Bei einem Hackerangriff auf das Playstation-Netzwerk von Sony sind vermutlich Daten von mehr als 70 Millionen Nutzern gestohlen worden.  Sony hat auf einer Website auf den Umstand hingewiesen.

Vor dem Hintergrund dieses Falles sollen an dieser Stelle die gesetzlichen Anforderungen an die Informationspflicht bei unrechtmäßiger Kenntniserlangung von Daten dargestellt werden.

Seit dem 1. September 2009 wurde die “Informationspflicht bei unrechtmäßiger Kenntniserlangung von Daten” in das deutsche Datenschutzrecht aufgenommen.
Dies bedeutet, dass im Fall einer Datenpanne die Daten verarbeitende Stelle unter bestimmten Voraussetzungen verpflichtet ist, die Datenschutz-Aufsichtsbehörde und die von der Panne Betroffenen über die Datenpanne zu informieren.

I. Gesetzliche Regelung
Die datenschutzrechtlichen Informationspflichten finden sich in § 42a BDSG, § 15a TMG sowie § 93 Abs. 3 TKG.
Am 19.12.2009 ist die Richtlinie 2009/136/EG in Kraft getreten, deren Art. 2 Nr. 1 und 4 eine Ergänzung von Art. 4 RL 2002/58/EG bzgl. einer Informationspflicht für den Fall einer “Verletzung des Schutzes personenbezogener Daten” vorsieht. Die Informationspflicht gemäß der Richtlinie ist weitergehend als die bisherigen deutschen Regelungen. Da die Richtlinie bis zum 25. Mai 2011 in nationales Recht umzusetzen ist, werden hier noch Anpassungen an das deutsche Recht erfolgen.

II. Arten von Daten
1. § 42a BDSG
Die Informationspflicht in § 42a BDSG beschränkt sich auf die dort genannten Arten von Daten. Dies sind:
besondere Arten personenbezogener Daten i. S. v. § 3 Abs. 9 BDSG
personenbezogene Daten, die einem Berufsgeheimnis unterliegen
personenbezogene Daten, die sich auf strafbare Handlungen oder Ordnungswidrigkeiten bzw. den Verdacht solcher beziehen,
personenbezogene Daten zu Bank- oder Kreditkartenkonten.

2. § 15a TMG, § 93 Abs. 3 TKG
§ 15 a TMG dagegen betrifft sämtliche Bestands- und Nutzungsdaten (§§ 14 und 15 TMG). Dies gilt auch für § 93 Abs. 3 TKG. Dies hat zur Folge, dass jedes Unternehmen mit einer Website entsprechende Daten vorhält und von einer Informationspflicht betroffen sein kann.

III. Verpflichteter
§ 42a BDSG betrifft nicht-öffentliche Stellen im Sinne des § 2 Abs. 4 BDSG und öffentlich-rechtliche Wettbewerbsunternehmen gem. § 27 Abs. 1 Satz 1 Nr. 2 BDSG.
§ 15 TMG und § 93 Abs. 3 TKG dagegen enthalten keine solche Einschränkung und betreffen somit alle Diensteanbieter. Gem. § 2 Nr. 1 TMG ist Diensteanbieter jede natürliche oder juristische Person, die eigene oder fremde Telemedien zur Nutzung bereithält oder den Zugang zur Nutzung vermittelt. Dies können auch öffentlich-rechtliche Körperschaften sein. § 1 Abs. 1 Satz 2 TMG stellt zudem klar, dass das TMG für alle Anbieter “einschließlich der öffentlichen Stellen” gilt.

IV. Unrechtmäßige Übermittlung oder Kenntniserlangung
Eine Übermittlung liegt vor, wenn die Daten verarbeitende Stelle selbst aktiv und zielgerichtet Daten an Dritte weitergibt.
Kenntniserlangung genügt, so dass kein aktives Handeln der verantwortlichen Stelle erforderlich ist, sondern auch Hackerangriffe etc. erfasst werden.
Unrechtmäßig ist eine Kenntniserlangung dann, wenn sie gegen § 4 Abs. 1 BDSG verstößt, also keine rechtliche Grundlage hat und der Betroffene nicht eingewilligt hat.
Eine unrechtmäßige Kenntniserlangung kommt in folgenden Fällen in Betracht:
datenschutzwidrige Entsorgung von Altgeräten
Diebstahl oder Verlust einer Daten-CD-ROM, Notebooks, Tablet-PCs, USB-Sticks oder anderen mobilen Devices
Hack einer Datenbank
unberechtigter Weiterverkauf von Daten

Es ist nicht erforderlich, dass eine Kenntnisnahme bewiesen werden kann, bloße Anhaltspunkte hierfür genügen.

