Kapitel III der Richtlinie 96/9/EG [des Europäischen Parlaments und des Rates vom 11. März 1996 über den rechtlichen Schutz von Datenbanken (ABl. L 77, S. 20)] verankerten Sui-generis-Rechts ist. Technische Maßnahmen sind als ‚wirksam‘ anzusehen, soweit die Nutzung eines geschützten Werks oder eines sonstigen Schutzgegenstands von den Rechtsinhabern durch eine Zugangskontrolle oder einen Schutzmechanismus wie Verschlüsselung, Verzerrung oder sonstige Umwandlung des Werks oder sonstigen Schutzgegenstands oder einen Mechanismus zur Kontrolle der Vervielfältigung, die die Erreichung des Schutzziels sicherstellen, unter Kontrolle gehalten wird.“

Richtlinie 2009/24

 Art. 1 Abs. 1 der Richtlinie 2009/24 lautet:

 „Gemäß den Bestimmungen dieser Richtlinie schützen die Mitgliedstaaten Computerprogramme urheberrechtlich als literarische Werke im Sinne der Berner Übereinkunft zum Schutze von Werken der Literatur und der Kunst. Im Sinne dieser Richtlinie umfasst der Begriff ,Computerprogrammʻ auch das Entwurfsmaterial zu ihrer Vorbereitung.“

Italienisches Recht

Art. 102quater der Legge n. 633 – Protezione del diritto dʼautore e di altri diritti connessi al suo esercizio (Gesetz Nr. 633 über den Schutz des Urheberrechts und mit dessen Ausübung verbundener weiterer Rechte) vom 22. April 1941 (GURI Nr. 166 vom 16. Juli 1941) in der Fassung des Decreto legislativo n. 68 – Attuazione della direttiva 2001/29/CE sullʼarmonizzazione di taluni aspetti del diritto dʼautore e dei diritti connessi nella società dellʼinformazione (Gesetzesdekret Nr. 68 zur Umsetzung der Richtlinie 2001/29/EG zur Harmonisierung bestimmter Aspekte des Urheberrechts und der verwandten Schutzrechte in der Informationsgesellschaft) vom 9. April 2003 (GURI Nr. 87 vom 14. April 2003, Supplemento ordinario) bestimmt:

„(1) Die Inhaber von Urheberrechten und verwandten Rechten sowie des Rechts aus Art. 102bis Abs. 3 [über Datenbanken] können auf Werke oder Schutzgegenstände wirksame technische Schutzmaßnahmen anwenden, die alle Technologien, Vorrichtungen und Bestandteile umfassen, die im normalen Betrieb dazu bestimmt sind, Handlungen zu verhindern oder einzuschränken, die von den Inhabern der Rechte nicht genehmigt worden sind.

(2) Technische Maßnahmen sind als wirksam anzusehen, soweit die Nutzung des Werks oder des Schutzgegenstands von den Rechtsinhabern durch eine Zugangsvorrichtung oder einen Schutzmechanismus wie Verschlüsselung, Verzerrung oder sonstige Umwandlung des Werks oder Schutzgegenstands unter Kontrolle gehalten oder durch einen Mechanismus zur Kontrolle der Vervielfältigung, der die Erreichung des Schutzziels sicherstellt, eingeschränkt wird.

(3) Die Anwendung der Bestimmungen über Computerprogramme nach Titel I Kapitel IV Abschnitt VI bleibt unberührt.“

Ausgangsverfahren und Vorlagefragen

Die Nintendo-Unternehmen, die zu einer Unternehmensgruppe gehören, die Videospiele entwickelt und produziert, vertreiben zwei Arten von Videospielprodukten, nämlich tragbare Spielsysteme, die „DS“-Konsolen, und Spielsysteme mit stationären Konsolen, die „Wii“-Konsolen.

Die Nintendo-Unternehmen haben technische Maßnahmen getroffen, und zwar in Form eines in den Konsolen eingebauten Erkennungssystems und eines verschlüsselten Codes für den physischen Träger, auf dem die urheberrechtlich geschützten Videospiele aufgezeichnet sind. Diese Maßnahmen verhindern die Benutzung illegaler Kopien von Videospielen. Die nicht mit einem Code versehenen Spiele können auf keinem der beiden von den Nintendo-Unternehmen vertriebenen Gerätetypen gestartet werden.

Aus der Vorlageentscheidung geht weiter hervor, dass durch diese technischen Maßnahmen die Verwendung von nicht von Nintendo stammenden Programmen, Spielen und generell Multimedia-Inhalten auf den genannten Konsolen verhindert wird.

Die Nintendo-Unternehmen erfuhren von der Existenz der Geräte von PC Box, die nach ihrer Installation auf der Konsole das auf der Hardware vorhandene Schutzsystem umgehen und die Verwendung nachgeahmter Videospiele ermöglichen.

Da die Nintendo-Unternehmen der Auffassung waren, dass der Hauptzweck der Geräte von PC Box darin bestehe, die technischen Schutzmaßnahmen der Nintendo-Spiele zu umgehen oder auszuschalten, verklagten sie PC Box und 9Net vor dem Tribunale di Milano.

PC Box vertreibt Original-Nintendo-Konsolen in Verbindung mit zusätzlicher Software, die aus bestimmten Anwendungen unabhängiger Hersteller – „homebrews“ – besteht, die speziell zur Verwendung auf diesen Konsolen entwickelt wurden und deren Verwendung die vorherige Installation der Geräte von PC Box erfordert, durch die die installierte Vorrichtung, welche die technische Schutzmaßnahme darstellt, deaktiviert wird.

Nach Ansicht von PC Box besteht das von den Nintendo-Unternehmen verfolgte Ziel in Wirklichkeit darin, die Verwendung unabhängiger Software zu verhindern, die keine illegale Kopie eines Videospiels sei, sondern es ermöglichen solle, MP3-Dateien, Filme und Videos auf den Konsolen abzuspielen, um diese in vollem Umfang nutzen zu können.

Nach Auffassung des vorlegenden Gerichts kann der Schutz von Videospielen nicht auf den für Computerprogramme vorgesehenen Schutz beschränkt werden. Zwar bezögen Videospiele ihre Funktionsfähigkeit aus einem Computerprogramm, jedoch starteten und liefen sie nach Maßgabe einer von den Urhebern dieser Spiele vorherbestimmten Erzählstrecke, bei der eine Gesamtheit von Bildern und Klängen mit gewisser konzeptioneller Eigenständigkeit zutage trete.

Das vorlegende Gericht wirft die Frage auf, ob der Einsatz technischer Schutzmaßnahmen wie der im Ausgangsverfahren fraglichen durch Nintendo nicht über das hinausgehe, was Art. 6 der Richtlinie 2001/29, wie er im Licht des 48. Erwägungsgrundes dieser Richtlinie auszulegen sei, zu diesem Zweck vorsehe.

Unter diesen Umständen hat das Tribunale di Milano das Verfahren ausgesetzt und dem Gerichtshof folgende Fragen zur Vorabentscheidung vorgelegt:

1.Ist Art. 6 der Richtlinie 2001/29, auch im Licht ihres 48. Erwägungsgrundes, dahin auszulegen, dass der Schutz der technischen Schutzmaßnahmen hinsichtlich vom Urheberrecht geschützter Werke oder Materialien sich auch auf ein von demselben Unternehmen hergestelltes und vertriebenes System erstrecken kann, bei dem in der Hardware eine Vorrichtung installiert ist, die fähig ist, auf einem separaten Träger, der das geschützte Werk enthält (von demselben Unternehmen und auch von Dritten, den Inhabern der geschützten Werke, hergestelltes Videospiel), einen Erkennungscode zu erkennen, ohne den das besagte Werk im Rahmen dieses Systems nicht sichtbar gemacht und benutzt werden kann, wodurch dieses Gerät mit einem System versehen ist, das die Interoperabilität mit Geräten und ergänzenden Produkten, die nicht von dem Unternehmen stammen, das dieses System hergestellt hat, ausschließt?

2.Kann Art. 6 der Richtlinie 2001/29, auch im Licht ihres 48. Erwägungsgrundes, dahin ausgelegt werden, dass, wenn beurteilt werden muss, ob der Gebrauch eines Produkts oder einer Komponente mit dem Ziel der Umgehung einer technischen Schutzmaßnahme gegenüber einem anderen wirtschaftlichen Zweck oder Nutzen überwiegt oder nicht, das nationale Gericht Bewertungskriterien anwenden muss, die die besondere Bestimmung hervorheben, die dem Produkt, in das der geschützte Inhalt eingeführt wird, vom Rechtsinhaber zugeschrieben wurde, oder, alternativ oder zusätzlich, quantitative Kriterien hinsichtlich des Umfangs der verglichenen Verwendungen oder qualitative Kriterien, d. h. hinsichtlich der Art und der Bedeutung der Verwendungen selbst?

Zu den Vorlagefragen

Mit seinen Fragen, die zusammen zu prüfen sind, möchte das vorlegende Gericht im Wesentlichen wissen, ob erstens die Richtlinie 2001/29 dahin auszulegen ist, dass der Begriff „wirksame technische Maßnahme“ im Sinne des Art. 6 Abs. 3 der Richtlinie auch technische Maßnahmen umfassen kann, die hauptsächlich darin bestehen, nicht nur den Träger, der das geschützte Werk, wie das Videospiel, enthält, mit einer Erkennungsvorrichtung zu versehen, um das Werk gegen Handlungen zu schützen, die vom Inhaber eines Urheberrechts nicht genehmigt worden sind, sondern auch die tragbaren Geräte oder die Konsolen, die den Zugang zu diesen Spielen und deren Benutzung sicherstellen sollen.

Zweitens fragt das vorlegende Gericht den Gerichtshof im Kern, nach welchen Kriterien der Umfang des rechtlichen Schutzes gegen eine Umgehung der wirksamen technischen Maßnahmen im Sinne von Art. 6 der Richtlinie 2001/29 zu beurteilen ist. Insbesondere möchte es wissen, ob es insoweit zum einen auf den besonderen Verwendungszweck ankommt, der dem Erzeugnis mit dem geschützten Inhalt – wie den Nintendo-Konsolen – vom Rechtsinhaber zugeschrieben wurde, und zum anderen auf Umfang, Art und Bedeutung der Verwendungen der Vorrichtungen, Erzeugnisse oder Bestandteile, die zur Umgehung dieser wirksamen technischen Maßnahmen geeignet sind – wie der Geräte von PC Box.

Hierzu ist zunächst festzustellen, dass Gegenstand der Richtlinie 2001/29, wie insbesondere aus ihrem Art. 1 Abs. 1 hervorgeht, der rechtliche Schutz des Urheberrechts und der verwandten Rechte ist, die die ausschließlichen Rechte der Urheber an ihren Werken umfassen. Werke wie Computerprogramme sind urheberrechtlich geschützt, sofern sie Originale sind, d. h. eine eigene geistige Schöpfung ihres Urhebers darstellen (vgl. Urteil vom 16. Juli 2009, Infopaq International, C-5/08, Slg. 2009, I-6569, Rn. 35).

Nichts in der Richtlinie 2001/29 deutet darauf hin, dass die Teile eines Werks einer anderen Regelung unterliegen als das Gesamtwerk. Folglich sind sie urheberrechtlich geschützt, da sie als solche an der Originalität des Gesamtwerks teilhaben (vgl. Urteil Infopaq International, Rn. 38).

Dieser Feststellung steht nicht entgegen, dass die Richtlinie 2009/24 im Verhältnis zur Richtlinie 2001/29 lex specialis ist (vgl. Urteil vom 3. Juli 2012, UsedSoft, C-128/11, noch nicht in der amtlichen Sammlung veröffentlicht, Rn. 56). Nach Art. 1 Abs. 1 der Richtlinie 2009/24 beschränkt sich nämlich der durch sie gewährte Schutz auf Computerprogramme. Wie sich aus der Vorlageentscheidung ergibt, stellen jedoch Videospiele wie die im Ausgangsverfahren fraglichen komplexe Gegenstände dar, die nicht nur Computerprogramme, sondern auch grafische und klangliche Bestandteile umfassen, die, auch wenn sie in einer Computersprache kodiert sind, eigenen schöpferischen Wert besitzen, der nicht auf diese Kodierung beschränkt ist. Da die Teile eines Videospiels, im vorliegenden Fall die grafischen und klanglichen Bestandteile, an der Originalität des Werks teilhaben, sind sie zusammen mit dem Gesamtwerk durch das Urheberrecht im Rahmen der mit der Richtlinie 2001/29 eingeführten Regelung geschützt.

Nach Art. 6 der Richtlinie 2001/29 sind die Mitgliedstaaten verpflichtet, einen angemessenen Rechtsschutz gegen die Umgehung wirksamer „technischer Maßnahmen“ vorzusehen, die in Abs. 3 definiert werden als alle Technologien, Vorrichtungen oder Bestandteile, die im normalen Betrieb dazu bestimmt sind, Werke oder sonstige Schutzgegenstände betreffende Handlungen zu verhindern oder einzuschränken, die nicht von der Person genehmigt worden sind, die Inhaber der Urheberrechte oder der dem Urheberrecht verwandten gesetzlich geschützten Schutzrechte oder des in Kapitel III der Richtlinie 96/9 verankerten Sui-generis-Rechts ist.

Solche Handlungen sind, wie sich aus den Art. 2 bis 4 der Richtlinie 2001/29 ergibt, die Vervielfältigungen, die öffentliche Wiedergabe und die öffentliche Zugänglichmachung von Werken sowie die Verbreitung des Originals eines Werks und seiner Vervielfältigungsstücke. Der in Art. 6 genannte Rechtsschutz wird nur gewährt, um den Rechtsinhaber vor Handlungen zu schützen, für die seine Genehmigung erforderlich ist.

Insoweit ist als Erstes festzustellen, dass diese Richtlinie keinen Anhaltspunkt für die Annahme enthält, dass sich ihr Art. 6 Abs. 3 nicht auf technische Maßnahmen wie die im Ausgangsverfahren fraglichen beziehe, die zum Teil in die physischen Träger der Spiele und zum Teil in die Konsolen integriert sind und eine Interaktion zwischen beiden Teilen erfordern.

Wie die Generalanwältin in Nr. 43 ihrer Schlussanträge hervorgehoben hat, ist dieser Bestimmung nämlich zu entnehmen, dass die Definition des Begriffs „wirksame technische Maßnahmen“ weit ist und eine Zugangskontrolle oder einen Schutzmechanismus wie eine Verschlüsselung, Verzerrung oder sonstige Umwandlung des Werks oder sonstigen Schutzgegenstands oder einen Mechanismus zur Kontrolle der Vervielfältigung einschließt. Diese Definition steht auch mit dem Hauptzweck der Richtlinie 2001/29 in Einklang, der, wie aus deren neuntem Erwägungsgrund folgt, darin besteht, zugunsten namentlich der Urheber ein hohes Schutzniveau einzuführen, das für das geistige Schaffen wesentlich ist.

Somit fallen die technischen Maßnahmen wie die im Ausgangsverfahren fraglichen, die zum Teil in die physischen Träger der Videospiele und zum Teil in die Konsolen integriert sind und eine Interaktion zwischen beiden Teilen erfordern, unter den Begriff der „wirksamen technischen Maßnahmen“ im Sinne von Art. 6 Abs. 3 der Richtlinie 2001/29, wenn sie bezwecken, Handlungen zu verhindern oder zu beschränken, die die durch die Richtlinie geschützten Rechte des Betroffenen verletzen.

Als Zweites ist zu prüfen, nach welchen Kriterien der Umfang des Rechtsschutzes gegen die Umgehung wirksamer technischer Maßnahmen im Sinne von Art. 6 der Richtlinie 2001/29 zu beurteilen ist.

Wie die Generalanwältin in den Nrn. 53 bis 63 ihrer Schlussanträge festgestellt hat, ist bei der Prüfung dieser Frage zu berücksichtigen, dass der Rechtsschutz gegen vom Inhaber der Urheberrechte nicht genehmigte Handlungen gemäß Art. 6 Abs. 2 der Richtlinie 2001/29 in dessen Auslegung im Licht des 48. Erwägungsgrundes der Richtlinie den Grundsatz der Verhältnismäßigkeit wahren muss und keine Vorrichtungen oder Handlungen untersagen darf, die einen anderen wirtschaftlichen Zweck oder Nutzen haben als die Erleichterung dieser Handlungen durch Umgehung der technischen Schutzvorkehrungen.

Demnach wird dieser Rechtsschutz nur für technische Maßnahmen gewährt, die das Ziel verfolgen, die in Rn. 25 des vorliegenden Urteils genannten, vom Inhaber eines Urheberrechts nicht genehmigten Handlungen in Bezug auf Werke zu verhindern oder zu unterbinden. Die Maßnahmen müssen zur Verwirklichung dieses Ziels geeignet sein und dürfen nicht über das hierzu Erforderliche hinausgehen.

In diesem Zusammenhang muss geprüft werden, ob andere Vorkehrungen oder nicht in die Konsolen eingebaute Vorkehrungen zu geringeren Beeinträchtigungen oder Beschränkungen der Handlungen Dritter, für die es keiner Genehmigung des Inhabers der Urheberrechte bedarf, hätten führen können, dabei aber einen vergleichbaren Schutz für die Rechte des Betroffenen geboten hätten.

Hierbei sollten insbesondere die Kosten für die verschiedenen Arten technischer Maßnahmen, die technischen und praktischen Aspekte ihrer Durchführung und ein Vergleich der Wirksamkeit dieser verschiedenen Arten technischer Maßnahmen in Bezug auf den Schutz der Rechte des Betroffenen berücksichtigt werden, wobei diese Wirksamkeit jedoch nicht absolut sein muss.

Bei der Beurteilung des Umfangs des fraglichen Rechtsschutzes sollte, wie die Generalanwältin in Nr. 67 ihrer Schlussanträge hervorgehoben hat, nicht auf den speziellen Verwendungszweck der Konsolen, wie er diesen vom Inhaber der Urheberrechte zugeschrieben worden ist, abgestellt werden. Vielmehr sind bei dieser Beurteilung die Kriterien heranzuziehen, die in Art. 6 Abs. 2 der Richtlinie 2001/29 hinsichtlich derjenigen Vorrichtungen, Erzeugnisse oder Bestandteile vorgesehen sind, die zur Umgehung des Schutzes der wirksamen technischen Maßnahmen geeignet sind.

Nach dieser Bestimmung sind die Mitgliedstaaten verpflichtet, einen angemessenen Rechtsschutz gegen diese Vorrichtungen, Erzeugnisse oder Bestandteile vorzusehen, die auf die Umgehung des Schutzes der wirksamen technischen Maßnahmen abzielen oder die, abgesehen von der Umgehung dieses Schutzes, nur einen begrenzten wirtschaftlichen Zweck oder Nutzen haben oder die hauptsächlich entworfen, hergestellt, angepasst oder erbracht werden, um diese Umgehung zu ermöglichen oder zu erleichtern.

Insoweit wird es bei der Prüfung des Zwecks dieser Vorrichtungen, Erzeugnisse oder Bestandteile je nach den gegebenen Umständen besonders auf den Nachweis ankommen, in welcher Weise diese von Dritten tatsächlich verwendet werden. Das vorlegende Gericht kann u. a prüfen, wie oft die Geräte von PC Box tatsächlich verwendet werden, um nicht genehmigte Kopien von Nintendo-Spielen und von durch Nintendo lizenzierten Spielen auf Nintendo-Konsolen benutzen zu können, und wie oft diese Geräte zu Zwecken verwendet werden, die das Urheberrecht an Nintendo-Spielen und an von Nintendo lizenzierten Spielen nicht verletzen.

Nach alledem ist auf die Vorlagefragen zu antworten, dass die Richtlinie 2001/29 dahin auszulegen ist, dass der Begriff „wirksame technische Maßnahme“ im Sinne des Art. 6 Abs. 3 der Richtlinie auch technische Maßnahmen umfassen kann, die hauptsächlich darin bestehen, nicht nur den Träger, der das geschützte Werk, wie das Videospiel, enthält, mit einer Erkennungsvorrichtung zu versehen, um das Werk gegen Handlungen zu schützen, die vom Inhaber eines Urheberrechts nicht genehmigt worden sind, sondern auch die tragbaren Geräte oder die Konsolen, die den Zugang zu diesen Spielen und deren Benutzung sicherstellen sollen.

Es ist Sache des nationalen Gerichts, zu prüfen, ob andere Vorkehrungen oder nicht in die Konsolen eingebaute Vorkehrungen zu geringeren Beeinträchtigungen oder Beschränkungen der Handlungen Dritter führen könnten, dabei aber einen vergleichbaren Schutz für die Rechte des Betroffenen bieten könnten. Dazu sollten insbesondere die Kosten für die verschiedenen Arten technischer Maßnahmen, die technischen und praktischen Aspekte ihrer Durchführung und ein Vergleich der Wirksamkeit dieser verschiedenen Arten technischer Maßnahmen in Bezug auf den Schutz der Rechte des Betroffenen berücksichtigt werden, wobei diese Wirksamkeit jedoch nicht absolut sein muss. Außerdem wird das nationale Gericht den Zweck der Vorrichtungen, Erzeugnisse oder Bestandteile, die zur Umgehung der genannten technischen Maßnahmen geeignet sind, zu prüfen haben. Dabei wird es je nach den gegebenen Umständen besonders auf den Nachweis ankommen, in welcher Weise Dritte diese Vorrichtungen, Erzeugnisse oder Bestandteile tatsächlich verwenden. Das nationale Gericht kann u. a prüfen, wie oft diese Vorrichtungen, Erzeugnisse oder Bestandteile unter Verletzung des Urheberrechts tatsächlich verwendet werden und wie oft sie zu Zwecken verwendet werden, die dieses Recht nicht verletzen.

