Die Gerichtsentscheidung im Volltext:
6 K 1045/08.WI
Verwaltungsgericht
Wiesbaden
Beschluss
In dem Verwaltungsstreitverfahren
Firma ... und ... GbR, ...
- Klägerin -
bevollmächtigt:…….
gegen
Land Hessen, vertreten durch das Hessische Ministerium für Umwelt, Energie, Landwirtschaft und Verbraucherschutz, Mainzer Straße 80, 65189 Wiesbaden
- Beklagter -
beigeladen: Bundesanstalt für Landwirtschaft und Ernäherung, Deichmannsau 29, 53179 Bonn
wegen
Datenschutzrecht
hat die 6. Kammer des Verwaltungsgerichts Wiesbaden
durch
Vorsitzenden Richter am VG [...]
auf Grund der mündlichen Verhandlung vom 16.
Februar 2009 am 27. Februar 2009 verkündet:
Das Verfahren wird
ausgesetzt.
Dem Gerichtshof der
Europäischen Gemeinschaften werden folgende Fragen zur
Vorabentscheidung vorgelegt:
Sind die Art. 42 Abs. 1 Nr.
8b und 44a der VERORDNUNG (EG) Nr. 1290/2005 DES RATES vom 21. Juni
2005 über die Finanzierung der Gemeinsamen Agrarpolitik (Abl. L
209 vom 11.08.2005, S. 1), eingefügt durch VERORDNUNG (EG) Nr.
1437/2007 DES RATES vom 26. November 2007 zur Änderung der
Verordnung (EG) Nr. 1290/2005 über die Finanzierung der
gemeinsamen Agrarpolitik (Abl. L 322 vom 07.12.2007, S. 1),
ungültig?
Ist die VERORDNUNG (EG) Nr.
259/2008 DER KOMMISSION vom 18. März 2008 mit
Durchführungsbestimmungen zur Verordnung (EG) Nr. 1290/2005 des
Rates hinsichtlich der Veröffentlichung von Informationen über
die Empfänger von Mitteln aus dem Europäischen
Garantiefonds für die Landwirtschaft (EGFL) und dem
Europäischen Landwirtschaftsfonds für die Entwicklung des
ländlichen Raums (ELER) (Abl. L 76 vom 19.03.2008, S. 28)
a) ungültig
b) oder nur deshalb gültig,
weil die RICHTLINIE 2006/24/EG DES EUROPÄISCHEN PARLAMENTS UND
DES RATES vom 15. März 2006 über die
Vorratsspeicherung von Daten, die bei der Bereitstellung öffentlich
zugänglicher elektronischer Kommunikationsdienste oder
öffentlicher Kommunikationsnetze erzeugt oder verarbeitet
werden, und zur Änderung der Richtlinie 2002/58/EG (ABl. L 174
vom 28.06.2006, S. 5) ungültig ist?
Falls die in der ersten und
zweiten Frage genannten Vorschriften gültig sind:
Ist Art. 18 Abs. 2 2.
Spiegelstrich der RICHTLINIE 95/46/EG DES EUROPÄISCHEN
PARLAMENTS UND DES RATES vom 24. Oktober 1995 zum Schutz natürlicher
Personen bei der Verarbeitung personenbezogener Daten und zum freien
Datenverkehr (ABl. L 281 vom 23.11.1995, S. 31) dahin auszulegen,
dass die Veröffentlichung nach der VERORDNUNG (EG) Nr. 259/2008
DER KOMMISSION vom 18. März 2008 mit Durchführungsbestimmungen
zur Verordnung (EG) Nr. 1290/2005 des Rates hinsichtlich der
Veröffentlichung von Informationen über die Empfänger
von Mitteln aus dem Europäischen Garantiefonds für die
Landwirtschaft (EGFL) und dem Europäischen Landwirtschaftsfonds
für die Entwicklung des ländlichen Raums (ELER) erst
erfolgen darf, wenn die in diesem Artikel vorgesehene
Verfahrensweise, die die Meldung an die Kontrollstelle ersetzt,
durchgeführt worden ist?
Ist Art. 20 der RICHTLINIE
95/46/EG DES EUROPÄISCHEN PARLAMENTS UND DES RATES vom 24.
Oktober 1995 zum Schutz natürlicher Personen bei der
Verarbeitung personenbezogener Daten und zum freien Datenverkehr
(ABl. L 281 vom 23.11.1995, S. 31) dahin auszulegen, dass die
Veröffentlichung nach der VERORDNUNG (EG) Nr. 259/2008 DER
KOMMISSION vom 18. März 2008 mit Durchführungsbestimmungen
zur Verordnung (EG) Nr. 1290/2005 des Rates hinsichtlich der
Veröffentlichung von Informationen über die Empfänger
von Mitteln aus dem Europäischen Garantiefonds für die
Landwirtschaft (EGFL) und dem Europäischen Landwirtschaftsfonds
für die Entwicklung des ländlichen Raums (ELER) erst
erfolgen darf, wenn die Vorabkontrolle erfolgt ist, die das
nationale Recht für diesen Fall vorschreibt?
Falls die vierte Frage
bejaht wird: Ist Art. 20 der RICHTLINIE 95/46/EG DES EUROPÄISCHEN
PARLAMENTS UND DES RATES vom 24. Oktober 1995 zum Schutz natürlicher
Personen bei der Verarbeitung personenbezogener Daten und zum freien
Datenverkehr (ABl. L 281 vom 23.11.1995, S. 31) dahin auszulegen,
dass keine wirksame Vorabkontrolle vorliegt, wenn sie auf der
Grundlage eines Verzeichnisses nach Art. 18 Abs. 2 2. Spiegelstrich
dieser Richtlinie erfolgt ist, das eine vorgeschriebene Information
nicht enthält?
Ist Art. 7 – und hier
insbesondere Buchstabe e – der RICHTLINIE 95/46/EG DES
EUROPÄISCHEN PARLAMENTS UND DES RATES vom 24. Oktober 1995 zum
Schutz natürlicher Personen bei der Verarbeitung
personenbezogener Daten und zum freien Datenverkehr (ABl. L 281 vom
23.11.1995, S. 31) dahin auszulegen, dass er einer Praxis, die
IP-Adressen der Benutzer einer Homepage ohne deren ausdrücklicher
Einwilligung zu speichern, entgegensteht?
Gründe
I.
Die Klägerin wendet sich
gegen die Veröffentlichung ihrer Daten als Empfängerin von
Agrarbeihilfen nach der Verordnung (EG) Nr. 259/2008 der Kommission.
Bei
der Klägerin handelt es sich um eine Gesellschaft bürgerlichen
Rechts. Die Gesellschafter sind Y und Y. Sie betreibt einen
landwirtschaftlichen Vollerwerbsbetrieb und nimmt an dem Verfahren
über eine Betriebsprämie teil. Sie stellte einen
Gemeinsamen Antrag als Sammelantrag. Mit Bescheid vom 31.12.2008
bewilligte der Landrat des D-Kreises eine Betriebsprämie von
….. Euro. Im Antragsformular auf Seite 15 im letzten Absatz
befand sich folgender Hinweis: ”Mir ist bekannt, dass nach
Art. 44a der VO (EG) Nr. 1290/2005 vorgeschrieben ist, Informationen
über die Empfänger von EGFL- und ELER-Mitteln sowie die
Beträge, die jeder Begünstigte erhalten hat, zu
veröffentlichen. Die Veröffentlichung betrifft alle
Maßnahmen, die im Zusammenhang mit dem Gemeinsamen Antrag als
Sammelantrag im Sinne von Art. 11 der VO (EG) Nr. 796/2004 beantragt
werden und erfolgt alljährlich bis spätestens zum 31. März
des Folgejahres.” Auf der Internetseite der Beigeladenen
http://www.agrar-fischerei-zahlungen.de werden Namen der Empfänger,
Ort mit Postleitzahl und die Höhe der Jahresbeträge bereit
gestellt. Die Seite ist mit einer Suchfunktion ausgestattet. Dafür
genügt es, Eingaben für ein Feld zu machen, also etwa nur
die Postleitzahl einzugeben, um eine entsprechende Aufstellung zu
erhalten. In den Hinweisen zum Datenschutz im Impressum der Webseite
heißt es: ”Bei jedem Zugriff auf den Server werden Daten
für statistische und Sicherungszwecke gespeichert. Für
eine begrenzte Zeit wird die IP-Adresse des
Internet-Service-Providers, Datum und Uhrzeit sowie die besuchte
Internetseite gespeichert. Diese Daten werden ausschließlich
zur Verbesserung des Internetdienstes genutzt und nicht an Dritte
weitergegeben oder auf den Adressaten zurückführbar
ausgewertet.”
(www.agrar-fischerei-zahlungen.de/afig/impressum.html,
Stand: 10.02.2009)
Die Klägerin hat am
26.09.2008 Klage erhoben. Sie ist der Ansicht, dass Art. 44a der
Verordnung (EG) Nr. 1290/2005 gegen Datenschutzrecht der
Gemeinschaft verstoße. Bei den veröffentlichten
Informationen handele es sich um persönliche Daten, die auch
Rückschlüsse auf den Betrieb zuließen. Überwiegende
Allgemeininteressen könnten nicht zur Rechtfertigung
herangezogen werden. Eine Veröffentlichung der Beihilfen für
jeden Landkreis sei ausreichend, an betriebsspezifischen Daten
hätten die Steuerzahler kein Interesse. In den Regeln zum
Europäischen Sozialfonds sei keine namentliche Nennung der
Empfänger vorgesehen. Es sei außerdem technisch nicht
auszuschließen, dass die im Internet zugänglichen Daten
von Dritten unkontrolliert gespeichert und weiterverarbeitet würden.
