Zeitschrift für Datenschutz-, Informations- und Kommunikationsrecht RDV 28. Jahrgang Oktober 2012 Seiten Aufsätze Kurzbeiträge

Transkript

1 ISSN Zeitschrift für Datenschutz-, Informations- und Kommunikationsrecht G RDV Recht der Datenverarbeitung 28. Jahrgang Oktober 2012 Seiten Aufsätze Kurzbeiträge Rechtsprechung Aus dem Inhalt Berichte, Informationen, Sonstiges BARTON, Keine Strafbarkeit wegen Verletzung des Fernmeldegeheimnisses nach 206 StGB bei betrieblicher - Kontrolle HALLERMANN, Wann müssen Auftragsdatenverarbeitungen vor Ort kontrolliert werden? FISCHER, Die zivilrechtliche Durchsetzung des Auskunftsanspruchs aus 34 BDSG GOLA, Aus den aktuellen Tätigkeitsberichten der Aufsichtsbehörden (3) BÖCKELMANN, Anforderungen an Sachkunde und Zuverlässigkeit des Compliance-Beauftragten nach 34d WpHG und WpHG-MaAnzV ein Vorbild für den Datenschutzbeauftragten? LEPPER, Düsseldorfer Kreis bleibt Ansprechpartner für die Wirtschaft: Modell für die Zusammenarbeit auf europäischer Ebene FERIK, Die TKG-Novelle 2012 Auswirkungen auf die betriebliche Praxis BVerfG, Zur Haftung des Inhabers eines Internetanschlusses für dessen Nutzung durch einen Dritten BGH, Strafbarkeit einer gewaltsamen Entwendung eines Mobiltelefons zur Ermittlung gespeicherter Daten BAG, Pflicht zur Herausgabe von Geschäftsunterlagen OLG Köln, Filesharing: Sorgfaltspflicht gegenüber volljährigem Sohn (Ls) Aus der Europäischen Union Aus dem Bundestag Aus den Ländern Sonstiges Literaturhinweise Veranstaltungen

2 Zeitschrift für Datenschutz-, Informationsund Kommunikationsrecht 28. Jahrgang 2012 Heft 5 Seiten Inhaltsverzeichnis Recht RDV der Datenverarbeitung Aufsätze Prof. Dr. jur. Dirk-M. BARTON Keine Strafbarkeit wegen Verletzung des Fernmeldegeheimnisses nach 206 StGB bei betrieblicher -Kontrolle 217 RA Dr. Ulrich HALLERMANN Wann müssen Auftragsdatenverarbeitungen vor Ort kontrolliert werden? 226 RA Thomas FISCHER, LL.M. Die zivilrechtliche Durchsetzung des Auskunftsanspruchs aus 34 BDSG 230 Kurzbeiträge Prof. Peter GOLA Aus den aktuellen Tätigkeitsberichten der Aufsichtsbehörden (3) 233 RA Urs BÖCKELMANN Anforderungen an Sachkunde und Zuverlässigkeit des Compliance-Beauftragten nach 34d WpHG und WpHG-MaAnzV ein Vorbild für den Datenschutzbeauftragten? 235 Ulrich LEPPER Düsseldorfer Kreis bleibt Ansprechpartner für die Wirtschaft: Modell für die Zusammenarbeit auf europäischer Ebene 239 RA Levent FERIK, LL.M. Die TKG-Novelle 2012 Auswirkungen auf die betriebliche Praxis 240 Rechtsprechung Zur Haftung des Inhabers eines Internetanschlusses für dessen Nutzung durch einen Dritten (BVerfG, Beschluss vom ) 245 Strafbarkeit einer gewaltsamen Entwendung eines Mobiltelefons zur Ermittlung gespeicherter Daten (BGH, Beschluss vom ) 247 Pflicht zur Herausgabe von Geschäftsunterlagen (BAG, Urteil vom ) 248 Filesharing: Sorgfaltspflicht gegenüber volljährigem Sohn (Ls) (OLG Köln, Beschluss vom ) 249 Filesharing: Sorgfaltspflicht gegenüber Ehemann (Ls) (OLG Köln, Urteil vom ) 249 Auskunftsanspruch des Betroffenen gegen den Blogbetreiber (OLG Dresden, Beschluss vom ) 249 Bestellung eines weiteren Datenschutzbeauftragten nach 32a Abs. 1 S. 4 DSG NRW (OVG Münster, Beschluss vom ) 251 Werbung mit Call-Girl-Foto nach Beendigung der Tätigkeit für die Vermittlungsagentur (LG Köln, Urteil vom ) 253 Zur Verwertung von Erkenntnissen aus privaten Chatprotokollen des Arbeitnehmers (Ls) (LAG Hamm, Urteil vom ) 254 Beseitigungs- und Unterlassungsanspruch des Betriebsrats beim Verlangen, Arbeitsunfähigkeitsbescheinigungen einzureichen (LAG Berlin-Brandenburg, Beschluss vom ) 254 Verhaltensbedingte Kündigung bei geringfügigem Arbeitszeitbetrug (Ls) (LAG Berlin-Brandenburg, Urteil vom ) 257 Fristlose Kündigung wegen Strafanzeige gegen den Arbeitgeber (Whistleblowing) (LAG Köln, Urteil vom ) 258 Unzulässige Befragung von Eheleuten über das Bestehen einer ehelichen Lebensgemeinschaft (VG Bremen, Beschluss vom ) 259 Berichte, Informationen, Sonstiges Aus der Europäischen Union EU-Datenschutzreform: Erstes Arbeitspapier des LIBE-Ausschusses 263 Europäisches Parlament lehnt ACTA ab 263 EDSB zum Datenschutz bei Smart Metering 264 Aus dem Bundestag Regierungs-Koalition: Stiftungsgeschäfte zur Errichtung der Stiftung Datenschutz bis Oktober vornehmen 264 Aus den Ländern Geplantes Bundesmeldegesetz 265 ULD: Datenschutzkonformes Cloud Computing ist möglich 266 Unzulässige GPS-Ortung von Mietwagen Hamburgischer Datenschutzbeauftragter setzt Bußgeld fest 267 Online-Lernprogramm: Datenschutz für Beschäftigte öffentlicher Stellen in NRW 267 Sonstiges Stellungnahme der Konferenz der Datenschutzbeauftragten des Bundes und der Länder zur Neuregelung des EU-Datenschutzes 267 Literaturhinweise Buchbesprechungen Karl Fitting/Gerd EngeIs/Yvonne Trebinger/Ingrid Schmidt/Wolfgang Linsenmeier, Betriebsverfassungsgesetz (Schriftleitung) 268 Neuerscheinungen Aufsätze 269 Veranstaltungen 270

3 Herausgegeben von der Gesellschaft für Datenschutz und Datensicherheit e.v. (GDD), Bonn und Prof. Dr. Ralf Bernd ABEL, Hamburg/Schmalkalden Dietrich BOEWER, Vorsitzender Richter am Landesarbeitsgericht Düsseldorf i. R. Prof. Dr. Alfred BÜLLESBACH, Universität Bremen Prof. Dr. Horst EHMANN, Universität Trier Dr. Joachim W. JACOB, Bundesbeauftragter für den Datenschutz a. D. Prof. Dr. Friedhelm JOBS, Richter am Bundesarbeitsgericht a. D. Prof. Dr. Karl LINNENKOHL, Universität Kassel Dr. h. c. Hans-Christoph MATTHES, Vorsitzender Richter am Bundesarbeitsgericht a. D. Dr. Alexander OSTROWICZ, Präsident des Landesarbeitsgerichts Schleswig-Holstein a. D. Prof. Dr. Michael RONELLENFITSCH, Hessischer Datenschutzbeauftragter Prof. Dr. Friedhelm ROST, Vorsitzender Richter am Bundesarbeitsgericht a. D. Peter SCHAAR, Bundesbeauftragter für den Datenschutz und die Informationsfreiheit Prof. Dr. Rolf SCHWARTMANN, Fachhochschule Köln Prof. Dr. Mathias SCHWARZ, Rechtsanwalt, München Prof. Dr. Dr. h.c. Spiros SIMITIS, Universität Frankfurt Prof. Dr. Jürgen TAEGER, Universität Oldenburg Prof. Dr. Gregor THÜSING, LL.M. (Harvard), Universität Bonn Dr. Irini VASSILAKI, Universität Göttingen Prof. Dr. Wolfgang ZÖLLNER, Universität Tübingen Beilagenhinweis GDD-Mitteliungen 5/2012; Beck-Verlag, München; DATAKONTEXT, Frechen Manuskripte Zuschriften und Manuskriptsendungen, die den Inhalt der Zeitschrift betreffen, werden an die Schriftleitung erbeten. Für unverlangt eingesandte Manuskripte wird keine Haftung übernommen. Sie können nur zurückgesandt werden, wenn Rückporto beigefügt ist. Beiträge werden grundsätzlich nur angenommen, wenn sie nicht einer anderen Zeitschrift zur Veröffentlichung angeboten wurden. Mit der Annahme zur Veröffentlichung erwirbt der Verlag vom Autor alle Rechte, insbesondere das Recht der weiteren Vervielfältigung zu gewerblichen Zwecken mit Hilfe fotomechanischer oder anderer Verfahren. Urheber- und Verlagsrechte Sie sind einschließlich der Mikroverfilmung vorbehalten. Sie erstrecken sich auch auf die veröffentlichten Gerichtsentscheidungen und ihre Leitsätze; diese sind geschützt, soweit sie vom Einsender oder von der Schriftleitung erstellt oder bearbeitet sind. Der Rechtsschutz gilt auch gegenüber Datenbanken und ähnlichen Einrichtungen: Diese bedürfen zur Auswertung einer Genehmigung des Verlages. Der Verlag gestattet in der Regel die Herstellung von Fotokopien zu innerbetrieblichen Zwecken, wenn dafür eine Gebühr an die VG Wort, Abteilung Wissenschaft, Goethestraße 49, München, entrichtet wird, von der die Zahlungsweise zu erfragen ist. Schriftleitung Prof. Peter Gola (federführend) RA Dr. Georg Wronka RA Andreas Jaspers RA Christoph Klug Redaktionsanschrift Pariser Str. 37, Bonn Telefon: (02 28) Telefax: (02 28) Erscheinungsweise 6 x jährlich Bezugspreis Jahresabonnement 139, Einzelheft 25, MwSt. im Preis enthalten jeweils zzgl. Versandkosten Bestellungen DATAKONTEXT Verlagsgruppe Hüthig Jehle Rehm GmbH Standort Frechen Jürgen Weiß Augustinusstraße 9d D Frechen-Königsdorf Telefon: ( ) Telefax: ( ) weiss@datakontext.com Geschäftsführer: Dr. Karl Ulrich Leitung: Hans-Günter Böse HRB Abbestellungen Der Abonnementpreis wird im Voraus in Rechnung gestellt. Das Abonnement verlängert sich zu den jeweils gültigen Bedingungen um ein Jahr, wenn es nicht mit einer Frist von 8 Wochen zum Ende des Bezugszeitraumes gekündigt wird. Verlag DATAKONTEXT Verlagsgruppe Hüthig Jehle Rehm GmbH Standort Frechen Augustinusstraße 9d D Frechen-Königsdorf Telefon: ( ) Telefax: ( ) Geschäftsführer: Dr. Karl Ulrich Leitung: Hans-Günter Böse HRB Satz alka mediengestaltung gbr Ottostraße 6, Bornheim-Sechtem Druck AZ Druck und Datentechnik GmbH Heisinger Straße 16, Kempten Anzeigenverwaltung DATAKONTEXT Verlagsgruppe Hüthig Jehle Rehm GmbH Standort Frechen Thomas Reinhard Augustinusstraße 9d D Frechen-Königsdorf Telefon: ( ) Telefax: ( ) reinhard@datakontext.com Geschäftsführer: Dr. Karl Ulrich Leitung: Hans-Günter Böse HRB

4 Zeitschrift für Praxis und Wissenschaft Schriftleitung: Prof. Peter Gola, Königswinter (federführend) RA Dr. Georg Wronka, Bonn RA Andreas Jaspers, Bonn RA Christoph Klug, Köln Recht RDV der Datenverarbeitung 28. Jahrgang 2012 Heft 5 Seiten Aufsätze Prof. Dr. jur. Dirk-M. Barton, Bonn* Keine Strafbarkeit wegen Verletzung des Fernmeldegeheimnisses nach 206 StGB bei betrieblicher -Kontrolle Abstract In zwei Urteilen der Landesarbeitsgerichte Berlin- Brandenburg und Niedersachsen aus den Jahren 2011 bzw wurde die Diensteanbietereigenschaft des Arbeitgebers i.s.d. Telekommunikationsgesetzes verneint. Diese Eigenschaft ist aber eine entscheidende Voraussetzung für eine Strafbarkeit nach 206 StGB, der die Verletzung des Fernmeldegeheimnisses unter Strafe stellt. Damit stellt sich die Frage, ob sich ein Arbeitgeber in einem Strafverfahren wegen Verletzung des Fernmeldegeheimnisses i.s.d. 206 StGB künftig angesichts dieser für ihn günstigen Entscheidungen zumindest auf einen strafausschließenden Verbotsirrtum berufen kann, sofern er Kontrollen dienstlicher bzw. geschäftlicher s durchführt und die Strafjustiz im Unterschied zu den Arbeitsgerichten die Diensteanbietereigenschaft unter Berücksichtigung des Beschlusses des OLG Karlsruhe aus dem Jahr 2005 bejahen sollte. Auf den ersten Blick mag dies vielleicht eine eher juristisch-dogmatische Frage sein. Ihre Bedeutung kann jedoch dafür entscheidend sein, ob eine Strafe gegen den Arbeitgeber verhängt wird oder nicht. Soweit ersichtlich ist diese auf 206 StGB bezogene Irrtums-Problematik weder im Schrifttum noch in der Rechtsprechung behandelt worden. Für den Ernstfall sollte man jedoch gerüstet sein. Einleitung Über die Strafbarkeit der -Kontrolle durch den Arbeitgeber gem. 206 StGB ist in der Vergangenheit vielfach diskutiert worden 1. Seit dem Beschluss des OLG Karlsruhe vom muss ein Arbeitgeber, der bei erlaubter privater Nutzung der elektronischen Kommunikationseinrichtungen s seiner Arbeitnehmer unterdrückt, herausfiltert oder Dritten mitteilt, mit einem Strafverfahren rechnen. Diese Entscheidung betraf einen Fall, in dem eine Universität ihren Mitarbeitern bzw. Studierenden, aber auch hochschulfremden Dritten, die IT-Systeme, wie zugänge, auch zur privaten Nutzung zur Verfügung stellte und den -Verkehr eines Mitarbeiters unterbunden hatte. Dabei wurden auch private s herausgefiltert, so dass seitens des OLG Karlsruhe von einer Strafbarkeit gem. 206 StGB ausgegangen wurde. Zu der Frage, ob und inwieweit über den Hochschulbereich hinaus dieser Beschluss, der im Rahmen * Der Autor ist Inhaber des Lehrstuhls für Wirtschaftsrecht an der Universität Paderborn; früherer Chefjustiziar und Hauptgeschäftsführer des deutschen Zeitungsverlegerverbandes. 1 Vgl. aus dem neueren Schrifttum Kempermann, ZD 2012, 12 f. 2 Vgl. OLG Karlsruhe, MMR 2005, 178 f.