Kosten

Für die Parteien des Ausgangsverfahrens ist das Verfahren ein Zwischenstreit in dem bei dem vorlegenden Gericht anhängigen Rechtsstreit; die Kostenentscheidung ist daher Sache dieses Gerichts. Die Auslagen anderer Beteiligter für die Abgabe von Erklärungen vor dem Gerichtshof sind nicht erstattungsfähig.

Aus diesen Gründen hat der Gerichtshof (Vierte Kammer) für Recht erkannt:

Die Richtlinie 2001/29/EG des Europäischen Parlaments und des Rates vom 22. Mai 2001 zur Harmonisierung bestimmter Aspekte des Urheberrechts und der verwandten Schutzrechte in der Informationsgesellschaft ist dahin auszulegen, dass der Begriff „wirksame technische Maßnahme“ im Sinne des Art. 6 Abs. 3 der Richtlinie auch technische Maßnahmen umfassen kann, die hauptsächlich darin bestehen, nicht nur den Träger, der das geschützte Werk, wie das Videospiel, enthält, mit einer Erkennungsvorrichtung zu versehen, um das Werk gegen Handlungen zu schützen, die vom Inhaber des Urheberrechts nicht genehmigt worden sind, sondern auch die tragbaren Geräte oder die Konsolen, die den Zugang zu diesen Spielen und deren Benutzung sicherstellen sollen.

 

Es ist Sache des nationalen Gerichts, zu prüfen, ob andere Vorkehrungen oder nicht in die Konsolen eingebaute Vorkehrungen zu geringeren Beeinträchtigungen oder Beschränkungen der Handlungen Dritter führen könnten, dabei aber einen vergleichbaren Schutz für die Rechte des Betroffenen bieten könnten. Dazu sollten insbesondere die Kosten für die verschiedenen Arten technischer Maßnahmen, die technischen und praktischen Aspekte ihrer Durchführung und ein Vergleich der Wirksamkeit dieser verschiedenen Arten technischer Maßnahmen in Bezug auf den Schutz der Rechte des Betroffenen berücksichtigt werden, wobei diese Wirksamkeit jedoch nicht absolut sein muss. Außerdem wird das nationale Gericht den Zweck der Vorrichtungen, Erzeugnisse oder Bestandteile, die zur Umgehung der genannten technischen Maßnahmen geeignet sind, zu prüfen haben. Dabei wird es je nach den gegebenen Umständen besonders auf den Nachweis ankommen, in welcher Weise Dritte diese Vorrichtungen, Erzeugnisse oder Bestandteile tatsächlich verwenden. Das nationale Gericht kann u. a prüfen, wie oft diese Vorrichtungen, Erzeugnisse oder Bestandteile unter Verletzung des Urheberrechts tatsächlich verwendet werden und wie oft sie zu Zwecken verwendet werden, die dieses Recht nicht verletzen.

* Verfahrenssprache: Italienisch.

Webdesign auch als Geschmacksmuster schutzfähig

In dem Verfahren (12 0 381/10) vor dem Landgericht Düsseldorf hat das Gericht am 26.06.2013 entschieden, dass unter bestimmten Voraussetzungen auch Webdesigns dem geschmacksmusterrechtlichen Schutz zugänglich sein. Davon könnten Webdesigner profitieren, denn der urheberrechtliche Schutz wurde bisher oft versagt, nun gibt es ein weiteres Schutzrecht, welches ggfs., verletzt ist, wenn ein Design zu viele Elemente eines anderen Design kopiert.

  1. Die Klage wird abgewiesen.
  2. Die Kosten des Rechtsstreits und der Nebenintervention werden der Klägerin auferlegt.
  3. Das Urteil ist vorläufig vollstreckbar, Die Klägerin darf die Vollstreckung durch Sicherheitsleistung in Höhe von 110 % der jeweils beizutreibenden Forderung abwenden, falls nicht die vollstreckende Partei vor der Vollstreckung Sicherheit in derselben Höhe leistet.

Tatbestand:

Die Klägerin nimmt den Beklagten auf Zahlung von Schadenersatz aus der Verletzung eines von der Klägerin entwickelten Webdesigns in Anspruch.

Die Klägerin ist eine Werbeagentur, die unter anderem Webdesign entwickelt bzw. individuelle Webseiten für ihre Kunden erstellt. Der Beklagte unterhält in Bad Honnef eine orthopädische Privatpraxis, die er mit einem Internetauftritt unter der UFü.. www.inenede präsentiert. Die Streitverkündete gestaltet Internetauftritte.

Am 05.01.2008 nahm der Beklagte über ein Kontaktformular Kontakt zur Klägerin auf und fragte die Kosten für eine Umgestaltung seiner Webseite an. Der Gesellschafter I der Klägerin suchte den Beklagten daraufhin in der Folgezeit in dessen Praxis auf und führte mit ihm ein Beratungsgespräch, in dem er dem Beklagten mögliche Gestaltungsvarianten und Ideen für die Website vorstellte. Unter anderem stellte er ihm eine von ihm für den Kieferorthopäden gestaltete Website, die im Internet unter www.xxx.de abrufbar ist, vor. Der Entwerfer hat der Klägerin die ausschließlichen Nutzungsrechte an der Gestaltung eingeräumt.

Nach dem Beratungsgespräch übermittelte die Klägerin dem Beklagten unter dem 16.01.2008 ein Angebot für die Überarbeitung seiner Website, das der Beklagte nicht annahm. Mitte Juli 2010 stellte die Klägerin fest; dass der Beklagte seinen Internetauftritt in der aus Anlage K1 ersichtlichen Weise umgestaltet hat und sieht darin eine Nachahmung des Designs der Website www..de. Die Gestaltung hat die Streitverkündete im Auftrag des Beklagten und nach dessen Vorgaben vorgenommen.

Mit Schreiben ihres Prozessbevollmächtigten vom 19.07.2010 (Anlage K5) mahnte die Klägerin den Beklagten ab und forderte ihn erfolglos zur Abgabe einer Unterlassungserklärung auf.

Die Klägerin behauptet, die unter der Internetadresse www.xxx.de abrufbare Website, insbesondere die Ausgestaltung des Logo-, Menü- und Kopfbildbereichs sei von ihrem geschäftsführenden Gesellschafter Hühner völlig neu für den Kunden Dr, Schmider gestaltet bzw. entwickelt worden. Die individuelle Gestaltung sei zuvor nicht der Öffentlichkeit zugänglich gemacht worden und von der Klägerin erstmalig Ende Oktober 2007/Anfang November 2007 zum freien Abruf im Internet bereitgestellt worden.

Die Klägerin ist der Auffassung, der Internetauftritt unter www.Mitilde genieße sowohl Urheberrechts- als auch Geschmacksmusterschutz, letzteren als nicht eingetragenes Gemeinschaftsgeschmacksmuster. Das Muster weise die erforderliche Neuheit auf und verfüge über die erforderliche Eigenart. Der Gesamteindruck, den das Muster beim informierten Benutzer hervorruft, unterscheide sich deutlich von vorbekannten Mustern. Die Merkmale des in Anlage K2 und K3 wiedergegebenen Musters ließen sich wie folgt beschreiben:

  • (a)        Ein sich über den oberen Bereich der Webseite erstreckender Kopfbildbereich für wechselnde Kopfbilder, der eine Größe von 900 x 225 Pixel aufweist;
  • (b)       der Kopfbildbereich wird oben und unten von asymmetrisch ausgeführten grauen Schmucklinien eingegrenzt, von denen die obere Linie kürzer als die untere Linie ist und von denen die untere Linie in eine dickere und eine dünnere Linie abgestuft ist, die obere Schmucklinie weist eine Größen von 970 x 7 Pixel, die untere von 1.000 x 7 Pixel auf;
  • (c)        ein mit einem Seitenabstand von 50 Pixel linksseitig ans obere Seitenende angrenzender, von einer grauen Haarlinie umrandeter rechteckiger Logobereich, der eine Breite von 252 Pixel aufweist und im unteren Bereich über dem Kopfbildbereich positioniert ist, wobei der Logobereich‘ transparent ausgeführt ist, so dass das Kopfbild durch den Logobereich hindurchscheint („Milchglaseffekt“);
  • (d)       der Logobereich geht durch einen Freiraum – in dem das Kopfbild sichtbar wird ¬grafisch abgesetzt in einen von einer grauen Haarlinie umrandeten Hauptmenübereich mit einer Breite von 252 Pixel über, der im Gegensatz zum Logobereich deckend ausgeführt ist und dessen Trennlinien für die einzelnen Menüpunkte als Punktlinien ausgeführt sind;
  • (e)        das Muster befindet sich auf einem weiße Hintergrund, die. Umrandungen, Trennstriche und Schriftinhalte sind im Wesentlichen in grau gehalten, in der konkreten Ausführung unter „www.i“de“ finden sich weiterhin dunkelrote Farbelemente bei Schrift und Logo.

Der Gesamteindruck des Musters werde maßgeblich bestimmt durch Anordnung und Größe bzw. Proportion der einzelnen Elemente des Logo-, Menü- und Kopfbildbereichs sowie den asymmetrisch ausgeführten Schmucklinien, welche den Kopfbildbereich umranden. Es handele sich dabei uni eine atypische Ausgestaltung des Kopfbereichs einer Webseite mit einem hohen Maß an Eigencharakteristik. Zum Gesamteindruck trage weiterhin der transparent ausgeführte Logobereich mit dem durchscheinenden Kopfbild („Milchglaseffekt“) sowie der im Gegensatz zum transparenten Logobereich deckende, von diesem grafisch abgesetzte Menübereich bei, der weit in den Kopfbildbereich hineinragt und auf diese Weise dem Menübereich eine besondere Charakteristik und Wirkung verleiht. Schließlich werde der Gesamteindruck durch die gewählte Farbgebung mitbestimmt, so die überwiegend in grau gehaltenen Umrandungen, Trennstriche und Schriftinhalte auf weißem Hintergrund, sowie – in der konkreten Ausführung des Musters – den dunkelroten Hervorhebungen. Auch Details wie die gepunkteten Trennstriche im Menübereich sowie der Abstufung einer der beiden Schmucklinien in eine dickere und eine dünnere Linie trügen zum Gesamteindruck des Musters bei. Aus den vorbenannten Merkmalen ergebe sich insgesamt ein hohes Maß an Eigenart des Geschmacksmusters der Klägerin.

Sie ist der Ansicht, das von der Klägerin entwickelte Webdesign weise in urheberrechtlicher Hinsicht ohne weiteres die erforderliche Gestaltungshöhe im Sinne der „kleinen Münze” auf, wobei urheberrechtliche Ansprüche hilfsweise geltend gemacht werden.

Die Klägerin begehrt angemessenen Schadensausgleich in Form der Lizenzanalogie, wobei sie die Höhe der richterlichen Schätzung gemäß § 287 ZPO überlässt, mindestens jedoch einen Schaden in Höhe von 1.900,00 € verlangt. Darüber hinaus macht sie die Erstattung vorgerichtlicher Kosten im Umfang einer 1,3 Geschäftsgebühr gemäß Nr. 2300 VV RVG aus einem Gegenstandswert von 20.000,00 € zuzüglich einer Auslagenpauschale gemäß Nr. 7002 VV RVG geltend.

Die Klägerin beantragt,

den Beklagten zu verurteilen, an die Klägerin einen angemessenen Schadenersatz, dessen Höhe in das Ermessen des Gerichts gestellt wird, mindestens jedoch einen Betrag in Höhe von 1.900,00 € nebst Zinsen i.H.v. 5 Prozentpunkten über dem Basiszinssatz seit Rechtshängigkeit sowie weitere vorgerichtliche Kosten in Höhe von 859,80 € nebst Zinsen i. H. v. 5 Prozentpunkten über dem Basiszinssatz seit 11.08.2010 zu zahlen.

Der Beklagte und die Streitverkündete beantragen,

die Klage abzuweisen.

Der Beklagte bestreitet die Erstmaligkeit der Veröffentlichung des beanspruchten Geschmacksmusters mit Nichtwissen. Er behauptet, die einzelnen Gestaltungselemente hätten bereits vor Ende Oktober 2007 dem Standard im Internet entsprochen und sieht in der Gestaltung des Internetauftritts kein Geschmacksmuster. Er ist der Ansicht, der Internetauftritt www.    e stelle kein urheberrechtlich geschütztes Werk dar.

Wegen der Einzelheiten des Sach- und Streitstandes wird ergänzend auf die wechselseitig zur Akte gereichten Schriftsätze nebst Anlagen Bezug genommen.

Die Klage ist dem Beklagten am 08.10.2010 zugestellt worden. In der mündlichen Verhandlung am 25.01.2012 hat die Streitverkündete ihren Beitritt auf Seiten des Beklagten erklärt.

Die Kammer hat Beweis erhoben aufgrund des Beweisbeschlusses vom 19.12.2012 durch Vernehmung der Zeugin Schäfer-Molitor. Wegen des Ergebnisses der Beweisaufnahme wird auf die Sitzungsniederschrift vom 05.06.2013 verwiesen.

Entscheidungsgründe:

Die zulässige Klage ist in der Sache unbegründet.

1.

Der Klägerin steht gegen den Beklagten kein Anspruch auf Schadenersatz aus Art. 89 Abs. 1 lit. d) GGV i.V.m. 42 Abs. 2, 38 GeschmMG zu.

Die Klägerin war bis zum Ablauf der Schutzdauer Inhaberin eines nicht eingetragenen Gemeinschaftsgeschmacksmusters an der Gestaltung www..de. Dieses ist indes durch die angegriffene Gestaltung www.xxx.de nicht in rechtsverletzender Weise nachgeahmt worden, da diese Gestaltung nicht in den Schutzbereich des Klagemusters fällt.

Die Klägerin ist Inhaberin der Rechte an dem Klagemuster. Unstreitig hat der Gesellschafter Hühner der Klägerin das Klagemuster entworfen und die Rechte an dem streitgegenständlichen Design vollumfänglich auf die Klägerin übertragen.

2.

Das Klagemuster ist rechtsgültig. Die Rechtsgültigkeit ist gemäß Art. 85 Abs. 2 GGV zu vermuten, wenn der Rechtsinhaber Beweis für das Vorliegen der Voraussetzungen des Art. 11 erbringt und angibt, inwiefern sein Geschmacksmuster Eigenart aufweist. Dies ist der Klägerin vorliegend gelungen.

Zu Gunsten der Klägerin kann ihr Vortrag unterstellt werden, dass das Klagemuster der Öffentlichkeit innerhalb der Gemeinschaft erstmals im November 2007 zugänglich gemacht worden ist im Sinne des Art. 11 Abs. 2 GGV, indem die Klägerin es im Internet veröffentlicht hat.

Die Klägerin hat auch dargelegt, dass das Klagemuster Eigenart besitzt. Das Klagemuster zeigt

a)         einen sich über den oberen Bereich der Webseite erstreckenden Kopfbildbereich für wechselnde Kopfbilder,

b)         der Kopfbildbereich wird oben und unten von asymmetrisch ausgeführten grauen Schmucklinien eingegrenzt, von denen die obere Linie kürzer als die untere Linie ist und von denen die untere Linie in eine dickere und eine dünnere Linie abgestuft ist und die Linien unregelmäßig vertikal unterbrochen sind.

c)         Es weist einen mit einem geringen Seitenabstand linksseitig ans obere Seitenende angrenzenden, von einer grauen, kaum sichtbaren Haarlinie umrandeten rechteckigen Logobereich auf, der im unteren Bereich über dem Kopfbildbereich positioniert ist, wobei der Logobereich transparent ausgeführt ist, so dass das Kopfbild durch den Logobereich hindurchscheint („Milchglaseffekt“).

d)        Der Logobereich geht durch einen Freiraum – in dem das Kopfbild sichtbar wird -grafisch abgesetzt in einen von einer grauen Haarlinie umrandeten Hauptmenübereich über, der im Gegensatz zum Logobereich deckend ausgeführt ist und dessen Trennlinien für die einzelnen Menüpunkte als Punktlinien ausgeführt sind, wobei der Hauptmenübereich einmal unterbrochen ist, der Abstand zwischen den Menübereichen etwa dem Abstand des oberen Bereichs zum Logobereich entspricht und unterhalb der Menübereiche jeweils die dickere der grauen Schmucklinien in einem geringen Abstand zur umrandenden Haarlinie angebracht ist.

e)         Der Hintergrund des Muster ist weiß, wohingegen die Umrandungen, Trennstriche und Schriftinhalte im Wesentlichen in grau gehalten sind.

Der Beklagte und die Streithelferin sind der Rechtsbeständigkeit des Klagemusters auch nicht erfolgreich mit der Einrede der Nichtigkeit entgegengetreten. Entgegen dem Wortlaut des Art. 82 Abs. 2 Satz 2 GGV, der auf einem Übersetzungsfehler beruht, kann die Rechtsbeständigkeit eines nicht eingetragenen Gemeinschaftsgeschmacksmusters nicht nur mit der Widerklage, sondern auch mit der Einrede der Nichtigkeit angegriffen werden (vgl. Ruhl, Gemeinschaftsgeschmacksmuster, 2. Aufl., Art. 85 Rz. 25 mit zahlreichen Nachweisen aus der Rechtsprechung).

Voraussetzung für die Rechtsgültigkeit des Klagemusters ist gemäß Art. 4 Abs. 1 GGV, dass dieses neu ist und Eigenart besitzt. Das Muster gilt dabei als neu, wenn der Öffentlichkeit vor dem Prioritätstag kein identisches Geschmacksmuster zugänglich gemacht worden ist, wobei zwei Geschmacksmuster als identisch gelten, wenn sich ihre Merkmale nur in unwesentlichen Elementen unterscheiden, Art. 5 GGV. Ein Geschmacksmuster besitzt des Weiteren Eigenart, wenn sich der Gesamt-eindruck, den es beim informierten Betrachter hervorruft, von dem Gesamteindruck unterscheidet, den ein vorbekanntes anderes Geschmacksmuster bei diesem hervorruft, Art. 6 GGV. Der informierte Betrachter kennt dabei verschiedene Geschmacksmuster, die es in dem betreffenden Wirtschaftsbereich gibt, verfügt über gewisse Kenntnisse über die Elemente, die die Geschmacksmuster regelmäßig aufweisen und benutzt die Produkte mit vergleichsweise großer Aufmerksamkeit (BGH GRUR 2013, 285 [289] — Kinderwagen II).

Die von der Streithelferin angeführte Entgegenhaltung www.yyyyyy.de gemäß der Anlage zum Schriftsatz der Streithelferin vom 19.03.2012 erweckt einen anderen Gesamteindruck als das Klagemuster. Diese ist als vorbekannter Formenschatz zu berücksichtigen, da die durchgeführte Beweisaufnahme zur Überzeugung der Kammer ergeben hat, dass die Gestaltung www.yyyyyy.de vor der erstmaligen Veröffentlichung des Klagemusters der Öffentlichkeit zugänglich gemacht worden ist. Dies folgt aus der Aussage der Zeugin M, die bekundete, das ihr gezeigte Design sei ihr geläufig und für das Autohaus, dessen Geschäftsführerin sie ist und bei dem sie für die Internetwerbung zuständig ist, von der Streitverkündeten gestaltet worden. Sie bestätigte, dass der Zeitraum um Juni 2006 bis 2007 nach ihrer Erinnerung grob hinkomme, ohne sich an den genauen Zeitpunkt der Veröffentlichung erinnern zu können. Sie sagte weiter aus, der Auftritt unter verschiedenen Domains für die einzelnen Auto-Typen sei dann nach etwa einem Jahr eingestellt worden, weil sich der Aufwand für die Pflege als zu groß erwies. Die Aussage war in sich schlüssig und widerspruchsfrei; sie steht ohne weiteres in Einklang mit dem Vorbringen der Streitverkündeten. Zweifel an der persönlichen Glaubwürdigkeit der Zeugin sind nicht zutage getreten.

Die Entgegenhaltung weist mehrere Elemente auf, die sich im Klagemuster wiederfinden. Sie verfügt ebenfalls über einen sich über den oberen Bereich der Webseite erstreckenden Kopfbildbereich für wechselnde Kopfbilder im Sinne des Merkmals

a) der jedoch oben und unten von grauen Schmucklinien gleicher Stärke eingegrenzt wird, und einen mit einem geringen Seitenabstand linksseitig ans obere Seitenende angrenzenden, von einer grauen Haarlinie umrandeten Logobereich im Sinne des Merkmals

c), der im unteren Bereich über dem Koptbildbereich positioniert ist, wobei der Logobereich transparent ausgeführt ist, so dass das Kopfbild durch den Logobereich hindurchscheint („Milchglaseffekt“) Der Logobereich geht im Sinne des Merkmals

d) durch einen Freiraum – in dem das Kopfbild sichtbar wird – grafisch abgesetzt in einen von einer grauen Haarlinie umrandeten Hauptmenübereich über, der im Gegensatz zum Logobereich deckend ausgeführt ist. Der Hintergrund des Musters im Sinne des Merkmals

e) ist ebenfalls weiß, wohingegen die Umrandungen, Trennstriche und Schriftinhalte im Wesentlichen in grau gehalten sind.

