Anbieterkennzeichnungspflicht

Daher stellt sich die grundsätzliche Frage nach dem Umfang der Anbieterkennzeichnungspflicht nach § 6 MDStV und § 6 TDG. Beide Vorschriften verlangen die Angabe von Name und Anschrift, ohne den Begriff der "Anschrift" näher zu erläutern.

Dem Zweck der Anbieterkennzeichnungspflicht nach müssen Name und Anschrift geeignet sein, den Nutzer in die Lage zu versetzen, seine Rechte gegenüber dem Anbieter wirksam geltend zu machen. Es muss deshalb eine ladungsfähige Anschrift angegeben werden, weil sonst eine Klageschrift oder ein Antrag auf Erlass einer einstweiligen Verfügung nicht zugestellt werden kann. Daher müssen neben Postleitzahl und Ort die Straße und Hausnummer angegeben werden.

Die Angabe der Postleitzahl hält die Aufsichtsbehörde für unzureichend, da die Vorschriften der Zivilprozessordnung über die Zustellung voraussetzen, dass der Ort der Wohnung (bzw. - falls vorhanden - eines Geschäftslokals) bekannt ist (vgl. §§ 170, 181, 183 Zivilprozessordnung (ZPO)). Selbst eine Ersatzzustellung durch Niederlegung des zu übergebenden Schriftstückes bei der Postanstalt etc. (§ 182 ZPO) setzt voraus, dass eine schriftliche Mitteilung über die Niederlegung am Ort der Zustellung abzugeben ist. Diese Mitteilung hat auch dann unter der Wohnanschrift zu erfolgen, wenn der Adressat ein Postfach unterhält, d.h. die Einlegung in das Postfach würde nicht genügen (Zöller, Zivilprozessordnung, 20. Auflage, § 182 Rdnr. 3; Bay OLG NJW 1963, 600, BSG NJW 1967, 903; BFH NJW 1984, 448).

Der Schutzzweck der Norm erfordert es insbesondere, Rechtsschutzmaßnahmen auch in gerichtlichen Eilverfahren ergreifen zu können. Die Kenntnis nur des Postfachs würde einen schnellen Rechtsschutz erschweren und ist daher unzureichend (ebenso Roßnagel, Recht der Multimedia-Dienste, § 6

MDStV, Rdn. 33).

Veröffentlichung des Telefonverzeichnisses einer Gemeindeverwaltung im Internet

Ein Bürgermeisterkandidat wollte während des Wahlkampfes die Möglichkeiten und den Nutzen des Internet aufzeigen.

Zu diesem Zweck ließ er sich eine Domain auf den Namen der Gemeinde registrieren und erstellte eine Homepage. Auf dieser veröffentlichte er neben einigen Informationen über seine Person und seine Ziele auch das komplette Telefonverzeichnis der Gemeindeverwaltung mit Namen, Dienst-Telefonnummern und dem Amt (z.B. Hauptamt, Ordnungsamt) bzw. mit der Funktion (z.B. Hauptamtsleiter).

Eine Reihe von Bediensteten beschwerte sich hierüber beim Datenschutzbeauftragten der Gemeinde. Die Veröffentlichung war jedoch weder mit diesem noch mit sonstigen Vertretern der Gemeinde abgestimmt.

Einige betroffene Bedienstete nehmen nur Schreibaufgaben oder sonstige interne Aufgaben wahr, bei denen sie gegenüber den Bürgern nicht in Erscheinung treten.

Für die Bewertung der Zulässigkeit der Veröffentlichung sind weder das TDDSG noch der MDStV maßgeblich, sondern das BDSG, denn es geht hier eindeutig um die Inhaltsebene.

Das BDSG ist einschlägig, da die Veröffentlichung im Internet (HTMLDatei) im Kontext mit der Bewerbung als Bürgermeister erfolgte und somit (auch) beruflichen Zwecken i.S.d. § 1 Abs. 2 Nr. 3 BDSG diente.

Außerdem handelt es sich zumindest um eine "geschäftsmäßige" Datenverarbeitung i.S.d. § 1 Abs. 2 Nr. 3 BDSG, denn sie war auf eine gewisse Dauer gerichtet und nicht auf den rein privaten Bereich begrenzt.

Der Begriff der Geschäftsmäßigkeit in § 1 Abs. 2 Nr. 3 BDSG setzt nicht voraus, dass die Datenverarbeitung gewerblichen oder kommerziellen Zwecken dient.

