Urteil des VG Wiesbaden vom 27.02.2009

VG Wiesbaden: veröffentlichung, schutz des privatlebens, stand der technik, landwirtschaft, internetseite, gerichtshof der europäischen gemeinschaften, europäischer gerichtshof für menschenrechte

Gericht:

VG Wiesbaden 6.

Kammer

Entscheidungsdatum:

Aktenzeichen:

6 K 1045/08.WI

Dokumenttyp:

Beschluss

Quelle:

Normen:

EGV 259/2008, Art 29 EGRL

46/95, Art 44a EGV

1290/2005, Art 2 EGV

259/2008, Art 8 Abs 2 MRK

(Zur Veröffentlichung von Daten als Empfänger von

Agrarbeihilfen - Zur Vorratsspeicherung von Daten über

den Telekommunikationsverkehr - keine Speicherung der

IP-Adressen von Internetnutzern - BGB-Gesellschaft und

informationelle Selbstbestimmung)

Tenor

Das Verfahren wird ausgesetzt.

Dem Gerichtshof der Europäischen Gemeinschaften werden folgende Fragen zur

Vorabentscheidung vorgelegt:

1. Sind die Art. 42 Abs. 1 Nr. 8b und 44a der VERORDNUNG (EG) Nr. 1290/2005

DES RATES vom 21. Juni 2005 über die Finanzierung der Gemeinsamen

Agrarpolitik (Abl. L 209 vom 11.08.2005, S. 1), eingefügt durch VERORDNUNG (EG)

Nr. 1437/2007 DES RATES vom 26. November 2007 zur Änderung der Verordnung

(EG) Nr. 1290/2005 über die Finanzierung der gemeinsamen Agrarpolitik (Abl. L

322 vom 07.12.2007, S. 1), ungültig?

2. Ist die VERORDNUNG (EG) Nr. 259/2008 DER KOMMISSION vom 18. März 2008

mit Durchführungsbestimmungen zur Verordnung (EG) Nr. 1290/2005 des Rates

hinsichtlich der Veröffentlichung von Informationen über die Empfänger von Mitteln

aus dem Europäischen Garantiefonds für die Landwirtschaft (EGFL) und dem

Europäischen Landwirtschaftsfonds für die Entwicklung des ländlichen Raums

(ELER) (Abl. L 76 vom 19.03.2008, S. 28)

a) ungültig

b) oder nur deshalb gültig, weil die RICHTLINIE 2006/24/EG DES EUROPÄISCHEN

PARLAMENTS UND DES RATES vom 15. März 2006 über die Vorratsspeicherung

von Daten, die bei der Bereitstellung öffentlich zugänglicher elektronischer

Kommunikationsdienste oder öffentlicher Kommunikationsnetze erzeugt oder

verarbeitet werden, und zur Änderung der Richtlinie 2002/58/EG (ABl. L 174 vom

28.06.2006, S. 5) ungültig ist?

Falls die in der ersten und zweiten Frage genannten Vorschriften gültig sind:

3. Ist Art. 18 Abs. 2 2. Spiegelstrich der RICHTLINIE 95/46/EG DES EUROPÄISCHEN

PARLAMENTS UND DES RATES vom 24. Oktober 1995 zum Schutz natürlicher

Personen bei der Verarbeitung personenbezogener Daten und zum freien

Datenverkehr (ABl. L 281 vom 23.11.1995, S. 31) dahin auszulegen, dass die

Veröffentlichung nach der VERORDNUNG (EG) Nr. 259/2008 DER KOMMISSION

vom 18. März 2008 mit Durchführungsbestimmungen zur Verordnung (EG) Nr.

1290/2005 des Rates hinsichtlich der Veröffentlichung von Informationen über die

Empfänger von Mitteln aus dem Europäischen Garantiefonds für die Landwirtschaft

(EGFL) und dem Europäischen Landwirtschaftsfonds für die Entwicklung des

ländlichen Raums (ELER) erst erfolgen darf, wenn die in diesem Artikel

vorgesehene Verfahrensweise, die die Meldung an die Kontrollstelle ersetzt,

durchgeführt worden ist?

4. Ist Art. 20 der RICHTLINIE 95/46/EG DES EUROPÄISCHEN PARLAMENTS UND DES

RATES vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der

Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABl. L 281

vom 23.11.1995, S. 31) dahin auszulegen, dass die Veröffentlichung nach der

VERORDNUNG (EG) Nr. 259/2008 DER KOMMISSION vom 18. März 2008 mit

Durchführungsbestimmungen zur Verordnung (EG) Nr. 1290/2005 des Rates

hinsichtlich der Veröffentlichung von Informationen über die Empfänger von Mitteln

aus dem Europäischen Garantiefonds für die Landwirtschaft (EGFL) und dem

Europäischen Landwirtschaftsfonds für die Entwicklung des ländlichen Raums

(ELER) erst erfolgen darf, wenn die Vorabkontrolle erfolgt ist, die das nationale

Recht für diesen Fall vorschreibt?

5. Falls die vierte Frage bejaht wird: Ist Art. 20 der RICHTLINIE 95/46/EG DES

EUROPÄISCHEN PARLAMENTS UND DES RATES vom 24. Oktober 1995 zum Schutz

natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum

freien Datenverkehr (ABl. L 281 vom 23.11.1995, S. 31) dahin auszulegen, dass

keine wirksame Vorabkontrolle vorliegt, wenn sie auf der Grundlage eines

Verzeichnisses nach Art. 18 Abs. 2 2. Spiegelstrich dieser Richtlinie erfolgt ist, das

eine vorgeschriebene Information nicht enthält?

6. Ist Art. 7 – und hier insbesondere Buchstabe e – der RICHTLINIE 95/46/EG DES

EUROPÄISCHEN PARLAMENTS UND DES RATES vom 24. Oktober 1995 zum Schutz

natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum

freien Datenverkehr (ABl. L 281 vom 23.11.1995, S. 31) dahin auszulegen, dass er

einer Praxis, die IP-Adressen der Benutzer einer Homepage ohne deren

ausdrücklicher Einwilligung zu speichern, entgegensteht?

Gründe

Die Klägerin wendet sich gegen die Veröffentlichung ihrer Daten als Empfängerin

von Agrarbeihilfen nach der Verordnung (EG) Nr. 259/2008 der Kommission.

Bei der Klägerin handelt es sich um eine Gesellschaft bürgerlichen Rechts. Die

Gesellschafter sind Y und Y. Sie betreibt einen landwirtschaftlichen

Vollerwerbsbetrieb und nimmt an dem Verfahren über eine Betriebsprämie teil. Sie

stellte einen Gemeinsamen Antrag als Sammelantrag. Mit Bescheid vom

31.12.2008 bewilligte der Landrat des D-Kreises eine Betriebsprämie von …..

Euro. Im Antragsformular auf Seite 15 im letzten Absatz befand sich folgender

Hinweis: ”Mir ist bekannt, dass nach Art. 44a der VO (EG) Nr. 1290/2005

vorgeschrieben ist, Informationen über die Empfänger von EGFL- und ELER-Mitteln

sowie die Beträge, die jeder Begünstigte erhalten hat, zu veröffentlichen. Die

Veröffentlichung betrifft alle Maßnahmen, die im Zusammenhang mit dem

Gemeinsamen Antrag als Sammelantrag im Sinne von Art. 11 der VO (EG) Nr.