Unter Berücksichtigung der genannten Übereinstimmungen und der Unterschiede, insbesondere der abgerundeten Ecken des Logobereichs und des Menübereichs, .der symmetrisch ausgeführten, unterbrechungslos durchgezogenen Linien, der fehlenden Unterbrechung des Menübereichs und der Trennlinien für die einzelnen Menüpunkte, entsteht ein anderer Gesamteindruck. Angesichts der Entgegenhaltung www.yyyyy.de kommt dem Klagemuster indes nur ein denkbar geringer Schutzbereich zu.

3.

Die angegriffene Gestaltung fällt nicht in den Schutzbereich des Klagemusters, denn es erweckt beim informierten Benutzer einen anderen Gesamteindruck.

Übereinstimmungen ergeben sich insoweit, als die angegriffene Gestaltung auch über einen sich über den oberen Bereich der Webseite erstreckenden Kopfbildbereich gemäß Merkmal a) für wechselnde Kopfbilder, der oben und unten von Schmucklinien ähnlich Merkmal b) eingegrenzt wird, und einen mit einem geringen Seitenabstand linksseitig ans obere Seitenende angrenzenden, von einer grauen Haarlinie umrandeten Logobereich gemäß Merkmal c) verfügt, der im unteren Bereich über dem Kopfbildbereich positioniert ist, wobei der Logobereich gemäß Merkmal d) transparent ausgeführt ist, so dass das Kopfbild durch den Logobereich hindurchscheint („Milchglaseffekt“). Der Logobereich geht durch einen Freiraum – in dem das Kopfbild sichtbar wird – grafisch abgesetzt in einen von einer grauen umrandeten Hauptmenübereich über, der im Gegensatz zum Logobereich deckend ausgeführt ist. Dabei handelt es sich sämtlich um bereits aus der Entgegenhaltung bekannte Gestaltungselemente.

Die angegriffene Gestaltung unterscheidet sich insofern vom Klagemuster, als der Logobereich in Abweichung von Merkmal c) über eine deutlich wahrnehmbare Begrenzungslinie verfügt und daher nicht so schwebend erscheint wie beim Klagemuster. Auch die Begrenzungslinie des Menübereichs ist abweichend von Merkmal d) deutlich dicker ausgeführt und nimmt der Gestaltung die beim Klagemuster vorhandene Leichtigkeit, Zwischen Logobereich und Menübereich ist, anders als bei Merkmal d) des Klagemusters, ein deutlicher Abstand; der Menübereich ist zudem nicht unterbrochen. In dieser Hinsicht nimmt die angegriffene Gestaltung die aus der Entgegenhaltung www.MIUM.de bekannten Gestaltungselemente auf und ist näher an deren Design orientiert. Darüber hinaus ist bei der angegriffenen Gestaltung sowohl die obere als auch die untere Begrenzungslinie des Kopfbereichs — wie beim Klagemuster gemäß Merkmal b) nur die untere Linie — in eine dickere und eine dünnere Linie abgestuft und weist keine unregelmäßigen vertikalen Unterbrechungen auf. Insgesamt ist es vom Gesamteindruck weniger modern.

Der geltend gemachte Klageanspruch besteht schließlich auch nicht aus §§ 97 Abs. 2, 2, 15 UrhG. Urheberrechte an dem Design des Internetauftritts www.IneMp.de stehen der Klägerin nicht zu, da die erforderliche geistige Schöpfungshöhe nicht erreicht ist. Es handelt sich vielmehr — auch unter Berücksichtigung der sog. „kleinen Münze“ — um eine Gestaltung, die im Bereich des handwerklichen Könnens des durchschnittlichen Webgestalters liegt, da sie sich nicht deutlich von dem rein Handwerklichen und Alltäglichen abhebt und sich in ihr die vorbekannten Gestaltungsformen wiederfinden.

Die Kostenentscheidung folgt aus § 91 Abs. 1 ZPO.

Die Entscheidung zur vorläufigen Vollstreckbarkeit beruht auf §§ 708 Nr. 11, 711 ZPO.

Der Streitwert wird auf 1.900,00 EUR festgesetzt.

Online-Bewertungsportale sind grundsätzlich zulässig

Laut einem Urteil des AG München ist ein Ärztebewertungsportal zulässig, soweit eine Nachverfolgung im Falle etwaiger beleidigender oder rufschädigender Äußerungen möglich ist. Das Interesse der Öffentlichkeit an der Verfügbarkeit von Daten über medizinische Versorgungsmöglichkeiten zusammen mit dem Recht auf Meinungs- und Kommunikationsfreiheit überwiegt das Recht auf informationelle Selbstbestimmung.

Urteil

  1. Die Klage wird abgewiesen.
  2. Der Kläger hat die Kosten des Rechtsstreits zu tragen.
  3. Das Urteil ist vorläufig vollstreckbar. Der Kläger kann die Vollstreckung der Beklagten durch Sicherheitsleistung in Höhe von 110 % des aufgrund des Urteils vollstreckbaren Betrags abwenden, wenn nicht die Beklagte vor der Vollstreckung Sicherheit in Höhe von 110 % des zu vollstreckenden Betrags leistet.

Beschluss

Der Streitwert wird auf 3.000,00 € festgesetzt.

Tatbestand

Die Parteien streiten über die Löschung eines Eintrags des Klägers auf dem von der Beklagten betriebenen Ärztebewertungsportal … . Daneben begehrt der Kläger die künftige Unterlassung der Veröffentlichung seines Eintrags und den Ersatz seiner vorgerichtlichen Rechtsanwaltskosten.

Die Beklagte betreibt unter der Internetadresse www. … .de ein Ärztebewertungsportal. Dort bietet sie eine Arztsuche und eine Ärztebewertung an. Internetnutzer können Informationen zu Ärzten und anderen Heilberuflern kostenfrei abrufen. Soweit vorhanden sind auf dem Portal die von der Beklagten als Basisdaten bezeichneten Informationen wie Name, Titel, Fachrichtung, Praxisanschrift und weitere Kontaktdaten sowie ggf. auch Sprechzeiten und ähnliche praxisbezogene Informationen abrufbar. Diese Basisdaten bietet die Beklagte als eigene Informationen an. Nach vorheriger Registrierung können Bewertungen in einem Notenschema und Freitextkommentare eingegeben werden. Die Noten und Kommentare sind dann für andere Nutzer abrufbar und werden von der Beklagten als fremde Information angeboten. Eine Bewertung ohne vorherige Registrierung ist nicht möglich. Im Rahmen der Registrierung muss eine gültige E-Mail-Adresse angegeben werden, die im Zuge des Registrierungsvorgangs verifiziert wird.

Der Kläger ist Gynäkologe. Im Internetauftritt der Beklagten ist über ihn ein Eintrag mit folgenden Daten vorhanden:

Dr. …

Arzt, Frauenarzt (Gynäkologe)

… Platz …, … München

Darunter finden sich drei anonymisierte Bewertungen:

Bewertung vom 24.01.2012: toller Arzt – sehr empfehlenswert

Bewertung vom 27.01.2012: na ja…

Bewertung vom 15.03.2012: kompetenter, netter Arzt, sehr zu empfehlen!

Als der Kläger Ende Januar 2012 davon erfuhr, dass er in dem Bewertungsportal der Beklagten bewertet worden war, setzte er sich deshalb mit der Beklagten in Verbindung. Am 15.03.2012 erhielt der Kläger Post von der Beklagten mit dem Inhalt, dass er bewertet worden sei (Anlage K2). Am 27.03.2012 ließ der Kläger die Beklagte mit Schreiben seiner Prozessbevollmächtigten zur Löschung seines Eintrags bis zum 01.04.2012 auffordern (Anlage K3). Mit Schreiben vom 04.04.2012 wies die Beklagte das Löschungsbegehren des Klägers zurück (Anlage K4).

Der Kläger trägt vor, die Beklagte habe ihm bereits im Januar 2012, als er sich das erste Mal wegen seines Eintrags an sie wandte, die Löschung des Eintrags innerhalb von vier Wochen zugesagt. Im Übrigen habe er für die ersten beiden Quartale des Kalenderjahres 2012 bereits einen Umsatz- bzw. Patientenrückgang verzeichnen müssen. Dies sei unmittelbar in Zusammenhang zu bringen mit den ersten Bewertungen auf der Internetseite der Beklagten im Januar 2012.

Der Kläger ist der Ansicht, die Speicherung seiner personenbezogenen Daten durch die Beklagte sei unzulässig. Er habe wieder in die Speicherung seiner Daten eingewilligt, noch sei diese von Gesetzes wegen gestattet. Im Rahmen das hier anzuwendenden § 29 BDSG spräche ein schutzwürdiges Interesse des Klägers für den Ausschluss der Erhebung, Speicherung oder Veränderung seiner Daten. Die insoweit vorzunehmende Abwägung zwischen dem Recht des Klägers auf informationelle Selbstbestimmung und dem Recht der Beklagten auf Kommunikationsfreiheit falle zu Gunsten des Klägers aus.

Der Kläger beantragt:

  1. Die Beklagte wird verurteilt, die auf der Internetseite www. … .de veröffentlichten Daten des Klägers bestehend aus Name, Titel, Fachbereichsbezeichnung, Praxisanschrift und Telefonnummer, sowie alle Einzelbewertungen, sowie die Gesamtbewertung durch Notengebung in Form von Schulenoten zwischen 1 und 6, mithin das gesamte auf der Internetseite der Beklagten abgebildete Persönlichkeitsprofil des Klägers zu löschen.
  2.  Die Beklagte wird verurteilt, es zu unterlassen, die persönlichen und berufsständischen Daten des Klägers, bestehend aus Name, Titel, Fachbereichsbezeichnung, Praxisanschrift und Telefonnummer, sowie alle Einzelbewertungen, sowie die Gesamtbewertung durch Notengebung in Form von Schulnoten zwischen 1 und 6, mithin insgesamt ein Persönlichkeitsprofil des Klägers auf ihrer Internetseite www. … .de zu veröffentlichen.
  3. Der Beklagten wird angedroht, dass für jeden Fall der Zuwiderhandlung ein Ordnungsgeld bis zur Höhe von 250.000,00 € oder eine Ordnungshaft bis zu 6 Monaten gegen sie festgesetzt wird.
  4. Die Beklagte wird verurteilt, an den Kläger vorgerichtliche Rechtsanwaltskosten in Höhe von 316,18 € nebst Zinsen hieraus in Höhe von 5%-Punkten über dem Basiszinssatz seit Rechtshängigkeit zu bezahlen.

Die Beklagte beantragt:

Die Klage wird abgewiesen.

Die Beklagte trägt vor, sie habe dem Kläger im Januar 2012 nicht die Löschung seines Eintrags zugesagt.

Sie ist ferner der Ansicht, dem Kläger stehe kein Löschungsanspruch zu, weil die Speicherung seiner personenbezogenen Daten rechtmäßig erfolgt sei. Es bestünde kein Grund zu der Annahme, dass der Kläger ein schutzwürdiges Interesse am Ausschluss seiner Daten nach § 29 BDSG habe.

Zur Ergänzung des Sachverhalts wird auf die zwischen den Parteien gewechselten Schriftsätze sowie das Protokoll der mündlichen Verhandlung vom 12.09.2012 Bezug genommen.

Entscheidungsgründe

Die zulässige Klage ist unbegründet. Dem Kläger steht weder ein Löschungs- noch ein Unterlassungsanspruch gegen die Beklagte zu.

Ein Löschungsanspruch nach §§ 35 Abs. 2 Satz 2 Nr. 1 BDSG, 823 Abs. 2 Satz 1 BGB i.V.m. § 4 BDSG, § 1004 BGB besteht nicht, weil dem Kläger nach § 29 Abs. 1 Satz 1 Nr. 2 BDSG kein schutzwürdiges Interesse am Ausschluss der Erhebung und Speicherung seiner Daten durch die Beklagte zukommt.

Gemäß § 29 Abs. 1 BDSG ist das geschäftsmäßige Erheben, Speichern, Verändern oder Nutzen personenbezogene Daten zum Zweck der Übermittlung, insbesondere wenn dies der Werbung, der Tätigkeit von Auskunfteien oder dem Adresshandel dient, zulässig, wenn kein Grund zu der Annahme besteht, dass der Betroffene ein schutzwürdiges Interesse an dem Ausschluss der Erhebung, Speicherung oder Veränderung hat, die Daten aus allgemein zugänglichen Quellen entnommen werden können oder die verantwortliche Stelle sie veröffentlichen durfte, es sei denn, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Erhebung, Speicherung oder Veränderung offensichtlich überwiegt, oder die Voraussetzungen des Paragraphen 28a Abs. 1 oder Abs. 2 erfüllt sind.

Ein schutzwürdiges Interesse am Ausschluss der Erhebung, Speicherung oder Veränderung personenbezogener Daten durch die Beklagte wäre im vorliegenden Fall gegeben, wenn das Recht des Klägers auf informationelle Selbstbestimmung nach Art. 2 Abs. 1 GG in Verbindung mit Art. 1 Abs. 1 GG das Recht der Beklagten auf Kommunikationsfreiheit nach Art. 5 Abs. 1 GG überwiegen würde.

Im Falle der von der Beklagten als Basisdaten bezeichneten Daten müsste das schutzwürdige Interesse des Klägers das Interesse der Beklagten sogar offensichtlich überwiegen. da diese Daten unstreitig aus allgemein zugänglichen Quellen entnommen wurden (§ 29 Abs. 1 Nr 2 BDSG).

Dies ist vorliegend nicht der Fall.

Die von dem Kläger angeführten Umstände berühren zwar den Schutzbereich seines allgemeinen Persönlichkeitsrechts und damit auch seines Rechts auf informationelle Selbstbestimmung. In ihrer Gesamtheit wiegen sie allerdings nicht so schwer, dass sie im Rahmen der Verhältnismäßigkeitsprüfung dem Recht auf Meinungs- und Kommunikationsfreiheit vorgehen würden.

Soweit der Kläger vorgetragen hat, dass Personen, die eine Bewertung abgeben wollen, sich bei der Beklagten nicht registrieren müssen, sondern völlig losgelöst von einer Nutzerkennung und vollkommen anonym Bewertungen abgeben können, so ist die Beklagte dem mit dem unbestrittenen Vortrag entgegengetreten, dass erst nach vorangegangener Registrierung und Verifizierung einer gültigen E-Mail-Adresse die Abgabe einer Bewertung möglich ist. Entgegen der Ansicht des Klägers ist damit eine Nachverfolgung im Falle etwaiger beleidigender oder rufschädigender Äußerungen gerade möglich. Dem stehen auch die von dem Kläger mit Anlage K5 vorgelegten Auszüge aus dem Registrierungsvorgang bei der Beklagten nicht entgegen. Dort heißt es: „Damit wir Ihre Bewertung prüfen und veröffentlichen können, ist es notwendig, dass Sie Ihre E-Mail-Adresse eingeben. Diese wird nicht veröffentlicht – Sie bleiben anonym“. Hieraus ergibt sich, dass der Beklagten die jeweilige E-Mail-Adresse eines Bewerters bekannt und damit eine Nachverfolgung im Falle beleidigender oder rufschädigender Äußerungen möglich ist.

Soweit der Kläger vorträgt, es seien keine Schutzmechanismen vorhanden, die ein Auffinden seines Bewertungsprofils bei der Beklagten in Internet Suchmaschinen wie google verhindern würden, vermag das Gericht die Relevanz dieses Vortrags für den vorliegenden Fall nicht zu erkennen. Dass Inhalte aus dem Internet über Suchmaschinen gefunden werden können ist ein alltäglicher Vorgang. Soweit der Kläger meint, bei der Beklagten finde eine unzureichende Datenkontrolle statt, weil bei einer Internetrecherche über google die negativen Bewertungen des Klägers weit vor den positiven in der Trefferliste angeführt würden, überzeugt dies das Gericht nicht. Denn, wie die Beklagte – unbestritten – dargelegt hat, hängt das Ergebnis der Recherche in einer Internetsuchmaschine maßgeblich von dem verwendeten Suchbegriff ab und steht nicht von vornherein fest.

Letztlich führt auch der Vortrag des Klägers, er werde durch die Beklagte in keinster Weise vor diffamierenden Herabsetzungen geschützt, da eine Schaltfläche zum melden solcher Äußerungen im Portal der Beklagten fehle nicht zur Annahme eines schutzwürdigen Interesses am Ausschluss der Erhebung, Speicherung oder Veränderung seiner Daten bei der Beklagten. Denn dem Kläger stand es frei, sich telefonisch oder schriftlich an die Beklagte zu wenden. Dies hat er seinem eigenen Vortrag zufolge auch getan. Insoweit kann dahinstehen, ob eine entsprechende Schaltfläche schon zum Zeitpunkt der Bewertung des Klägers bestand oder erst danach eingeführt wurde. Die Einvernahme der angebotenen Zeugen Maier war deshalb nicht erforderlich.

Für seine Behauptung, er habe wegen der Bewertungen auf der Internetseite der Beklagten in den ersten beiden Quartalen des Kalenderjahrs 2012 einen Umsatz- bzw. Patientenrückgang hinnehmen müssen, hat der Kläger trotz Ankündigung keinen Beweis angeboten. Sein Vortrag musste insoweit unberücksichtigt bleiben.

Auf Seiten der Beklagten wird das von der Meinungs- und Kommunikationsfreiheit getragene Interesse an der Veröffentlichung der Daten des Klägers durch ein Interesse der Öffentlichkeit an der Verfügbarkeit von Daten über medizinische Versorgungsmöglichkeiten dagegen noch verstärkt. Insoweit kann nach Ansicht des Gerichts auch auf die Grundsätze der Entscheidung des BGH vom 23.06.2009 (NJW 2009, 2888 – spickmich.de) abgestellt werden, die auch bzw. um so mehr Geltung beanspruchen können, wenn es um das Interesse der Öffentlichkeit an der Information über ärztliche Versorgungsmöglichkeiten geht. Denn hier kommt es der Entscheidung ob, bzw. von welchem Arzt sich der Einzelne behandeln lassen will zugute, wenn diese Entscheidung auf eine möglichst fundierte und breite Entscheidungsgrundlage gestellt werden kann. Neben anderen Faktoren bei der Auswahl eines Arztes bietet das Internetportal der Beklagten wegen des darin abgebildeten breiten Meinungsbildes dazu eine sinnvolle Möglichkeit und besteht deshalb ein öffentliches Informationsinteresse an der Veröffentlichung solcher Daten durch die Beklagte.

Vor diesem Hintergrund vermag das Recht des Klägers auf informationelle Selbstbestimmung das Recht der Beklagten auf Kommunikationsfreiheit nicht zu überwiegen. Für das Gericht besteht deshalb kein Grund zu der Annahme, dass der Kläger ein schutzwürdiges Interesse an dem Ausschluss der Erhebung, Speicherung oder Verhinderung seiner Daten durch die Beklagte hat. Er kann die Löschung seiner Daten von der Beklagten daher nicht verlangen.

Aus den oben genannten Gründen steht dem Kläger auch kein Unterlassungsanspruch gegen die Beklagte aus den §§ 823 Abs. 2, 1004 BGB in Verbindung mit § 4 Abs. 1 BDSG zu.

Da kein Löschungsanspruch besteht, kann der Kläger auch keine vorgerichtlichen Rechtsanwaltskosten von der Beklagten verlangen.

Die Kostenentscheidung beruht auch § 91 ZPO, die Entscheidung über die vorläufige Vollstreckbarkeit ergibt sich aus §§ 708 Nr. 11, 711 ZPO. Die Festsetzung des Streitwerts erfolgt nach §§ 3 ZPO, 63 Abs. 2 GKG wobei das Gericht das Interesse des Klägers unter Berücksichtigung seiner beruflichen Tätigkeit und der streitgegenständlichen Bewertungen mit 3.000,00 € ansetzt.

Foto: © Ilike – Fotolia.com

Google trifft keine Pflicht zur Entfernung von rechtswidrigen Suchergebnissen

Nach Ansicht des LG Mönchengladbach ist der Suchmaschinenriese Google nicht verpflichtet, Suchergebnisse aus dem Index, die auf rechtswidrige Seiten verlinken, zu entfernen. Es gehe hier um den Kern der wirtschaftlichen Betätigung des Suchmaschinen-Anbieters. In den Augen der Richter würde ein Eingriff in den Index nicht nur massiv die Verlässlichkeit der Ergebnisse in Frage stellen, sondern auch dazu führen, dass dem Anbieter schnell der Vorwurf der Zensur gemacht würde. Ebenso sei zu berücksichtigen, dass Google einen immensen personellen und materiellen Aufwand betreiben müsste. Zu berücksichtigen sei außerdem, dass auch wenn Google den Eintrag aus seinem Index löschen würde, die Webseite weiterhin abrufbar und somit auffindbar wäre. Die Rechtsverletzungen würden also weiterhin stattfinden.