V. Drohende schwerwiegende Beeinträchtigung
Zudem müssen schwerwiegende Beeinträchtigungen für die Rechte oder schutzwürdigen Interessen der Betroffenen drohen. Zur Gewichtung der Beeinträchtigung werden Kriterien wie Art und Umfang der betroffenen Daten wie auch die potenziellen Auswirkungen der unrechtmäßigen Kenntniserlangung herangezogen.
In der Regel dürfte bei den in § 42a BDSG genannten Daten von einer schwerwiegenden Beeinträchtigung auszugehen sein.
Bei reinen Bestandsdaten nach TMG oder TKG (z. B. Name, Anschrift des Nutzers) ist von einer geringeren Beeinträchtigung auszugehen.
Gem. Art. 4 Abs. 3 RL 2002/58/EG kann man diskutieren, ob im Falle einer sicheren Verschlüsselung eine Informationspflicht entfällt, da demnach keine Benachrichtigung zu erfolgen hat, wenn zur Zufriedenheit der zuständigen Behörde nachgewiesen wurde, dass geeignete technische Schutzmaßnahmen getroffen wurden.

VI. Inhalt und Umfang der Informationspflicht
Wenn eine Informationspflicht besteht, so muss die verantwortliche Stelle unverzüglich (also ohne schuldhaftes Zögern) sowohl die zuständige Aufsichtsbehörde als auch die Betroffenen informieren, § 42a S. 2 - 5 BDSG.

1. Benachrichtigung der Behörde
Vor dem Betroffenen ist zunächst die Aufsichtsbehörde zu informieren. Gem. § 38 Abs. 1 S. 2 BDSG sind die Aufsichtsbehörden zur Beratung und Unterstützung des Benachrichtigungspflichtigen verpflichtet. Folglich kann es im Einzelfall ratsam sein, die Aufsichtsbehörden möglichst frühzeitig einzuschalten.

2. Benachrichtigung der Betroffenen
Auch der von der Datenpanne Betroffene ist unverzüglich zu informieren.
Die Benachrichtigungsfrist verlängert sich jedoch gem. § 42a S. 2 BDSG um den Zeitraum,
(1) der nötig ist, um unverzüglich angemessene Maßnahmen zur Sicherung der Daten zu ergreifen, und
(2) der abgewartet werden muss, damit eine etwaige Strafverfolgung nicht mehr gefährdet ist.

3. Anforderungen an die Information
Die Anforderungen an die Information der Aufsichtsbehörden und der Betroffenen sind unterschiedlich ausgeprägt, § 42a Satz 3 - 5 BDSG.
Nach § 42a S. 3 BDSG muss die Benachrichtigung des Betroffenen
(1) eine Darlegung der Art der unrechtmäßigen Kenntniserlangung und
(2) Empfehlungen zur Vermeidung nachteiliger Folgen
enthalten.
Auch auf die Art der betroffenen Daten ist hinzuweisen.
Eine Benachrichtigung in Form einer E-Mail ist ausreichend.
Die Betroffenen sind einzeln zu benachrichtigen, es sei denn, eine Ausnahme gem. § 42a S. 5 BDSG liegt vor, also die Benachrichtigung der Betroffenen einen unverhältnismäßigen Aufwand erfordern würde. Dies kann insbesondere dann der Fall sein, wenn eine Vielzahl von Betroffenen existiert. In einem solchen Fall soll es gestattet sein, Anzeigen zu schalten, die mindestens eine halbe Seite umfassen und in mindestens zwei bundesweit erscheinenden Tageszeitungen abgedruckt werden. Dieser Maßnahme vergleichbar geeignete Maßnahmen sind ebenfalls möglich. Entscheidend ist der betroffene Personenkreis.
Ein Hinweis auf der Website kann ausreichend sein, wenn nur die Anmeldedaten der Nutzer bekannt sind. Der Hinweis ist dann jedoch gut sichtbar auf der Website zu positionieren.
Sowohl im Rahmen der Benachrichtigung der Betroffenen als auch der Aufsichtsbehörden müssen gesetzliche Geheimhaltungspflichten sowie Berufsgeheimnisse gewahrt bleiben.