5 218 RDV 2012 Heft 5 Barton, Keine Strafbarkeit wegen Verletzung des Fernmeldegeheimnisses eines Klageerzwingungsverfahrens erging, auch für private Arbeitgeber im Verhältnis zu ihren Arbeitnehmern gilt, traf die Entscheidung jedoch keine Aussage. Trotzdem wird dieses Urteil im Schrifttum 3 zur Begründung der Strafbarkeit eines Arbeitgebers gem. 206 StGB im Falle einer -Kontrolle bei erlaubter privater Nutzung herangezogen. Seit dem 16. Februar 2011 liegt jedoch ein Urteil des Landesarbeitsgerichts Berlin-Brandenburg vor 4, wonach der Arbeitgeber mit der Öffnung eines elektronischen Postfachs und der Sichtung von s nicht gegen das Fernmeldegeheimnis verstoßen soll. Überdies wird er bei Gestattung der auch privaten Nutzung des dienstlichen -Accounts nicht als Diensteanbieter i.s.d. Telekommunikationsgesetzes betrachtet. Daher wurde seitens des LAG im Rahmen der Beurteilung des 823 Abs. 2 BGB konsequenterweise auch die Anwendbarkeit des 206 StGB als Schutzgesetz ausdrücklich verneint 5. Das LAG Berlin-Brandenburg beruft sich dabei auf ein Urteil des LAG Niedersachsen vom Mai Dieses hatte ebenfalls die Kontrolle für den Fall zugelassen, dass die s im Posteingang bzw. Postausgang belassen oder auf anderen lokalen Rechnern abgespeichert werden. Datenbestände, deren Übertragungsvorgang bereits abgeschlossen sei, unterlägen nicht dem Schutz des Fernmeldegeheimnisses. Mit diesen Entscheidungen könnte eine längst überfällige Klärung zugunsten der Arbeitgeberseite, auch unter strafrechtlichen Aspekten, eingeleitet worden sein. Sollten sich allerdings Strafverfolgungsbehörden bzw. die Strafjustiz anlässlich der Strafanzeige eines Arbeitnehmers, auf dessen s zugegriffen wurde, an der Entscheidung des OLG Karlsruhe orientieren und die Diensteanbietereigenschaft bejahen, so stellt sich die Frage, ob sich der Arbeitgeber auf einen den Vorsatz ausschließenden Tatbestandsirrtum i.s.d. 16 Abs. 1 S. 1 StGB, zumindest aber auf einen strafausschließenden unvermeidbaren Verbotsirrtum i.s.d. 17 StGB berufen kann. Sicherlich ist aus Sicht eines Strafverteidigers der Verbotsirrtum eher die ultima ratio einer Verteidigungsstrategie, die sich häufig als letzter Ausweg bietet, um den Mandanten vor einer Verurteilung zu bewahren. Aber gerade bei einer weitgehend ungeklärten und offenen Rechtslage bietet der Verbotsirrtum einen gangbaren Weg. Dies in dem hier zur Diskussion stehenden Fragenkreis deshalb, da jetzt eine, wenn auch arbeitsgerichtliche, Rechtsprechung vorliegt, auf die sich ein Arbeitgeber zur Rechtfertigung seines Verhaltens berufen könnte. elektronischen Kommunikationsmedien, die es zu verhindern gilt 7. Zudem ist es ein unbestreitbares Bedürfnis des Arbeitgebers, den dienstlichen -Verkehr im Unternehmen jederzeit kontrollieren zu können, um über alle Geschäftsvorgänge informiert zu sein. Die vielfältigen, beinahe schon kaum mehr überschaubaren rechtlichen Vorgaben zur IT-Sicherheit und die mit ihrer Verletzung einhergehenden Risiken für ein Unternehmen, bis hin zur persönlichen Haftung von Unternehmensverantwortlichen, bringen es mit sich, dass aus der verständlichen Sorge, unzureichende Präventivmaßnahmen zu ergreifen, zur Realisierung des Ziels, IT-Sicherheit umfassend und perfekt zu gewährleisten, mögliche Kollateralschäden negiert, insbesondere die Rechte Dritter verletzt werden 8. Das Phänomen der Übererfüllung wird dabei durch beschleunigte technische Entwicklungen, z.b. durch eine spezielle Filter-Software zur Blockierung oder Kontrolle von -Inhalten, befördert. Eine solche Kontrolle lässt sich ohne größeren finanziellen Aufwand verwirklichen, was diese Gefahren für Rechtsgüter dritter Personen noch potenziert. Im Ergebnis fordert der Gesetzgeber aber keine IT-Sicherheit um jeden Preis. Vielmehr sind bei jeder Überwachungsmaßnahme die Sicherheitsinteressen des Unternehmens gegenüber den Individualinteressen Dritter, also auch gegenüber denen von Arbeitnehmern, abzuwägen. Dies zeigen z.b. die Entscheidungen des BAG zur Videokontrolle am Arbeitsplatz 9. II. -Kontrolle, eine Grauzone Diese Problematik lässt sich sehr anschaulich auch an dem Beispiel der Kontrolle der -Kommunikation der Mitarbeiter verdeutlichen, einer in der Praxis immer wieder zu Konflikten zwischen dem Allgemeinen Persönlichkeitsrecht des Arbeitnehmers und Unternehmensinteressen führenden Konstellation. Eine Problematik, die im Übrigen schon seit einigen Jahren virulent und die immer noch durch Rechtsunsicherheit geprägt ist, auch wenn die Arbeitsrechtsprechung wie die beiden eingangs genannten LAG-Entscheidungen zeigen offensichtlich darum bemüht ist, bei auch erlaubter privater Nutzung der Telekommunikationseinrichtungen einen interessengerechten Ausgleich herbeizuführen, insbesondere den arbeitgeberseitigen Bedürfnissen hinreichend Rechnung zu tragen. I. IT-Compliance und -Kontrolle Die IT-Sicherheit ist Teil compliance-orientierten Verhaltens im Unternehmen. Dazu zählt der Schutz vor externen wie internen Bedrohungen. Zu den letztgenannten zählt auch das Fehlverhalten von Mitarbeitern, wie z.b. die rechtsmissbräuchliche Nutzung der 3 Vgl. z.b. Scheurle/Mayer/Lüneburger, TKG, 3 Rn. 21; Hassemer/ Witzel, ITRB 2006, 139, Vgl. LAG Berlin-Brandenburg, BB 2011, 2298 f. 5 Vgl. LAG Berlin-Brandenburg, Fußn. 4, Vgl. LAG Niedersachsen, MMR 2010, 639 f. 7 Vgl. Schmidl in: Hauschka, Corporate Compliance, 29 Rn. 10, Vgl. Schmidl, Fußn. 7, Rn. 252 f. 9 Vgl. BAG NZA 2004, 1278f.; BAG BB 2008, 2743 f.

6 Barton, Keine Strafbarkeit wegen Verletzung des Fernmeldegeheimnisses RDV 2012 Heft Vorab ist festzuhalten, dass sich nach wie vor zwei Meinungsblöcke im Schrifttum gegenüberstehen. Diejenigen, die bei erlaubter privater Nutzung den Arbeitgeber als Diensteanbieter i.s.d. 3 Nr. 6, 10 TKG betrachten, mit der daraus resultierenden Pflicht zur Beachtung des Fernmeldegeheimnisses i.s.d. 88 Abs. 2 TKG 10, und die gegenteilige Auffassung 11, wie sie nunmehr auch in den eingangs genannten LAG-Entscheidungen zum Ausdruck kommt. Andere Instanzgerichte, wie das Verwaltungsgericht Frankfurt/Main 12, haben diese Frage offen gelassen, ebenso der hessische Verwaltungsgerichtshof 13. Die zentrale Frage für den Arbeitgeber besteht aber nach wie vor darin, ob und in welchem Umfang er die -Kommunikation seiner Mitarbeiter kontrollieren darf. Sollte er i.s.d. 3 Nr. 6, 10 TKG als Telekommunikationsdiensteanbieter zu qualifizieren sein und damit dem Fernmeldegeheimnis i.s.d. 88 TKG unterfallen, so würde er durch eine unbefugte Kontrollmaßnahme den Straftatbestand des 206 StGB erfüllen. Nun mag wie die Praxis häufig erweist mancher Unternehmensverantwortliche zu der Auffassung neigen, dass bei einer entsprechenden Kontrolle eine Strafanzeige gegen ihn wohl eher unwahrscheinlich sei. Dies könnte sich allerdings als schmerzliche Fehleinschätzung erweisen. Eskaliert eine Auseinandersetzung mit einem betroffenen Arbeitnehmer, etwa weil es zu einer Kündigung wegen exzessiver Nutzung oder eines sonstigen Missbrauchs der IT-Kommunikationsmedien kommt, so lässt sich die Gefahr nicht von der Hand weisen, dass im Zuge einer Kündigungsschutzklage gleichzeitig auch eine Strafanzeige gegen den Arbeitgeber erfolgt. Zumindest aber könnte der Arbeitnehmer die Drohung mit einer Strafanzeige als Druckmittel benutzen, um den Arbeitgeber zur Aufhebung der Kündigung zu veranlassen. Und betrachtet man einmal die Entscheidung des Landesarbeitsgerichts Berlin-Brandenburg vom , so erscheint ein solches Szenario keinesfalls fernliegend. In dieser Entscheidung hatte die Klägerin, bei der eine entsprechende Kontrolle durchgeführt worden war, beantragt 14, den beklagten Arbeitgeber bei Meidung von Ordnungsgeld bis zu für jeden Fall der weiteren Zuwiderhandlung ersatzweise Ordnungshaft oder Ordnungshaft bis zu sechs Monaten dazu zu verurteilen, es ohne Einwilligung der Klägerin zu unterlassen, s, die u.a. unter einem hinsichtlich der Person der Klägerin personalisierten Firmen- -Account empfangen werden oder von der Klägerin versendet werden, zur Kenntnis zu nehmen, zu öffnen, zu lesen, zu speichern, auszudrucken, zu kopieren bzw. sich unter Überwindung einer Zugangssicherung in Form des Passwortes den Zugang zu ihrem -Account zu verschaffen. Betrachtet man insbesondere das beantragte Ordnungsgeld von bzw. die beantragte Ordnungshaft von sechs Monaten als geforderte Sanktionen für den Fall einer weiteren Kontrolle, so zeigt nicht nur die Höhe des Ordnungsgeldes, mit welcher Intensität die klagende Arbeitnehmerin ihr Ziel verfolgt hat. Der Schritt von einem solchen Antrag vor dem Arbeitsgericht zu einer flankierenden Strafanzeige, um dem Begehren Nachdruck zu verleihen, erscheint dann nicht mehr weit. Daher muss geklärt werden, wie sich die Rechtslage derzeit darstellt, um zu wissen, ob und wann man den -Verkehr der Mitarbeiter kontrollieren darf und ob bzw. wann man sich ggfs. strafbar macht. Diese Frage stellt sich im Übrigen auch unter zivilrechtlichen Gesichtspunkten, also bzgl. einer Schadensersatzhaftung bzw. einem Anspruch auf Unterlassen seitens des Arbeitnehmers. Vorliegend soll indessen die strafrechtliche Seite beleuchtet werden, wobei darauf hinzuweisen ist, dass bei den zivilrechtlichen Folgen entsprechende Überlegungen gelten. III. 206 StGB; Verletzung des Fernmeldegeheimnisses 1. Tathandlungen 206 Abs. 1 StGB schützt das Fernmeldegeheimnis 15. Dem Fernmeldegeheimnis unterliegen nach 88 Abs. 1 TKG und dem gleichlautenden 206 Abs. 5 S. 2, 3 StGB der Inhalt der Telekommunikation und ihre näheren Umstände, insbesondere, ob jemand an dem Telekommunikationsvorgang beteiligt war oder ist. Das Fernmeldegeheimnis erstreckt sich dabei auch auf die näheren Umstände erfolgloser Verbindungsversuche. 206 Abs. 1 StGB schützt dabei das Fernmeldegeheimnis gegen eine unbefugte Mitteilung über Tatsachen an andere Personen. Die bloße Inhaltskontrolle einer oder das Aufzeichnen entsprechender Daten über unternehmenseigene Filter führt mangels Mitteilung an Dritte noch nicht zur Strafbarkeit des Arbeitgebers. Denkbar ist allerdings eine Strafbarkeit gem. 206 Abs. 2 Nr. 1. Teilt der Arbeitgeber indessen solche Inhalte einer anderen Person mit oder informiert z.b. der Systemadministrator die Unternehmensleitung, so kommt eine Strafbarkeit nach 206 in Betracht, ebenso wenn E- Mails unterdrückt bzw. herausgefiltert werden. 10 Vgl. auszugsweise Scheuerle/Mayer/Büttgen, Kommentar zum TKG, 91 Rn. 15; Beckschulze/Henkel, DB 2001, 1491, 1496; Ernst NZA 2002, 585, 586; Gola, MMR 1999, 322, 323f.; Feldmann, NZA 2008, 1398; Mengel, BB 2004, 2014, 2017; Vehslage, AnwBl 2001, 145, Vgl. vor allem überzeugend Thüsing, Arbeitnehmerdatenschutz und Compliance, Rn. 226 f.; Barton, CR 2004, 305, 310; Gramlich, RDV 2001, 123, 124; Haußmann/Krets, NZA 2005, 259, 260; Schimmelpfennig/Wenning, DB 2006, 2290f. 12 Vgl. VG Frankfurt/Main, CR 2009, 125 f. 13 Vgl. VGH Hessen, NJW 2009, Vgl. die Anträge der Klägerin in der Entscheidung des LAG Berlin- Brandenburg, 4 Sa 2132/ Vgl. zu 206 StGB Münch. Komm. StGB/Altenhain, 206, Rn. 1 f.