Die Klägerin beantragt,
das Land Hessen zu
verpflichten, die Weitergabe oder Veröffentlichung aller Daten
aus dem gemeinsamen Antrag 2008/Sammelantrag im Sinne von Artikel 11
der Verordnung (EG) Nr. 796/2004 an die Bundesrepublik Deutschland
und die Europäische Union zu unterlassen bzw. durch Anordnung zu
untersagen, soweit die Weitergabe zum Zwecke der allgemeinen
Veröffentlichung von Informationen über die der Klägerin
gewährten finanziellen Beträge aus dem Europäischen
Garantiefonds für Landwirtschaft (EGFL) und dem Europäischen
Landwirtschaftsfonds für die Entwicklung des ländlichen
Raums (ELER) erfolgen soll.
Der Beklagte beantragt,
die Klage abzuweisen.
Der Beklagte hält die
Klage für unzulässig und unbegründet. Die Pflicht der
Mitgliedstaaten, die Daten im Internet zu veröffentlichen,
ergebe sich aus Art. 44a der Verordnung (EG) Nr. 1290/2005 und der
Durchführungsverordnung (EG) Nr. 259/2008. Die Vorschriften
seien zweifelsfrei gültig. Die Veröffentlichung erfolge in
einem überwiegenden Allgemeininteresse. Sie diene der
Transparenz der Agrarausgaben und gehe nicht über das hinaus,
was in einer demokratischen Gesellschaft zur Verhütung von
Unregelmäßigkeiten erforderlich sei. Die Klägerin
sei über die Veröffentlichung informiert worden und könne
diese durch den Verzicht auf die Beihilfen abwenden.
Die Beigeladene stellt keinen
Antrag. Sie ist trägt vor, dass die Internetseite so aufgebaut
sei, dass Antworten auf Suchanfragen aus der Datenbank generiert
würden. Daher sei die Erschließbarkeit durch allgemeine
Suchmechanismen (sogenannte Webcrawler) wie Google derzeit
konstruktionsbedingt erschwert. Nach zwei Jahren würden die
Daten aus der Datenbank entfernt. Es sei allerdings technisch nicht
möglich zu verhindern, dass nach Ablauf des
Veröffentlichungszeitraums Datenspuren der betroffenen Personen
im Internet zu finden seien.
In der mündlichen
Verhandlung hat das Gericht Vertreter des Hessischen
Datenschutzbeauftragten, Herrn A und Herrn B, als Sachverständige
gehört. Wegen der Einzelheiten wird auf das Sitzungsprotokoll
der mündlichen Verhandlung vom 16.02.2009 verwiesen.
Der Beklagte hat in der
mündlichen Verhandlung zugesichert, dass die Klägerin mit
ihren Beträgen nicht vor dem rechtskräftigen Abschluss des
Hauptsacheverfahrens veröffentlicht wird.
Die Durchführung der
Verordnung (EG) Nr. 259/08 der Kommission richtet sich in
Deutschland nach dem Gesetz zur Veröffentlichung von
Informationen über die Zahlung von Mitteln aus den Europäischen
Fonds für Landwirtschaft und Fischerei (Agrar- und
Fischereifonds-Informationen-Gesetz - AFIG) vom 26. November 2008
(BGBl. I S. 2330) und der Verordnung über die Veröffentlichung
von Informationen über die Zahlung von Mitteln aus den
Europäischen Fonds für Landwirtschaft und für
Fischerei (Agrar- und Fischereifonds-Informationen-Verordnung -
AFIVO) vom 10.12.2008 (eBAnz. 2008, AT147 V1).
Die Vorschriften lauten wie
folgt:
Agrar- und
Fischereifonds-Informationen-Gesetz (AFIG)
§ 1 Zweck und
Anwendungsbereich
Dieses Gesetz dient
1. der Durchführung der
Verordnung (EG) Nr. 1290/2005 des Rates vom 21. Juni 2005 über
die Finanzierung der Gemeinsamen Agrarpolitik (ABl. EU Nr. L 209 S.
1) in der jeweils geltenden Fassung und der zu ihrer Durchführung
erlassenen Rechtsakte der Europäischen Gemeinschaften, soweit
darin eine Veröffentlichung von Informationen über die
Empfänger von Mitteln aus dem Europäischen Garantiefonds
für die Landwirtschaft und dem Europäischen
Landwirtschaftsfonds für die Entwicklung des ländlichen
Raums sowie über die Beträge, die jeder Empfänger
erhalten hat, vorgesehen ist;
2. der Durchführung der
Verordnung (EG) Nr. 1198/2006 des Rates vom 27. Juli 2006 über
den Europäischen Fischereifonds (ABl. EU Nr. L 223 S. 1) in der
jeweils geltenden Fassung und der zu ihrer Durchführung
erlassenen Rechtsakte der Europäischen Gemeinschaften, soweit
darin Aufgaben der Verwaltungsbehörde im Zusammenhang mit den
Informationsmaßnahmen im Sinne des Artikels 51 der Verordnung
(EG) Nr. 1198/2006 vorgesehen sind.
§ 2 Veröffentlichung
(1)Die für die Zahlung
von Mitteln aus dem Europäischen Garantiefonds für die
Landwirtschaft, dem Europäischen Landwirtschaftsfonds für
die Entwicklung des ländlichen Raums zuständigen Stellen
des Bundes und, soweit diese Mittel von den Ländern gezahlt
werden, die hierfür zuständigen Stellen der Länder und
im Fall des Europäischen Fischereifonds die zuständige
Verwaltungsbehörde veröffentlichen die Informationen nach
Artikel 1 Abs. 1 der
Verordnung (EG) Nr. 259/2008 der Kommission vom 18. März 2008
mit Durchführungsbestimmungen zur Verordnung (EG) Nr. 1290/2005
des Rates hinsichtlich der Veröffentlichung von Informationen
über die Empfänger von Mitteln aus dem Europäischen
Garantiefonds für die Landwirtschaft (EGFL) und dem
Europäischen Landwirtschaftsfonds für die Entwicklung des
ländlichen Raums (ELER) (ABl. EU Nr. L 76 S. 28) und
den Artikeln 30 und 31 der
Verordnung (EG) Nr. 498/2007 der Kommission vom 26. März 2007
mit Durchführungsbestimmungen zur Verordnung (EG) Nr. 1198/2006
des Rates über den Europäischen Fischereifonds (EFF) (ABl.
EU Nr. L 120 S. 1) in den jeweils geltenden Fassungen im Wege der
Direkteingabe auf einer gemeinsamen, von der Bundesanstalt für
Landwirtschaft und Ernährung (Bundesanstalt) betriebenen
Internetseite nach Maßgabe des Artikels 2 der Verordnung (EG)
Nr. 259/2008 und im Fall des Europäischen Fischereifonds nach
Maßgabe des Artikels 31 Buchstabe d der Verordnung (EG) Nr.
498/2007. Satz 1 gilt im Fall einer Gemeinde oder eines
Gemeindeverbandes nur, wenn der Gemeinde oder dem Gemeindeverband
die Aufgaben nach diesem Gesetz durch Landesrecht übertragen
worden sind.
(2) Jede veröffentlichende
Stelle trägt die datenschutzrechtliche Verantwortung für
die von ihr veröffentlichten Informationen, insbesondere für
die Rechtmäßigkeit ihrer Erhebung, die Zulässigkeit
der Veröffentlichung und die Richtigkeit der Informationen.
Betroffene können ihre Datenschutzrechte bei jeder der
veröffentlichenden Stellen geltend machen, von denen sie
Zahlungen erhalten haben. Diese Stelle leitet den Antrag nach Klärung
der Verantwortlichkeiten an die zuständige Stelle weiter.
(3) Die Bundesanstalt
erstellt im Benehmen mit dem Bundesamt für Sicherheit in der
Informationstechnik ein Sicherheitskonzept für die
Internetseite, das insbesondere die nach § 9 des
Bundesdatenschutzgesetzes erforderlichen, von der Bundesanstalt zu
treffenden technischen und organisatorischen Maßnahmen umfasst.
Das Sicherheitskonzept ist spätestens sechs Monate nach
Verkündung dieses Gesetzes zu erstellen und in regelmäßigen
Abständen daraufhin zu überprüfen, ob es dem Stand der
Technik entspricht.
(4) Die Einsicht in die
Internetseite steht jedem verwaltungskostenfrei zu.
(5) Die veröffentlichten
Informationen werden zwei Jahre nach dem ersten Tag der
Veröffentlichung auf der Internetseite gelöscht.
§ 3
Verordnungsermächtigungen
(1) Das Bundesministerium
für Ernährung, Landwirtschaft und Verbraucherschutz trifft
im Einvernehmen mit dem Bundesministerium der Finanzen durch
Rechtsverordnung mit Zustimmung des Bundesrates nähere
Bestimmungen über Einzelheiten des Verfahrens oder technische
und organisatorische Maßnahmen für die Veröffentlichung
der Informationen im Internet, insbesondere über
1. den Inhalt und Aufbau der
Internetseite,
2. die Eingabe,
Berichtigung, Sperrung und Löschung von Informationen,
3. die Einsicht in die
Internetseite,
4. den Datenschutz und die
Datensicherheit, wobei sicherzustellen ist, dass die
Veröffentlichungen unversehrt, vollständig und aktuell
bleiben und jederzeit ihrem Ursprung nach zugeordnet werden können.
(2) Abweichend von Absatz 1
kann bis zum 31. März 2009 die Rechtsverordnung nach Absatz 1
ohne Zustimmung des Bundesrates erlassen werden. Die Rechtsverordnung
tritt spätestens sechs Monate nach ihrem Inkrafttreten außer
Kraft. Ihre Geltungsdauer kann nur mit Zustimmung des Bundesrates
verlängert werden.