VII. Bußgeld
Ein Bußgeld von bis zu 300.000 Euro droht gem. § 43 Abs. 2 Nr. 7, Abs. 3 BDSG für den Fall, dass eine Benachrichtigung nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig erfolgt. Eine Bußgeldandrohung bei einem Verstoß gegen § 15a TMG oder § 93 Abs. 3 TKG ist vom Gesetz dagegen nicht vorgesehen.

VIII. Fazit
Ob tatsächlich eine Informationspflicht bei unrechtmäßiger Kenntniserlangung von Daten im konkreten Fall vorliegt bedarf einer gründlichen Prüfung.

Das Oberlandesgericht (OLG) Hamm hat entschieden (Urteil vom 02.07.2009, Az.: 4 U 73/09), dass Versandkostenangaben bei Fernabsatzgeschäften im Internet dem Verbraucher nicht erst nach Einleitung des Bestellvorgangs mitgeteilt werden dürfen. Dies unabhängig davon, ob die Bestellung für den Verbraucher schon bindend ist. So auch der BGH (Urteil vom 04.10.2007, Az.: I ZR 143/04).

Die Rechtsprechung will dem Verbraucher damit die Möglichkeit verschaffen, einen sinnvollen Preisvergleich vornehmen können, bevor er sich für eine Ware entschiden hat.

Ein Verstoß gegen die Preisangabenverordnung als Marktverhaltensregel im Sinne von § 4 Nr. 11 UWG kann kostenpflichtig abgemahnt werden.

Der Bundesgerichtshof (BGH) hat am 15.12.2009 (Az.: VI ZR 227/08) entschieden,  dass eine Rundfunkanstalt nicht mehr aktuelle Rundfunkbeiträge, in denen ein verurteilter Straftäter namentlich genannt wird, in dem für Altmeldungen vorgesehenen Teil ihres Internetportals (”Online-Archiv”) weiterhin zum Abruf bereit halten darf.

Das Gericht hat somit ausdrücklich keine Löschungspflicht angenommen.

Die Entscheidung basiert auf einer umfassenden Abwägung des Persönlichkeitsrechts des Straftäters mit dem Recht der Rundfunkanstalt auf Meinungs- und Medienfreiheit.

Das Gericht betonte, dass es in dem zu entscheidenden Fall (Mord anWalter Sedlmayr) um eine Straftat gehe, die so spektakulär und aufsehend erregend gewesen sei, dass sie Teil des  Zeitgeschehens sei.

Berichte über das Zeitgeschehen gehörten zur Aufgabe der Medien.

Da die Straftat in der Vergangenheit begangen wurde, habe das Resozialisierungsinteresse des Klägers eine besondere Bedeutung. Eine vollständige Immunisierung vor einer ungewollten Darstellung sei damit aber nicht gemeint. Er habe keinen Anspruch darauf, überhaupt nicht mehr mit der Tat konfrontiert zu werden.

Schließlich bestehe ein öffentliches Interesse nicht nur an aktuellen Ereignissen, sondern auch an Vergangenem. Das von dem Kläger verlangte, generelle Verbot einer Verbreitung des alten Artikels hätte zur Folge, dass der grundrechtlich geschützte, freie Informations- und Kommunikationsprozess massiv und bereits vorab eingeschnürt würde.

Der Bundesgerichtshof hat es für zulässig erachtet, dass Spiegel Online im Internet ein Dossier mit Altmeldungen über den Mord an Walter Sedlmayr zum Abruf bereitgehalten hat, in denen der Name der Verurteilten genannt wurde und kontextbezogene Bilder der Verurteilten enthalten waren.