7 220 RDV 2012 Heft 5 Barton, Keine Strafbarkeit wegen Verletzung des Fernmeldegeheimnisses Allerdings wird arbeitgeberseitig häufig übersehen, dass in Abs. 2 Nr. 3 des 206 noch eine Falle lauern kann. Danach ist das arbeitgeberseitige Gestatten strafbar, wenn sich die Gestattung auf eine unbefugte Mitteilung i.s.d Abs. 1 bezieht. Sofern der Arbeitgeber z.b. den Systemadministrator auffordert, die Kontrolle vorzunehmen und dieser sodann die Inhalte mitteilt, würde sich der Arbeitgeber dementsprechend strafbar machen. Insoweit wird durch das Gestatten die an sich vorhandene Teilnahmehandlung zur selbstständigen Täterschaft erhoben Diensteanbieter und Fernmeldegeheimnis a) Der Arbeitgeber als Diensteanbieter Voraussetzung für eine Verletzung des Fernmeldegeheimnisses und damit für die Annahme des 206 StGB ist jedoch, dass die entsprechenden Tatsachen der Person als Inhaber oder Beschäftigter eines Unternehmens bekannt geworden sein müssen, welches geschäftsmäßig Telekommunikationsdienste erbringt. 206 Abs. 1 StGB enthält keine Legaldefinition im Hinblick darauf, wann die geschäftsmäßige Erbringung von Telekommunikationsdiensten gegeben und damit die Eigenschaft des Diensteerbringers i.s.d. 206 StGB anzunehmen ist. Insoweit nehmen jedoch Rechtsprechung und Schrifttum an, dass diese Eigenschaft weitgehend mit dem Begriff des Diensteanbieters i.s.d. 3 Nr. 6 TKG deckungsgleich ist 17. Während die Diensteanbietereigenschaft des Arbeitgebers i.s.d. Telekommunikationsgesetzes, der die private Nutzung der unternehmenseigenen TK-Einrichtungen untersagt hat so dass diese nur dienstlich genutzt werden dürfen, überwiegend verneint wird 18, wird die Diensteanbietereigenschaft nach wie vor kontrovers diskutiert, wenn die private Nutzung erlaubt ist. Sehr überzeugend verneint allerdings, unter Heranziehung der verschiedenen Auslegungsmethoden, Thüsing 19 im Unterschied zu der wohl noch herrschenden Meinung im Schrifttum die Diensteanbietereigenschaft. Weder der Wortlaut der gesetzlichen Bestimmungen, auf den sich die h.m. überwiegend beruft, noch die systematische bzw. teleologische Betrachtung lassen es danach zu, die Diensteanbietereigenschaft anzunehmen. Bedauerlicherweise sucht man in den Entscheidungen der beiden Landesarbeitsgerichte, insbesondere in der des LAG Berlin-Brandenburg, das auf eine angeblich herrschende Auffassung verweist, eine eingehendere argumentative Auseinandersetzung mit den kontroversen Meinungen vergebens 20. Der Hinweis auf eine herrschende Meinung, wonach der Arbeitgeber kein Diensteanbieter sein soll, die im Übrigen wie ein Blick in das Schrifttum zeigt so jedenfalls noch nicht existiert, dürften Strafverfolgungsbehörden, die sich auf Grund einer Strafanzeige durch den Arbeitnehmer zur Einleitung eines Ermittlungsverfahrens gezwungen sehen, aller Voraussicht nach kaum dazu veranlassen, unter Berücksichtigung dieser Entscheidungen das Verfahren gem. 170 Abs. 2 StPO umgehend wieder einzustellen. Wohl eher ist damit zu rechnen, dass man sich solange keine höchstrichterliche Rechtsprechung in der Strafgerichtsbarkeit vorliegt zunächst an der Entscheidung des OLG Karlsruhe 21 orientiert, auch wenn, wie Thüsing 22 nachweist, diese Entscheidung im Schrifttum unzutreffend herangezogen wird, um die Diensteanbietereigenschaft des Arbeitgebers bei erlaubter privater Nutzung zu begründen. Das OLG Karlsruhe hatte nur zu der Funktion eines öffentlich-rechtlichen Arbeitgebers Stellung genommen, der vor allem externen Dritten den Zugang zu seinen IT-Einrichtungen gewährte und der überdies den Bereich des hoheitlichen Handelns verlassen hatte. Dieser Entscheidung lag somit ein anderer Sachverhalt zu Grunde, als der, der im Verhältnis des privaten Arbeitgebers zum Arbeitnehmer relevant ist. Insoweit sind die Fallkonstellationen nicht vergleichbar 23. b) Umfang des Fernmeldegeheimnisses Würden Strafverfolgungsbehörden von der Diensteanbieterqualität des Arbeitgebers ausgehen, so obläge ihm die Pflicht, das Fernmeldegeheimnis zu achten. Ebenso umstritten wie die Anbietereigenschaft ist der Umfang des Fernmeldegeheimnisses. Das LAG Niedersachsen 24 stellt ebenso wie das LAG Berlin-Brandenburg 25 fest, dass s von Mitarbeitern nach Abschluss des Kommunikationsvorgangs nicht vom Fernmeldegeheimnis nach Art. 10 Abs. 1 GG bzw. 88 TKG geschützt seien, sofern der Mitarbeiter die s nicht unmittelbar nach Eingang oder Versendung gelöscht, sondern sie im Posteingang oder Postausgang belassen oder anderweitig abgespeichert habe. In diesen Fällen sei der eigentliche Übertragungsvorgang abgeschlossen und das Fernmeldegeheimnis nicht mehr anwendbar, sondern nur das Grundrecht auf informationelle Selbstbestimmung sowie das Grundrecht auf Gewährung der Vertraulichkeit und der Integrität informationstechnischer Systeme. 16 Vgl. zu 206 StGB Münch. Komm. StGB/Altenhain, 206, Rn. 57 f. 17 Vgl. stellvertretend Lackner/Kühl StGB 206 Rn. 2; Schönke/Schröder/Lenckner, 206, Rn. 8; AG Hamburg-Altona, CR 2007, 238, 239; wohl auch OLG Frankfurt, MMR 2005, 178, 180, vgl. allerdings auch Thüsing, Arbeitnehmerdatenschutz und Compliance, Rn. 203, der auf die Unterschiede zwischen dem Diensteanbieter i.s.d. TKG und den Tatbestandsvoraussetzungen des 206 StGB hinweist. 18 Vgl. statt vieler Beckschulze/Henkel, DB 2001, 1491, 1496; Hiebert/ Frik, RdA 2002, 89, 93f. 19 Vgl. Thüsing, Arbeitnehmerdatenschutz und Compliance, Rn. 226 f. m.w.n. zum Schrifttum; zur Regierungsbegründung, BT-Drucks. 13/8016, Vgl. Wybitul, BB 2011, Vgl. OLG Karlsruhe, Fußn Vgl. Thüsing, Fußn. 17, Rn Vgl. Thüsing, Fußn. 17, Rn Vgl. LAG Niedersachsen, Fußn Vgl. LAG Berlin-Brandenburg, Fußn. 4.

8 Barton, Keine Strafbarkeit wegen Verletzung des Fernmeldegeheimnisses RDV 2012 Heft Dabei wurde aber offensichtlich übersehen, dass das Bundesverfassungsgericht 26 in seiner Entscheidung aus dem Jahre 2009 ausgeführt hat, dass ein erweiterter Schutz der ruhenden Kommunikation durch Art. 10 Abs. 1 GG vor dem Hintergrund der aktuellen technischen Ausgestaltung von -Systemen bestehe. Diese mache es nötig, den Empfänger auch dann noch in den Schutzbereich des Art. 10 Abs. 1 GG einzubeziehen, wenn eine auf seinem -Server zwischengespeichert ist. Der Schutz ende erst, wenn der Empfänger die endgültig vom Server entfernt habe. Damit dürfte in der Regel die -Kommunikation des Arbeitnehmers durch den Schutzbereich des Fernmeldegeheimnisses umfasst und bei Erfüllung der Tatmodalitäten der objektive Tatbestand des 206 Abs. 1 bzw. Abs. 2 Nr. 2 StGB erfüllt sein 27, vorausgesetzt der Arbeitgeber ist auch Diensteanbieter. In einem solchen Fall wäre es dem Arbeitgeber auch versagt, sich auf allgemeine Rechtfertigungsgründe, z.b. gem. 32, 34 StGB, zu berufen. Diese könnten, wenn überhaupt, auch nur in eng begrenzten Fällen herangezogen werden, wie z.b. bei der Bedrohung durch Viren 28, nicht aber, wenn es um die routinemäßige Kontrolle von Geschäftsvorgängen geht. Auch wenn das OLG Karlsruhe die Auffassung vertritt, dass bei der Bedrohung der IT-Systeme durch Viren 34 StGB ausnahmsweise in Anspruch genommen werden kann, so steht diese Auffassung im Übrigen im Widerspruch zu 88 Abs. 3 S. 3 TKG, wonach eine Weitergabe von Tatsachen an andere nur zulässig ist, sofern das TKG oder eine andere Vorschrift dies erlaubt und sich diese Erlaubnisnorm expressis verbis auf Telekommunikationsvorgänge bezieht. Dies ist aber bei den allgemeinen Rechtfertigungsgründen nicht der Fall Straflosigkeit infolge Tatbestands- oder Verbotsirrtum? Sollte im Rahmen eines Strafverfahrens die Tatbestandsmäßigkeit der -Kontrolle i.s.d. 206 StGB zunächst bejaht werden, so stellt sich die Frage, ob sich der Arbeitgeber zumindest auf einen Irrtum berufen kann, der seine Strafbarkeit entfallen lässt. Der Straftatbestand des 206 StGB ist ein Vorsatzdelikt. D.h. dem Arbeitgeber muss bewusst sein, dass er als Diensteanbieter in Betracht kommt und die -Kommunikation dem Fernmeldegeheimnis unterliegt. Dabei reicht es aus, wenn er mit bedingtem Vorsatz handelt, also den Rechtsverstoß billigend in Kauf nimmt. Das StGB enthält zwar keine Begriffsbestimmung des von 15 StGB geforderten vorsätzlichen Handelns. Sie wurde vielmehr bewusst der Rechtsprechung und Lehre überlassen 30. Als eine, wenn auch unpräzise, Kurzformel hat sich durchgesetzt, dass der Vorsatz das Wissen und Wollen der Tatbestandsverwirklichung erfordert 31. Gem. 16 Abs. 1 S. 1 StGB handelt indessen ohne Vorsatz, wer bei Begehung der Tat einen Umstand nicht kennt, der zum gesetzlichen Tatbestand gehört. Insoweit liegt ein vorsatzausschließender Tatbestandsirrtum vor, der die Strafbarkeit wegen des Vorsatzdelikts entfallen lässt. Fehlt indessen das Unrechtsbewusstsein, was den Vorsatz unberührt lässt, so kommt ein Verbotsirrtum gem. 17 StGB in Betracht, der zum Schuldausschluss führt, wenn er unvermeidbar war. a) Annahme eines vorsatzausschließenden Tatbestandsirrtums hinsichtlich der Merkmale Diensteanbieter bzw. Fernmeldegeheimnis i.s.d. 16 Abs. 1 S. 1 StGB Fraglich ist, wann ein vorsatzausschließender Tatbestandsirrtum hinsichtlich der Merkmale Diensteanbieter bzw. Fernmeldegeheimnis anzunehmen ist. Tatumstände i.s.d. 16 Abs. 1 S. 1 StGB sind zunächst Tatsachen. Minimalvoraussetzung für den Tatbestandsvorsatz ist also, dass der Täter die Tatsachen kennt oder zumindest für möglich hält, die das jeweilige Tatbestandsmerkmal erfüllen, also Umstände, die einem Beweis zugänglich sind. Fehlt diese Faktenkenntnis, so scheidet der Vorsatz i.s.d 16 Abs. 1 S. 1 StGB aus 32. Bei sog. normativen Tatbestandsmerkmalen, also solchen, die zusätzlich einer rechtlichen Bewertung bedürfen, muss neben die Faktenkenntnis die Bedeutungskenntnis hinzutreten 33. Probleme hinsichtlich der Feststellung, ob ein entsprechender Vorsatz bzw. ein Irrtum i.s.d. 16 Abs. 1 S. 1 StGB bei einem normativen Merkmal anzunehmen ist, stellen sich insbesondere dann, wenn sich die Wertung der jeweiligen Strafnorm aus außerhalb des Strafrechts liegenden Regelungen ergibt, wie dies bezüglich der Diensteanbietereigenschaft bzw. hinsichtlich des Umfangs des Fernmeldegeheimnisses der Fall ist, da sich diese aus den einschlägigen Normen des Telekommunikationsgesetzes bzw. aus Art. 10 GG ergeben. Zu den sicherlich umstrittensten Fragen des Strafrechts gehört, ob und wann ein Rechtsirrtum in Bezug auf ein normatives Tatbestandsmerkmal bei vorhande- 26 Vgl. BVerfG, MMR 2009, 673 f.; aa auch Tiedemann, Anm. zur Entscheidung des LAG Berlin-Brandenburg ZD 2011, 45, Vgl. aus dem jüngsten Schrifttum Kempermann, ZD 2012, 12, Vgl. OLG Karlsruhe MMR 2005, 178f. 29 Vgl. BT-Drucks. 13, 3609, 53; vgl. zu der Kontroverse, ob allgemeine Rechtfertigungsgründe herangezogen werden können LK/Träger, StGB, 206 Rn. 54; Köcher, DuD 2005, 163, 165; Schmidl, DuD 2005, 267, Vgl. auch BT-Drucks. V/4095, S Vgl. BGHSt 7, 261 f. 32 Vgl. ausführlich Hettinger, JuS 1988, 272, Vgl. BGHSt 7, 261 f.