 

Urteil

Tenor:

  1. Die Klage wird abgewiesen.
  2. Die Kosten des Rechtsstreits trägt der Kläger.

Das Urteil ist gegen Sicherheitsleistung in Höhe von 120 % des aus diesem Urteil vollstreckbaren Betrages vorläufig vollstreckbar.

 

Tatbestand:

Der Kläger ist emeritierter Professor. Er war bis zum Jahre 2008 Leiter ……. Düsseldorf. Nach zwischenzeitlicher kommissarischer Leitung wird diese seit dem Jahr 2010 durch …….. geleitet. Der Kläger ist Landsvorstandmitglied der Partei …… und dort Sprecher für ……..

 

Die Beklagte betreibt die Internetsuchmaschine …… Bei dieser werden auf Suchanfragen der Benutzer auf der Grundlage von algorythmischen Prozessen automatisch Ergebnisse generiert. Inhalte der Ergebnisse wertet die Beklagte nicht redaktionell aus.

 

Gibt man dort den Namen des Klägers ein, erscheint bei den Suchergebnissen unter anderem unter der Überschrift …… als Teil des bundesdeutschen…“ ein Verweis auf einen Blog-Eintrag eines Autors vom 25.01.2010 auf der Webseite …..“. Wegen der Einzelheiten wird auf den vom Kläger vorgelegten Screenshot der Suchergebnisse (Bl. 7 d.A.) Bezug genommen.

 

Ruft man diesen Link auf, so erscheint ein Eintrag, dessen Überschrift lautet: ……als Teil des bundesdeutschen Stasi-Netzwerks“. Der Text verhält sich darüber, dass der Kläger seit 1994 Leiter einer Forschungsstelle für Rechtsextremismus gewesen sei, womit man den Bock zum Gärtner gemacht habe. Weiter enthält der Artikel den Absatz: “……ist inzwischen als Leiter dieser „Forschungsstelle“ abgesetzt. Mag sein, dass die Fachhochschule die Notbremse gezogen hat, damit der Ruf dieser Einrichtung durch Personen wie ……nicht Schaden nimmt.“ Wegen der Einzelheiten wird auf den vom Kläger vorgelegten Ausdruck des Textes (Bl. 9. f d.A.) Bezug genommen. Unter „Kontakt“ ist als E-Mail-Adresse des Autors die Adresse ……. angegeben (Bl. 94 d.A.). Unter „Aktuelle Beiträge“ ergibt sich als Name des Autors ….(Bl. 10 d.A.).

 

Host des ….. ist der Blog-Service-Anbieter …… Aus der Startseite und aus den auf den Seiten von ….. vorgehaltenen allgemeinen Geschäftsbedingungen geht hervor, dass es sich bei dem Anbieter um die ….. handelt. Ferner wird dort auf eine telefonische Kontaktmöglichkeit und auf ein Webformular zur Kontaktaufnahme verwiesen (Bl. 97 d.A.). Für Fälle, in denen Dritte Inhalte in den Blogs der Nutzer melden wollen, die sie für rechtsverletzend halten, gibt es unter der ……eine gesonderte Möglichkeit, beanstandete Inhalte zu melden. Wegen der Einzelheiten wird auf die entsprechenden Screenshots (Bl. 98 ff d.A.) Bezug genommen.

 

Der Kläger behauptet, er habe der Beklagten mit Fax vom 10.02.2012, vorgelegt erst mit Schriftsatz vom 31.07.2013 (Bl. 180 ff d.A.), den Sachverhalt mitgeteilt. Unter dem 27.04.2012 habe er dies mit von ihm vorgelegten Fax (Bl. 125 d.A.) unter Beifügung des Klageentwurfs erneut getan. Er legt hierzu Sendeberichte (Bl. 132 f d.A.) vor. Er meint, die Beklagte hafte auf Unterlassung, weil der Eintrag unwahre Tatsachenbehauptungen enthalte, an denen der Suchmaschinenbetreiber als Störer zurechenbar mitwirke. Er behauptet im Termin vom 01.08.2013 sowie mit in diesem Termin überreichtem Schriftsatz vom 31.07.2013 erstmals, er habe gegen den Autor Strafanzeige erstattet. Es handele sich nicht um den in dem Eintrag mit Namen bezeichneten ……, denn dieser bestreite den Artikel verfasst zu haben. Das Strafverfahren sei mit Bescheid vom 31.07.2012 (Bl. 184 d.A.) einstellt worden, weil ein Urheber nicht zu ermitteln gewesen sei. Er habe auch versucht, über das Beschwerdeformular des Hosts die Entfernung zu erreichen.

 

Der Kläger hat zunächst den Antrag angekündigt,

 

die Beklagte zu verurteilen, es zu unterlassen, bei Eingabe des Namens des Klägers die Webseite zu der URL …… aufzuführen.

 

Nachdem die Beklagte eingewandt hat, dieser Antrag enthalte die beanstandeten Äußerungen nicht, hat der Kläger seinen Antrag umformuliert.

 

Der Kläger beantragt nunmehr,

 

es zu unterlassen, bei Eingabe des Namens des Klägers in Zukunft in der Trefferliste der Suchmaschine …..  bei Eingabe des Namens des Klägers die Webseite zu der URL …. aufzuführen, insbesondere zu verbreiten und/oder verbreiten zu lassen,

  • dass der Kläger Teil eines bundesweiten Stasinetzwerkes sei;
  • dass der Kläger als Leiter der …..abgesetzt worden sei und die Fachhochschule eine Notbremse gezogen habe, damit der Ruf ihrer Einrichtung durch Personen, wie den Kläger keinen Schaden nehme.

Die Beklagte beantragt,

die Klage abzuweisen.

 

Die Beklagte meint, die Klage sei mangels hinreichend bestimmten Klageantrags nach wie vor nicht zulässig, zumal vor deutschen Gerichten allenfalls ein Verbot der Abrufbarkeit des beanstandeten Suchergebnisses in Deutschland verlangt werden könne. Im Übrigen fehle das Rechtsschutzbedürfnis, weil dem Kläger mit einem Vorgehen gegen den Autor oder den Host ein effektiverer Weg zur Beseitigung der Störung zur Verfügung stellte. Der Kläger habe aber nicht einmal versucht, diese in Anspruch zu nehmen, wie bis zum Termin vom 01.08.2013 unstreitig war. Sie jedenfalls hafte als Suchmaschinenbetreiberin wie ein technischer Dienstleister nicht, bzw. allenfalls subsidiär, für verlinkte Inhalte. Im übrigen handele es sich bei den angegriffenen Passagen um zulässige Meinungsäußerungen, nicht um unwahre Tatsachenbehauptungen, zumal der Kläger bis zum Termin vom 01.08.2013 nicht einmal bestritten habe, dass die ….. ihn gekündigt habe. Sie rügt das Klägervorbringen zur versuchten Inanspruchnahme des Autors und des Hostproviders im Termin und im Schriftsatz vom 31.07.2013 als verspätet und bestreitet es mit Nichtwissen.

 

Entscheidungsgründe:

 

Die Klage ist zwar zulässig, in der Sache jedoch ohne Erfolg.

 

I. Die Klage ist zulässig.

 

1.) Die internationale Zuständigkeit der deutschen Gerichte ist nach § 32 ZPO gegeben. Der Erfolg der möglichen unerlaubten Ehrverletzung liegt in Deutschland, denn hierfür genügt es, wenn eine Internetseite in Deutschland abrufbar ist und ein weiterer Bezugspunkt, wie etwa der Wohnsitz des von ihr Betroffenen, in Deutschland liegt. Beides ist hier unstreitig der Fall. Auch der Inhalt des beanstandeten Blogeintrags bezieht sich auf Deutschland, weil es um die Tätigkeit des Klägers insbesondere als Leiter einer Forschungsstelle an einer deutschen Hochschule und um seine Mitgliedschaft in einer deutschen Partei geht. Im Übrigen ergibt sich die Zuständigkeit auch nach § 39 ZPO aufgrund rügeloser Einlassung.

 

2.) Der Antrag ist nicht zu unbestimmt, sondern genügt den Erfordernissen des § 253 Abs. 2 S. 2 ZPO. Der Kläger bezeichnet den URL, dessen Anzeige unterlassen werden soll, genau und nennt auch die beanstandeten Äußerungen. Dass er die zwei Äußerungen, er sei abgesetzt worden, dies möglicherweise als Notbremse, in einer zusammenfasst, lässt sich, da es sich um trennbare Inhalte handelt, dahingehend auslegen, dass er die Unterlassung beider Äußerungen begehrt. Soweit er den Antrag nicht ausdrücklich auf die Abrufbarkeit in Deutschland beschränkt hat, mag der Antrag zu weit gefasst sein, dies würde jedoch allenfalls zur teilweisen Unbegründetheit führen.

 

3.) Das notwendige Rechtsschutzbedürfnis liegt ebenfalls vor. Insbesondere stellt die Inanspruchnahme des Autors oder des Host-Providers keinen prozessual einfacheren Weg dar, weil auch dazu eine Klage erhoben werden müsste. Dass diese möglicherweise vorrangig vor der Beklagten haften, ist keine Frage des Rechtsschutzbedürfnisses, sondern eine solche der Interessenabwägung im Rahmen der Begründetheit.

 

II. Die Klage ist jedoch unbegründet.

 

Auf den Sachverhalt ist nach dem für Ansprüche wegen Persönlichkeitsrechtsverletzung fortgeltendem Art. 40 EGBGB deutsches Recht anwendbar, weil sich der Erfolgsort, wie ausgeführt, schon aufgrund des gewöhnlichen Aufenthalt des Geschädigten in Deutschland befindet (vgl. Palandt/Thorn, Art. 40 EGBGB, Rn. 10). Dementsprechend beziehen sich beide Parteien auch auf die Anspruchsvoraussetzungen nach deutschem Recht.

 

Ein Unterlassungsanspruch gegen die Beklagten aus den §§ 823 Abs. 1, 1004 BGB analog wegen Verletzung seines Persönlichkeitsrechts steht dem Kläger nicht zu.

 

1.) Die beanstandete Persönlichkeitsrechtsverletzung ist nicht durch die Beklagte erfolgt. Sie ist damit nicht Störerin und deshalb auch nicht zur Unterlassung verpflichtet. Störer ist nur, wer in zurechenbarer Weise durch sein Verhalten eine Ursache für die Rechtsverletzung setzt. Dies hat die Beklagte nicht getan. Sie hat unstreitig den beanstandeten Text nicht verfasst. Ebenso unstreitig befindet er sich nicht auf einem von ihr betriebenem Internetdienst. Insbesondere ist sie nicht Hostprovider des Blogs, in dessen Rahmen der Text verbreitet wurde (so aber in BGH VI ZR 93/10- zit. nach Juris). Die Beklagte beschränkt sich vielmehr auf das reine Bereitstellen von Suchergebnissen aufgrund eines technisch-mathematischen Vorgangs. Damit verbreitet sie keine Äußerungen, sondern listet nur das auf, was im Internet an anderer Stelle in Bezug auf den Kläger zu finden ist. Eine eigene Bewertung nimmt sie hier auch nicht im Rahmen der Suchwortergänzungsfunktion vor, bei der ein von ihr geschaffenes Computerprogramm das Nutzerverhalten ausgewertet und dem Benutzer bei Eingabe bestimmter Worte oder Namen Vorschläge unterbreitet werden (dazu BGH VI ZR 269/12 – zit nach Juris). Der Kläger trägt vielmehr nichts dazu vor, dass bei Eingabe seines Namens eine Verknüpfung mit einer der beanstandeten Äußerungen stattfindet. Die beanstandeten Äußerungen finden sich nicht einmal in den sog. „Snippets“, d.h. in den unter dem Titel der URL auf der Suchergebnisseite ausgewiesenen der konkreten URL entnommenen Textschnipseln (vgl. dazu Hanseatisches OLG -3 U 67/11 – zit. nach Juris). Diese lauten vielmehr ausweislich des vom Kläger vorgelegten Screenshots (Bl. 7 d.A.) nur……“. Weder die Verknüpfung mit einem Stasi-Netzwerk noch die Angaben zur Beendigung seiner Tätigkeit bei der Fachhochschule finden sich also in diesen „Snippets“. Die Beklagte stellt vielmehr ohne jede eigene redaktionelle Bewertung nur das Suchergebnis als eines unter mehreren bereit. Eine zurechenbare Mitwirkung an der Ehrverletzung des Autors oder des Hostproviders als unmittelbaren Störern liegt darin nicht.

 

2.) Vorsorglich ist darauf hinzuweisen, dass selbst wenn man dies anders sähe und das Generieren und Bereitstellen von Suchergebnissen für die Störereigenschaft genügen ließe, kein Unterlassungsanspruch bestünde. Das allgemeine Persönlichkeitsrecht sowie die §§ 185 ff StGB schützen nämlich nicht vor jeglichen Äußerungen, die eine bestimmte Person betreffen. Vielmehr lösen nur Äußerungen einen Unterlassungsanspruch aus, die nach einer umfassenden Güter- und Interessenabwägung als widerrechtlich erscheinen. Dies ist hier nicht der Fall, denn nach dem vorgetragenen Sachverhalt überwiegt das Interesse der Beklagten an einem wirtschaftlich sinnvollen Betrieb der Internetsuchmaschine das Interesse des Klägers, den beanstandeten Link nicht mehr anzuzeigen, weit.

 

Die Anzeige von Suchergebnissen aufgrund rein mathematischer Vorgänge ohne eigene inhaltliche Bewertung stellt den Kern der wirtschaftlichen Betätigung eines Suchmaschinenbetreibers dar. Der Nutzer verlässt sich gerade darauf, dass die Ergebnisse seiner Suche „neutral“, d.h. ohne eigene redaktionelle Bearbeitung des Suchmaschinenbetreibers, ausgeworfen werden. Würde bekannt, dass bestimmte Ergebnisse zuvor aussortiert und nicht mehr angezeigt würden, würde dies nicht nur die Verlässlichkeit der Suche aus Nutzersicht zweifelhaft machen, sondern den Betreiber auch sehr schnell in den Ruf der „Zensur“ bringen. Sinn und Zweck einer Suchmaschine, die nicht darin besteht, eigene Bewertungen vorzunehmen, sondern darin, fremde Inhalte nachzuweisen, würde daher durch auf dem Inhalt bestimmter Textseiten gründende Unterlassungsansprüche ganz empfindlich eingeschränkt (vgl. Hanseatisches OLG -3 U 67/11 – Rn 113, zit. nach Juris). Entsprechendes gilt für die Pressefreiheit des Internets, die auch einem Suchmaschinenbetreiber zusteht (Hanseatisches OLG -3 U 67/11 – Rn. 126, zit. nach Juris). Hinzu kommt, dass es für die Beklagte eines immensen personellen und materiellen Aufwands bedürfen würde, Suchergebnisse auf einen sogar erst im verlinkten Text enthaltenen ehrverletzenden Inhalt zu untersuchen (vgl. Hanseatisches OLG -3 U 67/11 – Rn 126, zit. nach Juris). Im Ergebnis würde durch derartige Unterlassungsansprüche der Betrieb einer Internetsuchmaschine im vom Nutzer erwarteten Umfang nahezu unmöglich. Damit stünde die wirtschaftliche Betätigungsfreiheit der Beklagten insgesamt in Frage.

 

Die Interessen des Klägers überwiegen dieses Interesse nicht. Dagegen spricht schon, dass eine Entfernung des Suchergebnisses durch die Beklagte nichts daran ändern würde, dass der Text sich weiterhin im Internet befindet und über andere Suchmaschinen nach wie vor auffindbar bleibt. Die Ehrverletzungen blieben also auch bei Entfernung des URL durch die Beklagte erhalten. Demgemäß ist auch nicht auszuschließen, dass dem Kläger ein verlässlicherer und sowohl die Freiheit des Internets im Rahmen der Pressefreiheit als auch die wirtschaftliche Betätigungsfreiheit der Beklagten weniger belastender Weg zur Wahrung seines Persönlichkeitsrechts zur Verfügung steht. Er ist ehrverletzenden Äußerungen im Internet keineswegs schutzlos ausgeliefert, sondern er kann sowohl den Verfasser des Textes als auch den Host-Provider als Störer in Anspruch nehmen, was zur Entfernung des Textes aus dem Netz führen und damit die Störung unmittelbar beseitigen würde. Dies hat er aber, wie bis zur mündlichen Verhandlung unstreitig war, nicht getan. Unter diesen Umständen ist eine Haftung der Beklagten unzumutbar.

 

Soweit der Kläger in der mündlichen Verhandlung hat ausführen lassen, er habe eine Inanspruchnahme des Verfassers und des Hostproviders versucht, kann offen bleiben, ob dieses Vorbringen verspätet ist. Es ist nämlich auch ungenügend und beweislos, was zu Lasten des Klägers geht, da er als Anspruchssteller die Widerrechtlichkeit der Störung darzulegen und zu beweisen hat. Ein gesonderter Hinweis hierauf war, da das Vorbringen erst in der mündlichen Verhandlung vom 01.08.2013 erfolgte nicht möglich. Die Hinweispflicht gebietet auch keine Wiedereröffnung der mündlichen Verhandlung, da die Beklagte stets darauf hingewiesen hat, dass die Inanspruchnahme dieser Störer vorrangig sei, und mangels anderen Vortrags davon auszugehen sei, dass der Kläger dies nicht einmal versucht habe. Die Reaktion darauf erst in der mündlichen Verhandlung, obwohl die Einstellung der staatsanwaltschaftlichen Ermittlungen zu diesem Zeitpunkt schon ein Jahr her war, ist derart grob nachlässig, dass das Gericht, wertete es das Vorbringen als hinreichend, von Verspätung ausgehen müsste. Ein zur Verzögerung durch eine Wiedereröffnung führender Hinweis ist deshalb nicht geboten.

 

Das Vorbringen des Klägers ist ungenügend. Zur Inanspruchnahme des Verfassers trägt der Kläger nur vor, der im beanstandeten Text bezeichnete Verfasser sei ein …. Journalist, der abstreite, den Text verfasst zu haben. Dies stellt der Kläger jedoch schon nicht unter Beweis. Ebenso wenig stellt er hinreichend unter Beweis, dass der wahre Verfasser nicht ermittelt werden konnte. Hierzu legt er vielmehr nur die ein Jahr alte Einstellungsmitteilung betreffend eine Strafanzeige wegen Verleumdung der Staatsanwaltschaft Aachen vom 31.07.2012 vor (Bl. 184 d.A.). Dieser ist nicht einmal zu entnehmen, dass der hier beanstandete Text Gegenstand der Strafanzeige war. Dass und gegebenenfalls welche Ermittlungen die Staatsanwaltschaft vorgenommen hat, um den Verfasser zu ermitteln, ergibt sich daraus ebenso wenig. Eigene Ermittlungen vorgenommen zu haben, behauptet der Kläger nicht einmal. Insbesondere trägt er nicht vor, worauf die Beklagte zu Recht bereits mehrfach verwiesen hat, über die im Blog angegebene E-Mail-Adresse die Kontaktaufnahme zum Verfasser versucht zu haben.

 

Ebenso hat das Gericht davon auszugehen, dass eine Inanspruchnahme des Hostproviders nach wie vor möglich ist. Dieser ist, wenn ihm ein beanstandeter Inhalt gemeldet wird, verpflichtet zum Blogautor Kontakt aufzunehmen, und den beanstandeten Text zu entfernen, sollte der Autor nicht reagieren (vgl. BGH VI ZR 93/10 – zit nach Juris). Auf diesem Weg die Entfernung des Eintrags zu erreichen, ist daher besonders einfach, da schon die mangelnde Reaktion des Autors unter seinen Kontaktdaten genügt, der Autor also nicht ermittelt werden muss. Hierzu räumt der Kläger aber sogar ein, dass er den von ihm nun behaupteten Versuch der Inanspruchnahme des Hostproviders mangels Screenshots nicht beweisen kann. Auch insoweit ist zudem sein Vorbringen zudem ungenügend, weil nicht einmal vorgetragen wird, wie diese Kontaktaufnahme erfolgte. Insbesondere trägt der Kläger nicht vor, welchen Text er in das vom Host vorgesehene Beschwerdeformular eingegeben hat, so dass auch nicht ersichtlich ist, ob dieser dem eine Rechtsverletzung entnehmen konnte. Dass der Kläger in sonstiger Weise an …….. herangetreten ist, insbesondere schriftlich, trägt er ebenso wenig vor. Aus seinem Vorbringen kann das Gericht daher nicht feststellen, ob die angebliche Beschwerde des Klägers dem Hostprovider Anlass zur Überprüfung und gegebenenfalls zur Entfernung des Blogeintrags geben musste.

 

Unter diesen Umständen muss die Interessenabwägung dazu führen, dass der Kläger die begehrte Unterlassung nicht von der Beklagten verlangen kann, da dies ein ihre wirtschaftliche Betätigung unzumutbar beeinträchtigender Eingriff wäre, während der Kläger damit den erstrebten Erfolg nur eingeschränkt erzielen kann und die endgültige Beseitigung zumutbar von den an der Rechtsverletzung unmittelbar Beteiligten erlangen kann. Ein Unterlassungsanspruch gegen die Beklagte besteht deshalb nicht.