§ 4 Verkündung
von Rechtsverordnungen
Die Rechtsverordnungen nach
diesem Gesetz können abweichend von § 1 des Gesetzes über
die Verkündung von Rechtsverordnungen auch im elektronischen
Bundesanzeiger verkündet werden. Auf Rechtsverordnungen, die im
elektronischen Bundesanzeiger verkündet werden, ist unter Angabe
der Stelle ihrer Verkündung und des Tages ihres Inkrafttretens
nachrichtlich im Bundesgesetzblatt hinzuweisen.
§ 5 Inkrafttreten
Dieses Gesetz tritt am Tage
nach der Verkündung in Kraft.
Agrar- und
Fischereifonds-Informationen-Verordnung (AFIVO)
§ 1
Anwendungsbereich
Diese Verordnung gilt für
Veröffentlichungen nach dem Agrar- und
Fischereifonds-Informationen-Gesetz.
§ 2 Inhalt und
Aufbau der Internetseite
Auf
der in § 2 Abs. 1 des Agrar- und
Fischereifonds-Informationen-Gesetzes bezeichneten Internetseite
werden nur die
1. in Artikel 1 Abs. 1 der
Verordnung (EG) Nr. 259/2008 der Kommission vom 18. März 2008
mit Durchführungsbestimmungen zur Verordnung (EG) Nr. 1290/2005
des Rates hinsichtlich der Veröffentlichung von Informationen
über die Empfänger von Mitteln aus dem Europäischen
Garantiefonds für die Landwirtschaft (EGFL) und dem Europäischen
Landwirtschaftsfonds für die Entwicklung des ländlichen
Raums (ELER) (ABl. L 76 vom 19.3.2008, S. 28) und
2. in den Artikeln 30 und 31
der Verordnung (EG) Nr. 498/2007 der Kommission vom 26. März
2007 mit Durchführungsbestimmungen zur Verordnung (EG) Nr.
1198/2006 des Rates über den Europäischen Fischereifonds
(EFF) (ABl. L 120 vom 10.5.2008, S. 1)
in der jeweils geltenden
Fassung genannten Informationen veröffentlicht.
(2) Innerhalb der Datenbank
ist für die die Europäischen Fonds für Landwirtschaft
betreffenden Informationen eine Suchfunktion vorzusehen, die eine
Suche nach den genannten Informationen ermöglicht.
§ 3 Berichtigung,
Sperrung und Löschung von Informationen
(1) Soweit nach den für
die veröffentlichende Stelle geltenden datenschutzrechtlichen
Bestimmungen eine Berichtigung der veröffentlichten
Informationen erforderlich ist, hat die veröffentlichende Stelle
unverzüglich die Informationen in der Veröffentlichungsdatei
der Datenbank entsprechend zu ändern.
(2) Soweit nach den für
die veröffentlichende Stelle geltenden datenschutzrechtlichen
Bestimmungen Veröffentlichungen unzulässig sind oder
unzulässig werden, hat die veröffentlichende Stelle
unverzüglich die der Veröffentlichung zu Grunde liegenden
Informationen in der Veröffentlichungsdatei der Datenbank
entsprechend zu löschen. Die Löschung unterbleibt, wenn
Grund zu der Annahme besteht, dass anderenfalls schutzwürdige
Interessen der betroffenen Person beeinträchtigt werden. In
diesem Fall sind die Informationen unverzüglich zu sperren.
(3) Die jeweils
veröffentlichende Stelle löscht die veröffentlichten
Daten zwei Jahre nach dem ersten Tag ihrer Veröffentlichung.
§ 4 Einsichtnahme
(1) Die Informationen über
die Zahlung von Mitteln aus den Europäischen Fonds für
Landwirtschaft und Fischerei sind ausschließlich über das
Internet einsehbar.
(2) Die Barrierefreie
Informationstechnik-Verordnung vom 17. Juli 2002 (BGBl. I S. 2654) in
der jeweils geltenden Fassung gilt entsprechend.
§ 5 Datensicherheit
(1) Die Bundesanstalt für
Landwirtschaft und Ernährung (Bundesanstalt) stellt durch
technische und organisatorische Maßnahmen eines
Sicherheitskonzeptes sicher, dass
die Veröffentlichung
der Daten in einem nach DIN ISO/IEC 27001, Ausgabe 2008–09,
auf Basis IT-Grundschutz zertifizierten Informationsverbund erfolgt
und alle internen technischen und organisatorischen Maßnahmen
in der Bundesanstalt unter den Bedingungen des nach DIN ISO/IEC
27001, Ausgabe 2008–09, auf Basis IT-Grundschutz
zertifizierten Informationsverbundes der Bundesanstalt ablaufen,
die auf der Internetseite
veröffentlichten Informationen nur durch die jeweils
veröffentlichende Stelle verändert, gesperrt oder gelöscht
werden können,
die veröffentlichten
Informationen während ihrer Veröffentlichung im Internet
unversehrt, vollständig und aktuell bleiben.
Die Bundesanstalt hat das
Sicherheitskonzept nach Maßgabe der Bedingungen der DIN ISO/IEC
27001, Ausgabe 2008–09, Zertifizierung auf der Basis von
IT-Grundschutz, regelmäßig daraufhin zu überprüfen
oder überprüfen zu lassen, ob es noch dem Stand der Technik
entspricht oder an die technische Entwicklung anzupassen ist. Die
Frist des Satzes 2 beginnt mit dem Abschluss der Erstzertifizierung
nach Satz 1 Nr. 1.
(2) Die Bundesanstalt hat
durch organisatorische und
technische Vorkehrungen sicherzustellen, dass sie von auftretenden
Fehlfunktionen unverzüglich Kenntnis erlangt, und
diese unverzüglich zu
beheben.
(3) Kommt es während
einer Datenübermittlung zu Störungen oder Unterbrechungen,
hat die Bundesanstalt dies der übermittelnden Stelle
unverzüglich anzuzeigen. In diesem Fall verlangt die
Bundesanstalt eine erneute Übermittlung.
§ 6 Inkrafttreten,
Außerkrafttreten
(1) Diese Verordnung tritt
am Tag nach der Verkündung in Kraft.
(2) Die Verordnung tritt am
12. Juni 2009 außer Kraft, sofern nicht mit Zustimmung des
Bundesrates etwas anderes verordnet wird.
Nach diesen Vorschriften wird
die für die Veröffentlichungen bestimmte Homepage von der
Beigeladenen im Rahmen der Auftragsdatenverarbeitung für den
Beklagten betrieben. Die Beigeladene bedient sich dabei wiederum
eines zertifizierten privaten Providers. Die Regelungen mit dem
Provider sind dem Gericht nur allgemein bekannt, da das
Verfahrensverzeichnis auf Module Bezug nimmt, die nur allgemein
erläutert sind und keine konkreten Maßnahmen für den
Leser beinhalten. Die Beigeladene bzw. der von ihr beauftragte
Provider speichert auch die IP-Adressen der Benutzer. Die
Vertreterin der Beigeladenen erklärte in der mündlichen
Verhandlung, dies würde anonymisiert geschehen, genau wisse sie
es jedoch nicht.
Datenschutzrechtlich bleibt
die Verantwortung jedoch bei den zuständigen Stellen der Länder
(§ 2 Abs. 2 AFIG). Zuständig für Hessen ist das
Hessische Ministerium für Umwelt, ländlichen Raum und
Verbraucherschutz (jetzt: Hessisches Ministerium für Umwelt,
Energie, Landwirtschaft und Verbraucherschutz) als Zahlstelle;
zumindest bei Klageerhebung. Zwar wurden durch Vertrag vom
11.07.2008 die Aufgabe auf die Investitionsbank Hessen (IBH)
übertragen. Dieser Vertrag liegt dem auch Gericht vor. Darin
wird nicht speziell auf die Frage der Veröffentlichung nach der
Verordnung 259/2008 der Kommission eingegangen. In § 14 Abs. 2
des Vertrags ist vorgesehen, dass das Ministerium die Beauftragung
der IBH und ihre Zulassung als Zahlstelle im Staatsanzeiger bekannt
macht. Das ist jetzt bis zum Zeitpunkt der Entscheidung nicht
erfolgt. In dem Erlass des Ministeriums für Umwelt, ländlichen
Raum und Verbraucherschutz zur Veröffentlichung von
Informationen über die Empfänger von Mitteln aus dem
Europäischen Garantiefonds für die Landwirtschaft, dem
Europäischen Landwirtschaftsfonds für die Entwicklung des
ländlichen Raums und dem europäischen Fischereifonds vom
10.11.2008 (Staatsanzeiger 2008, S. 3038 f.) bezeichnet sich dieses
selbst als Zahlstelle. Der Erlass ist nicht aufgehoben. Außerdem
besteht zwischen Bund und Ländern ein Verwaltungsabkommen, das
jedoch vor allem die Kostenverteilung regelt. Hierin ist von einer
Weiterdelegierung keine Rede. Die IBH ist eine Anstalt des
öffentlichen Rechts, über die das Ministerium die Aufsicht
ausübt; dies auch, wenn der IBH wirksam die
Zahlstellenfunktion übertragen worden wäre. Dem Gericht
liegt auch nur das Verfahrensverzeichnis des Hessischen Ministeriums
für Umwelt, ländlichen Raum und Verbraucherschutz vor, in
dem als dieses sich selbst als verantwortliche Stelle und
EU-Zahlstelle bezeichnet. Ferner liegt das Verfahrensverzeichnis der
Beigeladenen vor.