9 222 RDV 2012 Heft 5 Barton, Keine Strafbarkeit wegen Verletzung des Fernmeldegeheimnisses ner Faktenkenntnis vorsatzrelevant wird, m.a.w., wann eine rechtliche Unkenntnis als Irrtum über einen Tatumstand den Vorsatz ausschließt. Nach h.m. in Rechtsprechung und Literatur gehört bei einem normativen Tatbestandsmerkmal zum Vorsatz, dass der Täter den rechtlichen Sinngehalt des Tatbestandsmerkmals erfasst und eine Wertung der das normative Merkmal ausfüllenden Umstände vorgenommen hat. Allerdings ist keine exakte juristische Wertung notwendig. Es reicht vielmehr aus, wenn der Täter den rechtlich-sozialen Bedeutungsgehalt nach Laienart richtig erfasst hat. Erforderlich ist dabei eine sog. Parallelwertung in der Laiensphäre, wobei allerdings an den Juristen deutlich höhere Anforderungen zu stellen sind als an den sog. Laien 34. Dies erfordert zunächst, die rechtliche Komplexität des jeweiligen Merkmals zu reduzieren, so dass das, was das jeweilige Tatbestandsmerkmal mit seinen in Bezug genommenen Regelungen zum Ausdruck bringt, auf ein für den Nichtjuristen verständliches und annehmbares Maß reduziert wird 35. Je komplexer und differenzierter sich allerdings die das normative Tatbestandsmerkmal ausfüllenden Regelungen darstellen, umso eher lässt eine Fehlvorstellung die Parallelwertung entfallen und führt zu einem vorsatzausschließendem Tatbestandsirrtum. Hinsichtlich der nach dem Telekommunikationsgesetz im Rahmen des 206 StGB zu bestimmenden Diensteanbietereigenschaft bzw. dem ebenfalls nach 88 Abs. 1 TKG und überdies nach Art. 10 Abs. 1 GG zu bestimmenden Fernmeldegeheimnis und dessen Umfang ist danach zu fordern, dass die Inhalte dieser rechtlichen Regelungen ihrem ungefähren Inhalt bzw. Sinngehalt nach bzw. die daraus resultierenden Folgerungen wenigstens annähernd erkennbar sind 36. Bei einem Unternehmen, das mit juristischem Sachverstand ausgestattet ist, z.b. durch eine eigene Rechtsabteilung oder einen eigenen Justiziar, dürfte ein vorsatzausschließender Tatbestandsirrtum in der Regel zu verneinen sein, da hier zu erwarten ist, dass die in Rede stehende Problematik zumindest ansatzweise bekannt ist 37. Anders gelagert sind sicherlich die Fälle, in denen in einem kleinen Betrieb zwar hausinterne IT-Kommunikationseinrichtungen vorhanden sind, die von Mitarbeitern z.b. auf Grund einer betrieblichen Übung auch privat genutzt werden dürfen, so dass nach derzeit noch vorherrschender Auffassung der Arbeitgeber als Diensteanbieter das Fernmeldegeheimnisses zu wahren hat, aber von einer entsprechenden Bedeutungskenntnis bei dem Arbeitgeber in der Regel nicht die Rede sein kann. Vielmehr wird hier das verständliche Bewusstsein vorherrschen, dass jederzeit die Möglichkeit bestehen muss, die Korrespondenz von Mitarbeitern einzusehen und entsprechende Kommunikationsvorgänge zu kontrollieren, etwa um zu überprüfen, ob Vertragstexte ordnungsgemäß übermittelt bzw. Geschäftsvorgänge ordnungsgemäß abgewickelt werden 38. Auch die Einhaltung gesetzlicher Aufbewahrungspflichten setzt den Zugriff auf den Inhalt einer - Kommunikation voraus, so z.b. gem. 257 Abs. 1 Nr. 2, 3 HGB, der die handelsrechtliche Dokumentationspflicht postuliert, die auch für im Wege der Datenfernübertragung übersandte Schriftstücke wie etwa s besteht. Ein solcher Arbeitgeber würde zu Recht darauf hinweisen, dass er andernfalls nicht mehr Herr seines Unternehmens und damit in unverhältnismäßiger Weise in seinen Rechten beschränkt wäre bzw. er wie im Falle des 257 HGB sogar einen Rechtsverstoß beginge. Entsprechendes gilt für steuerrechtliche Aufbewahrungspflichten 39. Mit einer entsprechenden Argumentation würde also eine Parallelwertung zu verneinen sein und ein vorsatzausschließender Tatbestandsirrtum i.s.d. 16 Abs. 1 S. 1 StGB wäre somit begründbar. b) Annahme eines unvermeidbaren Verbotsirrtums i.s.d. 17 StGB Soweit ein vorsatzausschließender Tatbestandsirrtum i.s.d. 16 Abs. 1 S. 1 StGB zu verneinen ist, etwa weil die rechtliche Problematik zur -Kontrolle in dem Unternehmen bekannt ist und damit ein gewisses Bewusstsein vorhanden ist, dass sich aus einer - Kontrolle auch nachteilige rechtliche Folgen ableiten lassen, stellt sich angesichts der eingangs genannten Rechtsprechung der Landesarbeitsgerichte die Frage, ob zumindest ein unvermeidbarer Verbotsirrtum i.s.d. 17 StGB in Betracht zu ziehen ist. Dieser würde eine Strafbarkeit zu Gunsten des Handelnden entfallen lassen. aa) Zur Struktur des Verbotsirrtums Gem. 17 StGB handelt der Täter ohne Schuld, wenn ihm bei Tatbegehung die Einsicht fehlt, Unrecht zu tun, und dieser Irrtum unvermeidbar war. Die in 17 StGB getroffene Regelung beruht auf der sog. Schuldtheorie, die zwischen Schuld und Unrecht als Gegenstand der Schuldzurechnung differenziert 40. Dabei spricht man von einem direkten Verbotsirrtum, wenn der Täter sein Verhalten infolge Unkenntnis oder Verkennen einer Verbotsnorm für erlaubt hält 41. Ein sog. indirekter Verbotsirrtum ist dagegen 34 Vgl. BGHSt 3, 248, 255; BGHSt 4, 347, 352; Rudolphi in GK 16, Rn Vgl. BGH RÜ 2003, 500; OLG Hamm NJW 2006, Vgl. BGH NJW 2003, 1821, 1822f. 37 Vgl. zur Rolle der Rechtsabteilung bei fehlenden Rechtskenntnissen der Mitglieder von Vorstand und Geschäftsführung die jüngste Entscheidung des BGH vom (II ZR 234/09), BB 2011, 2960, in der der BGH zu den zivilrechtlichen Pflichten und dem unverschuldeten Rechtsirrtum Stellung nimmt; dazu auch Wagner, BB 2012, 651ff. 38 Vgl. Thüsing, Arbeitnehmerdatenschutz und Compliance, Rn. 237; Schimmelpfennig/Wenning, DB 2006, 2290, 2291; Bijok/Class, RDV 2001, 52, Vgl. Thüsing, Fußn. 38, Rn. 236; Mengel, BB 2004, 2014; Eckhardt, DuD 2008, Vgl. zur Anerkennung der Schuldtheorie BGHSt 2, 194, Vgl. Kindhäuser, Strafgesetzbuch, 17 Rn. 4.

10 Barton, Keine Strafbarkeit wegen Verletzung des Fernmeldegeheimnisses RDV 2012 Heft gegeben, wenn der Täter irrtümlich annimmt, sein Verhalten sei gerechtfertigt 42. Vorliegend ist der direkte Verbotsirrtum Gegenstand der Betrachtung 43. Zunächst ist festzuhalten, dass eine Verbotsunkenntnis in der Regel das Ergebnis einer intellektuellen Fehlleistung ist, die dem Täter dann zum Vorwurf gereicht, wenn er nicht alles zu seiner Orientierung mit dem Ziel rechtskonformen Verhaltens unternommen hat, was billigerweise von ihm verlangt werden kann. Je weiter sich allerdings eine Verbotsnorm vom Kernbereich des Strafrechts entfernt, desto weniger strenge Maßstäbe sind an die Vermeidbarkeit zu stellen, es sei denn, dass der Täter gerade in einem speziellen Bereich besondere Nachforschungspflichten hat 45. Letztere können sich insbesondere aus dem jeweiligen Berufskreis ergeben, dem der Täter angehört 46. Da ein Arbeitgeber über Daten von Mitarbeitern verfügt und von ihm verlangt wird, dass er sich über datenschutzrechtliche Pflichten informiert und sie einhält, dürfte ihm auch zumutbar sein, Erkundigungen darüber einzuziehen, inwieweit er IT-Kontrollmaßnahmen durchführen darf, da auch diese datenschutzrechtliche Implikationen aufweisen. Er darf sich angesichts der damit zusammenhängenden komplexen rechtlichen Fragen nicht allein auf sein eigenes Urteil verlassen 47. Vielmehr muss er vorhandene Erkenntnisquellen ausschöpfen 48. Hier kann nur die Auskunft einer verlässlichen Person die Vermeidbarkeit des Irrtums ausschließen, also der Rat eines Rechtskundigen, der die Gewähr für eine objektive, sorgfältige und pflichtgemäße Auskunftserteilung bietet 49 ; d.h. bei erkannt schwieriger oder unüberschaubarer insbesondere bei einer offenen Rechtslage die Auskunft eines unabhängigen, fachlich qualifizierten Berufsträgers, also eines spezialisierten Rechtsanwalts 50, oder die Einholung eines Rechtsgutachtens, ggfs. durch einen in diesem Rechtsbereich spezialisierten Hochschullehrer 51. Diese bisher schon seitens der Rechtsprechung postulierten Anforderungen hat der BGH in seiner Entscheidung vom zur zivilrechtlichen Organhaftung mit der Frage, wann ein die Haftung ausschließender Rechtsirrtum bei mangelnder eigener Rechtskenntnis anzunehmen ist, noch einmal ausdrücklich bekräftigt. Dabei wies er darauf hin, dass allein eine schriftliche Anfrage bei einer für fachkundig gehaltenen Person nicht ausreicht 53. Insbesondere bei kompliziert gelagerten Fällen soll auch eine mündliche Beratung nicht ausreichen 54. Auch soll sich ein Vorstand nicht unter Berufung auf eine unzutreffende Beratung durch den Aufsichtsrat im Rahmen von dessen Aufsichtsratstätigkeit entlasten können 55. Außerdem verlangt der BGH eine durch das Organ vorzunehmende Plausibilitätskontrolle hinsichtlich der ihm im Rahmen der rechtlichen Beratung zugeleiteten Ergebnisse. Inwieweit der Rat der eigenen Rechtsabteilung ausreichend ist, erscheint vor dem Hintergrund der BGH- Entscheidung zweifelhaft, da Bedenken gegen deren Unabhängigkeit bestehen könnten 56, da deren Mitarbeiter weisungsunterworfen sind. Daher ist eher anzuraten, sich externen Rechtsrats zu bedienen, jedenfalls dann, wenn komplexe Rechtsfragen zur Diskussion stehen oder eine weitgehend noch ungeklärte Rechtslage besteht, da diesem ein höherer Entlastungswert zukommt 57. Holt der Arbeitgeber im Hinblick auf eine - Kontrolle Rechtsrat ein und wird dabei auf die Rechtsprechung der Landesarbeitsgerichte Berlin- Brandenburg bzw. Niedersachsen verwiesen, nach deren Rechtsauffassung ein Arbeitgeber auch bei erlaubter privater Nutzung nicht als Diensteanbieter zu qualifizieren ist, so dass der persönliche Anwendungsbereich des 206 StGB schon nicht eröffnet ist was im Übrigen das LAG Berlin-Brandenburg auch ausdrücklich festgestellt hat bzw. unter den dort genannten Voraussetzungen eine Verletzung des Fernmeldegeheimnis verneint, so stellt sich die Frage nach dem unvermeidbaren Verbotsirrtum i.s.d. 17 StGB. bb) Die Berufung auf für den Täter günstige Gerichtsentscheidungen Für die Annahme eines unvermeidbaren Verbotsirrtums i.s.d 17 StGB, der die Schuld entfallen lässt, ist zunächst einmal maßgeblich, welche Kenntnisse und Vorstellungen der Täter zur Tatzeit von der Strafbarkeit seines Tuns hatte Vgl. Kindhäuser, Fußn. 41 aao; BGH NStZ 2003, 596 f. 43 Inwieweit sich ein Betroffener auf einen sog. Erlaubnistatbestandsirrtum oder einen Erlaubnisirrtum berufen kann, sofern er von einem Rechtfertigungsgrund z.b. i.s.d. 34 StGB ausgeht, etwa weil er s blockiert, die er für vireninfiziert hält, bleibt einer weiteren Darstellung vorbehalten. 44 Vgl. BGHSt 4, 5; Mattel ZSdW 74, 281; Timpe GA 84, Vgl. BGHSt 46, 287; Duttge NStZ 2001, Vgl. BGH DAR, 1966, 189; BGHSt 40, 264; OLG Frankfurt NJW 1964, Vgl. BGHSt 5, 118; BGHSt 21, 20; BGH Wistra 84, 178; ausführlich Kirchheim/Samson, Wistra 2008, 81 f. 48 Vgl. BGHSt 4, 236, Vgl. BGHSt 40, 257, 264; BGH NJW 2000, 2368; Zaczyk JuS 1990, 889, Vgl. BGH NJW 2007, 3079; BGH BB 2011, 2960 Rn. 18; OLG Stuttgart, ZIP 2009, 2386; Binder, AG 2008, 274 ff.; Fleischer, FS Hüffer, 2010, 187 f.; ders. NZG 2010, 121 f.; ders. ZIP 2009, 1397 f.; Schneider DB 2011, 99 f. 51 Vgl. BGH NStZ-RR 2009, Vgl. BGH BB 2011, Vgl. BGH Fußn. 52, 2960, Rn Vgl. BGH Fußn. 52, 2960, Rn Vgl. BGH, Fußn. 52, 2960, Rn Vgl. jedoch Fleischer, ZIP 2009, 1397, 1403, der von der Unabhängigkeit einer Rechtsabteilung ausgeht; Schneider DB 2011, 99, Vgl. so auch Hölters in: Hölters, AktG 2011, 93 Rn. 249; im Strafrecht wird indessen hinsichtlich eines unvermeidbaren Verbotsirrtums die dafür erforderliche Unabhängigkeit der eigenen Rechtsabteilung durchaus bejaht, vgl. hierzu Joecks in: Münch. Komm. StGB 17, Rn. 57; Sternberg-Lieben in: Schönke/Schröder StGB 17 Rn Vgl. BayObLG LRE 2, 262, 264; Cramer/Sternberg-Lieben in Schönke/Schröder 17 Rn. 20.