 

III. Die prozessualen Nebenentscheidungen beruhen auf §§  91 Abs. 1, 709 S. 1 ZPO.

Streitwert:  15.000,– €

 

Dynamische IP-Adressen sind grundsätzlich keine personenbezogenen Daten

In einer Entscheidung zu dem umstrittenen Thema, ob dynamische IP-Adressen personenbezogene Daten sind oder nicht, verneinte das LG Berlin diese Frage im Ergebnis. Das Datenpaket aus dynamischer IP-Adresse und Zeitpunkt des Internetzugriffs über diese IP-Adresse gehöre nicht zu den personenbezogenen Daten im Sinne von § 3 BDSG oder § 12 TMG. Etwas anderes gelte, wenn nicht nur die dynamische IP-Adresse und Zugriffszeitpunkt bekannt sind, sondern auch die Identität des Nutzers, etwa weil der Nutzer in einem Formular auf der Webseite seinen Vor- und Nachnamen oder seine E-Mail-Adresse angegeben hat (relativer Personenbezug).

Urteil

Das Landgerichts Berlin hat für Recht erkannt:

Auf die Berufung des Klägers wird unter Zurückweisung seines Rechtsmittels im Übrigen das am 13. August 2008 verkündete Urteil des Amtsgerichts Tiergarten – 2 C 6/08 – geändert:

1. Die Beklagte wird verurteilt, es zu unterlassen, die Internetprotokolladresse (IP-Adresse) des zugreifenden Hostsystems des Klägers, die im Zusammenhang mit der Nutzung öffentlich zugänglicher Telemedien der Beklagten im Internet – mit Ausnahme des Internetportals ..http://www.bmj.bund.de.. – übertragen wird, in Verbindung mit dem Zeitpunkt des jeweiligen Nutzungsvorganges über das Ende des jeweiligen Nutzungsvorganges hinaus zu speichern oder durch Dritte speichern zu lassen,

  • sofern der Kläger während eines Nutzungsvorganges selbst seine Personalien, auch in Form einer die Personalien des Klägers ausweisenden E-Mail-Anschrift, angibt und
  • soweit die Speicherung nicht im Störungsfall zur Wiederherstellung der Verfügbarkeit des Telemediums erforderlich ist.

 Im Übrigen wird die Klage abgewiesen.

 2. Die Kosten des Rechtsstreits in beiden Instanzen werden gegeneinander aufgehoben.

 3. Das Urteil ist vorläufig vollstreckbar.

Der Kläger kann die Vollstreckung durch Sicherheitsleistung in Höhe des jeweils aufgrund des Urteils vollstreckbaren Betrages abwenden, sofern nicht die Beklagte zuvor Sicherheit in gleicher Höhe leistet.

Die Beklagte kann die Vollstreckung durch Sicherheitsleistung in Höhe von 5.000,00 EUR, sofern nicht der Kläger zuvor Sicherheit in gleicher Höhe leistet.

Gründe

 A.

Die Beklagte betreibt eine Vielzahl allgemein zugänglicher Internetportale, auf denen aktuelle Informationen von Bundesbehörden und sonstigen Bundesorganen und – einrichtungen vorgehalten und für jedermann zum Abruf bereitgestellt sind. Dabei hält sie nach dem unbestrittenen Klägervortrag “bei den meisten Portalen” jeden Zugriff auf ihre verschiedenen Informationsangebote in einer Protokolldatei fest. Auf diese Weise verfährt sie unstreitig jedenfalls bei den im Schriftsatz der Beklagten vom 22.03.2010 auf Seiten 21 bis 23 (BI. 124ft. I Band II d. A.), auf den Bezug genommen wird, aufgeführten Portalen.

In den Protokolldateien speichert sie – auch über das Ende des jeweiligen Nutzungsvorganges hinaus

  • den Namen der abgerufenen Datei bzw. Seite,
  • einen ggfs. von dem Nutzer in das Suchfeld eingegebenen Begriff,
  • das Datum und die Uhrzeit des Abrufs,
  • die übertragene Datenmenge,
  • die Meldung, ob der Abruf erfolgreich war,
  • die Internet-Protokoll-Adresse (IP-Adresse) des zugreifenden Hostsystems.

Bei der dynamischen IP-Adresse handelt es sich um eine Nummernfolge, die dem Internetnutzer ­ sobald er eine Internetverbindung herstellt – für die Dauer des jeweiligen Nutzungsvorgangs von seinem Zugangsanbieter (Acces-Provider) zugewiesen wird. Sie ermöglicht die Kommunikation vernetzter Geräte – Server und Privatcomputer – im Internet. Bei Abruf einer Seite wird dem Server, auf dem die Seite gespeichert ist, die Adresse des abrufenden Computers mitgeteilt, so dass die Daten über das Internet von dem einen an den anderen Rechner geleitet werden können. Die Zuweisung einer IP-Adresse ist somit aus technischen Gründen zur Übermittlung der abgerufenen Daten an den jeweiligen Internetnutzer erforderlich; sie stellt sicher, dass die abgerufenen Daten an ihn gesendet werden. Eine dynamische IP-Adresse wird zu einem bestimmten Zeitpunkt jeweils nur einem einzigen Nutzer zugewiesen. Die Zuweisung erfolgt aus dem Adresskontingent des Zugangsanbieters.

Die Beklagte verfolgt bei der Speicherung der IP-Adressen über das Ende des jeweiligen Nutzungsvorganges hinaus nach ihren eigenen Angaben u.a. folgende Ziele: 1. Abwehr von Angriffen, 2. Grundlage für die Strafverfolgbarkeit von Angriffen durch Identifizierung des Angreifers und 3. Abschreckungswirkung aufgrund der Strafverfolgbarkeit.

Die Beklagte verzichtet bei einigen der von ihr betriebenen Internetportale darauf, die IP- Adresse der jeweiligen Nutzer zu speichern. Auf die nicht abschließende Aufzählung im Schriftsatz des Klägers vom 26. März 2010 (BI. 166 I Band 11 d.A.) der einzelnen Behörden, die von der Speicherung der IP-Adressen absehen, wird Bezug genommen. Die Beklagte begründet dies damit, dass der “Angriffsdruck” auf diese Seiten geringer sei.

Der Kläger hat in der Vergangenheit bereits verschiedene andere Internetportale der Beklagten aufgerufen und auch Suchwörter in die Suchmaske eingegeben. Dabei wurde die ihm jeweils zugewiesene IP-Adresse durch die Beklagte und ihre Behörden als Webseitenbetreiber über das Ende des jeweiligen Nutzungsvorganges hinaus gespeichert.

Der Kläger ist der Auffassung, mit der Speicherung der ihm jeweils zugewiesenen IP- Adresse über den Nutzungsvorgang hinaus verstoße die Beklagte gegen § 15 Abs. 4 Telemediengesetz vom 16. Februar 2007 (TMG). Da sie Diensteanbieter im Sinne dieser Vorschrift sei, sei es ihr nicht erlaubt, Nutzungsdaten – zu denen nach § 15 Abs. 1 TMG auch die personenbezogenen Daten eines Nutzers gehörten – über das Ende des Nutzungsvorgangs hinaus zu verwenden. Eine Ausnahme gelte nach den gesetzlichen Vorgaben lediglich, wenn und soweit diese Daten zum Zwecke der Abrechnung mit dem Nutzer erforderlich seien. Zu diesem Zweck speichere die Beklagte die IP-Adresse aber nicht; daher verletze sie mit der Speicherung der ihm jeweils zugewiesenen IP-Adressen sein Recht auf informelle Selbstbestimmung, das Bestandteil seines allgemeinen Persönlichkeitsrechts gemäß Art. 1 und 2 GG sei. Ihm stehe daher gegen die Beklagte ein Unterlassungsanspruch zu, der zum einen auf §§ 1004 Abs. 1 Satz 2, 823 Abs. 1 BGB und daneben auf §§ 1004 Abs. 1 Satz 2, 823 Abs. 2 Satz 1 BGB in Verbindung mit § 15 Abs. 4 TMG beruhe; § 15 Abs. 4 TMG sei ein Schutzgesetz im Sinne von § 823 Abs. 2 BGB.

Bei den ihm von seinem Zugangsanbieter (… Telekommunikation GmbH) beim Aufruf von Webseiten jeweils zugewiesenen IP-Adressen handele es sich um personenbezogene Daten im Sinne von § 15 Abs. 1 TMG und § 3 Abs. 1 BDSG. Rechtfertigende Gründe, die eine Speicherung dieser Adressen über den Nutzungsvorgang hinaus ausnahmsweise zulässig machen könnten, seien nicht ersichtlich. Insbesondere sei der Tatbestand der Ermächtigungsnorm des § 15 Abs. 4 TMG nicht erfüllt. Die Ermächtigungsnorm des § 100 TKG sei nicht einschlägig.

Im übrigen sei die Speicherung der IP-Adressen auch nicht zur Gewährleistung und Aufrechterhaltung der IT-Sicherheit und der Funktionsfähigkeit der Telemedien- und Telekommunikationsnetze der Beklagten erforderlich. Dies ergebe sich bereits daraus, dass die Beklagte eine Vielzahl von Internetportalen betreibe, ohne die jeweiligen IP-Adressen aufzuzeichnen.

Das Amtsgericht Tiergarten hat mit dem am 13. August 2008 verkündeten Urteil die Unter­ lassungsklage wegen seiner fehlenden sachlichen Zuständigkeit als unzulässig abgewiesen und den Streitwert auf 35.000,- € festgesetzt. Der Kläger hat gegen das ihm am 16. August 2008 zugestellte Urteil mit dem am 12. September 2008 eingegangenen Schriftsatz Berufung eingelegt und zugleich gegen die Streitwertfestsetzung des Amtsgerichts Beschwerde erhoben. Auf die Beschwerde hat das Landgericht den Gebührenstreitwert auf 4.000,- € herabgesetzt. Die hiergegen durch die Beklagte erhobene Rechtsbeschwerde hat der Bundessgerichtshof mit Beschluss vom 29. Oktober 2009 als unzulässig verworfen.

Der Kläger verfolgt mit der Berufung seinen erstinstanzlichen Klageantrag weiter und beantragt zuletzt, die Beklagte unter Aufhebung des am 13. August 2008 verkündeten Urteils des Amtsgerichts Tiergarten

zu verurteilen, es zu unterlassen. die Internetprotokolladresse (IP-Adresse) des zugreifenden Hostsystems des Klägers, die im Zusammenhang mit der Nutzung öffentlich zugänglicher Telemedien der Beklagten im Internet – mit Ausnahme des Internetportals http://www.bjm.bund.de – übertragen wird über das Ende des jeweiligen Nutzungsvorgangs hinaus zu speichern oder durch Dritte speichern zu lassen, soweit die Speicherung nicht im Störungsfall zur Wiederherstellung der Verfügbarkeit des Telemediums erforderlich ist,

hilfsweise,

sie zu verurteilen, es zu unterlassen, die Internetprotokolladresse (IP-Adresse) des zugreifenden Hostsystems des Klägers, die im Zusammenhang mit der Nutzung öffentlich zugänglicher Telemedien der Beklagten im Internet – mit Ausnahme des Internetportals http://www.bmLbund.de – übertragen wird in Verbindung mit dem Zeitpunkt des jeweiligen Nutzungsvorgangs über das Ende des jeweiligen Nutzungsvorgangs hinaus zu speichern oder durch Dritte speichern zu lassen, soweit die Speicherung nicht im Störungsfall zur Wiederherstellung der Verfügbarkeit des Telemediums erforderlich ist,

hilfsweise (sinngemäß),

die Verurteilung zur Unterlassung jedenfalls auf die im Schriftsatz der Beklagten vom 22. März 2010, dort Seite 21 – 23 (BI. 124 und 125/ Band 11) genannten Webseiten zu erstrecken.

Die Beklagte beantragt, die Berufung zurückzuweisen.

Sie rügt zunächst die Zuständigkeit der ordentlichen Gerichtsbarkeit. Gegenstand des Klagebegehrens sei eine öffentlich-rechtliche Streitigkeit, weshalb der Verwaltungsrechtsweg nach § 40 Abs. 1 VwGO eröffnet sei. Die Beklagte komme mit ihren Informationsangeboten ihrer öffentlich rechtlichen Informationspflicht nach. Das von dem Kläger beanstandete Verhalten stehe in einem öffentlich-rechtlichen Funktionszusammenhang, weshalb keine bürgerlich-rechtliche Streitigkeit vorliege.

Das Amtsgericht habe die Klage zu Recht als unzulässig abgewiesen, weil der Streitwert 5.000,-­ EUR übersteige. Der Kläger betreibe den Rechtsstreit als Musterprozess; zudem müssten bei der Festsetzung des Zuständigkeitsstreitwerts die hohe Anzahl der Server, auf die sich das Unterlassungsbegehren beziehe, und die damit zusammenhängenden wirtschaftlichen Auswirkungen auf die Parteien Berücksichtigung finden.

Die Beklagte meint, sie sei nicht passivlegitimiert. Der Kläger verlange die beantragte Unterlassung von der gesamten Bundesrepublik Deutschland. Dieser Antrag schließe nicht nur Telemedienangebote im Geschäftsbereich des Bundesministeriums des Innern ein, sondern auch die Geschäftsbereiche anderer Ministerien. Gemäß Art. 65 Abs. 1 Satz 2 GG liege die Vertretungskompetenz jedoch für den jeweiligen Geschäftsbereich bei den einzelnen Bundesministerien. Das Bundesministerium des Innern sei nicht in der Lage, gegenüber anderen Verfassungsorganen, wie z. B. dem Bundestag, Weisungen zu erteilen und damit ein mögliches Unterlassungsurteil um- und durchzusetzen. Daher könne eine Verurteilung nur insoweit erfolgen, als die Vertretungsbefugnis reiche. Im vorliegenden Fall sei der Klageantrag daher unbegründet, soweit er auf Telemedienangebote außerhalb des Geschäftsbereichs des Bundesministerium des Innern gerichtet sei.

Die Klage sei schließlich unbegründet, weil dynamische IP-Adressen keine personenbezogenen Daten seien. Diese müssten sich auf bestimmte oder bestimmbare Personen beziehen. Sofern sich ein unmittelbarer Bezug zu einer bestimmten Person nicht herstellen lasse, seien die Daten nur dann personen bezogen, wenn die betroffene Person bestimmbar sei. Dies treffe auf dynamische IP-Adressen nicht zu. Nur der Zugangsanbieter der IP-Adresse könne zusammen mit einer Zeitangabe (Datum und Uhrzeit) eine IP-Adresse einem seiner Kunden zuordnen. Der Beklagten sei es dagegen nicht möglich, mit den ihr zur Verfügung stehenden Informationen die zum Datenabruf verwendete IP-Adresse zu individualisieren. Aus den öffentlich zugänglichen Datenbanken könne lediglich ermittelt werden, aus welchem Adressbereich eines Zugangsanbieters eine IP-Adresse stamme. Da eine Individualisierung zudem nur aufgrund einer konkreten Zeitangabe (Datum und Uhrzeit) erfolgen könne, sei allenfalls dem Hilfsantrag des Klägers, in keinem Fall aber seinem Hauptantrag stattzugeben.

Gegen die Qualifizierung von dynamischen IP-Adressen als personenbezogene Daten im Sinne von § 15 Abs. 1 TMG spreche ferner, dass der Zugangsanbieter nicht ohne weiteres berechtigt sei, die gespeicherten Daten weiterzugeben. Nach § 88 Abs. 3 Satz 3 TKG dürfe er nur Daten weitergeben, wenn und soweit das Telekommunikationsgesetz oder eine andere gesetzliche Vorschrift dies bestimme. Dem Datenaustausch zwischen Zugangsanbieter und der speichernden Stelle seien somit enge gesetzliche Grenzen gesetzt.

Die Speicherung der IP-Adressen sei zur Gewährleistung und Aufrechterhaltung der IT- Sicherheit und der Funktionsfähigkeit der Telemedien- und Telekommunikationsnetze der Beklagten erforderlich. Zur Erkennung und Abwehr von sog. DOS-Angriffen (”denial of service”, d.h. ein Lahmlegen der T elekommunikationsinfrastruktur durch gezieltes und koordiniertes Fluten einzelner Webserver mit einer Vielzahl von Anfragen) setze die Beklagte ein Anomalisierungserkennungssystem ein, bei dem bestimmte Kennzahlen des normalen Datenverkehrs aufgezeichnet und Abweichungen als mögliche Angriffe eingestuft würden. Zur Anomalieerkennung müssten insbesondere die IP-Adressen über einen gewissen Zeitraum gesichert und ausgewertet werden, da sich Anomalien erst in einer Rückschau erkennen ließen. Diese Analyse könne mehrere Wochen dauern (BI. 129 – 134/ Band II d. A).

Die Beklagte behauptet, die Speicherung und Verwendung von IP-Adressen sei unverzichtbare Grundlage für die mittelbar wirksame IT-Sicherheitsmaßnahme der Protokollierung (BI. 132/ Band 11 d. A).

Die Zulässigkeit der Speicherung beruhe schließlich auch auf § 100 Abs. 1 TKG und auf § 5 des Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik (BSIG).

Das Gericht hat Beweis erhoben durch Einholung eines schriftlichen Sachverständigengutachtens mit Beschluss vom 20.05.2010 (BI. 17 / Band 111 d. A) in der geänderten Fassung des Beschlusses vom 22.03.2011 (BI. 101, Band 111 d.A.). Hinsichtlich des Ergebnisses der Beweisaufnahme wird auf das Sachverständigengutachten vom 29.07.2011 (BI. 103 ff. / Band 111 d. A) Bezug genommen. Mit Beschluss vom 04.01.2012 (BI. 144/ Band 111 d. A) hat die Kammer eine Erläuterung und Ergänzung des Sachverständigengutachtens angeordnet. Auf die Erläuterungen des Sachverständigen zum Gutachten vom 07.05.2012 (BI. 152 ff. / Band 111 d. A) wird Bezug genommen.

Wegen der weiteren Einzelheiten des Parteivorbringens wird ergänzend auf den Tatbestand des angefochtenen Urteils, auf den vorgetragenen Inhalt der gewechselten Schriftsätze nebst Anlagen sowie auf die Sitzungsniederschriften in beiden Instanzen verwiesen.

B.

Die statthafte, form- und fristgerecht eingelegte Berufung des Klägers ist teilweise begründet, denn die zulässige Klage ist nur in dem aus dem Tenor ersichtlichen Umfang begründet.

 

I. Zulässigkeit der Klage

1) Rechtsweg

Der Rechtsweg zu den ordentlichen Gerichten ist eröffnet (§ 13 GVG). Ob eine Streitigkeit öffentlich- oder bürgerlichrechtlich ist, richtet sich, wenn – wie hier – eine ausdrückliche Rechtswegzuweisung des Gesetzgebers fehlt, nach der Natur des Rechtsverhältnisses, aus dem der Klageanspruch hergeleitet wird. Dabei kommt es regelmäßig darauf an, ob die an der Streitigkeit Beteiligten zueinander in einem hoheitlichen Verhältnis der Über- und Unterordnung stehen und ob sich der Träger hoheitlicher Gewalt der besonderen, ihm zugeordneten Rechtssätze des öffentlichen Rechts bedient oder ob er sich den für jedermann geltenden zivilrechtlichen Regelungen unterstellt (GmS-OGB v. 29.10.1987, NJW 1988, 2295, 2296). Maßgebend ist danach der Gegenstand der Streitigkeit. Stehen sich die Parteien in einem Gleichordnungsverhältnis gegenüber, sind die Rechtsverhältnisse als öffentlich-rechtlich zu qualifizieren, wenn die das Rechtsverhältnis beherrschenden Rechtsnormen überwiegend den Interessen der Allgemeinheit dienen, wenn sie sich nur an Hoheitsträger wenden oder wenn die Beklagte als Träger öffentlicher Aufgaben bei der Erledigung dieser Aufgaben einem Sonderrecht unterworfen ist und nicht Rechtssätzen, die für jedermann gelten (GmS- OGB v. 10.7.1989, NJW 1990,1527).

Unter Heranziehung dieser Grundsätzen liegt keine öffentlich-rechtliche Streitigkeit vor. Der Kläger wendet sich mit seinem Klageantrag nicht gegen ein hoheitliches Handeln der Beklagten. Die Beklagte nimmt zwar eine öffentlich-rechtliche Aufgabe wahr, indem sie Informationen auf Webseiten zur Verfügung stellt. Bei der technischen Ausgestaltung (nicht der inhaltlichen Ausgestaltung) ihrer Informationsangebote ist sie aber an gesetzliche Regelungen (Telemediengesetz, Bundesdatenschutzgesetz usw.) gebunden, bei denen es sich nicht um Rechtssätze handelt, die speziell auf sie als Trägerin öffentlicher Gewalt zugeschnitten wären. Die Zulässigkeit der Speicherung von temporär zugewiesenen dynamischen IP-Adresse ist nicht durch Rechtsvorschriften geregelt, die ausschließlich auf die Beklagte als Trägerin öffentlicher Gewalt zugeschnitten wären. Vielmehr handelt es sich um Rechtssätze, die für jedermann gelten. Der von dem Kläger geltend gemachte Unterlassungsanspruch ist daher bürgerlich-rechtlicher Natur.