796/2004 beantragt werden und erfolgt alljährlich bis spätestens zum 31. März des

Folgejahres.” Auf der Internetseite der Beigeladenen http://www.agrar-fischerei-

zahlungen.de werden Namen der Empfänger, Ort mit Postleitzahl und die Höhe

der Jahresbeträge bereit gestellt. Die Seite ist mit einer Suchfunktion ausgestattet.

Dafür genügt es, Eingaben für ein Feld zu machen, also etwa nur die Postleitzahl

einzugeben, um eine entsprechende Aufstellung zu erhalten. In den Hinweisen

zum Datenschutz im Impressum der Webseite heißt es: ”Bei jedem Zugriff auf den

Server werden Daten für statistische und Sicherungszwecke gespeichert. Für eine

begrenzte Zeit wird die IP-Adresse des Internet-Service-Providers, Datum und

Uhrzeit sowie die besuchte Internetseite gespeichert. Diese Daten werden

ausschließlich zur Verbesserung des Internetdienstes genutzt und nicht an Dritte

weitergegeben oder auf den Adressaten zurückführbar ausgewertet.” (www.agrar-

fischerei-zahlungen.de/afig/impressum.html, Stand: 10.02.2009)

Die Klägerin hat am 26.09.2008 Klage erhoben. Sie ist der Ansicht, dass Art. 44a

der Verordnung (EG) Nr. 1290/2005 gegen Datenschutzrecht der Gemeinschaft

verstoße. Bei den veröffentlichten Informationen handele es sich um persönliche

Daten, die auch Rückschlüsse auf den Betrieb zuließen. Überwiegende

Allgemeininteressen könnten nicht zur Rechtfertigung herangezogen werden. Eine

Veröffentlichung der Beihilfen für jeden Landkreis sei ausreichend, an

betriebsspezifischen Daten hätten die Steuerzahler kein Interesse. In den Regeln

zum Europäischen Sozialfonds sei keine namentliche Nennung der Empfänger

vorgesehen. Es sei außerdem technisch nicht auszuschließen, dass die im Internet

zugänglichen Daten von Dritten unkontrolliert gespeichert und weiterverarbeitet

würden.

Die Klägerin beantragt,

das Land Hessen zu verpflichten, die Weitergabe oder Veröffentlichung aller

Daten aus dem gemeinsamen Antrag 2008/Sammelantrag im Sinne von Artikel 11

der Verordnung (EG) Nr. 796/2004 an die Bundesrepublik Deutschland und die

Europäische Union zu unterlassen bzw. durch Anordnung zu untersagen, soweit

die Weitergabe zum Zwecke der allgemeinen Veröffentlichung von Informationen

über die der Klägerin gewährten finanziellen Beträge aus dem Europäischen

Garantiefonds für Landwirtschaft (EGFL) und dem Europäischen

Landwirtschaftsfonds für die Entwicklung des ländlichen Raums (ELER) erfolgen soll.

Der Beklagte beantragt,

die Klage abzuweisen.

Der Beklagte hält die Klage für unzulässig und unbegründet. Die Pflicht der

Mitgliedstaaten, die Daten im Internet zu veröffentlichen, ergebe sich aus Art. 44a

der Verordnung (EG) Nr. 1290/2005 und der Durchführungsverordnung (EG) Nr.

259/2008. Die Vorschriften seien zweifelsfrei gültig. Die Veröffentlichung erfolge in

einem überwiegenden Allgemeininteresse. Sie diene der Transparenz der

Agrarausgaben und gehe nicht über das hinaus, was in einer demokratischen

Gesellschaft zur Verhütung von Unregelmäßigkeiten erforderlich sei. Die Klägerin

sei über die Veröffentlichung informiert worden und könne diese durch den

Verzicht auf die Beihilfen abwenden.

Die Beigeladene stellt keinen Antrag. Sie ist trägt vor, dass die Internetseite so

aufgebaut sei, dass Antworten auf Suchanfragen aus der Datenbank generiert

würden. Daher sei die Erschließbarkeit durch allgemeine Suchmechanismen

(sogenannte Webcrawler) wie Google derzeit konstruktionsbedingt erschwert. Nach

zwei Jahren würden die Daten aus der Datenbank entfernt. Es sei allerdings

technisch nicht möglich zu verhindern, dass nach Ablauf des

Veröffentlichungszeitraums Datenspuren der betroffenen Personen im Internet zu

finden seien.

In der mündlichen Verhandlung hat das Gericht Vertreter des Hessischen

Datenschutzbeauftragten, Herrn A und Herrn B, als Sachverständige gehört.

Wegen der Einzelheiten wird auf das Sitzungsprotokoll der mündlichen

Verhandlung vom 16.02.2009 verwiesen.

Der Beklagte hat in der mündlichen Verhandlung zugesichert, dass die Klägerin

mit ihren Beträgen nicht vor dem rechtskräftigen Abschluss des

Hauptsacheverfahrens veröffentlicht wird.

Die Durchführung der Verordnung (EG) Nr. 259/08 der Kommission richtet sich in

Deutschland nach dem Gesetz zur Veröffentlichung von Informationen über die

Zahlung von Mitteln aus den Europäischen Fonds für Landwirtschaft und Fischerei

(Agrar- und Fischereifonds-Informationen-Gesetz - AFIG) vom 26. November 2008

(BGBl. I S. 2330) und der Verordnung über die Veröffentlichung von Informationen

über die Zahlung von Mitteln aus den Europäischen Fonds für Landwirtschaft und

für Fischerei (Agrar- und Fischereifonds-Informationen-Verordnung - AFIVO) vom

10.12.2008 (eBAnz. 2008, AT147 V1).

Die Vorschriften lauten wie folgt:

Agrar- und Fischereifonds-Informationen-Gesetz (AFIG)

1. der Durchführung der Verordnung (EG) Nr. 1290/2005 des Rates vom 21. Juni

2005 über die Finanzierung der Gemeinsamen Agrarpolitik (ABl. EU Nr. L 209 S. 1)

in der jeweils geltenden Fassung und der zu ihrer Durchführung erlassenen

Rechtsakte der Europäischen Gemeinschaften, soweit darin eine Veröffentlichung

von Informationen über die Empfänger von Mitteln aus dem Europäischen

Garantiefonds für die Landwirtschaft und dem Europäischen Landwirtschaftsfonds

für die Entwicklung des ländlichen Raums sowie über die Beträge, die jeder

Empfänger erhalten hat, vorgesehen ist;

2. der Durchführung der Verordnung (EG) Nr. 1198/2006 des Rates vom 27. Juli

2006 über den Europäischen Fischereifonds (ABl. EU Nr. L 223 S. 1) in der jeweils

geltenden Fassung und der zu ihrer Durchführung erlassenen Rechtsakte der

Europäischen Gemeinschaften, soweit darin Aufgaben der Verwaltungsbehörde im

Zusammenhang mit den Informationsmaßnahmen im Sinne des Artikels 51 der

Verordnung (EG) Nr. 1198/2006 vorgesehen sind.

