Erwägungen (41 Absätze)
E. 1 In Abänderung der relevanten Erwägungen des Urteils des Bundesverwaltungsgerichts sei die Beklagte und Beschwerdegegnerin anzuweisen, ihre Datenbearbeitung unverzüglich einzustel- len und es sei ihr jegliche Weitergabe von gesammelten Peer-to-Peer Daten an die Urheber- rechtsinhaber zu untersagen.
E. 2 Der Sachverhalt und der bisherige Prozessverlauf kann kurz wie folgt zusammengefasst wer- den:
Die Logistep AG (Beklagte und Beschwerdegegnerin) sucht im Auftrag von Urheberrechtsinha- bern mittels einer von ihr entwickelten Software in verschiedenen Peer-to-Peer-Netzwerken (nachfolgend P2P-Netzwerk) nach angebotenen urheberrechtlich geschützten Werken und lädt die dort angebotenen Werke herunter. Hierbei werden ein Teil der zur Herstellung und Auf- rechterhaltung der Internetverbindung relevanten technischen Protokolldaten aufgezeichnet und in einer Datenbank abgespeichert. Diese Daten werden dann im Rahmen eines Strafverfahrens zur Identifikation des mutmasslichen Urheberrechtsverletzers verwendet, um ihn letztendlich mit Schadensersatzforderungen zu konfrontieren.
Nach einer Sachverhaltsabklärung ist der EDÖB (Kläger und Beschwerdeführer) zu dem Schluss gelangt, dass die Art und Weise, wie die Logistep AG die Daten bearbeitet, um Urhe- berrechtsverletzungen zu ahnden, gegen das Bundesgesetz über den Datenschutz verstösst (DSG, SR 235.1). Aus diesem Grund hat der EDÖB am 09. Januar 2008 eine Empfehlung an die Logistep AG erlassen und – weil sie durch die Logistep AG am 14. Februar 2008 abgelehnt wurde – am 13. Mai 2008 Klage beim Bundesverwaltungsgericht angehoben. Mit Entscheidung vom 27. Mai 2009 hat das Bundesverwaltungsgericht die Klage abgewiesen.
3/12
Relevante Erwägungen des Bundesverwaltungsgerichts
E. 3 Das Bundesverwaltungsgericht hält fest, dass es sich bei der Bearbeitung der relevanten tech- nischen Protokolldaten (u.a. „Internetworking Protocol Adress“; IP-Adresse) um Persondaten im Sinne des DSG handelt (Erwägung 2.2.4 des Bundesverwaltungsgerichts). Zudem bejaht es die sachliche und räumliche Zuständigkeit des EDÖB im vorliegenden Fall. Daher ist gemäss Bun- desverwaltungsgericht auf die frist- und formgerecht eingereichte Klage einzutreten (Erwägung 5.2).
E. 4 In den Erwägungen 10 hält das Bundesverwaltungsgericht fest, dass die Beklagte bei der Bear- beitung der IP-Adressen regelmässig das Zweckmässigkeitsprinzip (Art. 4 Abs. 3 DSG) verletzt. Dies wird damit begründet, dass die Aufzeichnung der entsprechenden Daten ohne Wissen der betroffenen Adressinhaber geschieht. Selbst wenn vereinzelt darauf aufmerksam gemacht wer- den sollte, dass „Anti-P2P-Firmen Daten loggen“, könne dabei keineswegs von einer Angabe des Datenbeschaffungszwecks durch die Bearbeiterin gesprochen werden. Das Bundesverwal- tungsgericht stellt sogar fest, dass das Vorgehen der Beklagten ausschliesst, dass dem IP- Adressinhaber im Moment der Beschaffung angegeben wird, wozu seine Daten gespeichert werden und das Vorgehen der Beklagen darauf abzielt, dass die Benutzer des P2P-Netzwerks ihre Absichten nicht frühzeitig erkennen (Erwägung 10.3.2). Damit kommt das Bundesverwal- tungsgericht zu demselben Schluss wie der EDÖB, dass nämlich bei der Datenbearbeitung durch die Logistep AG das Zweckmässigkeitsprinzip (Art. 4 Abs. 3 DSG) und das Erkennbar- keitsprinzip (Art. 4 Abs. 4 DSG) verletzt ist und mithin eine Persönlichkeitsverletzung vorliegt (Erwägungen 11.4).