2) Prozessfähigkeit der Beklagten

Die Beklagte wird im Prozess gemäß § 51 Abs. 1 ZPO von dem Bundesministerium des Innern vertreten. Die Bundesrepublik wird durch den jeweils zuständigen Bundesminister, der nach Art. 65 Satz 2 GG im Rahmen der vom Bundeskanzler bestimmten Richtlinien der Politik seinen Geschäftsbereich selbständig und eigenverantwortlich leitet, innerhalb seines Ressorts vertreten (Entscheidung des Bundesgerichtshofs vom 15.06.1967, 111 ZR 137/64, zit. nach juris). Nach dem Organisationsplan des Bundesministerium des Innern ist die Abteilung IT-D für die IT-Steuerung des Bundes sowie IT-Infrastrukturen und das IT-Sicherheitsmanagement des Bundes zuständig. Die hier zu entscheidende Streitfrage unterfällt damit dem Ressort des Bundesministerium des Innern.

3) Zuständigkeit des Amtsgerichts

Das Amtsgericht hat die Klage zu Unrecht mit der Begründung als unzulässig abgewiesen, der Streitwert der Klage übersteige den in § 23 Nr. 1 GVG benannten Wert von 5.000,- €. Der Zuständigkeitsstreitwert beträgt lediglich 4.000,- €. Wegen der weiteren Einzelheiten der Wertfestsetzung wird auf den Beschluss der Kammer vom 7. April 2009 (BI. 35 – 39 I Band 11 d. A) Bezug genommen.

4) Bestimmtheit der Anträge

Der Klageantrag ist im Haupt- und ersten Hilfsantrag auch ohne Angabe der jeweils von der Klägerin betriebenen Webseiten im Sinne von § 253 Abs. 1 ZPO hinreichend bestimmt, da die Vollstreckungsfähigkeit einer den Klageantrag stattgebenden Entscheidung gewährleistet ist. Hauptantrag und erster Hilfsantrag erstrecken sich auf sämtliche öffentlich zugängliche Telemedien der Beklagten im Internet mit Ausnahme des Internetportals http://www.bmj.bund.de. Die Vollstreckung des Unterlassungstitels richtet sich nach § 890 ZPO. Der Schuldner ist wegen jeder Zuwiderhandlung auf Antrag des Gläubigers zu einem Ordnungsgeld zu verurteilen. Die Vollstreckung eines Urteils, dessen Tenor dem Klageantrag entspricht, wäre daher möglich. Denn hinsichtlich jeder Webseite, bezüglich derer der Kläger einen Antrag nach § 890 ZPO stellen würde, stünde eindeutig fest, ob diese Webseite durch die Beklagte als Diensteanbieter im Sinne von § 15 Abs. 1 und 4 TMG betrieben wird. Die Bestimmung des Anbieters ist durch Kenntnisnahme öffentlich zugänglicher Quellen möglich.

II.

Begründetheit der Klage

Die Klage ist im ersten Hilfsantrag teilweise begründet.

Der Kläger hat gegen die Beklagte einen Anspruch auf Unterlassung im tenorierten Umfang aus §§ 1004 Abs. 1 Satz 2 BGB analog, 823 Abs. 1, Abs. 2 BGB i. V. m. Art 1 Abs. 1, 2 Abs. 1 GG, 4 Abs. 1 BDSG, 12 Abs. 1 TMG. Ein weitergehender Unterlassungsanspruch besteht nicht.

1) Passivlegitimation

Die Beklagte ist passivlegitimiert. Der Anspruch richtet sich gegen den verantwortlichen Betreiber des jeweiligen Internetportals. Dies ist für die streitgegenständlichen Internetportale die Beklagte. Die Beklagte hat nicht behauptet, sie sei nicht verantwortliche Betreiberin der streitgegenständlichen Portale. Auf die Weisungsbefugnis des Bundesministerium des Innern als des im Prozess berufenen Vertreters gegenüber sämtlichen betroffenen Organen der Beklagten kommt es indes nicht an. Denn die Beklagte wird durch die Verurteilung unmittelbar zur Unterlassung verpflichtet. Wie sie diese Verpflichtung praktisch umsetzt, ist ihr überlassen.

2) Unterlassungsanspruch

Der Kläger kann von der Beklagten aus §§ 1004 Abs. 1 Satz 2 BGB analog, 823 Abs. 1, Abs. 2 BGB i. V. m. Art 1 Abs. 1, 2 Abs. 1 GG, 4 Abs. 1 BDSG, 12 TMG verlangen, es zu unterlassen, die Internetprotokolladresse (IP-Adresse) seines zugreifenden Hostsystems, die im Zusammenhang mit der Nutzung öffentlich zugänglicher Telemedien der Beklagten im Internet – mit Ausnahme des Internetportals ..http://www.bmj.bund.de.. – übertragen wird, in Verbindung mit dem Zeitpunkt des jeweiligen Nutzungsvorganges über das Ende des jeweiligen Nutzungsvorganges hinaus zu speichern oder durch Dritte speichern zu lassen, sofern der Kläger während eines Nutzungsvorganges selbst seine Personalien, auch in Form einer die Personalien des Klägers ausweisenden E-Mail-Anschrift, angibt und soweit die Speicherung nicht im Störungsfall zur Wiederherstellung der Verfügbarkeit des Telemediums erforderlich ist.

a) § 12 TMG

Unter den genannten Bedingungen ist die dynamische IP-Adresse des Klägers in Verbindung mit dem Zeitpunkt des jeweiligen Nutzungsvorgangs ein personenbezogenes Datum im Sinne des § 12 TMG.

aa) Anwendbarkeit der §§ 11 ff. TMG

Die §§ 11 ff. TMG sind vorliegend einschlägig, da es um die Erhebung und Verwendung von Daten eines Nutzers eines Telemediendienstes geht. Nach § 1 Abs. 1 Satz 1 TMG stellen alle elektronischen Informations- und Kommunikationsdienste einen Teledienst dar, soweit diese – wie vorliegend der Fall – nicht als Telekommunikationsangebote (im Sinne des § 3 Nr. 24 TKG, § 3 Nr. 25 TKG) einzuordnen sind (s. auch weiter unten).

bb) personenbezogenes Datum

Nach der Legaldefinition des § 3 BDSG sind personenbezogene Daten Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person. Die EG-Datenschutzrichtlinie 95/46/EG definiert in Art. 2 a) personenbezogene Daten als alle Informationen über eine bestimmte oder bestimmbare natürliche Person. Als bestimmbar wird eine Person angesehen, die direkt oder indirekt identifziert werden kann, insbesondere durch Zuordnung einer Kennummer oder zu einem oder mehreren spezifischen Elementen, die Ausdruck ihrer physischen, physiologischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität sind. Im Erwägungsgrund Ziffer 26 zu dieser Richtlinie heißt es, dass bei der Entscheidung, ob eine Person bestimmbar ist, alle Mittel berücksichtigt werden sollten, die vernünftigerweise entweder von dem Verantwortlichen für die Verarbeitung oder von einem Dritten eingesetzt werden könnten, um die betreffende Person zu bestimmen. Die Schutzprinzipien sollen keine Anwendung auf Daten finden, die derart anonymisiert sind, dass die betroffene Person nicht mehr identifizierbar ist.

In der Literatur wird “Bestimmtheit” angenommen, wenn sich die Daten direkt auf eine bestimmte Person beziehen, wenn sie also einen unmittelbaren Rückschluss auf die Identität einer Person zulassen. “Bestimmbarkeit” wird angenommen, wenn die konkrete Person nicht allein durch die Daten identifiziert, jedoch mit Hilfe anderer Informationen und Zusatzwissen ein Personenbezug hergestellt werden kann (Krüger, Maucher, MMR 2011,433 ff., 434).

Auf dieser Grundlage ist allgemein anerkannt, dass die IP-Adresse in der Hand des Zugangsanbieters (”Acces-Provider”), der über die Bestands- und Vertragsdaten seiner Kunden und über die seinen Kunden für den jeweiligen Internetzugriff zugewiesenen IP-Adresse verfügt, ein personenbezogenes Datum ist (Urteil des BVerfG vom 02.03.2010 zur Vorratsdatenspeicherung, 1 BvR 256/08, 1 BvR 263/08, 1 BvR 586/08, zit. nach juris; Urteil des BGH vom 12.05.2010, I ZR 121/08, zit. nach juris; Urteil des BGH vom 13.01.2011, 111 ZR 146/10, zit. nach juris).

Ob das auch für einen Internetseitenbetreiber gilt, der über Personaldaten der Nutzer in der Regel nicht verfügt, ist noch nicht höchstrichterlich entschieden. Die Antwort richtet sich nach der Auslegung des Begriffs “bestimmbar”.

Insoweit gibt es zwei Ansätze. Nach dem absoluten Verständnis reicht es aus, dass irgendein Dritter, beispielsweise der Zugangsanbieter, über das notwendige Zusatzwissen zur Herstellung des Personenbezugs verfügt. Auf die Möglichkeiten der die Daten verarbeitenden Stelle, an dieses Zusatzwissen zu gelangen, kommt es danach nicht an. Nach diesem Verständnis ist in der Konsequenz das “gesamte Weltwissen” einzubeziehen.

Nach dem relativen Verständnis kommt es auf das Zusatzwissen der konkret verarbeitenden Stelle bzw. auf ihre (technische und ggfs. rechtliche) Möglichkeit an, sich dieses zu verschaffen.

Eine Analyse der wesentlichen Stimmen in Rechtsprechung und Literatur ergibt, dass im Ergebnis immer auf den relativen Begriff abgestellt wird, indem die Frage gestellt wird, ob und wie die Zuordnung für die verarbeitende Stelle mittels anderer Daten möglich ist. So wird darauf abgestellt, ob der Personenbezug “ohne großen Aufwand” (Amtsgericht Berlin-Mitte, Urteil vom 27.03.2007, 5 C 314/06, zit. nach juris; Arbeitskreis Medien; Orientierungshilfe zum Umgang mit personenbezogenen Daten bei Internetdiensten, Abschnitt 3.1, abrufbar unter: http.llwww.datenschutz.hessen.de/_old_contentltb31/k25p03.htm). “mit normalen Mitteln” (Beschluss des Hanseatischen Oberlandesgerichts Hamburg vom 03.11.2010, 5 W 126/10, zit. nach juris) oder “mit den normalerweise zur Verfügung stehenden Kenntnissen und Hilfsmitteln und ohne unverhältnismäßigen Aufwand” (AG München, Urteil vom 30.09.2008, 133 C 5677/08, Rn. 22 – 24, zit. nach juris) möglich ist. Die Artikel-29-Datenschutzgruppe geht in ihrer Stellungnahme 4/2007, Seite 17/18, davon aus, dass die rein hypothetische Möglichkeit nicht reiche, wenn sie nicht bestehe oder vernachlässigbar sei, wobei alle relevanten Kontextfaktoren zu berücksichtigen seien.

Auch die Kammer folgt dem relativen Ansatz. Nach Auffassung der Kammer führt das absolute Verständnis zu einer uferlosen und damit unpraktikablen Ausdehnung des Datenschutzes, die vom Gesetzgeber so nicht gewollt ist. Nach dem absoluten Verständnis genügt eine rein theoretische Möglichkeit der Herstellung des Personenbezugs. Nach der relativen Theorie muss die Herstellung des Personenbezugs auch praktisch möglich sein. Es überzeugt nicht, schon bei einer rein theoretischen Bestimmbarkeit der Person diese unter den Schutz der informationellen Selbstbestimmung zu stellen, da eine rein theoretische Möglichkeit des Betroffenseins die schutzwürdigen Belange der Person gerade nicht berührt, so wie eine nur theoretische Gefahr keiner Abwehr bedarf. Etwas, das nur theoretisch bestimmbar ist, ist eben nicht tatsächlich bestimmbar.

Nach dem hier vertretenen relativen Ansatz muss die Bestimmung der Person technisch und rechtlich möglich sein und darf zudem nicht einen Aufwand erfordern, der außer Verhältnis zum Nutzen der Information für die verarbeitende Stelle steht. Es hat eine Abwägung im Einzelfall zu der Frage zu erfolgen, ob der Datenschutz erforderlich ist bzw. wie weit er reichen soll. Bei der Abwägung ist insbesondere zu berücksichtigen,

  • – welche Hürden bestehen, bevor die verarbeitende Stelle an die Zusatzinformation herankommt,
  • – ob und welche Missbrauchszenarien eine Rolle spielen,
  • – ob der Schutz des Klägers auch ohne den von ihm geforderten, umfassenden Datenschutz ausreichend ist,
  • – wie der gesellschaftliche Anspruch auf Strafverfolgung auch von Straftaten im Internet im Verhältnis zum Schutz des Klägers in Ansehung seines Anspruches auf Anonymität im Internet zu bewerten ist,
  • – wie groß die Gefahr ist, dass gegen tatsächlich unbeteiligte Anschlussinhaber ermittelt wird.

In Fällen, in denen der Nutzer seinen Klarnamen, z. B. auch durch eine entsprechende E-Mail­ Adresse, offen legt, etwa um während einer Kommunikationssitzung eine Broschüre zu bestellen, ist nach den genannten Parametern ein Personenbezug der dynamischen IP-Adresse zu bejahen, da das Kriterium der Bestimmbarkeit erfüllt ist (vgl. insoweit auch den Landesbeauftragten für den Datenschutz in Niedersachsen in seiner Darstellung auf der Homepage http://www.lfd.niedersachsen.de. dort zur Überschrift: Speicherung und Weitergabe von Internetadressen, dort Abs. 2). Zwar besteht die IP-Adresse selbst nur aus Ziffern; jedoch kann die Beklagte durch Abgleich der IP-Adresse in Verbindung mit dem Zeitpunkt des jeweiligen Zugriffs und mit dem Zeitpunkt der unter dem Klarnamen erfolgten Kontaktaufnahme, den Klarnamen des Nutzers mit der jeweiligen IP-Adresse verknüpfen. Die Beklagte kann jedenfalls in dem Augenblick der Eingabe/Sendung die im Web-Server gespeicherte IP-Adresse dem Nutzer selbst und ohne Einbeziehung des Zugangsanbieters zuordnen und ist sodann vielfach in der Lage, das Surfverhalten des Nutzers während dessen Besuch auf ihrem Portal unter der bekannten IP-Adresse nachzuvollziehen.

Der Einwand der Beklagten, die dynamische IP-Adresse könne zu jedem Zeitpunkt einem anderen Nutzer zugeordnet sein, so dass durch einen Abgleich gerade keine sichere Kenntnis des Surf­ Verhaltens des seine Klardaten preisgebenden Nutzers möglich sei, überzeugt nicht. Zum einen wird die dynamische IP-Adresse in der Regel nicht in kurzen Zeitintervallen (sekündlich oder minütlich) neu vergeben, sondern bleibt dem jeweiligen Computer für einen längeren Zeitraum, in der Regel bis zur Beendigung der Internet-Verbindung, zugeordnet. Zum anderen ist nicht ausgeschlossen, dass ein thematischer Bezug zwischen dem Anlass der Kontaktaufnahme mit Klardaten und der unter der jeweiligen IP-Adresse zuvor und danach durchgeführten Surf-Session hergestellt werden kann.

Die Beklagte wendet weiter ein, dass sie die Formulareingaben teilweise nicht zusammen mit der IP-Adresse und dem Zeitpunkt des Serverzugriffes erfasse und speichere. Formulareingaben und Serverzugriffe würden getrennt erfasst, gespeichert und verarbeitet. Die Formulareingaben würden nicht in einer Protokolldatei erfasst. Die getrennten Daten seien nachträglich nicht mehr zusammenführbar. Der Kläger habe daher allenfalls einen Anspruch darauf, dass Formulareingaben getrennt von IP-Adressen erfasst werden, was problemlos möglich sei.

Unter Anwendung obiger Parameter zur Bestimmbarkeit ist jedoch von einer leichten und direkten Möglichkeit der Beklagten auszugehen, die Daten zu verknüpfen. Denn beide Daten befinden sich – wenn auch an unterschiedlichen Stellen ihrer Organisation – in ihrer Verfügungsgewalt. Dabei kommt es auch nicht darauf an, ob die Beklagte den Abgleich vornehmen will oder nicht.

Dass die Zusammenführung der getrennt gespeicherten Daten technisch möglich ist, hat der Kläger dargestellt, dem ist die Beklagte schriftsätzlich nicht mehr entgegengetreten.

cc) Erlaubnistatbestand

Der Umgang mit personenbezogenen Daten greift in das Grundrecht auf informationelle Selbstbestimmung ein, das sich aus Art. 1 Abs. 1 GG i. V. m. Art. 2 Abs. 1 GG ableitet (vgl. BVerfGE 65, 1 ff.). Danach ist grundsätzlich jeder Umgang mit personenbezogenen Daten einer natürlichen Person verboten. Gemäß § 12 TMG darf der Diensteanbieter personenbezogene Daten zur Bereitstellung von Telemedien (§ 12 Abs. 1 TMG) sowie für andere Zwecke (§ 12 Abs. 2 TMG) nur erheben und verwenden, soweit das TMG oder eine andere Rechtsvorschrift, die sich ausdrücklich auf Telemedien bezieht, es erlaubt oder der Nutzer eingewilligt hat. Beides ist vorliegend nicht der Fall.

(1) Einwilligung

Die Beklagte ist der Meinung, der Kläger würde in die Erhebung und Verwendung seiner personenbezogenen Daten einwilligen, wenn er ihr unter Angabe seiner Klardaten eine Email oder ein auf dem Internetportal zur Verfügung gestelltes Formular übersende.

Die mit der Preisgabe der Klardaten verbundene Einwilligung des Klägers ist in diesem Fall jedoch inhaltlich beschränkt auf den mit der jeweiligen Email bzw. dem jeweiligen Formular verbundenen Zweck. Sie stellt keine Einwilligung im datenschutzrechtlichen Sinne dahin dar, dass auch die von ihm verwendete IP-Adresse in Verbindung mit dem Zeitpunkt des Zugriffs erhoben und gespeichert wird (vgl. zur Zweckbindung der Einwilligung: Roßnagel-Bizer/Hornung, Beck’scher Kommentar zum Recht der Telemediendienste 2013, § 12 TMG Rn. 68). Darüber hinaus fehlt es an dem erforderlichen Hinweis des Anbieters gemäß § 4a Abs. 1 Satz 2 BDSG (vgl. Roßnagel, aaO, § 12 TMG Rn. 72 ff.) sowie der erforderlichen Form (vgl. Roßnagel, aaO, § 12 TMG Rn. 76 ff.).

(2) § 15 Abs. 4 TMG

Gemäß § 15 Abs. 4 TMG dürfen personenbezogene Daten (Nutzungsdaten) über das Ende des Nutzungsvorganges hinaus nur verwendet werden, soweit sie für Zwecke der Abrechnung mit dem Nutzer erforderlich sind. Ein solcher Zweck wird vorliegend nicht geltend gemacht und ist auch nicht ersichtlich. Die Speicherung von IP-Nummern ist für Abrechnungszwecke in der Regel nicht erforderlich (Roßnagel, aaO, § 15 TMG Rn. 74).

(3) § 15 Abs. 1 TMG

Gemäß § 15 Abs. 1 TMG ist die Erhebung und Verwendung von personenbezogenen Daten (Nutzungsdaten) erlaubt, wenn dies für die Ermöglichung der Inanspruchnahme des Telemediums erforderlich ist.

Die Registrierung (als Erhebung) und Speicherung (als Verwendung) der IP-Adresse des Klägers durch die Beklagte bis zum Ende des Nutzungsvorganges ist in diesem Sinne für die Inanspruchnahme des Telemediums erforderlich, weil die IP-Adresse den Empfänger der von der Web-Seite der Beklagten ausgehenden Datenpakete bestimmt.

Jedoch ist die hier im Streit stehende Speicherung der IP-Adresse über das Ende des Nutzungsvorganges hinaus (als Verwendung personenbezogener Daten) nicht erforderlich für die Ermöglichung oder Inanspruchnahme des Telemediums.

Es ist schon fraglich, ob § 15 Abs. 1 TMG überhaupt Verwendungen von personenbezogenen Daten über das Ende des Nutzungsvorganges hinaus erlaubt oder § 15 Abs. 4 TMG für diese Verwendungen von Daten abschließend ist. Denn § 15 Abs. 4 TMG erlaubt die weitere Verwendung von Daten, die unter den Voraussetzungen des § 15 Abs. 1 TMG erhoben und verwendet wurden (Roßnagel, aaO, § 15 TMG Rn. 72). Der Diensteanbieter hat die bei der Inanspruchnahme von Telemedien gespeicherten Nutzungsdaten frühestmöglich, spätestens unmittelbar nach Ende der jeweiligen Nutzung zu löschen. Ausgenommen hiervon sind lediglich solche Nutzungsdaten, die für Abrechnungszwecke (§ 15 Abs. 4 TMG) erforderlich sind (Roßnagel, aaO, § 15 TMG Rn. 54).

Diese Frage kann jedoch dahinstehen, da die Speicherung der IP-Adresse über das Ende des Nutzungsvorgangs hinaus für die Ermöglichung des Angebots nicht erforderlich ist.

Ein starkes Indiz für die Nichterforderlichkeit ist in tatsächlicher Hinsicht, dass die Beklagte den Zugriff auf viele ihrer Seiten auch ohne Speicherung der IP-Adresse ermöglicht.