(1)Die für die Zahlung von Mitteln aus dem Europäischen Garantiefonds für die

Landwirtschaft, dem Europäischen Landwirtschaftsfonds für die Entwicklung des

ländlichen Raums zuständigen Stellen des Bundes und, soweit diese Mittel von den

Ländern gezahlt werden, die hierfür zuständigen Stellen der Länder und im Fall des

Europäischen Fischereifonds die zuständige Verwaltungsbehörde veröffentlichen

die Informationen nach

(2) Abweichend von Absatz 1 kann bis zum 31. März 2009 die Rechtsverordnung

nach Absatz 1 ohne Zustimmung des Bundesrates erlassen werden. Die

Rechtsverordnung tritt spätestens sechs Monate nach ihrem Inkrafttreten außer

Kraft. Ihre Geltungsdauer kann nur mit Zustimmung des Bundesrates verlängert

werden.

Dieses Gesetz tritt am Tage nach der Verkündung in Kraft.

Agrar- und Fischereifonds-Informationen-Verordnung (AFIVO)

Diese Verordnung gilt für Veröffentlichungen nach dem Agrar- und Fischereifonds-

Informationen-Gesetz.

Auf der in § 2 Abs. 1 des Agrar- und Fischereifonds-Informationen-Gesetzes

bezeichneten Internetseite werden nur die

2. in den Artikeln 30 und 31 der Verordnung (EG) Nr. 498/2007 der Kommission

vom 26. März 2007 mit Durchführungsbestimmungen zur Verordnung (EG) Nr.

1198/2006 des Rates über den Europäischen Fischereifonds (EFF) (ABl. L 120

vom 10.5.2008, S. 1)

in der jeweils geltenden Fassung genannten Informationen veröffentlicht.

(2) Innerhalb der Datenbank ist für die die Europäischen Fonds für Landwirtschaft

betreffenden Informationen eine Suchfunktion vorzusehen, die eine Suche nach

den genannten Informationen ermöglicht.

(1) Soweit nach den für die veröffentlichende Stelle geltenden

datenschutzrechtlichen Bestimmungen eine Berichtigung der veröffentlichten

Informationen erforderlich ist, hat die veröffentlichende Stelle unverzüglich die

Informationen in der Veröffentlichungsdatei der Datenbank entsprechend zu

ändern.

(2) Soweit nach den für die veröffentlichende Stelle geltenden

datenschutzrechtlichen Bestimmungen Veröffentlichungen unzulässig sind oder

unzulässig werden, hat die veröffentlichende Stelle unverzüglich die der

Veröffentlichung zu Grunde liegenden Informationen in der Veröffentlichungsdatei

der Datenbank entsprechend zu löschen. Die Löschung unterbleibt, wenn Grund zu

der Annahme besteht, dass anderenfalls schutzwürdige Interessen der betroffenen

Person beeinträchtigt werden. In diesem Fall sind die Informationen unverzüglich

zu sperren.

(3) Die jeweils veröffentlichende Stelle löscht die veröffentlichten Daten zwei Jahre

nach dem ersten Tag ihrer Veröffentlichung.

(2) Die Barrierefreie Informationstechnik-Verordnung vom 17. Juli 2002 (BGBl. I S.

2654) in der jeweils geltenden Fassung gilt entsprechend.

Die Bundesanstalt hat das Sicherheitskonzept nach Maßgabe der Bedingungen

der DIN ISO/IEC 27001, Ausgabe 2008–09, Zertifizierung auf der Basis von IT-

Grundschutz, regelmäßig daraufhin zu überprüfen oder überprüfen zu lassen, ob

es noch dem Stand der Technik entspricht oder an die technische Entwicklung

anzupassen ist. Die Frist des Satzes 2 beginnt mit dem Abschluss der

Erstzertifizierung nach Satz 1 Nr. 1.

(3) Kommt es während einer Datenübermittlung zu Störungen oder

Unterbrechungen, hat die Bundesanstalt dies der übermittelnden Stelle

unverzüglich anzuzeigen. In diesem Fall verlangt die Bundesanstalt eine erneute

Übermittlung.

(1) Diese Verordnung tritt am Tag nach der Verkündung in Kraft.

(2) Die Verordnung tritt am 12. Juni 2009 außer Kraft, sofern nicht mit

Zustimmung des Bundesrates etwas anderes verordnet wird.

Nach diesen Vorschriften wird die für die Veröffentlichungen bestimmte Homepage

von der Beigeladenen im Rahmen der Auftragsdatenverarbeitung für den

Beklagten betrieben. Die Beigeladene bedient sich dabei wiederum eines

zertifizierten privaten Providers. Die Regelungen mit dem Provider sind dem

Gericht nur allgemein bekannt, da das Verfahrensverzeichnis auf Module Bezug

nimmt, die nur allgemein erläutert sind und keine konkreten Maßnahmen für den

Leser beinhalten. Die Beigeladene bzw. der von ihr beauftragte Provider speichert

auch die IP-Adressen der Benutzer. Die Vertreterin der Beigeladenen erklärte in

der mündlichen Verhandlung, dies würde anonymisiert geschehen, genau wisse sie

es jedoch nicht.

Datenschutzrechtlich bleibt die Verantwortung jedoch bei den zuständigen Stellen

der Länder (§ 2 Abs. 2 AFIG). Zuständig für Hessen ist das Hessische Ministerium

für Umwelt, ländlichen Raum und Verbraucherschutz (jetzt: Hessisches

Ministerium für Umwelt, Energie, Landwirtschaft und Verbraucherschutz) als

Zahlstelle; zumindest bei Klageerhebung. Zwar wurden durch Vertrag vom

11.07.2008 die Aufgabe auf die Investitionsbank Hessen (IBH) übertragen. Dieser

Vertrag liegt dem auch Gericht vor. Darin wird nicht speziell auf die Frage der

Veröffentlichung nach der Verordnung 259/2008 der Kommission eingegangen. In

§ 14 Abs. 2 des Vertrags ist vorgesehen, dass das Ministerium die Beauftragung

der IBH und ihre Zulassung als Zahlstelle im Staatsanzeiger bekannt macht. Das

ist jetzt bis zum Zeitpunkt der Entscheidung nicht erfolgt. In dem Erlass des

Ministeriums für Umwelt, ländlichen Raum und Verbraucherschutz zur

Veröffentlichung von Informationen über die Empfänger von Mitteln aus dem

Europäischen Garantiefonds für die Landwirtschaft, dem Europäischen

Landwirtschaftsfonds für die Entwicklung des ländlichen Raums und dem

europäischen Fischereifonds vom 10.11.2008 (Staatsanzeiger 2008, S. 3038 f.)

bezeichnet sich dieses selbst als Zahlstelle. Der Erlass ist nicht aufgehoben.

Außerdem besteht zwischen Bund und Ländern ein Verwaltungsabkommen, das

jedoch vor allem die Kostenverteilung regelt. Hierin ist von einer Weiterdelegierung

keine Rede. Die IBH ist eine Anstalt des öffentlichen Rechts, über die das

Ministerium die Aufsicht ausübt; dies auch, wenn der IBH wirksam die

Zahlstellenfunktion übertragen worden wäre. Dem Gericht liegt auch nur das

Verfahrensverzeichnis des Hessischen Ministeriums für Umwelt, ländlichen Raum

und Verbraucherschutz vor, in dem als dieses sich selbst als verantwortliche Stelle

und EU-Zahlstelle bezeichnet. Ferner liegt das Verfahrensverzeichnis der

Beigeladenen vor.