E. 5 In den Erwägungen 12 überprüft das Bundesverwaltungsgericht, ob im Sinne von Art. 13 DSG Rechtfertigungsgründe für die Datenbearbeitung vorliegen. Es stellt fest, dass die Daten gerade objektiv notwendig seien, um die vermuteten Urheberrechtsverletzer identifizieren und an- schliessen gegen diese vorgehen zu können. Demgegenüber erscheint dem Bundesverwal- tungsgericht der Eingriff in die Persönlichkeitsrechte der betroffenen Personen nicht ausgespro- chen schwerwiegend. Daher erscheine es bei dieser Ausgangslage weder missbräuchlich noch unverhältnismässig, technische Daten zu sammeln, um mit diesen die Verletzer zu identifizie- ren.
Trotz der klaren Verletzung des Zweckmässigkeitsprinzips und des Erkennbarkeitsprinzips so- wie dem Vorliegen einer Persönlichkeitsverletzung kommt das Bundesverwaltungsgericht daher zum Schluss, dass für die Sammlung der Daten ausreichende überwiegende private und öffent- liche Interessen vorliegen, welche diese rechtfertigen. Damit ist die Datenbearbeitung nicht als widerrechtlich einzustufen.
Beschwerden des EDÖB
E. 6 Der EDÖB legt gegen dieses Urteil des Bundesverwaltungsgerichts Beschwerde ein und rügt die beiden nachfolgenden wesentlichen Mängel:
1. Das Bundesverwaltungsgericht hat geltendes Bundesrecht, namentlich Art. 12 Abs. 2 lit. a DSG, falsch angewendet. Es hat entgegen dem Sinn und Wortlaut von Art. 12 Abs. 2 lit. a DSG („Er [der Datenbearbeiter] darf insbesondere nicht Personendaten entgegen den Grundsätzen von Art. 4, 5 Absatz 1 und 7 Absatz 1 [DSG] bearbeiten“) geurteilt. Nach sys- tematischer, teleologischer und grammatikalischer Auslegung, sind keine Verstösse gegen die Grundsätze der Datenbearbeitung mehr möglich. Die Rechtsauslegung des Bundesver- waltungsgerichts widerspricht daher dem DSG (Art. 9 BV).
2. Das Bundesverwaltungsgericht hat den Sachverhalt unvollständig in seine Erwägungen mit einbezogen und wesentliche Aspekte für die Beurteilung, ob die Grundsätze der Datenbe- arbeitung gemäss Art. 4 DSG eingehalten wurden, entweder gar nicht oder nur teilweise be-
4/12
trachtet. Daher sind aus Sicht des EDÖB bereits die Erwägungen zum Zweckmässigkeits- prinzip und zum Erkennbarkeitsprinzip unvollständig.