Dies ist unstreitig, nachdem der Kläger konkrete Internetportale der Beklagten benannt hat, bei denen sie darauf verzichtet, die IP- Adresse der jeweiligen Nutzer zu speichern (vgl. die Aufzählung der einzelnen Webseiten im Schriftsatz des Klägers vom 26. März 2010 (BI. 166 / Band 11 d. A). Dies hat die Beklagte mit Schriftsatz vom 28.06.2010 (BI. 35 ff / Band 111 d. A) zwar pauschal bestritten und vorgetragen, dass “etwa” das Bundeskriminalamt keine IP-Adressen von Besuchern seiner Webseiten speichere, dass jedoch das Zentrum für Informationsverarbeitung und Informationstechnik als IT-Dienstleister aus dem Geschäftsbereich des Finanzministeriums die Webseiten des Bundeskriminalamtes hoste und die IP-Adressen speichere. “Einige Behörden der Bundesverwaltung” hätten den Betrieb von Webservern auch an private Dienstleister ausgelagert, bei denen “davon auszugehen” sei, dass sie eine Speicherung von IP-Adressen vornähmen (BI. 42f. Band 111 d. A). Jedoch trifft die Beklagte in diesem Zusammenhang eine sekundäre Darlegungslast, da nur sie einen Einblick in die Speicherpraxis ihrer Behörden hat. Dieser Darlegungslast hat sie mangels substantiierten Vortrags, dass bei den vom Kläger konkret benannten Portalen die IP-Adresse von Externen gespeichert werde, nicht genüge getan. Hinzu kommt, dass der Kläger im Schriftsatz vom 01.10.2010 (BI. 61ff. / Band 111 d. A) auf eine Erklärung des Bundesdatenschutzbeauftragten aus dem Jahr 2008 Bezug nimmt, nach der mehrere der genannten Anbieter ausdrücklich erklärt hätten, keinen externen Serverbetreiber einzuschalten. Dies wiederum hat die Beklagte nicht bestritten, was bedeutet, dass sie ihr (ohnehin unsubstantiiertes) “Bestreiten” nicht aufrecht erhält.

Jedenfalls aber ist unstreitig, dass im Rahmen der vom Bundesministerium der Justiz betriebenen Internetseiten eine Speicherung der IP-Adressen der Nutzer nicht vorgenommen wird.

In rechtlicher Hinsicht ist der Begriff der Erforderlichkeit eng auszulegen (vgl. Spindler-Schuster, Recht der elektronischen Medien, 2. Auflage, § 15 Rn. 5). Nach Auffassung der Kammer umfasst er nicht den sicheren Betrieb der Seite, für den die Speicherung der IP-Adresse über das Ende des Nutzungsvorganges hinaus unter Umständen erforderlich ist. Denn ansonsten wäre die Einführung eines Erlaubnistatbestandes zwecks Abwehr von Angriffen zum Schutz der Systeme entsprechend § 100 TKG, die die Bundesregierung zunächst durch Einführung eines § 15 Abs. 9 TMG beabsichtigt hatte, gar nicht erforderlich gewesen. Bedeutsam ist in diesem Zusammenhang ein Vergleich mit der Systematik des TKG: § 96 Abs. 1 Nr. 5 TKG regelt den Umgang mit zum Zweck des Aufbaus und der Aufrechterhaltung der Telekommunikation erforderlichen Daten; in § 100 TKG ist die Abwehr von Gefahren geregelt (Scheurle/Mayen Büttgen, Telekommunikationsgesetz Kommentar, 2. Auflage 2008, § 96 Rn. 7). Dies bedeutet, dass in dem Zweck der Aufrechterhaltung der Telekommunikation nicht die Gefahrenabwehr enthalten sein kann.

(4) § 100 TKG

Die Datenschutzregeln des Telekommunikationsgesetzes, §§ 91 ff. TKG, sind vorliegend nicht anwendbar, da es bei dem hier streitgegenständlichen Diensteangebot der Beklagten nicht um die geschäftsmäßige Erbringung von Telekommunikationsdiensten geht. § 100 TKG räumt nur dem Anbieter von Telekommunikationsleistungen Befugnisse zur Erhebung und Verwendung personenbezogener Daten von Teilnehmern und Nutzern ein.

Diensteanbieter ist nach der Legaldefinition des § 3 Nr. 6a TKG jeder, der ganz oder teilweise geschäftsmäßig Telekommunikationsdienste erbringt oder an der Erbringung solcher Dienste mitwirkt. Ein Telekommunikationsdienst ist nach der Legaldefinition des § 3 Nr. 24 TKG ein (in der Regel gegen Geld) erbrachter Dienst, der ganz oder überwiegend in der Übertragung von Signalen über Telekommunikationsnetze besteht.

Die Beklagte ist hinsichtlich der hier im Streit stehenden Nutzung eines Telemediums durch den Kläger jedoch nur Anbieter eines Telemediums, nicht jedoch einer Telekommunikationsdienstleistung. Ein Telekommunikationsangebot (im Sinne des § 3 Nr. 24 TKG) liegt nicht vor.

Soweit die Beklagte sich darauf beruft, dass sie auch Telekommunikationsleistungen anbiete, die sie ihren Behörden und Dienststellen zur Nutzung zur Verfügung stelle, weshalb sie Gefahren für ihre IT-Systeme abwehren müsse, führt dies nicht zur Anwendbarkeit des § 100 TKG. Es mag sein, dass die Beklagte gegenüber ihren Behörden und Dienststellen auch Telekommunikationsdienste anbietet. Jedoch stellt dies kein geschäftsmäßiges Erbringen von Telekommunikationsdiensten im Sinne von § 3 Nr. 10 TKG dar, da das Angebot nicht Dritten außerhalb der Behörden zur Verfügung steht. Darüber hinaus gibt § 100 Abs. 1 TKG nach seinem Wortlaut und Sinn und Zweck nur Eingriffsbefugnisse gegenüber den Teilnehmern und Nutzern der Telekommunikationsdienstleistungen und nicht den Nutzern anderer (Telemedien-) Dienstleistungen, um die es vorliegend geht. Der Begriff des “Nutzers” ist in § 3 Nr. 14 TKG legaldefiniert als eine Person, die einen Telekommunikationsdienst in Anspruch nimmt. Dies ist der Kläger auch nach dem Sachvortrag der Beklagten nicht.

Die analoge Anwendung von § 100 TKG auf den Anbieter von Telemediendienstleistungen ist ausgeschlossen, da es sich bei § 15 TMG um eine abschließende Regelung handelt. Eine Regelungslücke liegt nicht vor. Dies ergibt sich zum einen eindeutig aus dem Wortlaut des § 15 Abs. 1 TMG: “Der Diensteanbieter … darf personenbezogene Daten eines Nutzers nur erheben und verwenden, …”. Zu anderen folgt dies daraus, dass der Gesetzentwurf ursprünglich vorsah, in § 15 Abs. 9 TMG eine dem § 100 TKG inhaltlich entsprechende Regelung aufzunehmen, was jedoch ersatzlos gestrichen wurde.

Auch ist das betroffene Rechtsgut der informationellen Selbstbestimmung grundrechtlich geschützt (Art. 1 Abs. 1, 2 Abs. 1 GG), so dass hinsichtlich eines Erlaubnistatbestandes ein Analogieverbot besteht.

(5) § 904 BGB analog

Die Zulässigkeit der Datenspeicherung ergibt sich auch nicht aus einer analogen Heranziehung des Rechtsgedankens des § 904 BGB. Eine Analogie verbietet sich aus den gleichen zu § 100 TKG (s.o.) ausgeführten Gründen.

(6) § 5 BSIG

§ 5 BSIG enthält eine dem § 100 TKG entsprechende Regelung der Speicherung von Protokolldaten zur Abwehr von Schadprogrammen für die Kommunikationstechnik des Bundes. § 5 BSIG betrifft Daten, die bei dem Betrieb von Kommunikationstechnik anfallen (Protokolldaten). Kommunikationstechnik ist nach der Legaldefinition des § 2 Abs. 3 BSIG die Informationstechnik, die von einer Bundesbehörde betrieben wird und der Kommunikation oder dem Datenaustausch der Bundesbehörden untereinander oder mit Dritten dient. Hiervon werden die Telekommunikationsdienste erfasst, die die Beklagte ihren Behörden und Dienststellen zur Nutzung zur Verfügung stellt.

Im vorliegenden Fall geht es jedoch um das Betreiben von öffentlichen Internetseiten durch die Beklagte. Diese werden von der Beklagten nicht betrieben, um dem Kläger und anderen Nutzern zur Kommunikation mit den jeweiligen Bundesbehörden zu dienen.

Im übrigen dürfen Daten gemäß § 5 Abs. 1 Satz 1 BSIG ohne besondere Anhaltspunkte für einen Verdacht nur zur automatisierten Auswertung betreffend Störungen erhoben werden, also in Abgrenzung zu § 5 Abs. 2 BSIG (längstens drei Monate) nur für kurze Zeit (§ 5 Abs. 1 Satz 2 BSIG), während die Beklagte die IP-Adressen auf Vorrat und über Monate speichert.

b) Wiederholungsgefahr

Wiederholungsgefahr im Sinne von § 1004 Abs. 1 Satz 2 BGB ist gegeben, da die Beklagte nicht dargelegt hat, ihre Praxis, die IP-Adressen der Nutzer in Protokolldateien zu speichern, in Zukunft aufgeben zu wollen.

c) keine Beschränkung auf zweiten Hilfsantrag

Der Unterlassungsanspruch des Klägers gegen die Beklagte bezieht sich auf sämtliche von der Beklagten betriebenen Internetportale mit Ausnahme desjenigen des BMJ, ohne dass diese im Tenor konkret zu bezeichnen wären. Der Anspruch erstreckt sich zum einen auch auf die Portale, bei denen die IP-Adresse nicht gespeichert wird, da bei diesen die Beklagte von ihrer bisherigen Übung jederzeit wieder abweichen könnte. Zum anderen erfasst der Anspruch auch Portale, die in der nicht abschließenden Aufzählung im Schriftsatz der Beklagten vom 22. März 2010, dort Seite 21 – 23 (BI. 124 ff. / Band” d. A.), gegebenenfalls nicht aufgeführt sind. Drittens wird die Beklagte zukünftig mit Sicherheit neue Seiten und Telemedienangebote kreieren, hinsichtlich derer auch ein Unterlassungsanspruch des Klägers besteht.

3) Kein weitergehender Unterlassungsanspruch

a) Hauptantrag

Der Kläger hat keinen Anspruch auf Unterlassung der Speicherung der IP-Adresse als solcher, das heißt ohne Zeitpunkt des Zugriffes. Der Hauptantrag ist insoweit unbegründet.

Der Kläger kann nur die Unterlassung der Speicherung der IP-Adresse in Verbindung mit dem Zeitpunkt des jeweiligen Nutzungsvorgangs verlangen. Soweit die Beklagte nur die IP-Adressen ohne den zugehörigen Zeitpunkt des Zugriffs speichert, stellt die IP-Adresse als solche kein personenbezogenes Datum im Sinne von §§ 12 TMG, 3 BDSG dar. Denn ohne den Zeitpunkt des Zugriffes kann ein Bezug zwischen den unter Angabe der Personalien stattgefundenen Kontakten des Klägers mit der Beklagten und der jeweiligen IP-Adresse auch unter Ausschöpfung aller technischen Möglichkeiten nicht hergestellt werden, s.o.

b) kein Anspruch des Klägers als anonymer Surfer

Soweit der Kläger während eines Besuchs auf einem Internetportal der Beklagten seinen Klarnamen nicht angibt, kann nur der Zugangsanbieter die IP-Adresse einem bestimmten Anschlussinhaber zuordnen. Der Betreiber der Internetseite (Beklagte) selbst verfügt nicht über das dazu erforderliche Zusatzwissen. Er kann den Personenbezug nur durch Auskunftserteilung durch den Zugangsanbieter, welchem Anschlussinhaber zu welchem Zeitpunkt eine bestimmte IP­ Adresse zugeordnet war, herstellen.

In diesem Fall handelt es sich bei der IP-Adresse des Klägers in Verbindung mit dem Zeitpunkt des Zugriffes in den Händen der Beklagten nach Auffassung der Kammer nicht um ein personenbezogenes Datum.

aa) Sachliches oder persönliches Verhältnis einer Person

Soweit die Beklagte sich darauf beruft, dass der Nutzer, also die konkret auf die Internetseite der Beklagte zugreifende Person, sich unter keinen Umständen ermitteln lasse, sondern – auch nach Auskunftserteilung des Zugangsanbieters – nur die Person des Anschlussinhabers, bezüglich dessen kein sachliches oder persönliches Verhältnis vorliege, teilt die Kammer diese Auffassung nicht.

Die Beklagte beruft sich diesbezüglich auf das Urteil des Bundesgerichtshofs vom 12.05.2010 (I ZR 121/08, zit. nach juris).

In dieser Entscheidung ging es um die Haftung des dortigen Beklagten für einen Urheberrechtsverstoß, der erwiesenermaßen nicht von ihm, jedoch von seinem (ungesicherten) WLAN-Anschluss aus durch einen unbekannten Dritten, gegen den dortigen Kläger verübt worden ist. Die IP-Adresse des beklagten Anschlussinhabers wurde von einem privaten Unternehmen, das den Musiktitel des Urheberrechtsträgers im Internet für diesen überwacht hatte, festgestellt. Die Identität des Beklagten als Anschlussinhaber wurde von der Staatsanwaltschaft ermittelt durch Einholung einer Auskunft vom Zugangsanbieter nach strafprozessualen Befugnissen. Der BGH hat die Haftung des Anschlussinhabers auf Schadensersatz verneint. Zwar treffe den Anschlussinhaber eine sekundäre Darlegungslast dahingehend, dass er selbst nicht der Handelnde war, jedoch habe der Beklagte dieser·im konkreten Fall genüge getan. Eine Zurechnung der Handlung des Täters zum Beklagten hat der BGH aus rechtlichen Gründen abgelehnt und dies begründet wie folgt: “die IP-Adresse … ist keinem konkreten Nutzer zugeordnet, sondern nur einem Anschlussinhaber, der grundsätzlich berechtigt ist, beliebigen Dritten Zugriff auf seinen Internetanschluss zu gestatten. Die IP-Adresse gibt deshalb bestimmungsgemäß keine zuverlässige Auskunft über die Person, die zu einem konkreten Zeitpunkt einen bestimmten Internetanschluss nutzt. Damit fehlt die Grundlage dafür, den Inhaber eines WLAN-Anschlusses im Wege einer unwiderleglichen Vermutung so zu behandeln, als habe er selbst gehandelt”. Hintergrund der Entscheidung ist die Abgrenzung von dem Fall, in dem der Inhaber eines Mitgliedskontos bei Ebay sein Konto nicht hinreichend vor Zugriffen Dritter gesichert hat und sich so behandeln lassen muss, als habe er selbst gehandelt. Der Unterschied besteht darin, dass der Inhaber eines WLAN-Anschlusses beliebigen Dritten die Nutzung des Anschlusses erlauben darf, ohne für diese die deliktische Verantwortung zu übernehmen.

Diese Entscheidung enthält keine Aussage dazu, ob es sich bei der IP-Adresse um ein personenbezogenes Datum handelt oder nicht. Es geht nur um die Frage der Zurechnung einer Verletzungshandlung zu dem Inhaber des Anschlusses, von dem aus gehandelt worden ist. Der Satz in dem Urteil des Bundesgerichtshofs “IP-Adresse lässt bestimmungsgemäß keine zuverlässige Auskunft über die Person des Nutzers zu einem bestimmten Zeitpunkt zu” ist nur in diesem Zusammenhang zu verstehen.

Die Tatsache, dass über die IP-Adresse allenfalls der Anschlussinhaber, nicht der Nutzer, ermittelt werden kann, schließt richtigerweise ein personenbezogenes Datum nicht aus. Denn der Inhaber des Anschlusses ist jedenfalls ermittelbar. Und auch die Inhaberschaft eines Anschlusses, von dem aus verbotene Handlungen begangen werden, ist ein sachliches oder persönliches Verhältnis im Sinne des Datenschutzrechtes. Denn der Bundesgerichtshof nimmt in dem genannten Urteil gerade eine sekundäre Darlegungslast des Anschlussinhabers sowie eine Verantwortlichkeit als Störer an. Da sich an die Anschlussinhaberschaft somit rechtliche Folgen knüpfen, ist sie als solches auch ein sachliches Verhältnis im Sinne des Datenschutzrechts.

Das Vorliegen eines sachlichen oder persönlichen Verhältnisses der Anschlussinhaberschaft ergibt sich indirekt auch aus der Entscheidung des Bundesgerichtshof vom 13.01.2011 (111 ZR 146/10, zit. nach juris). In dieser Entscheidung hat der BGH das Merkmal des personenbezogenen Datums der IP-Adresse im Verhältnis des Anschlussinhabers zum Zugangsanbieter bejaht. Dies setzt voraus, dass es sich bei der Anschlussinhaberschaft um ein sachliches oder persönliches Verhältnis handeln.

Im übrigen ist, nachdem die Anzahl der Nutzer, die an einem bestimmten Rechner Zugang haben, begrenzt und in den meisten Fällen überschaubar ist, auch von der Bestimmbarkeit der Person des Nutzers auszugehen.

bb) Bestimmbarkeit

Nach Auffassung der Kammer fehlt es in den Fällen, in denen der Kläger anonym surft, aber an der Voraussetzung der Bestimmbarkeit des Anschlussinhabers bzw. Nutzers.

In Rechtsprechung und Literatur ist diese Frage streitig.

Nach einem Urteil des Amtsgerichts München (Urteil vom 30.09.2008, aaO) stellt die IP-Adresse für den Web-Seiten-Betreiber kein personenbezogenes Datum dar, weil dieser zu der Identifizierung des hinter der IP-Adresse stehenden Anschlussinhabers Informationen benötige, die ihm nicht zur Verfügung stünden. Auch das Landgericht Wuppertal verneint ein personenbezogenes Datum, weil der Zugangsanbieter, der das Datum abrufe, mit dem ihm zur Verfügung stehenden Mitteln, nicht identifiziert werden könne (LG Wuppertal, Beschluss vom 19.10.2010, Rn. 10, 25 Os 10 Js 1977/08 – 177110, 25 Os 177/10, zit. nach juris). Mit gleicher Argumentation verneint das Hanseatische Oberlandesgericht Hamburg einen Personenbezug (Urteil vom 03.11.2010, Rn. 9, 5 W 126/10, zit. nachjuris).

Die gegenteilige Ansicht vertritt das Amtsgericht Berlin-Mitte (Urteil vom 27.3.2007 – 5 C 314/06, Rn. 14, zit. nach juris). Es stützt sich auf die EG-Richtlinie 95/46/EG, die unter Ziffer 26 bestimmt, dass bei der Entscheidung, ob eine Person bestimmbar sei, alle Mittel berücksichtigt werden müssten, die vernünftigerweise entweder von dem Verantwortlichen für die Verarbeitung oder von einem Dritten eingesetzt werden können, um die betreffende Person zu bestimmen. Nach Ansicht des Amtsgerichts Mitte sei es durch die Zusammenführung der personenbezogenen Daten mit Hilfe Dritter ohne großen Aufwand in den meisten Fällen möglich, Internetnutzer aufgrund ihrer IP­ Adressen zu identifizieren. Eine Verneinung des Personenbezugs von dynamischen IP-Adressen habe zur Folge, dass diese Daten ohne Restriktion an Dritte, z. B. den Zugangsanbieter, übermittelt werden könnten, die ihrerseits die Möglichkeit hätten, den Nutzer aufgrund der IP­ Adresse zu identifizieren, was mit dem Grundgedanken des Datenschutzrechts nicht vereinbar sei. Mit der gleichen Begründung geht auch der Arbeitskreis Medien (aaO, Abschnitt 3.1) von einem personenbezogenen Datum aus. Der Auffassung des Amtsgerichts Mitte hat sich das Verwaltungsgericht Wiesbaden in einem Beschluss vom 27.02.2009 (6 K 1045/08.WI, Rn. 39, zit. nach juris) angeschlossen.

Diese Argumentation überzeugt indes nicht. Das Amtsgericht Mitte lässt es für den Personenbezug genügen, dass die Zusammenführung der Daten ohne großen Aufwand – gemeint ist allein in technischer Hinsicht – möglich ist. Es mag zutreffen, dass die Zusammenführung technisch ohne großen Aufwand möglich ist; jedoch kann dies nicht für einen Personenbezug ausreichen. Das Amtsgericht Mitte lässt unberücksichtigt, dass die Zusammenführung rechtlich nur unter bestimmten Voraussetzungen möglich ist. Es zieht nicht in die Erwägung mit ein, dass der Zugangsanbieter der Beklagten aus (datenschutz-)rechtlichen Gründen die Daten grundsätzlich nicht übermitteln darf und praktisch in der Regel auch kein eigenes Interesse an dieser Datenübermittlung hat, so dass eine Übermittlung in der Praxis die Ausnahme bleibt.