Die Art. 18 bis 21 der Richtlinie 95/46/EG wurden durch die folgenden Vorschriften

umgesetzt. Für die Beigeladene gilt Bundesrecht, für das Ministerium und die IBH

hessisches Landesrecht.

Bundesdatenschutzgesetz (BDSG) in der Fassung vom 14. Januar

2003 (BGBl. I S. 66)

(2) Die Meldepflicht entfällt, wenn die verantwortliche Stelle einen Beauftragten für

den Datenschutz bestellt hat

2. Inhaber, Vorstände, Geschäftsführer oder sonstige gesetzliche oder nach der

Verfassung des Unternehmens berufene Leiter und die mit der Leitung der

Datenverarbeitung beauftragten Personen,

(3) (…)

Hessisches Datenschutzgesetz (HDSG) in der Fassung vom 07. Januar

1999 (GVBl. I S. 98)

(1) Die datenverarbeitende Stelle hat schriftlich einen behördlichen

Datenschutzbeauftragten sowie einen Vertreter zu bestellen. Bestellt werden

dürfen nur Beschäftigte, die dadurch keinem Interessenkonflikt mit sonstigen

dienstlichen Aufgaben ausgesetzt werden. Für die Wahrnehmung seiner Aufgaben

nach Abs. 2 muß der behördliche Datenschutzbeauftragte die erforderliche

Sachkenntnis und Zuverlässigkeit besitzen. Wegen dieser Tätigkeit, bei der er frei

von Weisungen ist, darf er nicht benachteiligt werden. Er ist insoweit unmittelbar

der Leitung der datenverarbeitenden Stelle zu unterstellen; in Gemeinden und

Gemeindeverbänden kann er auch einem hauptamtlichen Beigeordneten

unterstellt werden. Der behördliche Datenschutzbeauftragte ist im erforderlichen

Umfang von der Erfüllung anderer Aufgaben freizustellen sowie mit den zur

Erfüllung seiner Aufgaben notwendigen räumlichen, personellen und sachlichen

Mitteln auszustatten. Die Beschäftigten der datenverarbeitenden Stelle können

sich ohne Einhaltung des Dienstweges in allen Angelegenheiten des

Datenschutzes an ihn wenden.

4. das nach § 6 Abs. 1 zu erstellende Verzeichnis zu führen und für die Einsicht

nach § 6 Abs. 2 bereitzuhalten,

(3) Die datenverarbeitende Stelle kann einen Beschäftigten ihrer Aufsichtsbehörde

mit deren Zustimmung zum Beauftragten für den Datenschutz bestellen. Mehrere

datenverarbeitende Stellen können gemeinsam einen ihrer Beschäftigten zum

Datenschutzbeauftragten bestellen, wenn dadurch die Erfüllung seiner Aufgabe

nicht beeinträchtigt wird. Bestellungen von Personen, die nicht der

datenverarbeitenden Stelle angehören, sind dem Hessischen

Datenschutzbeauftragten mitzuteilen.

(1-5) (…)

(7) (…)

Die Verarbeitung von Daten der Nutzer einer Internetseite ist im

Telemediengesetz (TMG) vom 26. Februar 2007 (BGBl. I S. 179)

geregelt.

(2) Der Diensteanbieter darf Nutzungsdaten eines Nutzers über die

Inanspruchnahme verschiedener Telemedien zusammenführen, soweit dies für

Abrechnungszwecke mit dem Nutzer erforderlich ist.

(3) Der Diensteanbieter darf für Zwecke der Werbung, der Marktforschung oder zur

bedarfsgerechten Gestaltung der Telemedien Nutzungsprofile bei Verwendung von

Pseudonymen erstellen, sofern der Nutzer dem nicht widerspricht. Der

Diensteanbieter hat den Nutzer auf sein Widerspruchsrecht im Rahmen der

Unterrichtung nach § 13 Abs. 1 hinzuweisen. Diese Nutzungsprofile dürfen nicht

mit Daten über den Träger des Pseudonyms zusammengeführt werden.

(6) Die Abrechnung über die Inanspruchnahme von Telemedien darf Anbieter,

Zeitpunkt, Dauer, Art, Inhalt und Häufigkeit bestimmter von einem Nutzer in

Anspruch genommener Telemedien nicht erkennen lassen, es sei denn, der

Nutzer verlangt einen Einzelnachweis.

II.

Das Gericht setzt das Verfahren aus und reicht beim Gerichtshof ein

Vorabentscheidungsersuchen zur Gültigkeit der 42 Abs. 1 Nr. 8b und 44a der

Verordnung (EG) Nr. 1290/2005 und der Verordnung (EG) Nr. 259/2008 sowie zur

Auslegung der Richtlinie 95/46/EG ein, weil eine Entscheidung darüber zum Erlass

seines Urteils erforderlich ist.

Die Klage richtete und richtet sich gegen den richtigen Beklagten, da die Funktion

als Zahlstelle während des laufenden gerichtlichen Verfahrens nicht wirksam auf

die Investitionsbank Hessen übertragen wurde. Es fehlt schon an der notwendigen

öffentlichen Bekanntmachung. Denn es handelt sich bei den Aufgaben der IBH im

Bereich Agrarförderung nicht um eine originäre Zuständigkeit der IBH, sondern es

ist ein vertraglicher Übergang vorausgesetzt. Daraus folgt auch, dass das

Ministerium in jedem Fall weiterhin eine Restverantwortung innehat (vgl. auch die

Aufsichtsregelung in § 12 des Vertrags), die über die allgemeine gesetzliche

Rechtsaufsicht hinausgeht. Andernfalls hätte die IBH und nicht das Ministerium ein

Verfahrensverzeichnis aufstellen müssen, was gerade nicht der Fall ist. Von der

Verantwortung des Ministeriums geht wohl auch die Beigeladene aus, da auf der

Internetseite zur Veröffentlichung als verantwortliche Stelle für Hessen weiterhin

das Ministerium genannt ist ( www.agrar-fischerei-

zahlungen.de/agrar_ansprechpartner.htnl#He, Stand 24.02.2009).

Ob die Klage begründet ist, hängt zunächst von der Gültigkeit der vorgelegten

Gemeinschaftsvorschriften ab. Erweist sich die Verordnung (EG) Nr. 259/2008 als

ungültig, fehlt es an einer Rechtsgrundlage für die Verarbeitung (§ 7 Abs. 1 Nr. 1

HDSG) und der Klage ist stattzugeben. Die Klägerin kann sich als Gesellschaft

ebenfalls auf das Recht der informationellen Selbstbestimmung nach Art. 2 Abs. 1

i. V. m. Art. 1 Abs. 1 GG und Art. 14 Abs. 1 sowie Art. 19 Abs. 3 GG insoweit

berufen, als ihren Trägern Schutz gegen unbegrenzte Erhebung, Speicherung,

Verwendung oder Weitergabe der betreffenden individualisierte oder

individualisierbarer Daten zusteht (vgl. BVerwG, Urteil vom 20.12.2001, Az.: 6 C

7/01, Rdnr. 18 - nach Juris; BVerfG, Beschluss vom 01.10.1987, Az.: 2 BvR 1178/86

u. a., Rdnr. 126 - nach Juris; BVerfG, Urteil vom 17.07.1984, Az.: 2 BvE 11/83, 2

BvE 15/83, Rdnr. 135 f. - nach Juris; VG Wiesbaden, Urteil vom 07.12.2007, Az.: 6 E

928/07, S. 11). Insoweit sind die Ausführungen des Hessischen

Datenschutzgesetzes auch auf juristische Personen, soweit ein grundrechtlich

verbürgtes Recht auf informationelle Selbstbestimmung nach Art. 14 GG gegeben

ist, entsprechend anzuwenden. Eine Ungültigkeit der Verordnung kann sich aus

dieser selbst oder daraus ergeben, dass die Vorschriften aus der Verordnung (EG)

Nr. 1290/2007, deren Durchführung sie dient, ungültig sind. Sind diese

Gemeinschaftsvorschriften gültig, ergibt sich ein Unterlassungsanspruch der

Klägerin, wenn die Regelungen der Gemeinschaft zum Datenschutz nicht beachtet

wurden. Um das zu prüfen, ist eine Auslegung durch den Gerichtshof nötig.