Die Art. 18 bis 21 der
Richtlinie 95/46/EG wurden durch die folgenden Vorschriften
umgesetzt. Für die Beigeladene gilt Bundesrecht, für das
Ministerium und die IBH hessisches Landesrecht.
Bundesdatenschutzgesetz
(BDSG) in der Fassung vom 14. Januar 2003 (BGBl. I S. 66)
§ 4d Meldepflicht
(1) Verfahren
automatisierter Verarbeitungen sind vor ihrer Inbetriebnahme von
nicht-öffentlichen verantwortlichen Stellen der zuständigen
Aufsichtsbehörde und von öffentlichen verantwortlichen
Stellen des Bundes sowie von den Post- und
Telekommunikationsunternehmen dem Bundesbeauftragten für den
Datenschutz und die Informationsfreiheit nach Maßgabe von §
4e zu melden.
(2) Die Meldepflicht
entfällt, wenn die verantwortliche Stelle einen Beauftragten für
den Datenschutz bestellt hat
(3-4) (…)
(5) Soweit automatisierte
Verarbeitungen besondere Risiken für die Rechte und Freiheiten
der Betroffenen aufweisen, unterliegen sie der Prüfung vor
Beginn der Verarbeitung (Vorabkontrolle). Eine Vorabkontrolle ist
insbesondere durchzuführen, wenn
1. besondere Arten
personenbezogener Daten (§ 3 Abs. 9) verarbeitet werden oder
2. die Verarbeitung
personenbezogener Daten dazu bestimmt ist, die Persönlichkeit
des Betroffenen zu bewerten einschließlich seiner Fähigkeiten,
seiner Leistung oder seines Verhaltens,
es sei denn, dass eine
gesetzliche Verpflichtung oder eine Einwilligung des Betroffenen
vorliegt oder die Erhebung, Verarbeitung oder Nutzung der
Zweckbestimmung eines Vertragsverhältnisses oder
vertragsähnlichen Vertrauensverhältnisses mit dem
Betroffenen dient.
(6) Zuständig für
die Vorabkontrolle ist der Beauftragte für den Datenschutz.
Dieser nimmt die Vorabkontrolle nach Empfang der Übersicht nach
§ 4g Abs. 2 Satz 1 vor. Er hat sich in Zweifelsfällen an
die Aufsichtsbehörde oder bei den Post- und
Telekommunikationsunternehmen an den Bundesbeauftragten für den
Datenschutz und die Informationsfreiheit zu wenden.
§ 4e Inhalt der
Meldepflicht
Sofern Verfahren
automatisierter Verarbeitungen meldepflichtig sind, sind folgende
Angaben zu machen:
1. Name oder Firma der
verantwortlichen Stelle,
2. Inhaber, Vorstände,
Geschäftsführer oder sonstige gesetzliche oder nach der
Verfassung des Unternehmens berufene Leiter und die mit der Leitung
der Datenverarbeitung beauftragten Personen,
3. Anschrift der
verantwortlichen Stelle,
4. Zweckbestimmungen der
Datenerhebung, -verarbeitung oder -nutzung,
5. eine Beschreibung der
betroffenen Personengruppen und der diesbezüglichen Daten oder
Datenkategorien,
6. Empfänger oder
Kategorien von Empfängern, denen die Daten mitgeteilt werden
können,
7. Regelfristen für die
Löschung der Daten,
8. eine geplante
Datenübermittlung in Drittstaaten,
9. eine allgemeine
Beschreibung, die es ermöglicht, vorläufig zu beurteilen,
ob die Maßnahmen nach § 9 zur Gewährleistung der
Sicherheit der Verarbeitung angemessen sind. § 4d Abs. 1 und 4
gilt für die Änderung der nach Satz 1 mitgeteilten Angaben
sowie für den Zeitpunkt der Aufnahme und der Beendigung der
meldepflichtigen Tätigkeit entsprechend.
§ 4g Aufgaben des
Beauftragten für den Datenschutz
(1) Der Beauftragte für
den Datenschutz wirkt auf die Einhaltung dieses Gesetzes und anderer
Vorschriften über den Datenschutz hin. Zu diesem Zweck kann sich
der Beauftragte für den Datenschutz in Zweifelsfällen an
die für die Datenschutzkontrolle bei der verantwortlichen Stelle
zuständige Behörde wenden. Er kann die Beratung nach §
38 Abs. 1 Satz 2 in Anspruch nehmen. Er hat insbesondere
1. die ordnungsgemäße
Anwendung der Datenverarbeitungsprogramme, mit deren Hilfe
personenbezogene Daten verarbeitet werden sollen, zu überwachen;
zu diesem Zweck ist er über Vorhaben der automatisierten
Verarbeitung personenbezogener Daten rechtzeitig zu unterrichten,
2. die bei der Verarbeitung
personenbezogener Daten tätigen Personen durch geeignete
Maßnahmen mit den Vorschriften dieses Gesetzes sowie anderen
Vorschriften über den Datenschutz und mit den jeweiligen
besonderen Erfordernissen des Datenschutzes vertraut zu machen.
(2) Dem Beauftragten für
den Datenschutz ist von der verantwortlichen Stelle eine Übersicht
über die in § 4e Satz 1 genannten Angaben sowie über
zugriffsberechtigte Personen zur Verfügung zu stellen. Der
Beauftragte für den Datenschutz macht die Angaben nach §
4e Satz 1 Nr. 1 bis 8 auf Antrag jedermann in geeigneter Weise
verfügbar.
(2a) Soweit bei einer
nichtöffentlichen Stelle keine Verpflichtung zur Bestellung
eines Beauftragten für den Datenschutz besteht, hat der Leiter
der nichtöffentlichen Stelle die Erfüllung der Aufgaben
nach den Absätzen 1 und 2 in anderer Weise sicherzustellen.
(3) (…)
Hessisches Datenschutzgesetz
(HDSG) in der Fassung vom 07. Januar 1999 (GVBl. I S. 98)
§ 5 Behördlicher
Datenschutzbeauftragter
(1) Die datenverarbeitende
Stelle hat schriftlich einen behördlichen
Datenschutzbeauftragten sowie einen Vertreter zu bestellen. Bestellt
werden dürfen nur Beschäftigte, die dadurch keinem
Interessenkonflikt mit sonstigen dienstlichen Aufgaben ausgesetzt
werden. Für die Wahrnehmung seiner Aufgaben nach Abs. 2 muß
der behördliche Datenschutzbeauftragte die erforderliche
Sachkenntnis und Zuverlässigkeit besitzen. Wegen dieser
Tätigkeit, bei der er frei von Weisungen ist, darf er nicht
benachteiligt werden. Er ist insoweit unmittelbar der Leitung der
datenverarbeitenden Stelle zu unterstellen; in Gemeinden und
Gemeindeverbänden kann er auch einem hauptamtlichen
Beigeordneten unterstellt werden. Der behördliche
Datenschutzbeauftragte ist im erforderlichen Umfang von der Erfüllung
anderer Aufgaben freizustellen sowie mit den zur Erfüllung
seiner Aufgaben notwendigen räumlichen, personellen und
sachlichen Mitteln auszustatten. Die Beschäftigten der
datenverarbeitenden Stelle können sich ohne Einhaltung des
Dienstweges in allen Angelegenheiten des Datenschutzes an ihn wenden.
(2) Der behördliche
Datenschutzbeauftragte hat die Aufgabe, die datenverarbeitende Stelle
bei der Ausführung dieses Gesetzes sowie anderer Vorschriften
über den Datenschutz zu unterstützen und Hinweise zur
Umsetzung zu geben. Zu seinen Aufgaben gehört es insbesondere
1. auf die Einhaltung der
Datenschutzvorschriften bei der Einführung von Maßnahmen,
die das in § 1 Satz 1 Nr. 1 geschützte Recht betreffen,
hinzuwirken,
2. die bei der Verarbeitung
personenbezogener Daten tätigen Personen durch geeignete
Maßnahmen mit den Bestimmungen dieses Gesetzes sowie den
sonstigen Vorschriften über den Datenschutz vertraut zu machen,
3. die datenverarbeitende
Stelle bei der Umsetzung der nach den §§ 6, 10 und 29
erforderlichen Maßnahmen zu unterstützen,
4. das nach § 6 Abs. 1
zu erstellende Verzeichnis zu führen und für die Einsicht
nach § 6 Abs. 2 bereitzuhalten,
5. das Ergebnis der
Untersuchung nach § 7 Abs. 6 zu prüfen und im Zweifelsfall
den Hessischen Datenschutzbeauftragten zu hören.
Soweit keine gesetzliche
Regelung entgegensteht, kann er die zur Erfüllung seiner
Aufgaben notwendige Einsicht in Akten und die automatisierte
Datenverarbeitung nehmen. Vor einer beabsichtigten Maßnahme
nach Satz 2 Nr. 1 ist er rechtzeitig umfassend zu unterrichten und
anzuhören. Wird er nicht rechtzeitig an einer Maßnahme
beteiligt, ist die Entscheidung über die Maßnahme
auszusetzen und die Beteiligung nachzuholen.
(3) Die datenverarbeitende
Stelle kann einen Beschäftigten ihrer Aufsichtsbehörde mit
deren Zustimmung zum Beauftragten für den Datenschutz bestellen.
Mehrere datenverarbeitende Stellen können gemeinsam einen ihrer
Beschäftigten zum Datenschutzbeauftragten bestellen, wenn
dadurch die Erfüllung seiner Aufgabe nicht beeinträchtigt
wird. Bestellungen von Personen, die nicht der datenverarbeitenden
Stelle angehören, sind dem Hessischen Datenschutzbeauftragten
mitzuteilen.
