OVG NRW: § 113 TKG enthält keine Verpflichtung von TK-Anbietern zur Erteilung von Auskunft „on the fly“ unter Rückgriff auf dyn. IP-Adressen

Das OVG Nordrhein-Westfalen hat mit Urteil vom 10.11.2014 (OVG NRW, Urt. v. 10.11.2014 – 13 A 1973/13) der Klage eines TK-Anbieters stattgegeben, der sich gegen eine Anordnung der Bundesnetzagentur zur Herausgabe von Daten über Anschlussinhaber während der laufenden Internetverbindung („on the fly“) gewehrt hatte. Dabei sollte die Auskunft über den Anschlussinhaber mittels der Zuordnung von dynamischen IP-Adressen erfolgen. Diese Anordnung hat das OVG für rechtswidrig erklärt und die Anordnung der Bundesnetzagentur aufgehoben.

Das OVG NRW stützt seine Entscheidung im Wesentlichen auf die aktuelle Rechtsprechung des BVerfG und die dem folgenden Gesetzesänderungen im TKG: Das BVerfG hatte klargestellt, dass es bei der Auskunft über Anschlussinhaber an Fachbehörden grundsätzlich zweier Gesetze bedarf (BVerfG, Beschl. v. 24.1.2012 – 1 BvR 1299/05, NJW 2012, 1419 Rn. 123). Nach diesem sog. „Doppeltürenmodell“ ist auf der einen Seite im TKG die Befugnis des TK-Anbieters zu regeln, auf die Verkehrsdaten seiner Kunden zuzugreifen („erste Tür“), auf der anderen Seite ist für den Abruf durch die Fachbehörde eine fachgesetzliche Ermächtigung nötig („zweite Tür“) (s. dazu Buch, Rn. 187; Dalby, CR 2013, 361).

§ 113 TKG n.F. regelt nach der Auffassung des OVG NRW allein noch keine Verpflichtung zur Auskunft, sondern allein eine Übermittlungsbefugnis – also die „erste Tür“. Die umfassenden Ausführungen zu dieser Frage und zur Auslegung der verschiedenen Regelungen in § 113 TKG (s. S. 12-21 des Urteils) sind sehr lesenswert.

Es sei noch erwähnt, dass das OVG NRW die Anordnung der Bundesnetzagentur im Übrigen auch als unbestimmt angesehen und in der Anordnung die Ausübung fehlerhaften Ermessens erblickt hat.

BGH bestätigt: IP-Adressen können nach § 100 TKG für 7 Tage gespeichert werden

Im Jahr 2011 hatte der BGH entschieden, dass dynamische IP-Adressen durch den TK-Anbieter anlasslos zum Zwecke der Missbrauchsbekämpfung für bis zu 7 Tagen gespeichert werden dürfen (BGH, Urt. v. 13.1.2011 – III ZR 146/10, NJW 2011, 1509 (1510). Das OLG Frankfurt hatte sich dieser Auffassung angeschlossen (OLG Frankfurt, Urt. v. 28.8.2013 – 13 U 105/07, ZD 2013,614). Im Wege der Revision gegen dieses Urteil des OLG Frankfurt musste der BGH sich erneut mit der Frage befassen – und hat seine Einschätzung von 2011 nachdrücklich bestätigt (BGH, Urt. v. 3.7.2014 – III ZR 391/13, Volltext).

Insbesondere hatte der Revisionsführer vertreten, dass SPAM keine „Störung“ i.S.d. § 100 TKG darstelle, da die Systeme des TK-Anbieters ohne Beeinträchtigung funktionierten. Die Beeinträchtigung erfolge vielmehr erst durch die Entscheidung weiterer TK-Anbieter, die IP-Adressen, von denen der SPAM ausgeht, zu sperren. Das sei aber keine Störung des technischen Systems.

Dieser Auffassung hat der BGH eine Absage erteilt und versteht die Begriffe des „technischen Systems“ und der „Störung“ weit:

[Es] kommt eine Störung des „technischen Systems“ nach § 100 Abs. 1 TKG nicht nur in Betracht, wenn die physikalische Beschaffenheit der für die Telekommunikation verwendeten Gerätschaften verändert wird. Vielmehr liegt nach dem Zweck der Vorschrift eine Störung des Systems auch vor, wenn die eingesetzte Technik die ihr zugedachten Funktionen nicht mehr richtig oder vollständig erfüllen kann (Gramlich in Manssen, Telekommunikations- und Multimediarecht, C § 100 Rn. 16 [Stand: 8/08]; Kannenberg in Scheurle/Mayen, TKG, 2. Aufl., § 100 Rn. 6 f; Mozek in Säcker, TKG, 3. Aufl., § 100 Rn. 7). Entgegen der Ansicht der Revision tritt eine Funktionseinschränkung des technischen Systems der Beklagten auch dann ein, wenn einzelne ihrer IP-Nummern-bereiche von anderen Internetdiensten gesperrt werden. In diesem Fall sind die von diesen Anbietern unterhaltenen Web- und Mailserver für die Kunden der Beklagten nicht mehr erreichbar. Damit können deren technischen Einrichtungen und Systeme nicht mehr ihre Aufgabe erfüllen, den Nutzern den uneingeschränkten Zugang zu sämtlichen öffentlichen Angeboten im Internet zu verschaffen, wozu sich die Beklagte gegenüber ihren Kunden verpflichtet. Unmaßgeblich ist, dass die bei der Versendung von Schadprogrammen, Spams und dergleichen aus dem Netz der Beklagten drohende Sperrung ihrer IP-Kontingente durch andere Anbieter auf deren autonomer Entscheidung beruht. Die Blockierung der Nummernbereiche wird in diesen Fällen durch die aus der technischen Sphäre der Beklagten stammenden Missbräuche des Internets herausgefordert und stellt in der Regel eine verständliche und angemessene Reaktion der anderen Dienstanbieter zum Schutz ihrer Anlagen und Nutzer dar.

Weiter setzt sich der BGH mit Einwendungen aus dem Bereich des europäischen Sekundärrechts und auf Basis des Vorratsdatenspeicherungsurteils des EuGH (Urt. v. 8.4.2014 – C-293/12 u.a. – Digital Rights Ireland Ltd. u.a., BeckRS 2014, 80686) auseinander, verwirft diese aber.

Verbandsklagen zukünftig im Datenschutzrecht?

Das Bundesministerium der Justiz und für Verbraucherschutz hat in der letzten Woche den Referentenentwurf eines „Gesetzes zur Verbesserung der zivilrechtlichen Durchsetzung von verbraucherschützenden Vorschriften des Datenschutzrechts“ vorgestellt und an die Verbände zur Stellungnahme bis zum 15.08.2014 übersandt.

Klagebefugnis der Verbände bei Datenschutzverstößen

Der inhaltliche Kern des Entwurfs ist die Erweiterung des § 2 UKlaG. Im Entwurfstext wird festgelegt, dass es sich es sich bei den datenschutzrechtlichen Bestimmungen um Verbraucherschutzgesetze handelt und insofern ein Unterlassungsanspruch seitens der anspruchsberechtigten Stellen, also insb. der Verbraucher- und Wirtschaftsverbände, besteht. Der Wortlaut des § 2 Ab. 2 Nr. 11 UKlaG-E lautet:

„(2) Verbraucherschutzgesetze im Sinne dieser Vorschrift sind insbesondere

(…)

11. die Vorschriften, die für die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten eines Verbrauchers durch einen Unternehmer gelten.“

Mit der diesbezüglichen Regelung soll den erheblichen Persönlichkeitsrechtsverletzungen entgegengewirkt werden, welche sich aus Verstößen gegen das Datenschutzrecht beim Erheben, Verarbeiten und Nutzen von personenbezogenen Daten ergeben können. Hier sieht das Bundesministerium der Justiz und für Verbraucherschutz eine erhebliche Gefahr, da Verbraucher zunehmend (z.B. bei sozialen Netzwerken) mit ihren personenbezogen Daten „bezahlen“. Erfasst werden sollen von der Regelung des § 2 Abs. 2 Nr. 11 UKlaG-E alle innerstaatlich geltenden Rechtsvorschriften des Datenschutzrechts. Es handelt sich insofern um Verbraucherschutzgesetze im Sinne des UKlaG, unabhängig davon, ob es sich um datenschutzrechtliche Vorschriften in Rechtsakten der Europäischen Union, Vorschriften der Datenschutzgesetze des Bundes und der Länder sowie bereichsspezifische datenschutzrechtliche Vorschriften in anderen Gesetzen oder um Verordnungen handelt. Umfasst ist demnach auch der für WLAN-Anbieter relevante Bereich des telekommunikationsrechtlichen Datenschutzes.