Begründung der Beschwerde
E. 7 Im Schweizerischen Zivilgesetzbuch (ZGB, SR 210) wird in Art. 28 der Schutz natürlicher und juristischer Personen vor persönlichkeitsverletzenden Beeinträchtigungen durch Dritte geregelt. Hieraus ergibt sich implizit ein Verbot unerlaubter Eingriffe in die Persönlichkeit anderer. Bei der Beurteilung, ob eine widerrechtliche Persönlichkeitsverletzung vorliegt empfiehlt sich in metho- discher Hinsicht eine zweistufige Vorgehensweise1. In einem ersten Schritt sollte geprüft wer- den, ob eine Persönlichkeitsverletzung in dem Sinne vorliegt, dass ein Verhalten eines Dritten ein Persönlichkeitsgut des Betroffenen verletzt und wenn ja, ob das Handeln grundsätzlich als widerrechtliche einzustufen ist. In einem zweiten Schritt sollte geprüft werden, ob die Wider- rechtlichkeit der Persönlichkeitsverletzung durch das Vorliegen eines Rechtfertigungsgrundes aufgehoben wird. Bei der Überprüfung, ob eine persönlichkeitsverletzende Datenschutzverlet- zung vorliegt, wurde in der Vergangenheit auch auf diese Methode zurückgegriffen. Da sie al- lerdings speziell im Bereich Datenschutz (wie nachfolgend aufgeführt) immer wieder zu Proble- men geführt hat, wurde das Bundesgesetz über den Datenschutz mit der Revision vom 01. Ja- nuar 2008 angepasst, um diesen in der Praxis auftauchenden Problemen Rechnung zu tragen.
Zu 1: Auslegung von Art. 12 Abs. 2 DSG
E. 8 Das Verhältnis zwischen den Grundsätzen der Datenbearbeitung (Art. 4 bis 7 DSG), Art. 12 DSG (Persönlichkeitsverletzung) und Art. 13 DSG (Rechtfertigungsgründe) gab bereits vor der Revision des DSG mehrfach Anlass zu Diskussionen. Auch existiert in der herrschenden Lehre keine einheitliche Meinung im Hinblick auf die Auslegung von Art. 12 Abs. 2 lit. a DSG. Der EDÖB identifiziert in der herrschenden Lehre insgesamt vier verschiedene Auslegungsvarianten im Verhältnis zwischen den oben genannten Artikel.
E. 9 Sowohl nach der Vorversion des Datenschutzgesetzes (Stand 22. November 2006) als auch nach neuem Datenschutzgesetz (Stand 01. Januar 2008) darf gemäss Art. 12 Abs. 1 DSG, wer Personendaten bearbeitet, dabei die Persönlichkeit der betroffenen Personen nicht widerrecht- lich verletzen. Dieser Grundsatz wird in Art. 12 Abs. 2 DSG konkretisiert. In diesem Rahmen sind sowohl nach Wortlaut des DSG vor der Revision vom 01. Januar 2008 als auch nach Wort- laut des DSG nach der Revision vom 01. Januar 2008 jeweils zwei Interpretationsvarianten möglich. Die in der herrschenden Lehre diskutierten vier Interpretationsvarianten werden nach- folgend dargestellt und verglichen.
Das Datenschutzgesetz vor der Revision vom 01. Januar 2008
E. 10 Der Wortlaut von Art. 12 Abs. 2 lit. a der alten Version des Bundesgesetzes über den Daten- schutz (Stand 22. November 2006; aDSG) besagt: „Er darf insbesondere nicht ohne Rechtferti- gungsgrund Personendaten entgegen den Grundsätzen der Artikel 4, 5 Absatz 1 und 7 Absatz 1 bearbeiten“. Dieser Wortlaut liess insgesamt die nachfolgenden beiden in der Lehre vertrete- nen Interpretationsmöglichkeiten zu:
Interpretationsvariante 1:
E. 11 Mitunter wurde die Meinung vertreten, dass gemäss Art. 12 Abs. 2 lit. a aDSG zu überprüfen sei, ob für die Datenbearbeitung Rechtfertigungsgründe gemäss Art. 13 aDSG insgesamt vor- liegen würden. Demnach könnte nach dieser Meinung eine Verletzung einzelner Grundsätze der Datenbearbeitung auch dann gerechtfertigt werden, wenn ein Rechtfertigungsgrund für die Datenbearbeitung insgesamt vorliegt.