Die Kläger wurden im Jahr 1993 wegen Mordes an dem Schauspieler Walter Sedlmayr zu einer lebenslangen Freiheitsstrafe verurteilt. Im Jahr 2004 stellten sie Anträge auf Wiederaufnahme des Verfahrens, vor deren Zurückweisung sie sich an die Presse wandten. Im Sommer 2007 bzw. Januar 2008 wurden sie auf Bewährung entlassen. Die Beklagte betreibt das Internetportal www.spiegel.de. Dort hielt sie in der Rubrik “Dossiers” unter dem Titel “Walter Sedlmayr Mord mit dem Hammer” eine Zusammenstellung von fünf älteren Veröffentlichungen aus der Druckausgabe des Nachrichtenmagazins “Der Spiegel” bzw. ihrem Internetauftritt zum kostenpflichtigen Abruf bereit. In mehreren dieser Meldungen waren die Kläger als wegen Mordes an Walter Sedlmayr Angeklagte bzw. Verurteilte namentlich bezeichnet. Die Veröffentlichungen vom 21. September und 30. November 1992, in denen über die Anklageerhebung bzw. den Beginn der Hauptverhandlung berichtet wurde, enthielten Fotos der Kläger.

Die Klage hatte in den Vorinstanzen Erfolg. Auf die Revision der Beklagten hat der u.a. für den Schutz des Allgemeinen Persönlichkeitsrechts zuständige VI. Zivilsenat des Bundesgerichtshofs die Urteile der Vorinstanzen aufgehoben und die Klagen abgewiesen. Zwar liegt in dem Bereithalten der die Kläger identifizierenden Meldungen zum Abruf im Internet ein Eingriff in deren allgemeines Persönlichkeitsrecht. Der Eingriff ist aber nicht rechtswidrig, da im Streitfall das Schutzinteresse der Kläger hinter dem von der Beklagten verfolgten Informationsinteresse der Öffentlichkeit und ihrem Recht auf freie Meinungsäußerung zurückzutreten hat. Das beanstandete Dossier beeinträchtigt das Persönlichkeitsrecht der Kläger einschließlich ihres Resozialisierungsinteresses unter den besonderen Umständen des Streitfalls nicht in erheblicher Weise. Es ist insbesondere nicht geeignet, die Kläger “ewig an den Pranger” zu stellen oder in einer Weise “an das Licht der Öffentlichkeit zu zerren”, die sie als Straftäter (wieder) neu stigmatisieren könnte. Die in ihm zusammengefassten Meldungen enthalten sachbezogene, wahrheitsgemäße Aussagen über ein Kapitalverbrechen an einem bekannten Schauspieler, das erhebliches öffentliches Aufsehen erregt hatte. Angesichts der Schwere des Verbrechens, der Bekanntheit des Opfers, des erheblichen Aufsehens, das die Tat in der Öffentlichkeit erregt hatte, und des Umstands, dass sich die Verurteilten noch im Jahr 2004 um die Aufhebung ihrer Verurteilung bemüht hatten, waren die Meldungen zum Zeitpunkt der erstmaligen Veröffentlichung zulässig. Hieran hat sich trotz der zwischenzeitlich erfolgten Entlassung der Kläger aus der Haft nichts geändert. Dem Dossier kam nur eine geringe Breitenwirkung zu. Es enthielt nur eindeutig als solche erkennbare Altmeldungen und war nur durch gezielte Suche auffindbar. Darüber hinaus setzte die Kenntnisnahme von den die Kläger identifizierenden Inhalten den kostenpflichtigen Abruf des Dossiers voraus, wodurch der Zugang zu den beanstandeten Inhalten zusätzlich erschwert wurde. Zu berücksichtigen war weiterhin, dass ein anerkennenswertes Interesse der Öffentlichkeit nicht nur an der Information über das aktuelle Zeitgeschehen, sondern auch an der Möglichkeit besteht, vergangene zeitgeschichtliche Ereignisse zu recherchieren. Würde das weitere Bereithalten eindeutig als solcher erkennbarer und im Zeitpunkt der erstmaligen Veröffentlichung zulässiger Altmeldungen auf dafür vorgesehenen Seiten zum Abruf im Internet nach Ablauf einer gewissen Zeit oder nach Veränderung der zugrunde liegenden Umstände ohne weiteres unzulässig und wäre die Beklagte verpflichtet, von sich aus sämtliche archivierten Meldungen immer wieder auf ihre Rechtmäßigkeit zu kontrollieren, würde die Meinungs- und Medienfreiheit in unzulässiger Weise eingeschränkt. Angesichts des mit einer derartigen Kontrolle verbundenen personellen und zeitlichen Aufwands bestünde die Gefahr, dass die Beklagte entweder ganz von einer der Öffentlichkeit zugänglichen Archivierung absehen oder bereits bei der erstmaligen Veröffentlichung die Umstände ausklammern würde, die - wie vorliegend der Name des Straftäters - die Meldung später rechtswidrig werden lassen könnten, an deren Mitteilung die Öffentlichkeit aber im Zeitpunkt der erstmaligen Berichterstattung ein schützenswertes Interesse hat.