11 224 RDV 2012 Heft 5 Barton, Keine Strafbarkeit wegen Verletzung des Fernmeldegeheimnisses Ebenso wie auf vertrauenswürdige Auskünfte von Behörden darf er sich grundsätzlich auch auf Gerichtsentscheidungen verlassen 59. Existieren für ihn günstige Urteile, so kann er sich allerdings nur dann darauf berufen, wenn er diese bereits bei Tatbegehung kannte und er sich bei Entscheidungen unterer Gerichte zudem darum bemüht hat, deren Rechtskraft festzustellen 60. Dabei bezieht sich das Vertrauen auch auf die Urteilsgründe. Der Täter darf diese für eine kompetente Belehrung halten und braucht ohne konkreten Anlass die in dem Urteil beschriebene Rechtslage nicht in Zweifel zu ziehen 61. So kann nach Auffassung des OLG Stuttgart 62 ein unvermeidbarer Verbotsirrtum dann anzunehmen sein, wenn jemand auf das Urteil eines obersten Bundesgerichts vertraut, das zwar auf einem anderen Rechtsgebiet ergangen ist, dessen allgemein gehaltene Formulierung aber wenn auch nur für Experten erkennbar über die eigentliche Sachaussage hinausgeht. Eine Ausnahme, die das Vertrauen auf ein Gerichtsurteil durchbrechen kann, ist lediglich dann anzunehmen, wenn völlig überraschend von einer, ggfs. durch höchstrichterliche Rechtsprechung geprägten, als allgemein bzw. herrschend anerkannten Rechtslage abgewichen wird, m.a.w., wenn ein überraschendes Urteil vorliegt, das geradezu zu einer Diskussion herausfordert 63. In diesem Fall ist es dem Betroffenen eher zumutbar, die endgültige Klärung der Rechtslage abzuwarten. 64 Auch wenn die beiden bereits mehrfach genannten Urteile die im Übrigen rechtskräftig sind im Bereich der Arbeitsgerichtsbarkeit ergangen sind, so enthalten sie indessen dezidierte Aussagen zur Diensteanbietereigenschaft bzw. zum Umfang des Fernmeldegeheimnisses, also zu den beiden zentralen Fragen, die auch im Rahmen des 206 StGB maßgeblich sind. Ob ein Vertrauensschutz auch dann noch anzunehmen wäre, wenn diese Entscheidungen nur durch erstinstanzliche Arbeitsgerichte getroffen worden wären, kann dahinstehen. Hier handelt es sich um Entscheidungen von Landesarbeitsgerichten, die wohl mit Entscheidungen von Oberlandesgerichten vergleichbar sind, zumal bei beiden Gerichten jeweils ein Bundesgericht (BAG/BGH) die folgende Instanz bildet, auch wenn die Besetzung der jeweiligen Spruchkörper also OLG bzw. LAG Unterschiede aufweisen. Insoweit kann einem betroffenen Arbeitgeber nicht verwehrt werden, sich auf die LAG-Entscheidungen zu berufen. Dies vor allem auch deshalb, weil keine dem widersprechenden anderen Urteile vorliegen. Die Entscheidung des OLG Karlsruhe 65 kann nicht in diese Kategorie eingeordnet werden, da dieser Beschluss keine Feststellung dazu trifft, ob dieser auch im Verhältnis des Arbeitgebers zum Arbeitnehmer heranzuziehen ist 66. Aber selbst dann, wenn man die Entscheidung des OLG Karlsruhe als einschlägig auch für den Fall der erlaubten privaten Nutzung im Verhältnis Arbeitgeber/Arbeitnehmer betrachten würde, wäre es verfehlt, den betroffenen Arbeitgeber mit dem Risiko des für ihn ungünstigen Ausgangs des vorhandenen Meinungsstreites zu belasten 67. Von überraschenden Entscheidungen kann ebenfalls nicht die Rede sein, da die in den Entscheidungen der beiden Landesarbeitsgerichte vertretene Auffassung zur Diensteanbietereigenschaft auch von einer nicht unbeträchtlichen Anzahl von Autoren geteilt wird. Damit kann ein Arbeitgeber die Entscheidungen der Landesarbeitsgerichte Berlin-Brandenburg und Niedersachsen als für sich verbindlich betrachten, selbst wenn im Schrifttum 68 bereits vereinzelt Kritik dahingehend geäußert wird, dass das LAG Berlin-Brandenburg sich auf eine angeblich herrschende Meinung beruft und überdies nicht die Möglichkeit genutzt hat, sich argumentativ eingehend mit der Rechtsproblematik, insbesondere mit der gegenteiligen Auffassung im Schrifttum, auseinanderzusetzen. In der Tat ist dies eine verpasste Chance, zumal die überzeugenderen Argumente für diese Urteile sprechen 69. Dies wird deutlich, betrachtet man die Ausführungen von Thüsing 70, der sich der Mühe unterzogen hat, unter Heranziehung der herkömmlichen Auslegungsmethoden, differenziert den Nachweis zu führen, dass ein Arbeitgeber bei auch erlaubter privater Nutzung nicht zum Diensteanbieter wird. Die mangelnde Auseinandersetzung mit den unterschiedlichen Auffassungen ändert aber nichts an den eindeutigen Aussagen der beiden Gerichte zur Diensteanbietereigenschaft, die zudem in sich widerspruchsfrei sind 71. Den Anforderungen normaler Rechtstreue genügt der Betroffene solange, bis keine abweichenden Entscheidungen höherer Instanzen bekannt geworden sind. Der Umstand, dass im Schrifttum überwiegend noch die gegenteilige Auffassung vertreten wird, hindert zudem nicht die Annahme eines unvermeidbaren Verbotsirrtums, da insoweit der Grundsatz gilt, dass die Rechtsprechung vor der Literatur rangiert 72. Vor allem 59 Vgl. OLG Bremen NJW 1960, 163, 164; OLG Stuttgart NJW1967, 122; Rudolphi JR 1973, 511, Vgl. BayObLG, LRE 2, 262, 264; OLG Hamburg LRE 1, 68, Vgl. OLG Düsseldorf VRS 73, 367, Vgl. OLG Stuttgart, Fußn Vgl. OLG Koblenz VRS 1960, 387, Vgl. OLG Koblenz, Fußn Vgl. OLG Karlsruhe, MMR 2005, 178f. 66 Vgl. Thüsing, Fußn. 38, Rn Vgl. Rengier, Karlsruher Kommentar zum OWiG, 11, Rn. 86; Fleischer NStZ 1986, 175, 177; Meyer JuS 1979, 250, Vgl. Störing, Anm. zur Entscheidung des LAG Berlin-Brandenburg CR 2011, 615, 616; Tiedemann ZD , 46, ebenso Wybitul, BB 2011, 1; Wybitul, ZD 2011, 69, Vgl. Wybitul, Fußn Vgl. Thüsing, aao, Fußn Vgl. Neumann in: Kindhäuser/Neumann/Paessgen, StGB, 17, Rn. 73; Roxin, Henkel-FS, 171 f., Vgl. Rengier in: Karlsruher Kommentar zum OWiG, 11 Rn. 83.

12 Barton, Keine Strafbarkeit wegen Verletzung des Fernmeldegeheimnisses RDV 2012 Heft ist es dem Betroffenen nicht zumutbar, sich an einer für ihn ungünstigen Rechtsauffassung zu orientieren 73. Im Übrigen wäre ihm auch nicht zumutbar, bis zur endgültigen Klärung der Rechtslage ggfs. durch höchstrichterliche Rechtsprechung im Bereich des Strafrechts oder gar auf den Gesetzgeber zu warten 74. Letzteres hieße, die Klärung dieser Frage auf einen gänzlich unbestimmten Zeitpunkt zu verschieben. Das große Projekt eines Arbeitnehmerdatenschutzgesetzes wurde vertagt. An die Stelle einer umfassenden Lösung trat eine kleine Lösung, und zwar in der Form des 32 BDSG, eine Regelung, die mehr Fragen aufwirft als sie löst 75. Zu hoffen bleibt im Übrigen aus Arbeitgebersicht, dass Pläne der Opposition, die in einem Antrag der SPD-Fraktion für ein neues Beschäftigtendatenschutzgesetz 76 ihren Niederschlag gefunden haben, wonach es bei erlaubter privater Nutzung des Internets dem Arbeitgeber untersagt werden soll, selbst stichprobenartige bzw. anlassbezogene Leistungs- bzw. Verhaltenskontrollen durchzuführen, insbesondere eine exzessive Nutzung zu kontrollieren, nicht in die Realität umgesetzt werden. Bei der Prüfung der Frage, ob es zumutbar ist, eine möglicherweise verbotene Handlung so lange zu unterlassen, bis die Frage der Verbotenheit bzw. Erlaubtheit endgültig geklärt ist, ist das Interesse des Täters an der Vornahme der fraglichen Handlung einerseits und das Interesse der Allgemeinheit am Unterlassen möglicherweise verbotener Handlungen andererseits abzuwägen 77. Dabei ist insbesondere zu berücksichtigen, dass eine unklare Rechtslage nicht dem Normadressaten aufgebürdet werden darf, insbesondere dann, wenn eine abschließende Klärung alleine schon zeitlich nicht absehbar ist 78. Betrachtet man die Interessenlage eines Arbeitgebers, der Kontrollmaßnahmen vornehmen will, so liegt die Unzumutbarkeit eines Zuwartens auf eine abschließende Klärung auf der Hand. Dies macht allein das Beispiel deutlich, dass ihm ohne eine Kontrollmöglichkeit die Möglichkeit genommen wäre, zu überprüfen, ob eine der Dokumentations- bzw. Aufbewahrungspflicht des 257 Abs. 1 Nr. 2, 3 HGB unterliegt. Enthalten s z.b. auch private Informationen, wäre ihm der Zugriff darauf nach 88 TKG untersagt. Ein privater Glückwunsch zum Geburtstag gegenüber dem Kommunikationspartner in einer ansonsten geschäftlichen würde damit bereits eine Sperrwirkung auslösen. Dies würde bedeuten, dass der Arbeitgeber entweder die Pflichten aus dem HGB oder die aus dem TKG verletzt 79, eine für den Arbeitnehmer untragbare Situation. Wenn schon das Risiko einer unklaren Rechtslage, wenn sie von Behörden oder Gerichten verursacht wurde, nicht einseitig dem Normadressaten aufgebürdet werden darf 80, so muss dies erst recht dann gelten, wenn ein sich aus unterschiedlichen Regelungen ergebendes und damit vom Gesetzgeber zu verantwortendes Normen-Chaos besteht. Die Unzumutbarkeit folgt im Übrigen auch daraus, dass die Digitalisierung von Geschäftsprozessen, die in den meisten Unternehmen heute das Tagesgeschäft beherrscht, die Kontrolle der betrieblichen -Korrespondenz zwingend gebietet. Wie soll z.b. ansonsten überwacht werden, ob eine Vertragsgestaltung oder Abwicklung ordnungsgemäß erfolgt? Die aus einer mangelnden Kontrollbefugnis erwachsenden rechtlichen bzw. wirtschaftlichen Risiken wären kaum noch beherrschbar. Auch kann von dem Arbeitgeber, was auch im Schrifttum anerkannt ist, nicht verlangt werden, die dienstliche und die private Korrespondenz von Mitarbeitern durch entsprechende technische Vorkehrungen zu trennen, da dies nur mit einem unverhältnismäßigen Aufwand möglich wäre 81. Es bleibt festzuhalten, dass im Falle einer - Kontrolle bei auch erlaubter privater Nutzung dem Arbeitgeber grundsätzlich ein unvermeidbarer Verbotsirrtum i.s.d. 17 StGB zuzubilligen ist, der zur Straflosigkeit führt. Davon ausgenommen ist allerdings die Fall-Konstellation, dass eine auf den ersten Blick bereits für jedermann deutlich erkennbar einen ausschließlich privaten Inhalt aufweist. IV. Fazit Auch wenn im Schrifttum überwiegend noch die Diensteanbietereigenschaft eines Arbeitgebers, der die private Nutzung unternehmensinterner IT-Einrichtungen erlaubt hat, bejaht wird und er danach dem Fernmeldegeheimnis unterworfen werden soll, so liegen demgegenüber rechtskräftige Entscheidungen von zwei Landesarbeitsgerichten vor, wonach diese Eigenschaft verneint wird. Selbst wenn man den objektiven Tatbestand des 206 StGB im Hinblick auf die Verletzung des Fernmeldegeheimnisses bei einer -Kontrolle bejahen würde, kann sich ein Arbeitgeber grundsätzlich auf einen schuldausschließenden unvermeidbaren Verbotsirrtum i.s.d. 17 StGB berufen, es sei denn, er nimmt auf s mit erkennbar privatem Inhalt Zugriff. 73 Vgl. OLG Bremen, NJW 1960, 163; LG Stuttgart, NStZR 2003, 76, Vgl. hierzu OLG Stuttgart, NJW 2008, 243, das gleichzeitig den Zumutbarkeitsgesichtspunkt betont. 75 Vgl. ausführlich Thüsing, Fußn. 38, Rn. 56ff.; Barton RDV 2009, Heft 5, Vgl. BT-Drucks. 17/ Vgl. Vogel in: LK-StGB, 17 Rn. 69; Cramer/Sternberg-Lieben in: Schönke-Schröder, 17 m.w.n. 78 Vgl. BGH NJW 2007, 3078, 3079; OLG Stuttgart NJW 2006, 2422, Vgl. Thüsing Fußn. 38, Rn Vgl. OLG Stuttgart, NJW 2006, 2422, 2423, wo darauf hingewiesen wird, dass das Risiko einer extrem unklaren Rechtslage, wenn sie von Behörden und Gerichten geschaffen wurde, nicht einseitig dem Normadressaten aufgebürdet werden darf. 81 Vgl. Thüsing, Fußn. 38, Rn. 237; Mengel BB 2004, 2014, 2017; Schimmelpfennig/Wenning DB 2006, 2290, 2291f.

13 226 RDV 2012 Heft 5 Hallermann, Wann müssen Auftragsdatenverarbeitungen vor Ort kontrolliert werden? RA Dr. Ulrich Hallermann, Frankfurt am Main* Wann müssen Auftragsdatenverarbeitungen vor Ort kontrolliert werden? Der Auftraggeber muss sich gem. 11 Abs. 2 S. 4 BDSG regelmäßig davon überzeugen, dass beim Auftragnehmer die zum Datenschutz erforderlichen technischen und organisatorischen Maßnahmen eingehalten werden. Zur Umsetzung dieser Anforderung bieten sich grundsätzlich Ortskontrollen an. Diese sind freilich mit einem enormen Reise- und Arbeitsaufwand verbunden, wenn der Auftraggeber im Süden und der Auftragnehmer im Norden der Republik ansässig ist. Die Thematik hat auch auch eine quantitative Bedeutung. Gerade Konzerndatenschutzbeauftragte können in die Bredouille geraten, soweit eine Vielzahl von Konzerntöchtern im Auftrag personenbezogene Daten verarbeiten und vor Ort kontrolliert werden sollen. Einfacher wäre es, wenn man sich die technischen und organisatorischen Maßnahmen nur auf dem Postweg bestätigen lassen könnte. In der Praxis muss man aber damit rechnen, dass die Aufsichtsbehörden Ortskontrollen fordern. Dies überrascht, da sich zumindest aus dem Wortlaut von 11 Abs. 4 S. 2 BDSG eine solche Verpflichtung nicht herleiten lässt. Nachfolgend wird daher erörtert, in welchen Fällen Kontrollen vor Ort erfolgen sollten und wie diese auszugestalten sind. I. Die Vorgaben im BDSG Kontrollen müssen vor Ort erfolgen, soweit sich eine entsprechende Verpflichtung aus 11 Abs. 2 S. 4 BDSG herleiten lässt. 11 Abs. 2 S. 4 BDSG in seiner jetzigen Fassung wurde durch das Gesetz zur Änderung datenschutzrechtlicher Vorschriften 1 in das BDSG eingeführt und gilt seit dem 1. September Der Vergleich mit der Altfassung zeigt, dass der Auftraggeber Kontrollen bereits vor dem 1. September 2009 durchführen musste. Neu ist nur, dass die Kontrollen vor Beginn der Auftragsdatenverarbeitung und sodann regelmäßig erfolgen müssen. Überdies muss das Ergebnis der Kontrollen nunmehr dokumentiert werden, 11 Abs. 2 S. 5 BDSG 2. Wie die Kontrollen bzw. die entsprechende Dokumentation im Einzelfall durchzuführen sind, wollte der Gesetzgeber nicht regeln: Eine nähere Ausgestaltung der Art und des Umfangs der Dokumentation erscheint nicht erforderlich und würde wiederum der Bandbreite an Auftragsdatenverarbeitungen nicht gerecht werden. So kann z.b. der Umfang je nach Größe und Komplexität der Auftragsdatenverarbeitung variieren 3. Aus der Gesetzesbegründung ergibt sich sogar, dass der Auftraggeber den Auftragnehmer nicht vor Ort kontrollieren muss 4. Ausreichend ist vielmehr die Vorlage eines Sicherheitskonzepts, die Offenlegung von Berichten der Wirtschaftsprüfer bzw. die Anforderung von Datenschutzaudits der Auftragnehmer 5. Umso mehr überrascht die teilweise eher strenge Kommentarliteratur in dieser Frage: Nach Simits-Petri etwa sollen Auftragnehmer in der Regel vor Ort kontrolliert werden, da nur so ein ausreichender Datenschutz gewährleistet werden könne 6. Etwas weniger streng ist Taeger/Gabel: Aufgrund der eindeutigen Gesetzesbegründung sollen nach dieser Auffassung Ortskontrollen für den Auftraggeber nicht in jedem Fall zwingend vorgeschrieben sein 7. Hierfür sprechen nach Taeger/Gabel auch praktische Gründe: Bei Auftragnehmern, die für viele Auftraggeber tätig sind (z.b. Sevice- Rechenzentren), könne der Betrieb durch häufige Ortskontrollen nachteilig beeinträchtigt werden 8. Dies würde dem Datenschutz zuwiderlaufen. Im Ergebnis ist die Rechtslage als unsicher zu bezeichnen. Dies nicht zuletzt vor dem Hintergrund, dass der Düsseldorfer Kreis zur Frage der Ortskontrollen bisher keinen Beschluss mit klaren Handlungsempfehlungen veröffentlicht hat, an dem sich die Praxis orientieren könnte. Nach der hier vertretenden Auffassung bietet sich eine pragmatische Lösung an: Das BDSG schreibt Kontrollen vor Ort zwar nicht zwingend vor. Dennoch sind Ortskontrollen in der Praxis geboten, wenn sich der Datenschutz beim Auftragnehmer auf anderem Wege nicht sicherstellen lässt und deswegen Regressforderungen von Betroffenen drohen. Aufgrund von 11 Abs. 4 S. 2 BDSG ist hierbei zwischen Kontrollen vor Beginn und nach Aufnahme der Auftragsdatenverarbeitung zu differenzieren. II. Ortskontrollen vor Beginn der Auftragsdatenverarbeitung 1. Notwendigkeit von Ortskontrollen Eine Kontrolle vor Ort sollte erfolgen, soweit Zweifel an der Zuverlässigkeit des Auftragnehmers bestehen 9. Indizien hierfür können eine fehlende Zertifizierung und negative Erfahrungen bei der Zusammenarbeit in der Vergangenheit sein. Der Sitz des Auftragnehmers * Der Autor ist Rechtsanwalt in Frankfurt am Main. Sie können den Autor per Mail unter folgender Adresse erreichen: ulrich. hallermann@googl .com. 1 BGBl. I S (2009). 2 BGBl. I S (2009). 3 BT-Drucks. 16/13657, S BT-Drucks. 16/13657, S Beispiele gebildet nach Taeger/Gabel, 11 BDSG Rn. 48, 1. Auflage (2010). 6 Vgl. Simitis-Petri, 11 BDSG Rn. 59, 7. Auflage (2011). 7 Taeger/Gabel, 11 BDSG Rn. 48, 1. Auflage (2010). 8 Taeger/Gabel, 11 BDSG Rn. 48, 1. Auflage (2010). 9 Vgl. Simitis-Petri, 11 BDSG Rn. 55, 7. Auflage (2011).