Wenn eine Kommune die Namen und Dienst-Telefonnummern ihrer Bediensteten im Internet veröffentlichen will, ist dies nach Maßgabe des dann anzuwendenden Landesdatenschutzgesetzes nur zulässig, wenn die dienstliche Funktion es erfordert, dass Bedienstete nach außen auftreten. Jedenfalls bei rein intern wirkenden Verwaltungstätigkeiten (z.B. im Schreibdienst, Botendienst, Registratur, Telefonzentrale) ist die Amtswaltereigenschaft zu verneinen und damit eine Veröffentlichung nur mit Einwilligung der Betroffenen zulässig (25. Tätigkeitsbericht des Hessischen Datenschutzbeauftragten, Nr. 8.3; Bayrischer Landesbeauftragter für den Datenschutz, zitiert in DuD 2000, S. 54; Baden-Württembergischer Datenschutzbeauftragter, zitiert in Datenschutz-Berater 1998, Heft 2, S. 9).

Diese Bewertung muss auch bei der Auslegung des § 28 BDSG bzw. des § 29 BDSG, namentlich bei der Frage, ob "schutzwürdige" Belange der Betroffenen einer Veröffentlichung entgegenstehen, berücksichtigt werden, denn andernfalls könnten die für eine Veröffentlichung durch die Kommunen geltenden Schranken ohne weiteres umgangen werden, indem irgendein Externer aus Servicegedanken (oder welchen Gründen heraus auch immer) die Veröffentlichung vornimmt.

Die Aufsichtsbehörde vertrat daher die Auffassung, dass die Veröffentlichung jedenfalls insoweit unzulässig war, als sie Bedienstete betraf, die keine nach außen wirkenden Verwaltungstätigkeiten wahrnehmen.

Dabei war es unerheblich, dass die Gemeinde das komplette Telefonverzeichnis bei einer Gewerbeschau verteilt hatte, denn die Veröffentlichung im Internet hat eine völlig neue Dimension. Sie erreicht weltweit einen ungleich größeren Personenkreis als jede lokal oder regional und auflagenbegrenzte schriftliche Veröffentlichung (vgl. Baden-Württembergischer Datenschutzbeauftragter, a.a.O.). Grundsätzlich darf eine Veröffentlichung von Telefon- und sonstigen Verzeichnissen öffentlicher Stellen im Internet nur in Abstimmung mit der öffentlichen Stelle (und deren Datenschutzbeauftragten) erfolgen.

Aufgrund der Beanstandung durch die Aufsichtsbehörde nahm der Bürgermeisterkandidat die Daten schließlich aus dem Internet heraus, wenngleich er die Auffassung der Aufsichtsbehörde, insbesondere die Anwendbarkeit des BDSG, in Frage stellte.

Veröffentlichung von Diabetikern im Internet

Wie bei dem unter 9.4 geschilderten Fall, so steckten auch bei folgendem Fall gute Absichten hinter der Idee, personenbezogene Daten von Mitbürgern ins Internet zu stellen:

Die Mutter eines Diabetikers hatte die Erfahrung gemacht, dass es für Diabetiker oftmals schwer ist, Freunde oder Lebenspartner zu finden. In den in Apotheken kostenlos ausliegenden Zeitschriften befänden sich - so die Aussage der Mutter - häufig Kontaktanzeigen von Diabetikern.

Aus diesen und ähnlichen Quellen hatte die Frau Adressdaten und Telefonnummern von kontaktsuchenden Diabetikern gesammelt und wollte sie in das Internet stellen, um den Betroffenen zu helfen.

Sie bat jedoch zuvor die Aufsichtsbehörde um Auskunft, ob ihr Vorhaben datenschutzrechtlich zulässig sei.

Die Aufsichtsbehörde wies darauf hin, dass schutzwürdige Belange der Betroffenen einer Veröffentlichung entgegenstünden. Wie bereits unter 9.4 ausgeführt, hat eine Veröffentlichung im Internet eine ganz andere Dimension als eine auflagenbegrenzte schriftliche Veröffentlichung. Es kann keinesfalls davon ausgegangen werden, dass alle, die irgendwann einmal in der Apothekenzeitschrift oder ähnlichem eine Anzeige aufgegeben haben, damit einverstanden sind, dass ihr Kontaktgesuch einer unbegrenzten Personenzahl und auf unbegrenzte Zeit bekannt gemacht wird.

Davon abgesehen, war auch nicht ersichtlich, wie die Frau die Benachrichtigungspflicht nach § 33 BDSG erfüllen würde bzw. könnte.