Nach Auffassung des Gerichts verstoßen die Art. 44a und 40 Abs. 1 Nr. 8b der

Verordnung (EG) Nr. 1290/2005 gegen primäres Gemeinschaftsrecht.

Nach Art. 44a der Verordnung (EG) Nr. 1290/2005 veröffentlichen die

Mitgliedstaaten Informationen über die Empfänger von EGFL- und ELER-Mitteln

sowie der Beträge, die jeder Begünstigte aus diesen Fonds erhalten hat. Diesem

Artikel entnimmt das Gericht, dass über jeden Empfänger eine Veröffentlichung

erfolgen muss. Darin liegt ein Eingriff in das Grundrecht auf Datenschutz, der nicht

gerechtfertigt ist.

Dass Datenschutz auf Gemeinschaftsebene ein Grundrecht ist, ergibt sich aus

dem Schutz des Privatlebens in Art. 8 EMRK und den Verfassungstraditionen der

Mitgliedstaaten. Dies wird bekräftigt durch die Charta der Grundrechte der

Europäischen Union, die in Art. 7 den Schutz des Privatlebens und in Art. 8 den

Schutz der persönlichen Daten als Grundrecht enthält (vgl. das Urteil des

Gerichtshofs vom 28.01.2008 in der Rechtsache C-275/06, Promusicae/Telefonica,

Slg. 2008, I-271, Rn. 63 und die Schlussanträge der Generalanwältin Kokott vom

18.07.2007 in dieser Rechtssache, Rn. 51 ff.). Berufliche Tätigkeiten sind mit

geschützt (vgl. das Urteil des Gerichtshofs vom 20.05.2003 in den verbundenen

Rechtssachen C-465/00, C-138/01 und C-139/01, Rechnungshof/Österreichischer

Rundfunk, Slg. 2003, I-4989, Rn. 73). Auch soweit wie im vorliegenden Fall Daten

einer Gesellschaft betroffen sind, sieht das Gericht diese als vom Schutz des

Grundrechts mit umfasst. In der Charta der Grundrechte wird der Datenschutz,

den Verfassungsüberlieferungen der Mitgliedstaaten folgend, als eigenes

Grundrecht erwähnt und so vom Schutz des Privatlebens abgekoppelt. Auch der

Europäische Gerichtshof für Menschenrechte sieht durch Art. 8 EMRK juristischen

Personen geschützt (vgl. zusammenfassend Grabenwarter, Europäische

Menschenrechtskonvention, 3. Aufl., § 22 Rn. 4). Hier kommt dazu, dass der Name

der Gesellschaft aus den Namen der Gesellschafter besteht, so dass zu

veröffentlichende Informationen diesen persönlich zuzurechnen sind. In jeder

Veröffentlichung liegt ein Eingriff in dieses Grundrecht, weil es sich um die denkbar

breiteste Übermittlung handelt.

Das Gericht weist darauf hin, dass Gesellschaften bürgerlichen Rechts in

Deutschland erst seit kurzen als rechtsfähig und in gerichtlichen Verfahren

beteiligtenfähig angesehen werden. Nach früherer Rechtsprechung wären die

Gesellschafter persönlich die Kläger gewesen. Im Übrigen unterscheidet Art. 44a

der Verordnung nicht zwischen natürlichen und juristischen Personen, so dass

dieser in jedem Fall am Grundrecht auf Schutz von Daten natürlicher Personen zu

messen ist.

Der Eingriff ist nicht gerechtfertigt. Zu dieser Frage zieht das Gericht die Schranke

in Art. 8 Abs. 2 EMRK heran (vgl. Urteil Rechnungshof/Österreichischer Rundfunk,

a.a.O., Rn. 80 ff.). Danach muss der Eingriff zur Erreichung eines dort genannten

Zwecks in einer demokratischen Gesellschaft notwendig sein. Die Maßnahme

muss demnach in einem angemessenen Verhältnis zu dem verfolgten

berechtigten Zweck stehen (vgl. Urteil Rechnungshof/Österreichischer Rundfunk,

a.a.O., Rn. 83) und es muss ein zwingendes gesellschaftliches Bedürfnis bestehen

(vgl. Schlussanträge, Promusicae/Telefonica, a.a.O., Rn. 54). Nach der 14.

Begründungserwägung der Verordnung (EG) Nr. 1437/2007 verfolgt die

Veröffentlichung das Ziel, die Transparenz in Bezug auf die Verwendung der

Gemeinschaftsmittel zu erhöhen und durch eine öffentliche Kontrolle die

Wirtschaftlichkeit der Haushaltsführung der betroffenen Fonds zu verbessern. Dazu

ist anzumerken, dass die Transparenz keinen eigenständigen Zweck darstellt,

sondern das Ergebnis der Maßnahme beschreibt. Die Verbesserung der

Haushaltskontrolle dient zwar – bei weiter Auslegung des Art. 8 Abs. 2 EMRK – dem

wirtschaftlichen Wohl des Landes. Sie ist jedoch vorliegend nicht angemessen. Das

Gericht bezweifelt schon, ob die Veröffentlichung überhaupt geeignet ist. Die

Beigeladene hat ein Schreiben des Bundesministeriums für Ernährung,

Landwirtschaft und Verbraucherschutz vorgelegt (Bl. 114, 116 d.A. 6 K 1045/08.WI,

Band I). Daraus geht hervor, dass aus dessen fachlicher Sicht die Kontrolle der

verwendeten Mittel und die Verhütung von Unregelmäßigkeiten nicht verbessert

werden. Es bestünden schon umfangreiche Kontrollmechanismen, die

weiterentwickelt würden.