Verbandsklagebefugnis schon zuvor kontrovers diskutiert

Die Frage, ob es eine Verbandsklagebefugnis im Datenschutzrecht geben soll, wird schon länger kontrovers diskutiert und war bspw. Gegenstand des 7. eco MMR Kongresses 2014. Der Gesetzgeber begründet die Notwendigkeit der Verbandsklagebefugnis unter anderem damit, dass eine flächendeckende Kontrolle durch die Aufsichtsbehörden aufgrund der Zahl an Unternehmen und des stetig zunehmenden Umfangs der Datenerhebung nicht möglich sei. Vielmehr würden die Aufsichtsbehörden überwiegend nur anlassbezogen tätig werden können. Nichtsdestotrotz setzt jedoch auch der Anspruch des UKlaG eine Kenntnis von einem rechtswidrigen Handeln voraus, wenngleich der Kreis der Anspruchsberechtigten erweitert wird. Auch stellt sich die Frage, ob es neben dem bestehenden System aus Eigen-, Fremd- und Selbstkontrolle überhaupt einer zusätzlichen Klagebefugnis für die Verbände bedarf. Die durch das UKlaG begründete Zuständigkeit der Landgerichte ist zudem ein Fremdkörper im bisherigen Datenschutzrecht.

Weitere Änderungen – Textform in AGB

Daneben sieht der Gesetzesentwurf Regelungen vor, welche einerseits die Geltendmachung von Ansprüchen nach dem UKlaG erleichtern, gleichzeitig aber auch ein missbräuchliches – insbesondere auf Kosteninteressen basierendes – Vorgehen unterbinden sollen (§ 2b UKlaG-E). Eine für die Praxis wesentliche Änderung ist zudem für das Recht der Allgemeinen Geschäftsbedingungen (AGB) vorgesehen. Die Regelung des § 309 Nr. 13 BGB soll dahingehend abgeändert werden, dass in AGB keine strengere Form als die Textform für Erklärungen vorgesehen werden kann. Die diesbezügliche Regelung würde für alle im Bereich B2C tätigen Unternehmen erhebliche Folgen haben. Dies würde nicht nur eine Anpassung fast aller AGB erforderlich machen, sondern auch zu einer Überarbeitung unternehmensinterner Prozesse führen.

Handbuch zum europäischen Datenschutzrecht aktualisiert und übersetzt

Die Agentur der Europäischen Union für Grundrechte und der Europarat haben zusam­men mit der Kanzlei des Europäischen Gerichtshofes für Menschenrechte ein Handbuch zum europäischen Datenschutz erarbeitet. Dieses Handbuch wurde nunmehr aktualisiert und in verschiedene Sprachen übersetzt. Es ist unter anderem in deutscher Sprache und auf Englisch verfügbar.

Inhalt und Ziel des etwa 200 Seiten umfassenden Handbuchs werden aus dem Vorwort deutlich, wo es heißt:

„Ziel dieses Handbuchs ist es, Bewusstsein zu schaffen und über die Datenschutz­vorschriften in den EU-Mitgliedstaaten und des Europarates aufzuklären, das Wissen darüber zu erweitern und als Nachschlagewerk schlechthin für dieses Thema zu die­nen. Es richtet sich an Angehörige der Rechtsberufe, die nicht unbedingt Fachleute für dieses Thema sind, an Richter, nationale Datenschutzbehörden und andere im Datenschutz Tätige.“

Bundesbeauftragte für Datenschutz beanstandet Nichteinhaltung der Meldepflichten

Wie golem.de am 12.05.2014 berichtete, hat die Bundesbeauftragte für den Datenschutz und die Informationssicherheit (BfDI), Andrea Voßhoff, die Nichteinhaltung der Meldepflicht bei Datenschutzverstößen nach § 42 BDSG und § 109a TKG seitens der Unternehmen kritisiert und gleichzeitig – zumindest indirekt – die Bundesnetzagentur (BNetzA) zur Verhängung von Bußgeldern aufgefordert. Die BfDI beanstandet, dass in der Presse über Unternehmen berichtet wird, bei denen es zu einer Verletzung des Schutzes/ geschützter personenbezogener Daten gekommen sei, gleichzeitig eine Meldung darüber an BNetzA und BfDI seitens der Unternehmen jedoch nicht erfolgte.

Hotspot-Betreiber müssen Datenschutzverstöße nach § 109a BDSG melden. Wichtig ist insoweit, dass die Regelung eine Meldepflicht für jegliche Datenschutzverstöße vorsieht. Es ist gerade nicht erforderlich, dass es sich um einen besonders schweren Verstoß handelt oder bestimmte Kategorien von Daten betroffen sind. Vielmehr hat bereits bei der fehlgeleiteten Rechnungsinformation eine Meldung an BfDI und BNetzA für den Datenschutz und die Informationssicherheit zu erfolgen. Für die (Erst-) Meldung gilt dabei eine Frist von 24 Stunden. Erfolgt eine Meldung nicht, so droht ein Bußgeld von bis zu € 300.000.