§ 6
Verfahrensverzeichnis
(1) Wer für den Einsatz
eines Verfahrens zur automatisierten Verarbeitung personenbezogener
Daten zuständig ist, hat in einem für den behördlichen
Datenschutzbeauftragten bestimmten Verzeichnis festzulegen:
1. Name und Anschrift der
datenverarbeitenden Stelle,
2. die Zweckbestimmung und
die Rechtsgrundlage der Datenverarbeitung,
3. die Art der gespeicherten
Daten,
4. den Kreis der
Betroffenen,
5. die Art regelmäßig
übermittelter Daten, deren Empfänger sowie die Art und
Herkunft regelmäßig empfangener Daten,
6. die zugriffsberechtigten
Personen oder Personengruppen,
7. die technischen und
organisatorischen Maßnahmen nach § 10,
8. die Technik des
Verfahrens,
9. Fristen für die
Löschung nach § 19 Abs. 3,
10. eine beabsichtigte
Datenübermittlung nach § 17 Abs. 2,
11. das begründete
Ergebnis der Untersuchung nach § 7 Abs. 6 Satz 3.
(2) (…)
§ 7 Zulässigkeit
der Datenverarbeitung
(1-5) (…)
(6) Wer für den Einsatz
oder die wesentliche Änderung eines Verfahrens zur
automatisierten Datenverarbeitung zuständig ist, hat vor dem
Beginn der Verarbeitung zu untersuchen, ob damit Gefahren für
die in § 1 Abs. 1 Nr. 1 geschützten Rechte verbunden sind;
dies gilt in besonderem Maße für die in § 7 Abs. 4
genannten Daten. Das Verfahren darf nur eingesetzt werden, wenn
sichergestellt ist, daß diese Gefahren nicht bestehen oder
durch technische und organisatorische Maßnahmen verhindert
werden können. Das Ergebnis der Untersuchung und dessen
Begründung sind aufzuzeichnen und dem behördlichen
Datenschutzbeauftragten zur Prüfung zuzuleiten.
(7) (…)
Die Verarbeitung von Daten der
Nutzer einer Internetseite ist im Telemediengesetz (TMG) vom 26.
Februar 2007 (BGBl. I S. 179) geregelt.
§ 15 Nutzungsdaten
(1) Der Diensteanbieter darf
personenbezogene Daten eines Nutzers nur erheben und verwenden,
soweit dies erforderlich ist, um die Inanspruchnahme von Telemedien
zu ermöglichen und abzurechnen (Nutzungsdaten). Nutzungsdaten
sind insbesondere
1. Merkmale zur
Identifikation des Nutzers,
2. Angaben über Beginn
und Ende sowie des Umfangs der jeweiligen Nutzung und
3. Angaben über die vom
Nutzer in Anspruch genommenen Telemedien.
(2) Der Diensteanbieter darf
Nutzungsdaten eines Nutzers über die Inanspruchnahme
verschiedener Telemedien zusammenführen, soweit dies für
Abrechnungszwecke mit dem Nutzer erforderlich ist.
(3) Der Diensteanbieter darf
für Zwecke der Werbung, der Marktforschung oder zur
bedarfsgerechten Gestaltung der Telemedien Nutzungsprofile bei
Verwendung von Pseudonymen erstellen, sofern der Nutzer dem nicht
widerspricht. Der Diensteanbieter hat den Nutzer auf sein
Widerspruchsrecht im Rahmen der Unterrichtung nach § 13 Abs. 1
hinzuweisen. Diese Nutzungsprofile dürfen nicht mit Daten über
den Träger des Pseudonyms zusammengeführt werden.
(4) Der Diensteanbieter darf
Nutzungsdaten über das Ende des Nutzungsvorgangs hinaus
verwenden, soweit sie für Zwecke der Abrechnung mit dem Nutzer
erforderlich sind (Abrechnungsdaten). Zur Erfüllung bestehender
gesetzlicher, satzungsmäßiger oder vertraglicher
Aufbewahrungsfristen darf der Diensteanbieter die Daten sperren.
(5) Der Diensteanbieter darf
an andere Diensteanbieter oder Dritte Abrechnungsdaten übermitteln,
soweit dies zur Ermittlung des Entgelts und zur Abrechnung mit dem
Nutzer erforderlich ist. Hat der Diensteanbieter mit einem Dritten
einen Vertrag über den Einzug des Entgelts geschlossen, so darf
er diesem Dritten Abrechnungsdaten übermitteln, soweit es für
diesen Zweck erforderlich ist. Zum Zwecke der Marktforschung anderer
Diensteanbieter dürfen anonymisierte Nutzungsdaten übermittelt
werden. § 14 Abs. 2 findet entsprechende Anwendung.
(6) Die Abrechnung über
die Inanspruchnahme von Telemedien darf Anbieter, Zeitpunkt, Dauer,
Art, Inhalt und Häufigkeit bestimmter von einem Nutzer in
Anspruch genommener Telemedien nicht erkennen lassen, es sei denn,
der Nutzer verlangt einen Einzelnachweis.
(7) Der Diensteanbieter darf
Abrechnungsdaten, die für die Erstellung von Einzelnachweisen
über die Inanspruchnahme bestimmter Angebote auf Verlangen des
Nutzers verarbeitet werden, höchstens bis zum Ablauf des
sechsten Monats nach Versendung der Rechnung speichern. 2Werden gegen
die Entgeltforderung innerhalb dieser Frist Einwendungen erhoben oder
diese trotz Zahlungsaufforderung nicht beglichen, dürfen die
Abrechnungsdaten weiter gespeichert werden, bis die Einwendungen
abschließend geklärt sind oder die Entgeltforderung
beglichen ist.
(8) Liegen dem
Diensteanbieter zu dokumentierende tatsächliche Anhaltspunkte
vor, dass seine Dienste von bestimmten Nutzern in der Absicht in
Anspruch genommen werden, das Entgelt nicht oder nicht vollständig
zu entrichten, darf er die personenbezogenen Daten dieser Nutzer über
das Ende des Nutzungsvorgangs sowie die in Absatz 7 genannte
Speicherfrist hinaus nur verwenden, soweit dies für Zwecke der
Rechtsverfolgung erforderlich ist. Der Diensteanbieter hat die Daten
unverzüglich zu löschen, wenn die Voraussetzungen nach Satz
1 nicht mehr vorliegen oder die Daten für die Rechtsverfolgung
nicht mehr benötigt werden. Der betroffene Nutzer ist zu
unterrichten, sobald dies ohne Gefährdung des mit der Maßnahme
verfolgten Zweckes möglich ist.
II.
Das Gericht setzt das
Verfahren aus und reicht beim Gerichtshof ein
Vorabentscheidungsersuchen zur Gültigkeit der 42 Abs. 1 Nr. 8b
und 44a der Verordnung (EG) Nr. 1290/2005 und der Verordnung (EG)
Nr. 259/2008 sowie zur Auslegung der Richtlinie 95/46/EG ein, weil
eine Entscheidung darüber zum Erlass seines Urteils
erforderlich ist.
Die
Klage richtete und richtet sich gegen den richtigen Beklagten, da
die Funktion als Zahlstelle während des laufenden gerichtlichen
Verfahrens nicht wirksam auf die Investitionsbank Hessen übertragen
wurde. Es fehlt schon an der notwendigen öffentlichen
Bekanntmachung. Denn es handelt sich bei den Aufgaben der IBH im
Bereich Agrarförderung nicht um eine originäre
Zuständigkeit der IBH, sondern es ist ein vertraglicher
Übergang vorausgesetzt. Daraus folgt auch, dass das Ministerium
in jedem Fall weiterhin eine Restverantwortung innehat (vgl. auch
die Aufsichtsregelung in § 12 des Vertrags), die über die
allgemeine gesetzliche Rechtsaufsicht hinausgeht. Andernfalls hätte
die IBH und nicht das Ministerium ein Verfahrensverzeichnis
aufstellen müssen, was gerade nicht der Fall ist. Von der
Verantwortung des Ministeriums geht wohl auch die Beigeladene aus,
da auf der Internetseite zur Veröffentlichung als
verantwortliche Stelle für Hessen weiterhin das Ministerium
genannt ist
(www.agrar-fischerei-zahlungen.de/agrar_ansprechpartner.htnl#He,
Stand 24.02.2009).
Ob die Klage begründet
ist, hängt zunächst von der Gültigkeit der
vorgelegten Gemeinschaftsvorschriften ab. Erweist sich die
Verordnung (EG) Nr. 259/2008 als ungültig, fehlt es an einer
Rechtsgrundlage für die Verarbeitung (§ 7 Abs. 1 Nr. 1
HDSG) und der Klage ist stattzugeben. Die Klägerin kann sich
als Gesellschaft ebenfalls auf das Recht der informationellen
Selbstbestimmung nach Art. 2 Abs. 1 i. V. m. Art. 1 Abs. 1 GG und
Art. 14 Abs. 1 sowie Art. 19 Abs. 3 GG insoweit berufen, als ihren
Trägern Schutz gegen unbegrenzte Erhebung, Speicherung,
Verwendung oder Weitergabe der betreffenden individualisierte
oder individualisierbarer Daten zusteht (vgl. BVerwG, Urteil vom
20.12.2001, Az.: 6 C 7/01, Rdnr. 18 - nach Juris; BVerfG, Beschluss
vom 01.10.1987, Az.: 2 BvR 1178/86 u. a., Rdnr. 126 - nach Juris;
BVerfG, Urteil vom 17.07.1984, Az.: 2 BvE 11/83, 2 BvE 15/83, Rdnr.