Jedenfalls steht die Veröffentlichung nicht in einem angemessenen Verhältnis zu

dem verfolgten Zweck. Bei dieser Bewertung stütz sich das Gericht auf das Urteil

des Gerichtshofs in der Rechtssache Rechnungshof/Österreichischer Rundfunk und

das daraufhin ergangene Urteil des Österreichischen Verfassungsgerichtshofs vom

28.11.2003 (Aktenzeichen KR 1/00-33, verfügbar im Internet unter

http://www.vfgh.gv.at/cms/vfgh-

ite/attachments/3/8/6/CH0006/CMS1108403943433/kr1-33-00.pdf). Nach der

Rechtsprechung des Gerichtshofs in diesem Vorabentscheidungsverfahren ist es

zwingende Voraussetzung, dass die Veröffentlichung – in dem Fall ging es die

Bezüge von Bediensteten bestimmter juristischer Personen des öffentlichen

Rechts – wirklich erforderlich ist. Das ist nur dann der Fall, wenn der Zweck nicht

ebenso erreicht werden könnte, indem die Informationen nur den Kontrollorganen

mitgeteilt oder nur Gesamtbeträge veröffentlicht würden (vgl. Urteil

Rechnungshof/Österreichischer Rundfunk, a.a.O., Rn. 88). In seinem Urteil hat der

Österreichische Verfassungsgerichtshof entschieden, dass die Veröffentlichung

von Bezügen einzelner Beschäftigter nicht erforderlich ist. Dazu führt er aus (S. 30

unterer Absatz):

”Auch die Bundesregierung behauptet in ihrer Stellungnahme nicht, dass die

Veröffentlichung der Bezüge unter Nennung der Namen der Bezügeempfänger im

Sinne der Entscheidung des Europäischen Gerichtshofes zur effizienten

Mittelverwendung notwendig sei. Sie argumentiert mehrfach damit, dass die

personenbezogene Einkommensveröffentlichung einem dringenden sozialen

Bedürfnis nach Transparenz bei der Verwendung öffentlicher Mittel und nach

Vermeidung deren Missbrauchs bestehe, tut aber nicht dar, wieso es notwendig

sein soll, die Namen von Personen und ihre Bezüge zu veröffentlichen, um die

ordnungsgemäße Verwendung öffentlicher Mittel sicherzustellen; darauf kommt es

aber nach der - den Verfassungsgerichtshof bindenden - Entscheidung des

Europäischen Gerichtshofes vom 20. Mai 2003, Rs. C-465/00 ua.,

, an.”

Dem schließt sich das Gericht für den vorliegenden Fall an. Ein entsprechender

Vortrag fehlt. Außerdem ergibt sich aus den Erwägungsgründen nichts, was eine

Erforderlichkeit im Sinne dieser Rechtsprechung auch nur im Ansatz begründet. In

wie weit unter diesem Umständen eine Veröffentlichung der Daten auch nur im

Ansatz dem öffentlichen Wohl des Landes dienen kann (Art. 8 Abs. 2 EMRK) oder

ein zwingendes öffentliches Interesse besteht, ist nicht dargetan.

Art. 42 Abs. 1 Nr. 8b der Verordnung (EG) Nr. 1290/2005 hält nach Ansicht des

Gerichts einer Überprüfung an Hand der Art. 202 4. Spiegelstrich EG und Art. 211

3. Spiegelstrich EG nicht Stand. Dieser Artikel 42 Abs. 1 Nr. 8b der Verordnung

(EG) Nr. 1290/2005 regelt, dass die Kommission die Bestimmungen zur

Durchführung des Art. 44a der Verordnung (EG) Nr. 1290/2005 erlässt. Hier erhält

die Kommission einen sehr weiten Spielraum, welche Daten in welcher Weise

veröffentlicht werden. Insbesondere bleibt offen, ob auch eine Veröffentlichung

ausschließlich im Internet erfolgt, was nach einen besonders gravierenden

Grundrechtseingriff darstellt. Auch wenn der Begriff der Durchführung weit

ausgelegt wird, müssen doch die wesentlichen Grundzüge der geregelten Materie

in dem Basisrechtsakt festgelegt werden, um noch von einer Durchführung

sprechen zu können. Ansonsten würde das institutionelle Gleichgewicht gestört,

insbesondere zu Lasten der Mitwirkung des Europäischen Parlaments. Dabei ist

auch zu berücksichtigen, dass Art. 8 Abs. 2 EMRK an eine demokratische

Gesellschaft anknüpft. Das muss bei der Einhaltung des institutionellen

Gleichgewichts berücksichtigt werden.

Selbst wenn Art. 44a oder 42 Abs. 1 Nr. 8b der Verordnung (EG) Nr. 1290/2005

gültig sind, ergibt sich die Ungültigkeit der Verordnung (EG) Nr. 259/2008 der

Kommission aus Verstößen gegen das Grundrecht auf Datenschutz, die die

Verordnung selbst enthält. Sie sieht vor, dass die Informationen ausschließlich im

Internet auf einer speziellen Website veröffentlicht werden. Angegeben werden der

Name des Empfängers und die Beträge, aufgeschlüsselt nach ”EGFL” und ”ELER”.

Diese Veröffentlichung geht nach Auffassung des Gerichts weit über das hinaus,

was in einer demokratischen Gesellschaft notwendig ist.

Bei der Veröffentlichung im Internet handelt es sich um einen besonders

tiefgreifenden Eingriff. Informationen sind weltweit einsehbar, und zwar auch in

solchen Staaten, deren Datenschutzniveau nicht dem in der Gemeinschaft

entspricht. Es wäre jedoch nach den Darlegungen der Sachverständigen möglich,

den Zugriff auf IP-Adressen aus der Europäischen Union zu beschränken. Das wäre

ein weniger tiefer Eingriff, die Verordnung sieht das aber nicht vor. Da es um die

Schwere des Eingriffs und nicht die Einordnung nach sekundärem

Gemeinschaftsrecht geht, ist es nach Auffassung des Gerichts unerheblich, ob es

sich nicht um eine Übermittlung in ein Drittland im Sinne von Art. 29 der Richtlinie

95/46/EG handelt, wie es der Gerichtshof in dem Urteil vom 06.11.2003 in der

Rechtssache C-101/01, Bodil Lindqvist, Slg. 2003, I-12971, entschieden hat.

Vielmehr kommt es darauf an, dass es nicht möglich ist, die Daten nach zwei

Jahren aus dem Internet zu entfernen. Art. 3 Abs. 3 der Verordnung, der eine

Löschung nach 2 Jahren vorsieht, kann demnach technisch nicht umgesetzt

werden. Zwar werden die Daten aus der Datenbank der Beigeladenen gelöscht, die

Speicherung der Informationen durch andere Webdienste kann aber weder

verhindert noch rückgängig gemacht werden. Zwar findet wohl keine Speicherung

in Zwischenspeichern von Suchmaschinen (z.B. Google-Cache) statt, weil jede

Anzeige aus der Datenbank generiert wird. Es kann aber nicht verhindert werden,

dass ein Nutzer legalerweise abgefragte Daten speichert und dann selbst ins

Internet stellt, etwa im html oder pdf Format. Dann ist auch ein Zugriff über

Suchmaschinen möglich. Diese Vorgehensweise wird durch die Suchfunktion

erleichtert, für die nach Art. 2 der Verordnung (EG) Nr. 259/2008 der Kommission

eine Angabe nach deren Art. 1 Abs. 1 (etwa nur der Name der Gemeinde oder die

Postleitzahl) ausreicht, um eine Suche durchzuführen.