Hotspot-Betreiber sollten daher sicherstellen, dass diese Verpflichtung innerhalb des Unternehmens bekannt ist. Die derzeitige Anzahl von Meldungen spricht dafür, dass entweder eine entsprechende Kenntnis über die Meldepflicht noch nicht besteht oder die Verpflichtung vielfach ignoriert wird. Zudem ist ein Prozess für die Meldung zu etablieren. Hierbei helfen zum Beispiel die Leitlinien der Bundesnetzagentur. Eine Meldepflicht kann sich auch aus der – weitgehend parallelen – Verordnung 611/2013 über die Maßnahmen für die Benachrichtigung von Verletzungen des Schutzes personenbezogener Daten ergeben.

Security Breach Notification – Meldepflicht(en) bei Router-Hacking?

Rechtliche Ausgangssituation

Die Regelung des § 109a TKG sieht vor, dass im Fall einer Verletzung des Schutzes personenbezogener Daten unverzüglich die Bundesnetzagentur (BNetzA) und die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) von der Verletzung zu benachrichtigen sind. Eine Verletzungshandlung liegt bei jedweder unrechtmäßigen Verwendung personenbezogener Daten (Bestands- und Verkehrsdaten) vor. Bei einer schwerwiegenden Verletzung sind zudem die Teilnehmer zu informieren. Weiter hat der Diensteanbieter nach § 93 Abs. 2 TKG in den Fällen, in denen ein besonderes Risiko der Verletzung der Netzsicherheit besteht, die Teilnehmer über dieses Risiko und über mögliche Abhilfen zu unterrichten.

31. Jour Fixe Telekommunikation zu § 93 TKG

Im Rahmen des 31. Jour Fixe Telekommunikation der Bundesbeauftragten für Datenschutz und Informationssicherheit am 27.03.2014 wurde am Rande erörtert, inwieweit aufgrund von Presseberichten über Sicherheitslücken bei Routern für Diensteanbieter eine Meldepflicht gegenüber den Teilnehmern nach § 93 TKG besteht. Es wurde darauf hingewiesen, dass Kunden ohne automatisches Update der Routersoftware über die Gefahr informiert werden sollen. Ob eine datenschutzrechtliche Pflicht zur Information besteht, wurde dabei ausdrücklich offen gelassen.

Dafür, ob eine solche Pflicht besteht, kommt es auf die bisher ungeklärte Frage an, wo der Netzabschlusspunkt zu verorten ist. Ausschlaggebend ist insoweit, ob der Router noch Bestandteil des Netzes ist. Bisher nicht diskutiert wurde dabei die Frage, ob eine Informationspflicht auch aus § 241 Abs. 2 BGB folgen kann. Diese Frage wird hingegen im Zusammenhang mit der Pflicht zur sog. Fraud-Detection, also der Erkennung eines missbräuchlichen Verkehrsaufkommens, regelmäßig diskutiert (vgl. Schuster/Sassenberg, CR 2011, S. 15 (16)).

Folgen für Anbieter von WLAN-Hotspots

Eine Informationspflicht nach § 93 TKG wird für den Hotspot-Betreiber im Fall von Sicherheitslücken regelmäßig nicht gegeben sein. Die Ausgangssituation ist allerdings nicht mit dem „klassischen TK-Anbieter“ vergleichbar, da der WLAN-Router stets integraler Bestandteil des Netzes ist. Insofern ist eine Pflicht zur Information (zunächst) generell zu bejahen. Das Risiko der Verletzung der Netzsicherheit muss nach dem Wortlaut des § 93 Abs. 2 TKG allerdings noch bestehen („…Risiko der Verletzung der Netzsicherheit besteht,…“) und darf damit nicht – z.B. durch Updates – beseitigt worden sein. Dies wird aber nur dann der Fall sein, wenn der Betreiber den Hotspots nicht durch Updates absichern kann.

Für den Hotspot-Betreiber ist insofern insbesondere die Meldepflicht nach § 109a TKG von wesentlicher Bedeutung, welche allerdings eine Verletzung des Schutzes personenbezogener Daten – also das erfolgreiche Hacking eines Routers und den Zugriff auf Bestands- oder Verkehrsdaten – voraussetzt.