14 Hallermann, Wann müssen Auftragsdatenverarbeitungen vor Ort kontrolliert werden? RDV 2012 Heft ist ebenfalls zu berücksichtigen. Nur bei einem Sitz innerhalb des europäischen Wirtschaftsraums (EWR) können aufgrund von 4 b Abs. 2 BDSG Ortskontrollen entbehrlich sein. Bei Auftragnehmern mit Sitz außerhalb des EWR muss der Auftraggeber gem. 4 b Abs. 3 BDSG immer gesondert beurteilen, ob ein angemessenes Datenschutzniveau gewährleistet wird. Dies legt den Schluss nahe, dass bei einem Auftragnehmer mit Sitz außerhalb des EWR in der Regel eine Kontrolle vor Ort erforderlich ist. Denn durch bloßen Schriftverkehr kann der Auftraggeber in solchen Fällen kaum den Datenschutz beurteilen. Sofern z.b. Teile der IT nach Indien outgesourct werden, sollte eine Kontrolle vor Ort erfolgen, auch wenn dies mit hohen Kosten verbunden ist. Aber auch bei Auftragnehmern mit Sitz im EWR kann eine Kontrolle vor Ort erforderlich sein. In diesen Fällen sollte vor allem der Auftrag selbst genau analysiert werden. Notwendig ist eine Kontrolle vor Ort häufig dann, wenn besonders geschützte Daten ( 3 Abs. 9 BDSG) verarbeitet werden. Auch die Dauer, Intensität und Zweckbestimmung der Datenverarbeitung sind zu berücksichtigen. Bei einer Auftragsdatenverarbeitung, die sich über mehrere Jahre erstreckt und viele Datensätze zum Gegenstand hat, wird praktisch immer eine Ortskontrolle erforderlich sein. Dasselbe gilt für den Fall, dass der Auftraggeber bezüglich der Auftragsdatenverarbeitung eine Vorabkontrolle durchführen muss ( 4 d Abs. 5 BDSG). Denn Vorabkontrollen sind insbesondere durchzuführen, wenn durch die Datenverarbeitung die Persönlichkeit des Betroffenen bewertet werden soll. Bei derart massiven Eingriffen in die Intimsphäre des Betroffenen ist eine Ortskontrolle in der Regel erforderlich. Soweit im Einzelfall dennoch Zweifel an der Notwendigkeit einer Ortskontrolle verbleiben, bietet sich die Anwendung des Verhältnismäßigkeitsgrundsatzes an. Die Interessen von Auftraggeber und Betroffenen sind hierbei gegeneinander abzuwägen: Der Auftraggeber ist an einem möglichst geringen Verwaltungsaufwand interessiert, während für den Betroffenen der Schutz seiner personenbezogenen Daten im Vordergrund steht. Soweit aufgrund einer unterlassenen Ortskontrolle Verstöße gegen den Datenschutz begangen werden, kann das allgemeine Persönlichkeitsrecht des Betroffenen verletzt werden. Für den Auftraggeber besteht hingegen nur die Gefahr, dass eine Ortskontrolle durchgeführt wird, obwohl eine Postwegkontrolle ausreichend gewesen wäre. Aufgrund des überschaubaren Aufwandes für den Auftraggeber stehen seine Interessen in der Regel hinter den Datenschutzinteressen der Betroffenen an, so dass auch in Zweifelsfällen Ortskontrollen erfolgen sollten. der technischen und organisatorischen Maßnahmen zum Datenschutz überzeugen kann. Basierend auf der Erörterung zur Notwendigkeit von Ortskontrollen können diese entbehrlich sein, wenn für den Auftraggeber und Auftragnehmer strenge Datenschutzvorschriften (z.b. in Form des BDSG) gelten und der Auftragnehmer (z.b. aufgrund einer Zertifizierung) als geeignet anzusehen ist. Positive Erfahrungen mit dem Auftragnehmer sollten nur berücksichtigt werden, wenn sie aus der jüngeren Vergangenheit stammen 10. Die konkrete Ausgestaltung des Auftrags kann ebenfalls zur Entbehrlichkeit von Ortskontrollen führen. Zu denken ist hierbei an eine Begrenzung der Datenverarbeitung auf ein Minimum und das Verbot zur Vergabe von Unterauftragsverhältnissen. Gerade Unterauftragsverhältnisse dürften häufig für Verstöße gegen den Datenschutz verantwortlich sein. Wenn keine besonders geschützten personenbezogenen Daten ( 3 Abs. 9 BDSG) verarbeitet werden, ist dies ebenfalls als Indiz für die Entbehrlichkeit von Ortskontrollen zu werten. In der Praxis stellt sich häufig die Frage, wann im Rahmen von Unternehmensbeteiligungen auf eine Kontrolle vor Ort verzichtet werden kann. Sowohl das übergeordnete Unternehmen als auch das Unternehmen, an dem eine Beteiligung besteht, sind eine verantwortliche Stelle im Sinne von 3 Abs. 7 BDSG. Eine Privilegierung sieht das BDSG insoweit nicht vor, selbst wenn die Unternehmen in eine Konzernstruktur eingebunden sind 11. Entscheidend für den Umfang der Zutrittskontrollen dürfte sein, wie die Beziehungen zwischen den beiden Unternehmen ausgestaltet sind. Sofern das übergeordnete Unternehmen nur eine Minderheitsbeteiligung hält und auch ansonsten keine engere Verbindung (z.b. aufgrund eines Geschäftsbesorgungsvertrages) besteht, sollten die hier dargestellten Grundsätze zur Entbehrlichkeit bzw. Notwendigkeit von Ortskontrollen angewendet werden. Etwas anderes kann gelten, wenn die Unternehmen verbunden im Sinne von 15 ff. Aktiengesetz sind. Sofern z.b. im Falle von 18 Aktiengesetz die Tochter organisatorisch vollständig in die Mutter eingegliedert ist, wird die Mutter in der Regel auch für die Vorkehrungen zum Datenschutz verantwortlich sein. Der Mutter sind die Verhältnisse zum Datenschutz vor Ort bekannt. Eine gesonderte Ortskontrolle vor Beginn der Auftragsdatenverarbeitung dürfte entbehrlich sein. III. Kontrollen nach Beginn der Auftragsdatenverarbeitung auf dem Postweg Bisher wurden nur die Kontrollen vor Beginn der Auftragsdatenverarbeitung erörtert. Mit einer einmaligen Kontrolle des Auftragnehmers ist es aber ausweislich 2. Entbehrlichkeit von Ortskontrollen Kontrollen vor Ort sind entbehrlich, soweit der Auftraggeber sich auf dem Postweg von der Einhaltung 10 Simits-Petri, 11 BDSG Rn. 60, 7. Auflage (2011). 11 Simitis-Seifert, 32 BDSG Rn. 116, 7. Auflage (2011).

15 228 RDV 2012 Heft 5 Hallermann, Wann müssen Auftragsdatenverarbeitungen vor Ort kontrolliert werden? des 11 Abs. 4 S. 2 BDSG nicht getan. Ein Grund für die Novelle von 11 Abs. 4 S. 2 BDSG war vielmehr, dass Kontrollen des Auftragnehmers regelmäßig erfolgen sollen. 12 Allerdings dürften für Folgekontrollen weniger strenge Vorgaben gelten: Bußgeldbewehrt sind gem. 43 Abs. 1 Nr. 2 Buchstabe b BDSG nur Verstöße gegen die Pflicht zur Kontrolle des Auftragnehmers vor Beginn der Auftragsdatenverarbeitung 13. Sofern schon bei der Erstkontrolle auf eine Ortsbegehung verzichtet wurde, wird auch die Folgekontrolle grundsätzlich nicht vor Ort erfolgen müssen. Vielmehr dürfte eine Postwegkontrolle ausreichend sein. Beispiele für Postwegkontrollen sind die Anforderung von aktualisierten Datenschutzzertifikaten, das Ausfüllen von Fragebögen des Auftraggebers sowie Prüfberichte der internen Revision des Auftragnehmers. Die technischen und organisatorischen Maßnahmen gem. 9 BDSG 14 können anhand des Datenschutzkonzepts überprüft werden. Selbst wenn die Erstkontrolle vor Ort erfolgte, muss dies nicht zwangsläufig auch für die Folgekontrolle gelten. Der Erstkontrolle kommt nach dem Willen des Gesetzgebers ein stärkeres Gewicht zu als der Folgekontrolle 15. Durch die Erstkontrolle hat der Auftraggeber im Wesentlichen seine Pflichten zur Beaufsichtigung des Auftragnehmers erfüllt. Die Folgekontrolle dient tendenziell eher dazu, einen laufenden Kontakt mit dem Auftragnehmer sicherzustellen und auftretende Mängel im Datenschutz schnell beseitigen zu können. Ortsgebundene Folgekontrollen sind erst erforderlich, wenn die Auftragsdatenverarbeitung wesentlich modifziert wird. Eine wesentliche Modifizierung dürfte z.b. gegeben sein, wenn sich der Umfang der Datenverarbeitung erheblich vergrößert oder dem Auftragnehmer die Berechtigung zur Begründung von Unterauftragsverhältnissen eingeräumt wird ( 11 Abs. 2 Nr. 6 BDSG). Ortsgebundene Folgekontrollen sind überdies erforderlich, wenn nach Aufnahme der Auftragsdatenverarbeitung Zweifel an der Seriösität des Auftragnehmers entstehen. Das ist etwa dann der Fall, wenn sich Kunden beim Auftraggeber beschweren oder die Aufsicht aktiv wird. IV. Wie sind Ortskontrollen auszugestalten? 1. Orientierung an 11 Abs. 2 und 4 BDSG 11 Abs. 2 BDSG legt fest, was im Einzelnen hinsichtlich der Auftragsdatenverarbeitung schriftlich zu vereinbaren ist. Diese schriftliche Vereinbarung sollte Ausgangspunkt der Ortskontrolle sein. Zu klären sind beispielsweise folgende Fragen: Hält sich der Auftragnehmer an den vereinbarten Gegenstand und Umfang der Auftragsdatenverarbeitung? Werden die Kontrollrechte des Auftraggebers durchweg geduldet? Teilt der Auftragnehmer eventuelle Verstöße gegen den Datenschutz dem Auftraggeber zeitnah mit? Aufgrund von 11 Abs. 4 BDSG muss der Auftragnehmer in seinem Unternehmen die Vorgaben von 4 f und 4 g BDSG einhalten. Das heißt insbesondere: Der Auftragnehmer muss bei seinen Mitarbeitern die Verpflichtung auf das Datengeheimnis vornehmen, im Anwendungsbereich von 4 f BDSG einen Datenschutzbeauftragten bestellen und die Mitarbeiter im Datenschutz schulen 16. Im Rahmen einer Ortskontrolle sollte die entsprechende Dokumentation des Auftragnehmers eingesehen werden. Schwerpunkt der Ortskontrollen sollten die technischen und organisatorischen Datenschutzmaßnahmen des Auftragnehmers sein Überprüfung der technischen und organisatorischen Datenschutzmaßnahmen Der Auftragnehmer muss angemessene technische und organisatorische Maßnahmen zum Datenschutz treffen, 11 Abs. 2 BDSG. Hinsichtlich der technischen und organisatorischen Maßnahmen sollte er mindestens den Standard des Auftraggebers vorhalten 18. Relativ einfach können Maßnahmen der Zutrittskontrolle überprüft werden. Durch die Zutrittskontrolle wird Unbefugten der Zutritt zu Datenverarbeitungsanlagen verwehrt 19. Daher sollte der Auftraggeber sich davon überzeugen, dass der Eingangsbereich beim Auftragnehmer überwacht wird und Dritte (insbesondere Besucher, Handwerker und das Reinigungspersonal) nur in Begleitung von Mitarbeitern Zugriff auf personenbezogene Daten haben. Durch die Zugangskontrolle wird gewährleistet, dass Datenverarbeitungssysteme von unbefugten Dritten nicht genutzt werden können 20. Der Auftraggeber sollte das Passwortsystem des Auftragnehmers überprüfen und sich exemplarisch die Anmeldung an ausgewählten PC s zeigen lassen. Hierbei ist darauf zu achten, dass strenge Kriterien für die Passwortvergabe gelten und dass die Passwörter regelmäßig gewechselt werden. Eng mit der Zugangskontrolle einher geht die Überprüfung der Zugriffskontrolle. Die Zugriffskontrolle dient dazu, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können. Personenbezogene Daten sollen bei der Verarbeitung, Nutzung und nach der Speicherung 12 Hierzu schon oben Kapitel I. 13 Taeger/Gabel, 11 BDSG Rn. 35, 1. Auflage (2010). 14 Zu den technischen und organisatorischen Maßnahmen siehe auch unten Kapitel IV Taeger/Gabel, 11 BDSG Rn. 37, 1. Auflage (2010). 16 Vgl. Simitis-Petri, 11 BDSG Rn. 56, 7. Auflage (2011). 17 Vgl. auch 11 Abs. 2 Nr. 3 BDSG. 18 Gola/Schomerus 11 BDSG Rn. 20, 10. Auflage (November 2009). 19 Anlage zu 9 S. 1 BDSG, Nr Anlage zu 9 S. 1 BDSG, Nr. 2.