Die bloße Veröffentlichung im Internet ist auch zur Information der Bürger nicht

geeignet. Es ist anzumerken, dass die Nennung der beiden Fonds mit ihren

Abkürzungen die Bürger eher verwirren als informieren könnte. Dabei ist nach dem

Ziel der Transparenz nicht auf die Fachöffentlichkeit, sondern auf den

interessierten ”Durchschnittsbürger” abzustellen. Da jedenfalls die Maßstäbe der

Beihilfenvergabe nicht gleichzeitig erläutert werden und von dem Namen und Ort

des Empfängers nicht auf dessen Betrieb und seine Lage geschlossen werden

kann, erreicht die Verordnung (EG) Nr. 259/2008 höchstens einen minimalen

Informationsmehrwert. Hinzu kommt, dass die ausschließliche Veröffentlichung im

Internet abschreckenden Charakter hat. Diejenigen Bürger, die überhaupt Zugang

zum Internet haben und sich informieren wollen, werden gezwungen, sich einer

Vorratsdatenspeicherung nach der Richtlinie 2006/24/EG auszusetzen. Das Gericht

sieht es als einen Wertungswiderspruch an, einerseits die Telekommunikation

verstärkt zu überwachen , aber andererseits Informationen, die der Teilnahme der

Bürger an öffentlichen Angelegenheiten dienen sollen, nur elektronisch zugänglich

zu machen. Da der Gerichtshof in die Lage kommen kann, dass er die Gültigkeit

der Verordnung (EG) 259/2008 nur bejaht, wenn die Vorratsdatenspeicherung

nach der Richtlinie 2006/24/EG entfällt, legt das Gericht auch die Frage der

Gültigkeit dieser Richtlinie mit vor. Dadurch ist der Gerichtshof befugt, die

Vereinbarkeit der Richtlinie mit Grundrechten, insbesondere dem Rechts auf

Datenschutz, zu prüfen. Er ist daran auch nicht durch das Urteil vom 10.02.2009 in

der Rechtssache Irland/Parlament und Rat, C-301/06, gehindert, weil Irland die

Klage nur auf den Klagegrund der Unzuständigkeit gestützt hat (vgl. Rn. 57 dieses

Urteils). Das Gericht sieht in der Datenspeicherung auf Vorrat einen Verstoß

gegen das Grundrecht auf Datenschutz. Sie ist in einer demokratischen

Gesellschaft nicht notwendig. Der Einzelne gibt keine Veranlassung für den Eingriff,

kann aber bei seinem legalen Verhalten wegen der Risiken des Missbrauchs und

des Gefühls der Überwachung eingeschüchtert werden (vgl. Schlussanträge

Promusicae/Telefonica, a.a.O., Rn. 82). Die Generalanwältin hat ausgeführt: ”Man

kann daran zweifeln, ob die Speicherung von Verkehrsdaten aller Nutzer –

gewissermaßen auf Vorrat – mit Grundrechten vereinbar ist, insbesondere da dies

ohne konkreten Verdacht geschieht.” Auf die von ihr in den Fußnoten 42 und 43

(Schlussanträge Promusicae/Telefonica, a.a.O.) bezeichneten Quellen wird voll

inhaltlich Bezug genommen.

Der nach Art. 8 ERMK zu wahrende Verhältnismäßigkeitsgrundsatz ist durch die

Richtlinie 2006/24/EG nicht gewahrt, weshalb sie ungültig ist (zum engen

Verhältnismäßigkeitsgrundsatz siehe zuletzt Europäischer Gerichtshof für

Menschenrechte, Urteil vom 04.12.2008, Az. 30562/04 und 30566/04, Rdnr. 103

ff.).

Soweit die in den ersten beiden Fragen bezeichneten Gemeinschaftsvorschriften

gültig sind, kommt es darauf an, wie es sich auswirkt, wenn die an der

Veröffentlichung beteiligten Stellen eines Mitgliedstaats das Verfahren der

Meldung nach Art. 18 der Richtlinie 95/46/EG nicht eingehalten haben. Nach Art. 5

der Richtlinie 95/46/EG richten sich die Voraussetzungen, unter denen die

Verarbeitung von Daten rechtmäßig ist, nach dem Kapitel II der Richtlinie. Dazu

gehört der Abschnitt IX ”Meldung”. Diese Regelungen der Richtlinie 95/46/EG

werden durch bereichsspezifische Vorschriften nicht verdrängt. Der

Erwägungsgrund Nr. 7 der Verordnung (EG) Nr. 259/2008 geht von der Anwendung

der Richtlinie aus und nimmt auf diese Bezug. Die Umsetzungen der Meldepflicht

erfolgte sowohl im Bundesrecht als auch im hessischen Landesrecht. Die

Regelungen beruhen auf Art. 18 Abs. 2 2. Spiegelstrich der Richtlinie 95/46/EG.

Die Meldung bei einer Kontrollstelle wird durch die Führung eines Verzeichnisses

mit den Informationen, die in das Register der Kontrollstelle einzutragen wären, bei

dem behördlichen Datenschutzbeauftragte ersetzt, welcher an die Stelle der

Kontrollstelle tritt (§ 5 Abs. 2 Satz 2 Nr. 4 HDSG). In diesem Fall sind die

Verzeichnisse (Meldungen) aber fehlerhaft. So ist die Auftragsdatenverarbeitung

durch die Beigeladene – und ggf. eines privaten Dritten – bei der Meldung des

Hessischen Ministeriums für Umwelt, ländlichen Raum und Verbraucherschutz

nicht ausgewiesen. Es ist unter anderem auch unvollständig, weil konkrete

Angaben zu den Löschfristen fehlen. In dem Verfahrensverzeichnis der

Beigeladenen ist der private Provider nicht erwähnt. Angaben über die

Speicherung von IP-Adressen fehlen gänzlich (zur statistischen Auswertung und zu

Zwecken der Datensicherheit). Das Gericht geht davon aus, dass eine

Verarbeitung von personenbezogenen Daten und damit eine Veröffentlichung von

personenbezogenen Daten erst erfolgen darf, wenn die Maßnahmen nach den Art.

18 Abs. 2 2. Spiegelstrich der Richtlinie 95/46/EG durchgeführt worden sind in dem

Sinne, das eine vollständige, aussagekräftige Meldung vorliegt. Andernfalls wäre

eine Verarbeitung nach Treu und Glauben und auf rechtmäßige Weise (Art. 6

Buchstabe a der Richtlinie 95/46/EG) nicht möglich; konkrete Zwecke sind nicht

benannt. Würde man eine unvollständige Meldung (unvollständiges

Verfahrensverzeichnis) nicht im Sinne von Art. 6 der Richtlinie 95/46/EG als

Wirksamkeitsvoraussetzung ansehen, wäre die praktische Wirksamkeit der

Vorschriften über die Meldung beeinträchtigt – gar aufgehoben – , weil der Verstoß

für die weitere Verarbeitung mit personenbezogenen Daten folgenlos bliebe. Ein

Ergebnis, welches schier untragbar sein dürfte.

Nach § 7 Abs. 6 Satz 3 HDSG (siehe auch § 4d Abs. 5 Satz 1 BDSG) ist für die

Veröffentlichung nach der Verordnung (EG) Nr. 259/2008 eine Vorabkontrolle nach

Art. 20 der Richtlinie 95/46/EG durch den behördlichen Datenschutzbeauftragten

durchzuführen. Nach beiden Gesetzen erfolgt die Vorabkontrolle nicht durch eine

zentrale Kontrollstelle, sondern bei der verantwortlichen Stelle durch deren

betrieblichen oder behördlichen Datenschutzbeauftragten. Da im vorliegenden Fall

auch Art. 20 der Richtlinie anwendbar ist, darf die Veröffentlichung wegen Art. 6

Buchstabe a der Richtlinie nach Ansicht des Gerichts erst erfolgen, wenn die

Vorabkontrolle nach Art. 20 der Richtlinie durchgeführt worden ist. Andernfalls wäre

dieses Instrument nicht effektiv und es würde sich die Frage stellen, warum diese

Regelung überhaupt aufgenommen wurde.