Die Ansicht des Amtsgerichts Mitte, dass die Daten ohne Restriktion von der Beklagten an den Zugangsanbieter übermittelt werden könnten, der seinerseits eine Identifizierung der Person vornehmen könne, trifft ebenfalls nicht zu, weil die Übermittlung von Daten auch dann dem Datenschutzrecht unterfällt, wenn die Daten zwar nicht für den Übermittelnden, aber für den Empfänger, personenbezogene Daten sind bzw. werden. Dabei ist es allgemein anerkannt und höchstrichterlich entschieden, dass auf Seiten des Zugangsanbieters ein personenbezogenes Datum gegeben ist (Urteil des BGH vom 13.01.2011, 111 ZR 146/10, zit. nach juris; Urteil des EuGH vom 24.11.2011, C-70/10, Rn. 51, zit. nach juris). Das Amtsgericht Mitte stellt nicht darauf ab, ob der Betroffene mit legalen Mitteln identifiziert werden kann, mit dem Argument, dass das Datenschutzrecht gerade vor dem Missbrauch von Daten schützen solle. Diese Schlussfolgerung ist insofern unzutreffend, als bei der Identifizierung einer Person mit illegalen Mitteln ein Verstoß gegen Datenschutzrecht bereits erfolgt ist, und dieses den Betroffenen bereits hinreichend schützt.

Nach Auffassung der Kammer setzt die Bestimmbarkeit voraus, dass die Person nicht nur theoretisch, sondern auch praktisch bestimmbar ist. Dies bedeutet, dass die Bestimmung der Person technisch und rechtlich möglich sein muss, und zwar mit einem Aufwand, der nicht außer Verhältnis zum Nutzen der Bestimmung der Person aus Sicht der verarbeitenden Stelle steht.

Die Kammer schließt sich dabei dem Ansatz des Schweizerischen Bundesgerichts in dessen Urteil vom 08.09.2010 (Aktenzeichen 1C_285/2009) an, das darauf abstellt, ob der Aufwand derart groß ist, dass nach der allgemeinen Lebenserfahrung nicht damit gerechnet werden muss, dass ein Interessent diesen auf sich nehmen wird, was abhängig vom konkreten Fall zu beantworten sei. Dabei seien die Möglichkeiten der Technik mit zu berücksichtigen. Dies sei jedoch nicht auf die Frage beschränkt, welcher Aufwand objektiv erforderlich sein, um eine bestimmte Information einer Person zuordnen zu können, sondern erfasse auch die Frage, welches Interesse der Datenbearbeiter oder ein Dritter an der Identifizierung habe.

Maßgeblich für die Bestimmung der Reichweite des Datenschutzrechts sind dabei die bereits aufgezählten Parameter. Deren Würdigung spricht vorliegend gegen die Annahme der Bestimmbarkeit der Person.

(1) Bedingungen der legalen Kenntniserlangung durch die Beklagte

Maßgeblich ist hier erstens, unter welchen Voraussetzungen und mit welcher Maßgabe der Zugangsanbieter über Zusatzinformation verfügt, und zweitens, unter welchen Voraussetzungen und mit welcher Maßgabe die Beklagte Kenntnis von diesen Zusatzinformationen erlangen kann.

(a) Bei dem Zugangsanbieter vorhandene Zusatzinformationen

Die Speicherung von IP-Adressen nebst Zeitpunkt des Zugriffs durch den Zugangsanbieter ist zulässig, soweit dies zum Aufbau und zur Aufrechterhaltung der Telekommunikation sowie zur Entgeltabrechung notwendig ist (§ 96 Abs. 1 Satz 1 Nr. 5, Satz 2 und 3, 97 Abs. 1 Satz 1 TKG) und soweit es zum Erkennen, Eingrenzen und Beseitigen von Störungen oder Fehlern an Telekommunikationsanlagen erforderlich ist (§ 100 Abs. 1 TKG).

Der Bundesgerichtshof hat mit Urteil vom 13.01.2011 entschieden, dass es sich bei den IP­ Adressen in der Hand des Zugangsanbieters um Verkehrsdaten im Sinne von § 96 TKG handelt (Urteil des BGH vom 13.01.2011, aaO, Rn. 23) und dass die tatsächlichen Voraussetzungen für die Befugnis des beklagten Zugangsanbieters, der die Speicherung anlässlich des Verfahrens auf sieben Tage begrenzt hatte, gemäß §§ 96 Abs. 1 Satz 2 I. V. m. §§ 97 Abs. 1 Satz 1, Abs. 2 Nr. 1 und § 100 Abs. 1 TKG durch das Berufungsgericht nicht rechtsfehlerfrei festgestellt worden seien, weil es kein Sachverständigengutachten zur Frage der technischen Erforderlichkeit eingeholt habe. Ob die Speicherung für die Abrechnung erforderlich sei, hänge von der jeweiligen Tarifvereinbarung des Kunden sowie den technischen Bedingungen ab.

Lägen die tatsächlichen Voraussetzungen des 100 Abs. 1 TKG jedoch vor, so erlaube die Norm auch die präventive Erhebung und Verwertung von Daten, da eine abstrakte Gefahr von Störungen und Fehlern an Telekommunikationsanlagen genüge. Die auf sieben Tage begrenzte Speicherung der dynamischen IP-Adresse genüge der Verhältnismäßigkeit (BGH; Urteil vom 13.01.2011, aaO, Rn. 27, 28; vgl. dazu auch den offenen Brief des Bundesdatenschutzbeauftragten an den Arbeitskreis Vorratsdatenspeicherung vom 16.3.2007, zitiert nach der Veröffentlichung im Internet).

Daraus folgt, dass ein Zugangsanbieter die IP-Adressen der Kunden jedenfalls für sieben Tage präventiv speichern darf, soweit dies tatsächlich technisch erforderlich ist, um Störungen und Fehler an der Anlage zu erkennen und zu beseitigen. Eine Speicherung darf auch erfolgen, soweit dies nach der Tarifvereinbarung des Klägers mit seinem Zugangsanbieter und in technischer Hinsicht für die Abrechung erforderlich ist.

Im Ergebnis ist davon auszugehen, dass der Zugangsanbieter des Klägers nur für einen begrenzten Zeitraum die an ihn zu verschiedenen Zeitpunkten jeweils vergebenen IP-Adressen gemäß §§ 96, 97, 100 TKG legal speichert.

Eine Speicherung nach Maßgabe des § 113 a TKG ist nicht zu berücksichtigen, weil diese Vorschrift vom Bundesverfassungsgericht für unvereinbar mit Art. 10 Abs. 1 GG, und damit für nichtig erklärt worden ist und eine entsprechende Speicherung – jedenfalls derzeit – mangels Rechtsgrundlage unzulässig ist (BVerfG zur Vorratsdatenspeicherung, Urteil vom 02.03.2010, 1 BvR 256/08, 1 BvR 263/08, 1 BvR 586/08, zit. nach juris).

Zu beachten ist jedoch, dass das Bundesverfassungsgericht die Speicherungspflicht des Diensteanbieters nicht schlechthin für verfassungswidrig hält, sondern nur in der Ausgestaltung der §§ 113 a, 113 b TKG, die dem Verhältnismäßigkeitsgrundsatz nicht genüge tun.

(b) Kenntnisnahme durch die Beklagte

Der Zugangsanbieter ist datenschutzrechtlich daran gehindert, die relevanten Daten an Dritte zu übermitteln. Diese stellen nämlich in ihrer Hand ein personenbezogenes Datum dar, s.o. Die Übermittlung dieser Daten an Dritte ist damit grundsätzlich verboten und nur in den folgenden gesetzlich normierten Fällen erlaubt:

– Die Strafverfolgungsbehörden dürfen unter der Voraussetzung des § 100 g Abs. 1 StPO diese Daten bei dem jeweiligen Zugangsanbieter erheben, wodurch – sobald die Beklagte von dem Ermittlungsergebnis Kenntnis erlangt – der Personenbezug der IP-Adresse in der Hand der Beklagten entstünde.

§ 100 g Abs. 1 StPO setzt aber voraus, dass der Betroffene einer Straftat von auch im Einzelfall erheblicher Bedeutung, insbesondere einer in § 100 a Abs. 2 StPO bezeichneten Straftat, oder einer mittels Telekommunikation begangenen Straftat, deren Aufklärung ansonsten aussichtslos wäre, verdächtig ist. Im letzten Fall muss zusätzlich die Verhältnismäßigkeit im Einzelfall vorliegen, § 100 g Abs. 1 Satz 2 StPO. Das Vorliegen der Voraussetzungen wird richterlich überprüft, § 100 g Abs. 2, 100 b StPO.

Nach Auffassung der Kammer kann die HersteIlbarkeit des Personenbezugs bezogen auf ein ansonsten nicht-personenbezogenes Datum in einem Ermittlungs- oder Strafverfahren unter Beachtung der o.g. Grundsätze grundsätzlich nicht dazu führen, die Bestimmbarkeit der Person hinsichtlich dieses Datums zu bejahen und das Datum per se unter den Schutz des Datenschutzrechts zu stellen. Denn im Rahmen eines Strafverfahrens ist das Recht der informationellen Selbstbestimmung des Beschuldigten grundsätzlich in dem Ausmaß eingeschränkt, wie es für die Durchführung des Strafverfahrens erforderlich ist. Insoweit überwiegt regelmäßig – was sich schon aus dem Sinn und Zweck der StPO ergibt – das Strafverfolgungsinteresse der Allgemeinheit gegenüber dem allgemeine Persönlichkeitsrecht des jeweils Beschuldigten.

Soweit der Kläger hier argumentiert, dem Staat sei es verboten, alleine zu Zwecken der hypothetischen Strafverfolgung präventiv, d. h. noch ohne konkreten Straftatverdacht, Daten zu erheben, die im Falle einer tatsächlich begangenen Straftat zu personenbezogenen Daten ergänzt werden könnten, überzeugt dies nicht. Ebenfalls nicht überzeugend ist die Argumentation der Artikel-29-Datenschutzgruppe in der Stellungnahme 4/2007 (Seite 19), die darauf abstellt, dass es gerade der Zweck der Verarbeitung von IP-Adressen durch den Web-Seiten-Betreiber sei, den Nutzer zu identifizieren, woraus sich ergebe, dass dieser gerade vom Vorhandensein der Mittel ausgehe, die zur Identifizierung der betreffenden Person vernünftigerweise eingesetzt werden könnten.

Denn nach dem Urteil des Bundesverfassungsgerichts vom 02.03.2010 (aaO) ist ein Gesetz, das die anlasslose, präventive Speicherung personenbezogener Daten durch den Zugangsanbieter, die nur dem Zweck einer späteren Strafverfolgung durch den Staat dient, erlaubt, nicht schlechthin verfassungswidrig, sondern der Grundsatz der Verhältnismäßigkeit ist zu beachten. Überträgt man diese Grundsätze auf die vorliegende Fragestellung, so wird der Grundsatz der Verhältnismäßigkeit in der hier zu entscheidenden Konstellation dadurch gewahrt, dass die Beklagte von der Identität des Anschlussinhabers nur dann erfahren kann, wenn wegen einer Straftat von besonderer Bedeutung ermittelt wird oder wegen einer mittels Telekommunikation begangenen Straftat, wobei der Grundsatz der Verhältnismäßigkeit im Einzelfall gewahrt sein muss, was richterlich überprüft wird.

– Die Beklagte erhält (derzeit) auch keine Kenntnis von IP-Adressen nach Maßgabe der §§ 113 b TKG, 100 g StPO, da diese Vorschrift – § 100 g StPO, soweit er die Erhebung von gemäß § 113 a TKG gespeicherten Daten zulässt – für verfassungswidrig erklärt worden ist (BVerfG aaO). Jedoch ist nach dem Urteil des Bundesverfassungsgerichts die Speicherungspflicht des Dienstanbieters nicht schlechthin verfassungswidrig. Eine verfassungsgemäße Speicherung und Verwendung der gespeicherten Daten kommt nach dem Urteil des Bundesverfassungsgerichts aber jedenfalls nur in Betracht für überragend wichtige Aufgaben des Rechtsgüterschutzes, das heißt zur Ahndung von Straftaten, die überragend wichtige Rechtsgüter bedrohen oder zur Abwehr von Gefahren für solche Rechtsgüter (BVerfG, aaO, Rn. 227 ff.). Sollte der Gesetzgeber in Zukunft eine dieser und sämtlichen weiteren Maßgaben des Bundesverfassungsgerichts Rechnung tragenden Speicherungspflicht normieren, so wäre die Bestimmbarkeit der Person des Klägers hinsichtlich der Speicherung seiner IP-Adresse und des Zeitpunkt des Zugriffes durch die Beklagte angesichts dieser Begrenzung der Möglichkeit der Beklagten, das für den Personenbezugs erforderliche Zusatzwissen zu erlangen, zu verneinen.

– Soweit § 113 TKG (manuelles Auskunftsverfahren) Behörden die Abfrage von Kunden- und Bestandsdaten gem. §§ 95, 111 TKG ermöglicht (worunter nach streitiger Rechtsprechung und Literatur grundsätzlich auch Auskunftsansprüche hinsichtlich des Anschlussinhabers einer bestimmten IP-Adresse fallen können, die der Zugangsanbieter unter Nutzung und Auswertung von Verkehrsdaten zu ermitteln hätte, vgl. BVerfG aaO Rdn. 254 ff), gelten zunächst weniger strenge verfassungsrechtliche Voraussetzungen. Da nämlich ein gesteigertes Interesse an der Möglichkeit besteht, Kommunikationsverbindungen im Internet zum Rechtsgüterschutz oder zur Wahrung der Rechtsordnung den jeweiligen Akteuren zuordnen zu können, das Internet also keinen rechtsfreien Raum bilden darf, begegnet die Zulassung solcher – mittelbar auf Verkehrsdaten zurückgreifende – Auskünfte auch unabhängig von begrenzenden Rechtsgüter­ oder Straftatenkataloge für die Verfolgung von Straftaten (nicht Ordnungswidrigkeiten) auch ohne Richtervorbehalt grundsätzlich keinen verfassungsrechtlichen Bedenken (vgl. BVerfG aaO, Rdn. 45, 260, 261, 279).

Die Vorschrift ist zudem nunmehr verfassungskonform dahin auszulegen, dass sie für sich allein und ohne konkrete Abrufnorm noch keine Auskunftspflichten des T elekommunikationsunternehmen begründet und dass sie eine Zuordnung dynamischer IP­ Adressen nicht (mehr) erlaubt (BVerfG vom 24.1.2012, BvR 1299/05, Rdn. 164 ff, 174).

Demnach ist spätestens ab dem 1.7.13 entweder ohne zwischenzeitlich geschaffene bzw. zu schaffende Regelungen/Abrufnormen (vgl. BT-DrS 17/12034 vom 9.1.13, in die Ausschüsse überwiesen) eine Auskunftserteilung von hinter einer IP-Adresse stehenden Anschlussinhabern über § 113 TKG nicht mehr möglich oder nur unter Beachtung der engeren Voraussetzungen der neu zu schaffenden und den Anforderungen des Bundesverfassungsgerichts entsprechenden Regelungen möglich.

Für die Übergangszeit kann wegen der Bedeutung für die Aufklärung von Gefahren und Straftaten aber noch die bisherige Handhabung hingenommen werden.

– Die Beklagte kann unter bestimmten Voraussetzungen auch gemäß § 101 Abs. 2 Satz 1 Nr. 3, Abs. 9 UrhG als Betroffene einer Urheberechtsverletzung und Inhaberin eines zivilrechtlichen Auskunftsanspruches von dem Zugangsanbieter Auskunft verlangen. Zwar erscheint eine Konstellation schwer vorstellbar, in der ein Nutzer öffentlicher Internetseiten der Beklagten einen Urheberechtsverstoß zu deren Lasten begeht. Diese zivilrechtliehe Auskunftsrecht steht aber ähnlich wie die Datenerhebung gem. § 100 g StPO durch Ermittlungsbehörden (s.o.) unter einem “Richtervorbehalt”, sofern die Auskunft nur unter Verwendung von Verkehrsdaten erteilt werden kann, § 101 Abs. 9 UrhG, denn dann ist eine vorherige richterliche Anordnung durch das ausschließlich zuständige Landgericht erforderlich, das über die Zulässigkeit der Verwendung von Verkehrsdaten zu befinden hat. Mithin hat es auch das Vorliegen der Voraussetzungen eines Auskunftsanspruchs, nämlich eine Urheberechtsverletzung in gewerblichem Ausmaß i.S.v. § 101 Abs. 1 UrhG festzustellen.

Eine solche Sachlage kann im Rahmen der Wertung und Abwägung der dargestellten gegensätzlichen Interessen nicht anders betrachtet werden als eine solche im Rahmen eines Ermittlungs- bzw. Strafverfahrens gegen einen Beschuldigten, wobei sich bei Urheberechtsverletzungen beides in der Regel überschneiden wird.

(2) Die Gefahr des Missbrauchs

Die theoretische Möglichkeit, dass der Provider der Beklagten unbefugt Auskunft erteilt, besteht grundsätzlich, so wie unrechtmäßiges Verhalten nie ausgeschlossen werden kann. Jedoch kann dies kein Grund sein, Daten, die für sich genommen keinen Personenbezug haben, unter den Schutz des Datenschutzrechtes zu stellen. Zum einen kann eine solche illegale Handlung nicht als normalerweise und ohne großen Aufwand durchzuführende Methode angesehen werden (so zutreffend Urteil des AG München, aaO, Rn. 24). Zum anderen werden in den Fällen des Missbrauchs und illegalen Verhaltens die datenschutzrechtlichen Belange des Betroffenen zwingend schon dadurch ausreichend geschützt, dass der Missbrauch als solcher gegen geltendes Datenschutzrecht verstößt (nämlich gegen das grundsätzliche Verbot, personenbezogene Daten ohne Rechtsgrundlage anderen Stellen zu übermitteln) oder gar eine strafbare Handlung darstellt (206 StGB). Vor diesem Hintergrund besteht kein Bedürfnis den Schutz schon derart vorzuverlagern, dass die Beklagte die IP-Adressen von vorne herein nicht speichern darf. Hinzu kommt, dass der Zugangsanbieter die relevanten Daten nur sieben Tage lang speichert. Dieser Zeitraum mag dafür ausreichen, dass die Staatsanwaltschaft mit oder – bei Gefahr im Verzug – ohne richterlichen Beschluss (§§ 100 g Abs. 1 Satz 1, Abs. 2 Satz 1, 100 b Abs. 1 Satz 2 StPO) die relevanten Daten beim Zugangsanbieter erhebt. Eine illegale Datenübermittlung wird durch den kurzen zur Verfügung stehenden Zeitraum von sieben Tagen praktisch jedoch deutlich erschwert, wenn nicht gar unmöglich gemacht.

(3) Interessenabwägung

Ein ausgewogenes Verhältnis zwischen dem gesellschaftliche Anspruch auf Strafverfolgung auch von Straftaten und Urheberechtsverletzungen im Internet und dem Schutz des Klägers in Ansehung seines Anspruches auf Anonymität im Internet besteht nur dann, wenn die Beklagte als Webseitenbetreiberin Daten, die zunächst ohne Personenbezug sind, speichern darf, deren Personenbezug dann – und nur in diesem Falle – hergestellt werden kann, wenn der Verdacht einer Straftat nach oben genannten Maßgaben besteht. Dann müssen die datenschutzrechtlichen Belange des Klägers zurücktreten. Wäre dies anders, so könnten Straftaten im Internet aufgrund der Anonymität der Nutzer grundsätzlich nicht verfolgt werden.

(4) Gefahr der Ermittlung gegen Unbeteiligte

Die Gefahr, dass ein Ermittlungsverfahren gegen eine unschuldige Person geführt wird, besteht ganz allgemein und in allen Lebensbereichen. Dies ist die notwendige Begleiterscheinung der Strafverfolgung nach der StPO, kann aber kein Grund dafür sein, von der Verfolgung bestimmter Straftaten abzusehen oder deren Verfolgung zu erschweren oder von vorne herein unmöglich zu machen.

In gleicher Weise ist nicht ersichtlich, weshalb vorliegend die Identifizierung von Anschlussinhabern unmöglich gemacht werden sollte, weil theoretisch ein Unbeteiligter verdächtigt werden könnte. Die Gefahr der Verdächtigung eines Unbeteiligten im Rahmen einer mit technischen Mitteln durchgeführten IP-Nummern-Zuordnung ist jedenfalls nicht größer als in der “realen” Welt außerhalb des Internets, in der Beschuldigte beispielsweise aufgrund von Zeugenaussagen einer Straftat verdächtigt werden.

III.

Beweisaufnahme/Sachverständigengutachten

Nach alldem war der Rechtsstreit aus Rechtsgründen entscheidungsreif, auf die in anderer Besetzung beschlossene und nachfolgend in noch mal anderer Besetzung durchgeführte Beweisaufnahme kam es nicht an.

IV.

Nebenentscheidungen

Die Kostenentscheidung folgt aus §§ 97 Abs. 1, 92 Abs. 1 ZPO.

Der Ausspruch über die vorläufige Vollstreckbarkeit beruht auf § 708 Nr. 10, 711 ZPO.

Aufgrund der grundsätzlichen Bedeutung der Sache war die Revision zuzulassen, § 543 Abs. 2 Nr. 1 ZPO. Auch erfordert die Fortbildung des Rechts eine Entscheidung des Revisionsgerichts, § 543 Abs. 2 Nr. 2 ZPO.