16 Hallermann, Wann müssen Auftragsdatenverarbeitungen vor Ort kontrolliert werden? RDV 2012 Heft nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können 21. Die Zugriffskontrolle kann z.b. durch Einsichtnahme in Berechtigungskonzepte für die einzelnen Mitarbeiter überprüft werden. Personenbezogene Daten dürfen bei der Übertragung nicht von Unbefugten eingesehen werden (Weitergabekontrolle) 22. Es muss daher dokumentiert werden, zu welchem Zeitpunkt und auf welche Art und Weise (z.b. Post, verschlüsselte Mail oder per Bote) der Auftragnehmer personenbezogene Daten erhält. Genauso ist die Übertragung von personenbezogenen Daten an den Auftraggeber zu erfassen. Die entsprechenden Sicherheitsvorkehrungen des Auftragnehmers (z.b. Protokollierung der Übertragung) sind zu überprüfen. Die Eingabekontrolle stellt sicher, dass nachträglich festgestellt werden kann, von wem Datenverarbeitungssysteme bearbeitet wurden 23. Im Rahmen der Kontrolle ist das Protokollierungssystem des Auftragnehmers für Dateizugriffe in Augenschein zu nehmen. In Stichproben kann der Auftraggeber selbst Datensätze generieren und überprüfen, inwieweit seine Eingriffe im System nachverfolgt werden können. Durch die Auftragskontrolle wird gewährleistet, dass der Auftraggeber sein Weisungsrecht gegenüber dem Auftragnehmer ausüben kann 24. Im Rahmen einer Ortskontrolle sollte dokumentiert werden, inwieweit der Auftragnehmer sich in der Praxis diesem Weisungsrecht unterwirft. Hierzu kann überprüft werden, wie der Auftragnehmer sich in der Vergangenheit bei Weisungen des Auftraggebers verhalten hat. Durch die Verfügbarkeitskontrolle wird sichergestellt, dass die personenbezogenen Daten gegen Verlust oder Zerstörung gesichert sind 25. Eine geeignete Kontrollhandlung ist beispielsweise die Überprüfung des Brandschutzes in den Räumlichkeiten des Auftragnehmers. Eine Begehung des Serverraums sollte ebenfalls stattfinden. Hierbei kann das Funktionieren der Klimaanlage überprüft werden. Die Trennungskontrolle (getrennte Verarbeitung von zu unterschiedlichen Zwecken erhobenen Daten 26 ) kann z.b. dadurch kontrolliert werden, indem geprüft wird, inwieweit der Auftragnehmer Daten des Auftraggebers auf einem separaten Laufwerk verarbeitet. Weiter sollte überprüft werden, welche Mitarbeiter für die Verarbeitung von Daten des Auftraggebers zuständig sind. Optimal ist es, wenn Daten des Auftraggebers nur von bestimmten Mitarbeitern des Auftragnehmers verarbeitet werden. Aufgrund von 11 Abs. 2 S. 5 BDSG ist das Ergebnis der Ortskontrolle in einem schriftlichen Protokoll festzuhalten. Dieses Protokoll sollte zumindest Ort und Zeit der Prüfung, die Prüfungsbeteiligten, die Prüfungsthemen, die Prüfungsresultate sowie eventuell aufgetretene Mängel enthalten 27. Sofern häufig Ortskontrollen durchgeführt werden, bietet sich die Erstellung einer einheitlichen Dokumentenvorlage für das Protokoll an (Checkliste). V. Konzept für die Durchführung der Kontrollen Die Kontrollen sollten nach einem festen Konzept erfolgen. Für Dritte (insbesondere Aufsicht und Wirtschaftsprüfung) muss nachvollziehbar sein, warum im Einzelfall Kontrollen vor Ort erfolgen bzw. unterbleiben. Das Konzept sollte danach differenzieren, inwieweit bei den einzelnen Auftragsdatenverarbeitungen Datenschutzverstöße denkbar sind. Im ersten Schritt sind daher die einzelnen Auftragsdatenverarbeitungen hinsichtlch der Gefahr von Datenschutzverstößen in verschiedene Risikostufen einzuteilen (z.b. gering, mittel, hoch). Die Einteilung der Risikostufen kann sich an der Zuverlässigkeit des Auftragnehmers, dem Umfang der Datenverarbeitung und den betroffenen Daten orientieren. Im zweiten Schritt ist zu regeln, in welchen Fällen Auftragsdatenverarbeitungen vor Ort bzw. im Postwegverfahren kontrolliert werden. Hierbei kann man sich an den weiter oben aufgeführten Grundsätzen orientieren 28. Je höher die Risikoeinstufung der jeweiligen Auftragsdatenverarbeitung ist, desto eher wird eine Ortskontrolle erforderlich sein. Die zeitlichen Abstände der Erst- und Folgekontrollen müssen ebenfalls festgelegt werden (3. Schritt). Hierzu macht 11 BDSG leider keine konkreten Vorgaben. Sicher ist aufgrund von 11 Abs. 4 S. 2 BDSG nur, dass die Kontrollen regelmäßig erfolgen müssen. Im Ergebnis sollte man jeden Auftragnehmer zumindest einmal pro Jahr kontrollieren. Im letzten Schritt ist zu regeln, wie die jeweiligen Kontrollen konkret ausgestaltet werden. Hierbei ist zwischen Orts- und Postwegkontrollen zu differenzieren 29. VI. Zusammenfassung in Thesen 1. Nach der hier vertretenen Auffassung schreibt das BDSG Ortskontrollen für den Auftraggeber nicht zwingend vor. In der Praxis kann jedoch auf anderem Wege der Datenschutz beim Auftragnehmer häufig nicht sichergestellt werden. Ortskontrollen sollten daher insbesondere erfolgen, wenn personenbezogenen Daten im Sinne von 3 Abs. 9 BDSG verarbeitet werden, der Auf- 3. Dokumentation der Ortskontrolle 21 Anlage zu 9 S. 1 BDSG, Nr Anlage zu 9 S. 1 BDSG, Nr Anlage zu 9 S. 1 BDSG, Nr Anlage zu 9 S. 1 BDSG, Nr Anlage zu 9 S. 1 BDSG, Nr Anlage zu 9 S. 1 BDSG, Nr Taeger/Gabel, 11 BDSG Rn. 39, 1. Auflage (2010). 28 Vgl. Kapitel II. und Kapitel III. 29 Zu den Postwegkontrollen vgl. Kapitel III., zu den Ortskontrollen vgl. Kapitel IV.

17 230 RDV 2012 Heft 5 Fischer, Die zivilrechtliche Durchsetzung des Auskunftsanspruchs aus 34 BDSG tragnehmer nicht zertifizert ist bzw. die Auftragsdatenverarbeitung besonders umfangreich ausgestaltet ist. 2. Postwegkontrollen können ausreichend sein, wenn der Auftragnehmer zertifziert ist und die Auftragsdatenverarbeitung in ihrem Umfang und hinsichtlich der Anzahl der Betroffenen stark eingeschränkt ist. Sofern Auftraggeber und Auftragnehmer verbunden im Sinne von 15 Aktiengesetz sind, ist eine Ortskontrolle aufgrund der organisatorischen Nähe ebenfalls häufig entbehrlich. 3. Zu differenzieren ist weiter zwischen Erst- und Folgekontrollen. Der Erstkontrolle (vor Aufnahme der Auftragsdatenverarbeitung) dürfte ein stärkeres Gewicht als der darauf bezugnehmenden Folgekontrolle zukommen (vgl. 43 Abs. 1 Nr. 2 Buchstabe b BDSG). Sofern schon die Erstkontrolle nicht vor Ort durchgeführt wird, muss in der Regel auch die Folgekontrolle nicht vor Ort erfolgen. Eine Folgekontrolle vor Ort dürfte nur dann notwendig sein, wenn die Auftragsdatenverarbeitung wesentlich modifiziert wird oder Zweifel an der Eignung des Auftragnehmers aufkommen. 4. Bei der Durchführung von Ortskontrollen sollte der Auftraggeber vor allem die in 9 BDSG beschriebenen technischen und organisatorischen Maßnahmen beim Auftragnehmer abprüfen. Darüber hinaus sind beim Auftragnehmer die Grundanforderungen des BDSG (z.b. Bestellung eines Datenschutzbeauftragten, Durchführung von Mitarbeiterschulungen) zu überprüfen. Das Ergebnis der Ortskontrollen ist zu dokumentieren. 5. Unternehmen sind gut beraten, für die Durchführung der Kontrollen ein eigenes Konzept zu entwickeln. Für Dritte muss insbesondere nachvollziehbar dokumentiert werden, warum im Einzelfall auf Ortskontrollen verzichtet wird. Hierzu bietet es sich an, die Auftragsdatenverarbeitungen nach der Intensität der Datenschutzgefährdung zu katalogisieren und die Kontrollen beim Auftragnehmer entsprechend vorzunehmen. RA Thomas Fischer LL.M., Essen* Die zivilrechtliche Durchsetzung des Auskunftsanspruchs aus 34 BDSG I. Problemstellung Es kommt leider gar nicht so selten vor, dass das Ersuchen eines Betroffenen auf Auskunft über die zu seiner Person elektronisch gespeicherten Daten von der verantwortlichen Stelle entweder gar nicht oder nicht umfassend erfüllt wird oder sogar eine unrichtige Datenauskunft erteilt wird 1. Angesichts des klaren Wortlauts von 34 BDSG als Anspruchsgrundlage und des normalerweise geringen Arbeitsaufwands, der mit der Mitteilung der gespeicherten Daten verbunden ist, ist dies für einen unbefangenen Betrachter nur schlecht nachzuvollziehen. Nichtsdestotrotz steht der Betroffene in einem solchen Fall vor der Frage, wie der Auskunftsanspruch durchsetzbar ist. Die Probleme, die sich bei der zivilrechtlichen Durchsetzung des Anspruchs ergeben, sind Gegenstand des nachfolgenden Beitrags. II. Tatbestandliche Voraussetzungen des Auskunftsanspruchs Der Auskunftsanspruch gem. 34 BDSG besteht nur gegen nicht-öffentliche Stellen 2. Dies ergibt sich daraus, dass er im dritten Abschnitt des Bundesdatenschutzgesetzes geregelt ist 3. Anspruchsberechtigt sind Betroffene. Betroffener ist gem. 3 Abs. 1 BDSG eine bestimmte oder bestimmbare natürliche Person. Der Auskunftsanspruch besteht daher nicht für juristische Personen. Eine juristische Person verfügt nicht über personenbezogene Daten, über die sie Auskunft verlangen könnte 4. Fraglich ist, wie weit die Darlegungs- und Beweislast des Anspruchsstellers hinsichtlich seiner Eigenschaft als Betroffener geht. Das Landgericht München II hat die Darlegung des Anspruchsstellers, dass er Mandant einer Kanzlei war und der in Anspruch Genommene Daten über diese Kanzlei sammelt, für die Be- * Der Autor ist Rechtsanwalt in Essen und im Datenschutzrecht tätig. 1 Hoss RDV 2011, 6 ff. berichtet von den Ergebnissen eines Selbstversuchs mit Auskunftsersuchen an vier verantwortliche Stellen, bei denen es sich um größere Unternehmen handelte. Die erteilten Auskünfte entsprachen überwiegend nicht den Gesetzesvorgaben. Dieser Beitrag schließt inhaltlich an den Aufsatz von Hoss an, indem untersucht wird, wie der Auskunftsanspruch zivilrechtlich durchsetzbar ist. 2 Nicht-öffentliche Stellen sind natürliche und juristische Personen, Gesellschaften und andere Personenvereinigungen des privaten Rechts, soweit sie nicht nach 2 Abs. 1-3 BDSG als öffentliche Stellen gelten, 2 Abs. 4 BDSG. 3 Für öffentliche Stellen gibt es besondere Vorschriften, die in 12 ff. BDSG geregelt sind. 4 OLG Koblenz, Urteil vom U 1557/07, MMR 2009, 434; OLG Karlsruhe, Urteil vom U 43/86, RDV 1987, 142, 143; Kühling, Seidel, Sivridis, Datenschutzrecht, 2. Aufl. 2011, Seite 79.