Wenn die vierte Frage bejaht wird, kommt es darauf an, ob die Vorabkontrolle hier

ordnungsgemäß durchgeführt wurde. Die Vorabkontrolle erfolgte jedoch auf

Grundlage unvollständiger Verfahrensverzeichnisse (Meldungen). Da die

Bewertung nach der Richtlinie 95/46/EG auf der Grundlage der in den

Verzeichnissen enthaltenen Informationen erfolgt, kann sie nur wirksam

durchgeführt werden, wenn diese richtig und vollständig sind. Nur dann ist die

Grundlage für einen effektiven Schutz der Betroffenen gegeben.

Weiter stellt sich die Frage, ob die IP-Adressen der Benutzer, die die Daten nach

der Verordnung (EG) 259/2008 auf der Internetseite der Beigeladenen abrufen,

gespeichert werden dürfen. Zur Überzeugung des Gerichts steht fest, dass die

Speicherung der IP Adressen – wie auf der Webseite angegeben – erfolgt.

Jedenfalls muss sich die Beigeladene an ihrer Erklärung festhalten lassen. Der

Anwendungsbereich der Datenschutzrichtlinie 95/46/EG und des deutschen

Datenschutzrechts einschließlich § 15 TMG hängt davon ab, ob es sich dabei um

ein personenbezogenes Datum handelt, weil eine Zuordnung zu einer

bestimmbaren Person möglich ist, gleichwohl, ob es sich um eine statische oder

dynamische IP-Adresse handelt.

Die IP-Adresse ist ein numerisches Adressformat, welches die Kommunikation

vernetzter Geräte (Server oder Privatcomputer) im Internet ermöglicht. Bei Abruf

einer Seite wird dem Server, auf dem die Seite gespeichert ist, die Adresse des

abrufenden Computers mitgeteilt, so dass die Daten über das Internet von dem

einen an den anderen Rechner geleitet wird en können. Für die Verbindung von

Privatanwendern mit dem Internet können feste IP-Adressen vergeben werden.

Dabei handelt es sich nach Ansicht des Gerichts ohne weiteres um ein

personenbezogenes Datum. Üblicherweise werden dynamische IP-Adressen

verwendet. Dabei weist der Anbieter des Zugangs dem Kunden bei jedem Zugang

eine Adresse aus seinem Adresskontingent zu. Aus der Adresse kann der

Einwahlstandort des Benutzers abgelesen werden.

In der Rechtssache Promusicae/Telefonica hat die Generalanwältin die Ansicht

vertreten, dass eine dynamischen IP-Adresse personenbezogene Daten enthält

(vgl. Schlussanträge Promusicae/Telefonica, a.a.O., Rn. 61 und die Nachweise in

Fußnote 31). In seinem Urteil vom 29.01.2008 in dieser Rechtssache hat sich der

Gerichtshof ausdrücklich mit dieser Frage aber nicht beschäftigt. Das Amtsgericht

Berlin-Mitte hat einer Klage eines Benutzers der Internetseite des

Bundesministeriums der Justiz gegen die Speicherung seiner IP-Adresse

stattgegeben, weil über die dynamische IP-Adresse der Benutzer identifiziert

werden könne (Urteil vom 27.03.2007, 5 C 314/06, zitiert nach juris). Das

Amtsgericht Berlin-Mitte stützte sich maßgeblich auf die 26.

Begründungserwägung der Richtlinie 95/46/EG. Danach sollten bei der

Entscheidung, ob eine Person bestimmbar ist, alle Mittel berücksichtigt werden, die

vernünftigerweise entweder von dem Verantwortlichen für die Verarbeitung oder

von einem Dritten eingesetzt werden könnten, um die betreffende Person zu

bestimmen. Die Berufung der Beklagten erstreckte sich nur auf die Reichweite der

Unterlassungsverpflichtung. Der Rechtstreit ist rechtskräftig abgeschlossen (vgl.

Landgericht Berlin, Urteil vom 06.09.2007, 23 S 3/07, zitiert nach juris). In der

deutschen Literatur wurde dieser Rechtsprechung widersprochen. Das Gericht ist

aber der Auffassung, dass auch eine dynamische IP-Adresse ein

personenbezogenes Datum ist. Davon geht auch die Artikel 29-

Datenschutzgruppe in ihrem Arbeitsdokument WP 104 vom 18.01.2005 aus (Nr. III.

3., S. 19 ff., 01248/07/DE); bekräftigend in der Stellungnahme WP 150 vom

15.05.2008 (Nr. 3b, S. 8, 00989/08/DE). Da die Speicherung der IP-Adresse nicht

erforderlich ist, steht die Richtlinie 95/46/EG ihr entgegen.

Nach den Angaben des Sachverständigen B sollen in Zukunft bei den

Internetseiten hessischer Behörden die IP-Adressen zu statistischen Zwecken

anonymisiert werden, aus Gründen der Datensicherheit aber ungekürzt

gespeichert werden. Die Speicherfristen für die vollständig gespeicherten IP-

Adressen durfte er auf Nachfrage des Gerichts aus Geheimhaltungsgründen nicht

angeben. Da die Beigeladene ihre Seite im Auftrag auch des Landes Hessen

betreibt, geht das Gericht davon aus, dass eine Speicherung nach der Praxis

hessischer Behörden stattfindet. Diese wäre mangels einer gesetzlichen

Grundlage im hessischen Landesrecht nur zulässig, wenn es sich bei einer IP-

Adresse nicht um ein personenbezogenes Datum handelt.

In diesem Zusammenhang ist auf folgendes hinzuweisen: Nach einem

Gesetzentwurf der Bundesregierung eines Gesetzes zur Stärkung der Sicherheit in

der Informationstechnik des Bundes (Bundesrats-Drucksache 62/09) ist geplant,

dem Bundesamt für die Sicherheit in der Informationstechnik die Befugnis

einzuräumen, zur Abwehr von Gefahren für die Kommunikationstechnik des

Bundes Protokolldaten und solche Daten, die an den Schnittstellen der

Kommunikationstechnik des Bundes anfallen, auszuwerten. Zur

Informationstechnik des Bundes gehört auch die Internetseite der Beigeladenen.

Bei der Verabschiedung des Entwurfs, der als besonders dringlich bezeichnet ist,

würde sich die Überwachung der Nutzung der nach der Verordnung (EG) Nr.

259/2008 veröffentlichten Daten noch verstärken. Mit einem In-Kraft-Treten des

neuen Gesetzes ist in einigen Monaten zu rechnen, so dass es schon für das

Vorabentscheidungsverfahren vor dem Gerichtshof relevant ist und sich die Frage

nach dem Anwendungsbereich der Richtlinie 95/46/EG hinsichtlich von IP-Adressen

besonders dringlich stellt.

Es wird angeregt, dieses Vorabentscheidungsersuchen mit demjenigen in dem

Verfahren … gegen Land Hessen (6 K 1352/08.WI) zu verbinden.

Dieser Beschluss ist unanfechtbar.

Hinweis: Die Entscheidung wurde von den Dokumentationsstellen der hessischen Gerichte

ausgewählt und dokumentiert. Darüber hinaus ist eine ergänzende Dokumentation durch

die obersten Bundesgerichte erfolgt.