135 f. - nach Juris; VG Wiesbaden, Urteil vom 07.12.2007, Az.: 6 E
928/07, S. 11). Insoweit sind die Ausführungen des Hessischen
Datenschutzgesetzes auch auf juristische Personen, soweit ein
grundrechtlich verbürgtes Recht auf informationelle
Selbstbestimmung nach Art. 14 GG gegeben ist, entsprechend
anzuwenden. Eine Ungültigkeit der Verordnung kann sich aus
dieser selbst oder daraus ergeben, dass die Vorschriften aus der
Verordnung (EG) Nr. 1290/2007, deren Durchführung sie dient,
ungültig sind. Sind diese Gemeinschaftsvorschriften gültig,
ergibt sich ein Unterlassungsanspruch der Klägerin, wenn die
Regelungen der Gemeinschaft zum Datenschutz nicht beachtet wurden.
Um das zu prüfen, ist eine Auslegung durch den Gerichtshof
nötig.
Nach Auffassung des Gerichts
verstoßen die Art. 44a und 40 Abs. 1 Nr. 8b der Verordnung
(EG) Nr. 1290/2005 gegen primäres Gemeinschaftsrecht.
Nach Art. 44a der Verordnung
(EG) Nr. 1290/2005 veröffentlichen die Mitgliedstaaten
Informationen über die Empfänger von EGFL- und
ELER-Mitteln sowie der Beträge, die jeder Begünstigte aus
diesen Fonds erhalten hat. Diesem Artikel entnimmt das Gericht, dass
über jeden Empfänger eine Veröffentlichung erfolgen
muss. Darin liegt ein Eingriff in das Grundrecht auf Datenschutz,
der nicht gerechtfertigt ist.
Dass Datenschutz auf
Gemeinschaftsebene ein Grundrecht ist, ergibt sich aus dem Schutz
des Privatlebens in Art. 8 EMRK und den Verfassungstraditionen der
Mitgliedstaaten. Dies wird bekräftigt durch die Charta der
Grundrechte der Europäischen Union, die in Art. 7 den Schutz
des Privatlebens und in Art. 8 den Schutz der persönlichen
Daten als Grundrecht enthält (vgl. das Urteil des Gerichtshofs
vom 28.01.2008 in der Rechtsache C-275/06, Promusicae/Telefonica,
Slg. 2008, I-271, Rn. 63 und die Schlussanträge der
Generalanwältin Kokott vom 18.07.2007 in dieser Rechtssache,
Rn. 51 ff.). Berufliche Tätigkeiten sind mit geschützt
(vgl. das Urteil des Gerichtshofs vom 20.05.2003 in den verbundenen
Rechtssachen C-465/00, C-138/01 und C-139/01,
Rechnungshof/Österreichischer Rundfunk, Slg. 2003, I-4989, Rn.
73). Auch soweit wie im vorliegenden Fall Daten einer Gesellschaft
betroffen sind, sieht das Gericht diese als vom Schutz des
Grundrechts mit umfasst. In der Charta der Grundrechte wird der
Datenschutz, den Verfassungsüberlieferungen der Mitgliedstatten
folgend, als eigenes Grundrecht erwähnt und so vom Schutz des
Privatlebens abgekoppelt. Auch der Europäische Gerichtshof für
Menschenrechte sieht durch Art. 8 EMRK juristischen Personen
geschützt (vgl. zusammenfassend Grabenwarter, Europäische
Menschenrechtskonvention, 3. Aufl., § 22 Rn. 4). Hier kommt
dazu, dass der Name der Gesellschaft aus den Namen der
Gesellschafter besteht, so dass zu veröffentlichende
Informationen diesen persönlich zuzurechnen sind. In jeder
Veröffentlichung liegt ein Eingriff in dieses Grundrecht, weil
es sich um die denkbar breiteste Übermittlung handelt.
Das Gericht weist darauf hin,
dass Gesellschaften bürgerlichen Rechts in Deutschland erst
seit kurzen als rechtsfähig und in gerichtlichen Verfahren
beteiligtenfähig angesehen werden. Nach früherer
Rechtsprechung wären die Gesellschafter persönlich die
Kläger gewesen. Im Übrigen unterscheidet Art. 44a der
Verordnung nicht zwischen natürlichen und juristischen
Personen, so dass dieser in jedem Fall am Grundrecht auf Schutz von
Daten natürlicher Personen zu messen ist.
Der Eingriff ist nicht
gerechtfertigt. Zu dieser Frage zieht das Gericht die Schranke in
Art. 8 Abs. 2 EMRK heran (vgl. Urteil Rechnungshof/Österreichischer
Rundfunk, a.a.O., Rn. 80 ff.). Danach muss der Eingriff zur
Erreichung eines dort genannten Zwecks in einer demokratischen
Gesellschaft notwendig sein. Die Maßnahme muss demnach in
einem angemessenen Verhältnis zu dem verfolgten berechtigten
Zweck stehen (vgl. Urteil Rechnungshof/Österreichischer
Rundfunk, a.a.O., Rn. 83) und es muss ein zwingendes
gesellschaftliches Bedürfnis bestehen (vgl. Schlussanträge,
Promusicae/Telefonica, a.a.O., Rn. 54). Nach der 14.
Begründungserwägung der Verordnung (EG) Nr. 1437/2007
verfolgt die Veröffentlichung das Ziel, die Transparenz in
Bezug auf die Verwendung der Gemeinschaftsmittel zu erhöhen und
durch eine öffentliche Kontrolle die Wirtschaftlichkeit der
Haushaltsführung der betroffenen Fonds zu verbessern. Dazu ist
anzumerken, dass die Transparenz keinen eigenständigen Zweck
darstellt, sondern das Ergebnis der Maßnahme beschreibt. Die
Verbesserung der Haushaltskontrolle dient zwar – bei weiter
Auslegung des Art. 8 Abs. 2 EMRK – dem wirtschaftlichen Wohl
des Landes. Sie ist jedoch vorliegend nicht angemessen. Das Gericht
bezweifelt schon, ob die Veröffentlichung überhaupt
geeignet ist. Die Beigeladene hat ein Schreiben des
Bundesministeriums für Ernährung, Landwirtschaft und
Verbraucherschutz vorgelegt (Bl. 114, 116 d.A. 6 K 1045/08.WI, Band
I). Daraus geht hervor, dass aus dessen fachlicher Sicht die
Kontrolle der verwendeten Mittel und die Verhütung von
Unregelmäßigkeiten nicht verbessert werden. Es bestünden
schon umfangreiche Kontrollmechanismen, die weiterentwickelt würden.
Jedenfalls steht die
Veröffentlichung nicht in einem angemessenen Verhältnis zu
dem verfolgten Zweck. Bei dieser Bewertung stütz sich das
Gericht auf das Urteil des Gerichtshofs in der Rechtssache
Rechnungshof/Österreichischer Rundfunk und das daraufhin
ergangene Urteil des Österreichischen Verfassungsgerichtshofs
vom 28.11.2003 (Aktenzeichen KR 1/00-33, verfügbar im Internet
unter
http://www.vfgh.gv.at/cms/vfgh-ite/attachments/3/8/6/CH0006/CMS1108403943433/kr1-33-00.pdf).
Nach der Rechtsprechung des Gerichtshofs in diesem
Vorabentscheidungsverfahren ist es zwingende Voraussetzung, dass die
Veröffentlichung – in dem Fall ging es die Bezüge
von Bediensteten bestimmter juristischer Personen des öffentlichen
Rechts – wirklich erforderlich ist. Das ist nur dann
der Fall, wenn der Zweck nicht ebenso erreicht werden könnte,
indem die Informationen nur den Kontrollorganen mitgeteilt oder nur
Gesamtbeträge veröffentlicht würden (vgl. Urteil
Rechnungshof/Österreichischer Rundfunk, a.a.O., Rn. 88). In
seinem Urteil hat der Österreichische Verfassungsgerichtshof
entschieden, dass die Veröffentlichung von Bezügen
einzelner Beschäftigter nicht erforderlich ist. Dazu führt
er aus (S. 30 unterer Absatz):
”Auch die Bundesregierung
behauptet in ihrer Stellungnahme nicht, dass die Veröffentlichung
der Bezüge unter Nennung der Namen der Bezügeempfänger
im Sinne der Entscheidung des Europäischen Gerichtshofes zur
effizienten Mittelverwendung notwendig sei. Sie argumentiert mehrfach
damit, dass die personenbezogene Einkommensveröffentlichung
einem dringenden sozialen Bedürfnis nach Transparenz bei der
Verwendung öffentlicher Mittel und nach Vermeidung deren
Missbrauchs bestehe, tut aber nicht dar, wieso es notwendig sein
soll, die Namen von Personen und ihre Bezüge zu veröffentlichen,
um die ordnungsgemäße Verwendung öffentlicher Mittel
sicherzustellen; darauf kommt es aber nach der - den
Verfassungsgerichtshof bindenden - Entscheidung des Europäischen
Gerichtshofes vom 20. Mai 2003, Rs. C-465/00 ua., Rechnungshof
gegen ORF ua., an.”
Dem schließt sich das
Gericht für den vorliegenden Fall an. Ein entsprechender
Vortrag fehlt. Außerdem ergibt sich aus den Erwägungsgründen
nichts, was eine Erforderlichkeit im Sinne dieser Rechtsprechung
auch nur im Ansatz begründet. In wie weit unter diesem
Umständen eine Veröffentlichung der Daten auch nur im
Ansatz dem öffentlichen Wohl des Landes dienen kann (Art. 8
Abs. 2 EMRK) oder ein zwingendes öffentliches Interesse
besteht, ist nicht dargetan.