Den Klägern steht auch kein Anspruch auf Unterlassung erneuter Verbreitung der in den Meldungen vom 21. September und 30. November 1992 enthaltenen Bilder zu. Bei den beanstandeten Abbildungen handelt es sich um Bildnisse aus dem Bereich der Zeitgeschichte gemäß § 23 Abs. 1 Nr. 1 KUG, die auch ohne Einwilligung der Kläger als Teil des beanstandeten Dossiers zum Abruf im Internet bereitgehalten werden durften. Die Fotos illustrieren die Meldungen vom 21. September bzw. 30. November 1992, in denen wahrheitsgemäß, sachbezogen und objektiv über die Anklageerhebung gegen die Kläger wegen Mordes an einem bekannten Schauspieler bzw. den Beginn der Hauptverhandlung berichtet wird und die damit an ein zeitgeschichtliches Ereignis anknüpfen. Die Aufnahmen sind somit kontextbezogen.

Urteile vom 9. Februar 2010 - VI ZR 243/08 und VI ZR 244/08

LG Hamburg - Entscheidungen vom 18.1.2008 - 324 O 509/07 und 507/07

OLG Hamburg - Entscheidungen vom 29.7.2008 - 7 U 30/08 und 31/08

Karlsruhe, den 9. Februar 2010

Quelle: Pressemitteilung des BGH vom 09.02.2010

Die Europäische Agentur für Internetsicherheit (ENISA) sorgt sich um die Sicherheit der Mitglieder von Social Networks und warnt insbesondere vor dem Dienstahl von Identitäten sowie dem Verlust von Daten.

Gleichzeitig stellt sie  “goldene Regeln” auf, wie man sich sicherer im Netz bewegen könne.

Eine Regel lautet, man soll in Social Networks Spitznamen verwenden. Eine weitere Regel lautet, dass man sich nach einer Sitzung in einem Social Network immer abmelden soll.

TIPP:

Das Mitglied in einem Social Network sollte sich immer bewusst sein, dass Daten eventuell von Dritten abgegriffen werden können.

Das Landgericht (LG) Nürnberg (Urteil vom 13.01.2010, Az.: 3 O 3692/09) hat entschieden, dass der Betreiber eines Verbraucherportals grundsätzlich erst ab der Kenntnis von fremden Beiträgen für diese Beiträge haftet.

Dies gilt nach Auffassung des Gerichts auch für kritische Nutzeräußerungen über die Leistungen eines Unternehmens. Im vorliegenden Fall fühlte sich ein Online-Partnervermittlungsinstitut durch eine negative Bewertung seiner Leistungen gestört. Da es sich bei dem Bericht entweder um zutreffende Tatsachen oder um zulässige Meinungen handle, sei der Bericht und dessen Posting nicht rechtswidrig.

Der Betreiber des Portals haftet nach Auffassung des Gerichts auch nicht als Mitstörer, da er nach der Benachrichtigung durch die Klägerin eine Meldung an den betroffenen User sandte, woraufhin der Beitrag abgeändert wurde.

TIPP:
Portalbetreiber haften ab Kenntnis der Rechtswidrigkeit. Dies bedeutet, dass sie dann umgehend tätig werden müssen.

Das Bundesverfassungsgericht (BVerfG, Beschluss vom 10.06.2009, Az.: 1 BvR 1107/09) hat entschieden, dass eine individualisierende Berichterstattung in einem Internetportal über eine schwere Straftat, die ein prominenter Täter begangen hat, zulässig ist, wenn das Informationsinteresse der Öffentlichkeit das Resozialisierungsinteresse des Straftäters überwiegt.

Im vorliegenden Fall sei wegen der Schwere der Tat und der Prominenz des Täters davon auszugehen, dass das Informationsinteresse das Persönlichkeitsrecht und somit das Resozialisierungsinteresse des Täters überwiege.

TIPP:

Es kommt immer auf die Umstände des Einzelfalles an. Vorliegend stellte das Gericht auf die Schwere der Tat und die Bekanntheit des Täters ab.