Die Aufsichtsbehörde riet daher zu einer datenschutzgerechten Alternative, nämlich der Einrichtung einer "Kontaktbörse", bei der sich Interessenten auf Grund eigener freiwilliger Entscheidung eintragen lassen können.

10. Aspekte internationaler Datenverarbeitungen

Datenverarbeitung in Bermuda

Ein in Bermuda ansässiges Unternehmen bietet Datenverarbeitungsdienstleistungen im eCommerce-Bereich an und möchte hierfür Kunden im europäischen Raum und insbesondere im Rhein-Main-Gebiet gewinnen.

Es sah sich daher mit den Restriktionen der EG-Datenschutzrichtlinie konfrontiert, wonach Datenübermittlungen in Länder außerhalb des Geltungsbereiches der Richtlinie nur unter bestimmten Voraussetzungen zulässig sind.

Da es für die Erfüllung von eCommerce-Verträgen zwischen hier ansässigen Unternehmen und ihren Kunden nicht erforderlich ist, dass die Kundendaten nach Bermuda übermittelt werden und somit der Ausnahmetatbestand des Art. 26 Abs. 1 b) der EG-Richtlinie nicht vorliegt, wären Datenübermittlungen nach Bermuda nur zulässig, wenn

- nachgewiesen würde, dass in Bermuda ein angemessenes Datenschutzniveau besteht (Art. 25 der Richtlinie), oder

- etwaige Datenschutzdefizite in Bermuda durch anderweitige Garantien (insbesondere durch vertragliche Regelungen) kompensiert würden (Art.

26 Abs. 2 der Richtlinie), oder

- die Einwilligungen sämtlicher betroffener Personen eingeholt würden (Art. 26 Abs. 1 a) der Richtlinie).

In Bermuda gibt es zwar kein Datenschutzgesetz mit adäquaten Regelungen, aber den Statuten eines Unternehmens kann von den gesetzgebenden Körperschaften Gesetzeskraft verliehen werden.

Diesen Weg hatte das Unternehmen beschritten: Es erließ eine Satzung oder Ähnliches mit sehr umfangreichen Regelungen zum Datenschutz und ließ diese im Gesetzgebungsverfahren als "Privatgesetz" anerkennen bzw. verabschieden.

Die sodann von dem Unternehmen um Bewertung und Bestätigung, dass damit der Nachweis eines angemessenen Datenschutzniveaus erbracht sei, gebetene Aufsichtbehörde unterzog das Regelwerk einer intensiven Prüfung.

Diese orientierte sich an dem von der Gruppe nach Art. 29 der EG-Richtlinie herausgegebenen Arbeitspapier Nr. 12 (= "Workingpaper 12").

Die dort in Kapitel 1 enthaltenen Kriterien beziehen sich auf:

- Inhaltliche Grundsätze

- Beschränkung der Zweckbestimmung,

- Datenqualität und -verhältnismäßigkeit,

- Transparenz,

- Datensicherheit,

- Recht auf Zugriff, Berichtigung, Widerspruch,

- Beschränkung der Weitervermittlung in andere Drittländer;

- Spezielle Anforderungen bei

- sensiblen Daten,

- Direktmarketing,

- automatisierten Einzelentscheidungen;

- Verfahrensrechtliche Mechanismen bzw. Durchsetzungsmechanismen;

- Gewährleistung einer guten Befolgungsrate;

- Unterstützung und Hilfe für einzelne Personen bei der Wahrnehmung ihrer Rechte;

- Gewährleistung angemessener Entschädigung für die geschädigte Partei.

Die Prüfung durch die Aufsichtsbehörde ergab, dass die inhaltlichen Grundsätze und die speziellen Anforderungen im Wesentlichen erfüllt waren.

Die Regelungen der EG-Datenschutzrichtlinie wurden überwiegend wörtlich wiedergegeben und zum Teil durch weitere Detailregelungen präzisiert und sogar zugunsten der Betroffenen verbessert.

Da Art. 25 der EG-Richtlinie nur fordert, dass im Daten-Empfängerland ein "angemessenes" Datenschutzniveau besteht, also bewusst auf die Forderung nach einen äquivalenten Datenschutzniveau verzichtet wurde, wurden insoweit die Anforderungen (partiell) sogar übererfüllt.

Unklarheiten bestanden jedoch bzgl. einiger Begriffsbestimmungen, sodass problematisch war, ob der Geltungsbereich des "Gesetzes" sich mit den Vorgaben der EG-Richtlinie deckt.