Art. 42 Abs. 1 Nr. 8b der
Verordnung (EG) Nr. 1290/2005 hält nach Ansicht des Gerichts
einer Überprüfung an Hand der Art. 202 4. Spiegelstrich
EG und Art. 211 3. Spiegelstrich EG nicht Stand. Dieser Artikel 42
Abs. 1 Nr. 8b der Verordnung (EG) Nr. 1290/2005 regelt, dass die
Kommission die Bestimmungen zur Durchführung des Art. 44a der
Verordnung (EG) Nr. 1290/2005 erlässt. Hier erhält die
Kommission einen sehr weiten Spielraum, welche Daten in welcher
Weise veröffentlicht werden. Insbesondere bleibt offen, ob auch
eine Veröffentlichung ausschließlich im Internet erfolgt,
was nach einen besonders gravierenden Grundrechtseingriff darstellt.
Auch wenn der Begriff der Durchführung weit ausgelegt wird,
müssen doch die wesentlichen Grundzüge der geregelten
Materie in dem Basisrechtsakt festgelegt werden, um noch von einer
Durchführung sprechen zu können. Ansonsten würde das
institutionelle Gleichgewicht gestört, insbesondere zu Lasten
der Mitwirkung des Europäischen Parlaments. Dabei ist auch zu
berücksichtigen, dass Art. 8 Abs. 2 EMRK an eine demokratische
Gesellschaft anknüpft. Das muss bei der Einhaltung des
institutionellen Gleichgewichts berücksichtigt werden.
Selbst wenn Art. 44a oder 42
Abs. 1 Nr. 8b der Verordnung (EG) Nr. 1290/2005 gültig sind,
ergibt sich die Ungültigkeit der Verordnung (EG) Nr. 259/2008
der Kommission aus Verstößen gegen das Grundrecht auf
Datenschutz, die die Verordnung selbst enthält. Sie sieht vor,
dass die Informationen ausschließlich im Internet auf einer
speziellen Website veröffentlicht werden. Angegeben werden der
Name des Empfängers und die Beträge, aufgeschlüsselt
nach ”EGFL” und ”ELER”. Diese
Veröffentlichung geht nach Auffassung des Gerichts weit über
das hinaus, was in einer demokratischen Gesellschaft notwendig ist.
Bei der Veröffentlichung
im Internet handelt es sich um einen besonders tiefgreifenden
Eingriff. Informationen sind weltweit einsehbar, und zwar auch in
solchen Staaten, deren Datenschutzniveau nicht dem in der
Gemeinschaft entspricht. Es wäre jedoch nach den Darlegungen
der Sachverständigen möglich, den Zugriff auf IP-Adressen
aus der Europäischen Union zu beschränken. Das wäre
ein weniger tiefer Eingriff, die Verordnung sieht das aber nicht
vor. Da es um die Schwere des Eingriffs und nicht die Einordnung
nach sekundärem Gemeinschaftsrecht geht, ist es nach Auffassung
des Gerichts unerheblich, ob es sich nicht um eine Übermittlung
in ein Drittland im Sinne von Art. 29 der Richtlinie 95/46/EG
handelt, wie es der Gerichtshof in dem Urteil vom 06.11.2003 in der
Rechtssache C-101/01, Bodil Lindqvist, Slg. 2003, I-12971,
entschieden hat. Vielmehr kommt es darauf an, dass es nicht möglich
ist, die Daten nach zwei Jahren aus dem Internet zu entfernen. Art.
3 Abs. 3 der Verordnung, der eine Löschung nach 2 Jahren
vorsieht, kann demnach technisch nicht umgesetzt werden. Zwar werden
die Daten aus der Datenbank der Beigeladenen gelöscht, die
Speicherung der Informationen durch andere Webdienste kann aber
weder verhindert noch rückgängig gemacht werden. Zwar
findet wohl keine Speicherung in Zwischenspeichern von Suchmaschinen
(z.B. Google-Cache) statt, weil jede Anzeige aus der Datenbank
generiert wird. Es kann aber nicht verhindert werden, dass ein
Nutzer legalerweise abgefragte Daten speichert und dann selbst ins
Internet stellt, etwa im html oder pdf Format. Dann ist auch ein
Zugriff über Suchmaschinen möglich. Diese Vorgehensweise
wird durch die Suchfunktion erleichtert, für die nach Art. 2
der Verordnung (EG) Nr. 259/2008 der Kommission eine Angabe nach
deren Art. 1 Abs. 1 (etwa nur der Name der Gemeinde oder die
Postleitzahl) ausreicht, um eine Suche durchzuführen.
Die bloße
Veröffentlichung im Internet ist auch zur Information der
Bürger nicht geeignet. Es ist anzumerken, dass die Nennung der
beiden Fonds mit ihren Abkürzungen die Bürger eher
verwirren als informieren könnte. Dabei ist nach dem Ziel der
Transparenz nicht auf die Fachöffentlichkeit, sondern auf den
interessierten ”Durchschnittsbürger” abzustellen.
Da jedenfalls die Maßstäbe der Beihilfenvergabe nicht
gleichzeitig erläutert werden und von dem Namen und Ort des
Empfängers nicht auf dessen Betrieb und seine Lage geschlossen
werden kann, erreicht die Verordnung (EG) Nr. 259/2008 höchstens
einen minimalen Informationsmehrwert. Hinzu kommt, dass die
ausschließliche Veröffentlichung im Internet
abschreckenden Charakter hat. Diejenigen Bürger, die überhaupt
Zugang zum Internet haben und sich informieren wollen, werden
gezwungen, sich einer Vorratsdatenspeicherung nach der Richtlinie
2006/24/EG auszusetzen. Das Gericht sieht es als einen
Wertungswiderspruch an, einerseits die Telekommunikation
verstärkt zu überwachen, aber andererseits
Informationen, die der Teilnahme der Bürger an öffentlichen
Angelegenheiten dienen sollen, nur elektronisch zugänglich
zu machen. Da der Gerichtshof in die Lage kommen kann, dass er die
Gültigkeit der Verordnung (EG) 259/2008 nur bejaht, wenn die
Vorratsdatenspeicherung nach der Richtlinie 2006/24/EG entfällt,
legt das Gericht auch die Frage der Gültigkeit dieser
Richtlinie mit vor. Dadurch ist der Gerichtshof befugt, die
Vereinbarkeit der Richtlinie mit Grundrechten, insbesondere dem
Rechts auf Datenschutz, zu prüfen. Er ist daran auch nicht
durch das Urteil vom 10.02.2009 in der Rechtssache Irland/Parlament
und Rat, C-301/06, gehindert, weil Irland die Klage nur auf den
Klagegrund der Unzuständigkeit gestützt hat (vgl. Rn. 57
dieses Urteils). Das Gericht sieht in der Datenspeicherung auf
Vorrat einen Verstoß gegen das Grundrecht auf Datenschutz. Sie
ist in einer demokratischen Gesellschaft nicht notwendig. Der
Einzelne gibt keine Veranlassung für den Eingriff, kann aber
bei seinem legalen Verhalten wegen der Risiken des Missbrauchs und
des Gefühls der Überwachung eingeschüchtert werden
(vgl. Schlussanträge Promusicae/Telefonica, a.a.O., Rn. 82).
Die Generalanwältin hat ausgeführt: ”Man kann daran
zweifeln, ob die Speicherung von Verkehrsdaten aller Nutzer –
gewissermaßen auf Vorrat – mit Grundrechten vereinbar
ist, insbesondere da dies ohne konkreten Verdacht geschieht.”
Auf die von ihr in den Fußnoten 42 und 43 (Schlussanträge
Promusicae/Telefonica, a.a.O.) bezeichneten Quellen wird voll
inhaltlich Bezug genommen.
Der nach Art. 8 EMRK zu
wahrende Verhältnismäßigkeitsgrundsatz ist durch die
Richtlinie 2006/24/EG nicht gewahrt, weshalb sie ungültig ist
(zum engen Verhältnismäßigkeitsgrundsatz siehe
zuletzt Europäischer Gerichtshof für Menschenrechte,
Urteil vom 04.12.2008, Az. 30562/04 und 30566/04, Rdnr. 103 ff.).
Soweit die in den ersten
beiden Fragen bezeichneten Gemeinschaftsvorschriften gültig
sind, kommt es darauf an, wie es sich auswirkt, wenn die an der
Veröffentlichung beteiligten Stellen eines Mitgliedstaats das
Verfahren der Meldung nach Art. 18 der Richtlinie 95/46/EG nicht
eingehalten haben. Nach Art. 5 der Richtlinie 95/46/EG richten sich
die Voraussetzungen, unter denen die Verarbeitung von Daten
rechtmäßig ist, nach dem Kapitel II der Richtlinie. Dazu
gehört der Abschnitt IX ”Meldung”. Diese Regelungen
der Richtlinie 95/46/EG werden durch bereichsspezifische
Vorschriften nicht verdrängt. Der Erwägungsgrund Nr. 7 der
Verordnung (EG) Nr. 259/2008 geht von der Anwendung der Richtlinie
aus und nimmt auf diese Bezug. Die Umsetzungen der Meldepflicht
erfolgte sowohl im Bundesrecht als auch im hessischen Landesrecht.
Die Regelungen beruhen auf Art. 18 Abs. 2 2. Spiegelstrich der
Richtlinie 95/46/EG.