18 Fischer, Die zivilrechtliche Durchsetzung des Auskunftsanspruchs aus 34 BDSG RDV 2012 Heft gründung der Eigenschaft als Betroffener als nicht ausreichend angesehen Abs. 1 Satz 2 BDSG sieht vor, dass der Betroffene die Art der personenbezogenen Daten, über die Auskunft erteilt werden soll, näher bezeichnen soll. Es handelt sich um eine Soll- und nicht um eine Mussvorschrift. Der Betroffene weiß nämlich oft gar nicht, welche Art von Daten zu seiner Person gespeichert sind und kann sie deshalb nicht näher bezeichnen. Genauso kann es Ziel einer Datenanfrage sein herauszufinden, ob die verantwortliche Stelle überhaupt Daten zur Person des Anspruchsstellers gespeichert hat. Der Betroffene kann also manchmal gar nicht darlegen, dass die in Anspruch genommene Stelle Daten zu seiner Person gespeichert hat. Dies herauszufinden ist gerade Zweck der beanspruchten Datenauskunft. Das Auskunftsrecht würde darum unzulässig eingeschränkt, wenn man dem Anspruchsteller die Darlegungs- und Beweislast dafür auferlegt, dass er Betroffener ist, dass also Daten zu seiner Person beim Anspruchsgegner gespeichert sind. Im Ergebnis kann deshalb das Auskunftsbegehren nur dann verweigert werden, wenn offensichtlich rechtsmissbräuchlich vom Auskunftsrecht Gebrauch gemacht wird oder das Auskunftsersuchen der Schikane dient. Diese Voraussetzungen liegen nur vor, wenn offensichtlich ist, dass die in Anspruch genommene Stelle keine Daten über den Anspruchsteller gespeichert haben kann. III. Eröffnung des Zivilrechtswegs 1. Sachliche Zuständigkeit Bei dem Auskunftsanspruch nach 34 BDSG handelt es sich um einen zivilrechtlichen Anspruch. Für Klagen auf Auskunftserteilung sind deshalb gem. 13 GVG die ordentlichen Gerichte sachlich zuständig 6. Eine Ausnahme gilt, wenn das Auskunftsrecht im Rahmen eines Arbeitsverhältnisses geltend gemacht wird. Für Auskunftsklagen im Rahmen eines Arbeitsverhältnisses sind die Arbeitsgerichte gem. 2 Abs. 1 Nr. 3 lit. a ArbGG sachlich zuständig 7. Für die Frage, ob das Amtsgericht oder das Landgericht erstinstanzlich zuständig ist, kommt es auf den Zuständigkeitsstreitwert an. Der Auskunftsanspruch ist kein vermögensrechtlicher Anspruch. Der Streitwert ist deshalb gem. 3 ZPO vom Gericht nach freiem Ermessen festzusetzen. Das hat zu einer uneinheitlichen Rechtsprechung mit einer großen Spannbreite bei der Wertfestsetzung geführt. Der Streitwert wird von den Gerichten regelmäßig unter 5.000,00 angesetzt, so dass jedenfalls gem. 71 Abs. 1, 23 Nr. 1 GVG das Amtsgericht erstinstanzlich zuständig ist. Die folgende Zusammenstellung von Streitwertbeschlüssen macht deutlich, wie groß die Spannbreite bei der Festsetzung des Streitwerts in der Rechtsprechung ist: Amtsgericht Darmstadt vom C 19/07: 4.000,00 Landgericht Hamburg vom T 163/11: 3.000,00 Amtsgericht Mönchengladbach vom C 485/11: 3.000,00 Landgericht Frankenthal vom T 13/06: 2.000,00 Amtsgericht Frankfurt am Main vom C 2085/10: 1.000,00 Amtsgericht Düsseldorf vom C 5542/03, openjur 2011, 24761: 200,00 Ein Streitwert von 3.000,00 dürfte in der Sache angemessen sein. Grundlage für die Bestimmung des Streitwerts sind nicht vermögenswerte Interessen, die der Betroffene mit dem Auskunftsbegehren vielleicht verfolgt. Das Auskunftsrecht ist vielmehr Voraussetzung für die Ausübung des Rechts des Einzelnen auf informationelle Selbstbestimmung und damit selbst Bestandteil dieses Rechts 8. Das Auskunftsrecht versetzt den Betroffenen in die Lage, gem. 35 BDSG die Berichtigung, Löschung oder Sperrung von Daten zu verlangen; außerdem kann es die Grundlage zur Geltendmachung von Schadensersatzansprüchen sein 9. Ein Bagatellstreitwert spiegelt diese Bedeutung des Auskunftsanspruchs nicht wider. Aus generalpräventiver Sicht führt eine Bagetellisierung des Auskunftsanspruchs, der in der Festsetzung eines geringfügigen Streitwerts seine Ausprägung findet, dazu, dass der Auskunftsanspruch von den verantwortlichen Stellen auch als Bagatelle angesehen wird. Das wird der Bedeutung des Anspruchs nicht gerecht. 2. Örtliche Zuständigkeit Mangels eines anderen Gerichtsstands ist gem. 12, 13 ZPO nur der allgemeine Gerichtsstand am Wohnsitz bzw. bei juristischen Personen am Sitz der Gesellschaft gegeben. Für den Betroffenen hat dies den Nachteil, dass er unter Umständen an einem weit entfernten Gericht klagen muss. IV. Kostenfragen 1. Kosten der Auskunft Die Auskunft ist grundsätzlich unentgeltlich zu erteilen, 34 Abs. 8 Satz 1 BDSG. Eine Ausnahme gilt nur 5 LG München II, Urteil vom S 3548/05, RDV 2006, 22. Noch einschränkender Gola/Schomerus, BDSG, 10. Auflage 2010, 34 BDSG, Rn. 5a: Der Auskunftsanspruch darf nicht ins Blaue hinein geltend gemacht werden. 6 Simitis-Dix, BDSG, 7. Auflage 2011, 34 Rn Simitis-Dix aao.; Gola/Schomerus aao. Rn Simitis-Dix aao. Rn Mallmann, GewArch 2000, 354.

19 232 RDV 2012 Heft 5 Fischer, Die zivilrechtliche Durchsetzung des Auskunftsanspruchs aus 34 BDSG dann, wenn die personenbezogenen Daten geschäftsmäßig zum Zweck der Übermittlung gespeichert werden. In diesem Fall ist nur eine Auskunft je Kalenderjahr unentgeltlich; für jede weitere Auskunft kann ein Entgelt verlangt werden, wenn der Betroffene die Auskunft für wirtschaftliche Zwecke nutzen kann, 34 Abs. 8 Sätze 2 und 3 BDSG. 2. Erstattungsfähigkeit von Rechtsanwaltskosten Kosten bei der Verfolgung des Auskunftsanspruchs entstehen dem Betroffenen in erster Linie durch die Beauftragung eines Rechtsanwalts. Für die Erstattung der vorgerichtlich entstandenen Rechtsanwaltsgebühren gelten die allgemeinen Regeln für den Schadensersatz aus Verzug gem. 280 Abs. 1 BGB. Ein Anspruch auf Erstattung von vorgerichtlich entstandenen Rechtsanwaltsgebühren besteht darum nur, wenn die verantwortliche Stelle mit der Auskunftserteilung in Verzug ist. Eine Frist für die Auskunftserteilung gibt es nicht. Der Betroffene hat jedoch Anspruch auf eine unverzügliche und schnelle Auskunftserteilung 10. Eine Frist von zwei Wochen dürfte in jedem Fall ausreichend sein 11. Es empfiehlt sich daher, den Auskunftsanspruch von Anfang an schriftlich geltend zu machen und im Anspruchsschreiben bereits eine Frist für die Erledigung zu setzen. Kommt die verantwortliche Stelle dem Auskunftsersuchen innerhalb der gesetzten Frist nicht nach, kommt sie gem. 286 Abs. 1 BGB durch eine Mahnung des Betroffenen in Verzug. Erst nach Eintritt des Verzugs entstandene vorgerichtliche Rechtsanwaltsgebühren können als Schadensersatz erstattet verlangt werden. Die Höhe der gesetzlichen Rechtsanwaltsgebühren richtet sich nach dem Gegenstandswert, 2 RVG. Aufgrund der stark divergierenden gerichtlichen Streitwertfestsetzungen für eine Auskunftsklage kann es bei der Bestimmung der Höhe der Rechtsanwaltsgebühren durchaus zu Unstimmigkeiten kommen, wenn es um eine Erstattung der Gebühren geht. V. Die Vollstreckung des Auskunftsanspruchs Die prozessuale Durchsetzung des Auskunftsanspruchs ist üblicherweise komplikationslos. Ist es allerdings erst einmal zu einer gerichtlichen Auseinandersetzung über die Erfüllung des Auskunftsanspruchs gekommen, hat es der Betroffene in der Regel mit einem hartnäckigen Gegner zu tun. Anderenfalls hätte es die verantwortliche Stelle angesichts der klar gefassten Tatbestandsvoraussetzungen des 34 BDSG gar nicht auf einen Rechtsstreit ankommen lassen 12.Es kommt deshalb durchaus vor, dass ein Titel auf Auskunftserteilung gegen die verantwortliche Stelle vollstreckt werden muss. Die Auskunftserteilung kann nur durch die verantwortliche Stelle erfolgen. Es handelt sich somit um eine unvertretbare Handlung, die gem. 888 ZPO zu vollstrecken ist. Der Betroffene muss dafür beim Prozessgericht des ersten Rechtszugs einen Antrag stellen, die verantwortliche Stelle durch Zwangsgeld und für den Fall, dass dieses nicht beigetrieben werden kann, durch Zwangshaft zur Auskunftserteilung anzuhalten. Das Verfahren auf Festsetzung eines Zwangsgelds gestaltet sich häufig sehr langwierig. Im Verfahren über die Zwangsgeldfestsetzung kann die verantwortliche Stelle vom Gericht nur noch mit dem Erfüllungseinwand gehört werden. Gerade darin liegt auch das Problem, wenn der Einwand erhoben wird. Das Gericht muss dann nämlich prüfen, ob der titulierte Anspruch tatsächlich vollständig erfüllt wurde. Das stellt die Gerichte oft vor Probleme, weil den Zivilgerichten das Datenschutzrecht meist nicht geläufig ist. Die Gerichte tun sich mit der Festsetzung eines Zwangsgeldes recht schwer. Selbst wenn schlussendlich ein Zwangsgeld gegen die verantwortliche Stelle festgesetzt wird, weil sie den Auskunftsanspruch nicht erfüllt hat, bewegt sich dieses von der Höhe her regelmäßig im Bagatellbereich. Wenn die Zwangsgeldfestsetzung die verantwortliche Stelle nicht zur Erteilung der Auskunft veranlasst, ist ein Auftrag auf Festsetzung eines weiteren Zwangsgelds möglich. So weit dürfte es eine verantwortliche Stelle wiederum aber auch kaum kommen lassen. VI. Eidesstattliche Versicherung der Richtigkeit und Vollständigkeit der erteilten Auskunft Bei begründeten Zweifeln an der Richtigkeit oder Vollständigkeit einer erteilten Datenauskunft kann der Betroffene die Versicherung der Richtigkeit bzw. Vollständigkeit der erteilten Auskunft an Eides Statt verlangen 13. Das Amtsgericht Ulm leitet diesen Anspruch zutreffend aus 260 Abs. 2 BGB in entsprechender Anwendung her 14. Die Auskunftspflichten nach 259, 260 BGB sollen die Beteiligten in die Lage versetzen, einen ihnen zustehenden Anspruch durchzusetzen. Der Betreffende benötigt eine vollständige und richtige Auskunft zur Durchsetzung seiner Rechte. Die Sanktionierung des Auskunftsanspruchs durch eine entsprechende Anwendung von 260 BGB entspricht deshalb der Bedeutung, die dem Recht auf informationelle Selbstbestimmung zukommt Simitis-Dix aao. Rn Gola/Schomerus aao. Rn. 16; Hoss RDV 2011, Hoss RDV 2011, 6, 9 nennt als Erklärung dafür, warum verantwortliche Stellen ihrer Pflicht zur Auskunftserteilung nicht nachkommen, zutreffend Unkenntnis und Ignoranz. 13 Gola/Schomerus aao. Rn. 5 a; Simitis-Dix aao. 34 Rn. 102; Amtsgericht Geislingen vom C 2/04, RDV 2004, 178; Amtsgericht Ulm vom S 89/04, RDV 2005, Amtsgericht Ulm aao. 15 Amtsgericht Ulm aao.

20 Kurzbeiträge RDV 2012 Heft Nicht gefolgt werden kann deshalb der Ansicht des Amtsgerichts Düsseldorf, das einen Anspruch auf Abgabe der eidesstattlichen Versicherung verneint, weil es sich gem. 259 Abs. 2 BGB um eine Angelegenheit von geringer Bedeutung handele 16. Bei der Durchsetzung der Auskunft geht es um die Durchsetzung eines Grundrechts und damit um keine Angelegenheit von geringer Bedeutung. Der Grundrechtsschutz würde ins Leere laufen, wenn der Betroffene gegenüber der verantwortlichen Stelle keine geeigneten Möglichkeiten der Durchsetzung seines Anspruchs hätte. Dies kommt im Übrigen auch in der Wertung des Gesetzgebers zum Ausdruck, der gem. 43 Abs. 1 Nr. 8b BDSG die nicht richtige, nicht vollständige und nicht rechtzeitige Übermittlung von Angaben gem. 43 Abs. 1 Nr. 8a BDSG als Ordnungswidrigkeit mit einem Bußgeld bedroht 17 und damit dem Betroffenen auch mit den Mitteln des Ordnungswidrigkeitenrechts zu einer erschöpfenden und richtigen Auskunft verhelfen will. VII. Fazit Die Erteilung einer Datenauskunft bedeutet für die verantwortliche Stelle im Normalfall keinen besonderen Aufwand. Wenn eine verantwortliche Stelle es also auf eine gerichtliche Auseinandersetzung über die Erfüllung des Auskunftsanspruchs ankommen lässt, anstatt die gewünschte Auskunft vorgerichtlich zu erteilen, liegt der Verdacht nahe, dass es etwas zu verbergen gibt und dass auf diese Art die Geltendmachung von weitergehenden Ansprüchen des Betroffenen gem. 35 BDSG verhindert werden soll. Für den Betroffenen macht es darum trotz des mit jedem Rechtsstreit verbundenen Prozessrisikos und der leider oft langen Prozessdauer durchaus Sinn, seinen Auskunftsanspruch konsequent durchzusetzen. 16 Amtsgericht Düsseldorf vom C 5542/03, openjur 2011, Der Bußgeldtatbestand wurde mit der BDSG-Novelle 2009 in das Gesetz eingefügt. Kurzbeiträge Aus den aktuellen Tätigkeitsberichten der Aufsichtsbehörden (3) Prof. Peter Gola, Königswinter* Veröffentlichungen im Internet Im Gegensatz zu der Rechtsprechung, die der Veröffentlichung von personenbezogenen Daten in Blogs und Bewertungsportalen unter dem Aspekt der Meinungsfreiheit weiten Raum lässt (den Anfang machte die Spick-mich -Entscheidung des BGH, NJW 2009, 2888), stehen die Aufsichtsbehörden dem erfreulicherweise restriktiver gegenüber (LDI NW 19.TB 2009, S. 25), wobei sie insbesondere auf den erheblich größeren Grad der Gefährdung des Persönlichkeitsrecht gegenüber herkömmlichen Veröffentlichungen hinweisen. Der Eingriff in das informationelle Selbstbestimmungsrecht sei gravierender, weil hierdurch nicht nur ein weltweiter Zugriff auf die Daten, sondern darüber hinaus vor allem eine elektronische Recherchierbarkeit ermöglicht werde, die zur Erstellung von Persönlichkeitsprofilen führen könne. Einmal im Internet vorhanden, lassen sich die Daten kaum wieder zuverlässig daraus entfernen. Nach alledem habe eine Veröffentlichung im Internet eine andere Qualität als beispielweise in Printmedien, von denen nur eine begrenzte Auflage existiert. Privatinsolvenzen Mit der Zulässigkeit der Veröffentlichung von Privatinsolvenzen in Onlinedatenbanken befasste sich das bayerische Landesamt für Datenschutzaufsicht (TB 2009/2010, Ziff ). Dabei hatte es zu berücksichtigen, dass nach der Insolvenzbekanntmachungsverordnung ( 2 Abs. 1 Nr. 3) die Schuldnerdaten zum Abruf im Internet bereitgestellt werden. Dies ist aber befristet auf die der öffentlichen Bekanntmachung der Privatinsolvenz folgenden zwei Wochen. Daher ist der Abruf der allgemein zugänglichen Daten nach 28 Abs. 1 S. 1 Nr. 3 BDSG bei einer Verwendung für eigene Geschäftszwecke nur dann nicht gestattet, wenn das schutzwürdige Interesse des Betroffenen offensichtlich höherrangig ist als das Informationsinteresse der verantwortlichen Stelle. Werden die Daten wie vorliegend abgerufen, um sie geschäftsmäßig zum weiteren Abruf bereitzustellen, so ist nach 29 Abs. 1 S. 1 Nr. 2 BDSG der gleiche Abwägungsprozess anzustellen. Für die Veröffentlichung der Daten, d.h. die Bereitstellung * Der Autor ist Vorsitzender des Vorstandes der Gesellschaft für Datenschutz und Datensicherheit, Bonn.