Die Meldung bei einer
Kontrollstelle wird durch die Führung eines Verzeichnisses mit
den Informationen, die in das Register der Kontrollstelle
einzutragen wären, bei dem behördlichen
Datenschutzbeauftragte ersetzt, welcher an die Stelle der
Kontrollstelle tritt (§ 5 Abs. 2 Satz 2 Nr. 4 HDSG). In diesem
Fall sind die Verzeichnisse (Meldungen) aber fehlerhaft. So ist die
Auftragsdatenverarbeitung durch die Beigeladene – und ggf.
eines privaten Dritten – bei der Meldung des Hessischen
Ministeriums für Umwelt, ländlichen Raum und
Verbraucherschutz nicht ausgewiesen. Es ist unter anderem auch
unvollständig, weil konkrete Angaben zu den Löschfristen
fehlen. In dem Verfahrensverzeichnis der Beigeladenen ist der
private Provider nicht erwähnt. Angaben über die
Speicherung von IP-Adressen fehlen gänzlich (zur statistischen
Auswertung und zu Zwecken der Datensicherheit). Das Gericht geht
davon aus, dass eine Verarbeitung von personenbezogenen Daten und
damit eine Veröffentlichung von personenbezogenen Daten erst
erfolgen darf, wenn die Maßnahmen nach den Art. 18 Abs. 2 2.
Spiegelstrich der Richtlinie 95/46/EG durchgeführt worden sind
in dem Sinne, das eine vollständige, aussagekräftige
Meldung vorliegt. Andernfalls wäre eine Verarbeitung nach Treu
und Glauben und auf rechtmäßige Weise (Art. 6 Buchstabe a
der Richtlinie 95/46/EG) nicht möglich; konkrete Zwecke sind
nicht benannt. Würde man eine unvollständige Meldung
(unvollständiges Verfahrensverzeichnis) nicht im Sinne von Art.
6 der Richtlinie 95/46/EG als Wirksamkeitsvoraussetzung ansehen,
wäre die praktische Wirksamkeit der Vorschriften über die
Meldung beeinträchtigt – gar aufgehoben – , weil
der Verstoß für die weitere Verarbeitung mit
personenbezogenen Daten folgenlos bliebe. Ein Ergebnis, welches
schier untragbar sein dürfte.
Nach § 7 Abs. 6 Satz 3
HDSG (siehe auch § 4d Abs. 5 Satz 1 BDSG) ist für die
Veröffentlichung nach der Verordnung (EG) Nr. 259/2008 eine
Vorabkontrolle nach Art. 20 der Richtlinie 95/46/EG durch den
behördlichen Datenschutzbeauftragten durchzuführen. Nach
beiden Gesetzen erfolgt die Vorabkontrolle nicht durch eine zentrale
Kontrollstelle, sondern bei der verantwortlichen Stelle durch deren
betrieblichen oder behördlichen Datenschutzbeauftragten. Da im
vorliegenden Fall auch Art. 20 der Richtlinie anwendbar ist, darf
die Veröffentlichung wegen Art. 6 Buchstabe a der Richtlinie
nach Ansicht des Gerichts erst erfolgen, wenn die Vorabkontrolle
nach Art. 20 der Richtlinie durchgeführt worden ist.
Andernfalls wäre dieses Instrument nicht effektiv und es würde
sich die Frage stellen, warum diese Regelung überhaupt
aufgenommen wurde.
Wenn die vierte Frage bejaht
wird, kommt es darauf an, ob die Vorabkontrolle hier ordnungsgemäß
durchgeführt wurde. Die Vorabkontrolle erfolgte jedoch auf
Grundlage unvollständiger Verfahrensverzeichnisse (Meldungen).
Da die Bewertung nach der Richtlinie 95/46/EG auf der Grundlage der
in den Verzeichnissen enthaltenen Informationen erfolgt, kann sie
nur wirksam durchgeführt werden, wenn diese richtig und
vollständig sind. Nur dann ist die Grundlage für einen
effektiven Schutz der Betroffenen gegeben.
Weiter stellt sich die Frage,
ob die IP-Adressen der Benutzer, die die Daten nach der Verordnung
(EG) 259/2008 auf der Internetseite der Beigeladenen abrufen,
gespeichert werden dürfen. Zur Überzeugung des Gerichts
steht fest, dass die Speicherung der IP Adressen – wie auf der
Webseite angegeben – erfolgt. Jedenfalls muss sich die
Beigeladene an ihrer Erklärung festhalten lassen. Der
Anwendungsbereich der Datenschutzrichtlinie 95/46/EG und des
deutschen Datenschutzrechts einschließlich § 15 TMG hängt
davon ab, ob es sich dabei um ein personenbezogenes Datum handelt,
weil eine Zuordnung zu einer bestimmbaren Person möglich ist,
gleichwohl, ob es sich um eine statische oder dynamische IP-Adresse
handelt.
Die IP-Adresse ist ein
numerisches Adressformat, welches die Kommunikation vernetzter
Geräte (Server oder Privatcomputer) im Internet ermöglicht.
Bei Abruf einer Seite wird dem Server, auf dem die Seite gespeichert
ist, die Adresse des abrufenden Computers mitgeteilt, so dass die
Daten über das Internet von dem einen an den anderen Rechner
geleitet wird en können. Für die Verbindung von
Privatanwendern mit dem Internet können feste IP-Adressen
vergeben werden. Dabei handelt es sich nach Ansicht des Gerichts
ohne weiteres um ein personenbezogenes Datum. Üblicherweise
werden dynamische IP-Adressen verwendet. Dabei weist der Anbieter
des Zugangs dem Kunden bei jedem Zugang eine Adresse aus seinem
Adresskontingent zu. Aus der Adresse kann der Einwahlstandort des
Benutzers abgelesen werden.
In der Rechtssache
Promusicae/Telefonica hat die Generalanwältin die Ansicht
vertreten, dass eine dynamischen IP-Adresse personenbezogene Daten
enthält (vgl. Schlussanträge Promusicae/Telefonica,
a.a.O., Rn. 61 und die Nachweise in Fußnote 31). In seinem
Urteil vom 29.01.2008 in dieser Rechtssache hat sich der Gerichtshof
ausdrücklich mit dieser Frage aber nicht beschäftigt. Das
Amtsgericht Berlin-Mitte hat einer Klage eines Benutzers der
Internetseite des Bundesministeriums der Justiz gegen die
Speicherung seiner IP-Adresse stattgegeben, weil über die
dynamische IP-Adresse der Benutzer identifiziert werden könne
(Urteil vom 27.03.2007, 5 C 314/06, zitiert nach juris). Das
Amtsgericht Berlin-Mitte stützte sich maßgeblich auf die
26. Begründungserwägung der Richtlinie 95/46/EG. Danach
sollten bei der Entscheidung, ob eine Person bestimmbar ist, alle
Mittel berücksichtigt werden, die vernünftigerweise
entweder von dem Verantwortlichen für die Verarbeitung oder von
einem Dritten eingesetzt werden könnten, um die betreffende
Person zu bestimmen. Die Berufung der Beklagten erstreckte sich nur
auf die Reichweite der Unterlassungsverpflichtung. Der Rechtstreit
ist rechtskräftig abgeschlossen (vgl. Landgericht Berlin,
Urteil vom 06.09.2007, 23 S 3/07, zitiert nach juris). In der
deutschen Literatur wurde dieser Rechtsprechung widersprochen. Das
Gericht ist aber der Auffassung, dass auch eine dynamische
IP-Adresse ein personenbezogenes Datum ist. Davon geht auch die
Artikel 29-Datenschutzgruppe in ihrem Arbeitsdokument WP 104 vom
18.01.2005 aus (Nr. III. 3., S. 19 ff., 01248/07/DE); bekräftigend
in der Stellungnahme WP 150 vom 15.05.2008 (Nr. 3b, S. 8,
00989/08/DE). Da die Speicherung der IP-Adresse nicht erforderlich
ist, steht die Richtlinie 95/46/EG ihr entgegen.
Nach den Angaben des
Sachverständigen B sollen in Zukunft bei den Internetseiten
hessischer Behörden die IP-Adressen zu statistischen Zwecken
anonymisiert werden, aus Gründen der Datensicherheit aber
ungekürzt gespeichert werden. Die Speicherfristen für die
vollständig gespeicherten IP-Adressen durfte er auf Nachfrage
des Gerichts aus Geheimhaltungsgründen nicht angeben. Da die
Beigeladene ihre Seite im Auftrag auch des Landes Hessen betreibt,
geht das Gericht davon aus, dass eine Speicherung nach der Praxis
hessischer Behörden stattfindet. Diese wäre mangels einer
gesetzlichen Grundlage im hessischen Landesrecht nur zulässig,
wenn es sich bei einer IP-Adresse nicht um ein personenbezogenes
Datum handelt.
In diesem Zusammenhang ist auf
folgendes hinzuweisen: Nach einem Gesetzentwurf der Bundesregierung
eines Gesetzes zur Stärkung der Sicherheit in der
Informationstechnik des Bundes (Bundesrats-Drucksache 62/09) ist
geplant, dem Bundesamt für die Sicherheit in der
Informationstechnik die Befugnis einzuräumen, zur Abwehr von
Gefahren für die Kommunikationstechnik des Bundes
Protokolldaten und solche Daten, die an den Schnittstellen der
Kommunikationstechnik des Bundes anfallen, auszuwerten. Zur
Informationstechnik des Bundes gehört auch die Internetseite
der Beigeladenen. Bei der Verabschiedung des Entwurfs, der als
besonders dringlich bezeichnet ist, würde sich die Überwachung
der Nutzung der nach der Verordnung (EG) Nr. 259/2008
veröffentlichten Daten noch verstärken. Mit einem
In-Kraft-Treten des neuen Gesetzes ist in einigen Monaten zu
rechnen, so dass es schon für das Vorabentscheidungsverfahren
vor dem Gerichtshof relevant ist und sich die Frage nach dem
Anwendungsbereich der Richtlinie 95/46/EG hinsichtlich von
IP-Adressen besonders dringlich stellt.
Es wird angeregt, dieses
Vorabentscheidungsersuchen mit demjenigen in dem Verfahren ………
gegen Land Hessen (6 K 1352/08.WI) zu verbinden.
Dieser Beschluss ist
unanfechtbar. |