1 E. AEBI-MUELLER; in M. Amstutz, et. al; Handkommentar zum Schweizer Privatrecht; zu Art. 28 ZGB; Rz. 29
5/12
E. 12 Nach Meinung des EDÖB war eine solche Interpretation gemäss dem Wortlaut des aDSG theo- retisch denkbar. Er hat sie jedoch abgelehnt. Hätte man nämlich das aDSG in dieser Art ausge- legt, so wäre es möglich gewesen, jegliche Art der Datenbearbeitung (unabhängig von der Art und Weise der Bearbeitung, insbesondere der Erhebung der Daten) alleine damit zu rechtferti- gen, dass für die Bearbeitung der Daten insgesamt ein Rechtfertigungsgrund vorliegt. Bei- spielsweise dürften nach dieser Interpretation Daten auch immer dann geheim bearbeitet wer- den, wenn bloss ein Rechtfertigungsgrund zur Datenbearbeitung, nicht aber ein Rechtferti- gungsgrund zur geheimen Datenbearbeitung vorliegt. Auch eine nachträgliche Änderung des Bearbeitungszwecks wäre nach dieser Interpretation möglich, ohne dass die betroffene Person hierüber Kenntnis hätte oder dass um ihr Einverständnis gefragt würde, wenn ein Rechtferti- gungsgrund für den neuen Bearbeitungszweck vorläge.
E. 13 Eine solche Auslegung widerspricht nach Meinung des EDÖB dem Recht auf informationelle Selbstbestimmung der betroffenen Person und damit dem in Art. 1 aDSG beschriebenen Zweck des Bundesgesetzes über den Datenschutz. Da eine geheime Datenbearbeitung möglich wäre, hätten die betroffenen Personen folglich auch keine Kenntnis von der Datenbearbeitung. Dies hätte zu Folge, dass sie mangels Kenntnis ihr Auskunftsrecht gemäss Art. 8 DSG nicht mehr gehörig geltend machen könnten. Ausserdem wäre die Überprüfung ob eine Datenbearbeitung dem DSG entspricht auf die Prüfung reduziert, ob ein Rechtfertigungsgrund für das Sammeln und das Bearbeiten der Daten vorliegt. Dies würde die in Art. 4 DSG festgehaltenen Grundsätze der Datenbearbeitung obsolet machen. Eine solche Interpretation ist daher nach systematischer und teleologischer Auslegung abzulehnen. Zudem hat das Bundesgericht im Rahmen der Beur- teilung von widerrechtlichen Persönlichkeitsverletzungen im Rahmen von Art. 28 des Schweize- rischen Zivilgesetzbuches (ZGB; SR 210) eine solche Interpretation abgelehnt (BGE 97 II 97, S. 106 f.; Erwägung 4d).
Interpretationsvariante 2:
E. 14 Die Literatur2 hat in der Auslegung des aDSG die Meinung vertreten, dass ein Verstoss gegen die Grundsätze der Datenbearbeitung nur dann möglich sein soll, wenn für jeden einzelnen Ver- stoss gegen einen Grundsatz Rechtfertigungsgründe angefügt werden können. In diesem Rahmen wurden die Grundsätze der Datenbearbeitung in einem ersten Schritt überprüft. In ei- nem zweiten Schritt wurde dann geprüft, ob Rechtfertigungsgründe für die Verletzung des je- weiligen Grundsatzes vorliegen, um im dritten Schritt zu entscheiden, ob insgesamt eine wider- rechtliche Persönlichkeitsverletzung stattgefunden hat.
E. 15 So wäre es zum Beispiel denkbar, eine Verletzung des Erkennbarkeitsprinzips damit zu recht- fertigen, dass der Bearbeitungszweck nicht erreicht werden könnte, wenn die Daten nicht ge- heim erhoben werden. Als Beispiel kann hier die Marktforschung aufgeführt werden. Da die Kenntnis, dass das Konsumverhalten eines Probanden analysiert wird, bereits einen Einfluss
2 DAVID ROSENTHAL; in: David Rosenthal, Yvonne Jöhri; Handkommentar zum Datenschutzgesetz; zu Art. 12 Abs. 2 DSG; Ziff. 19-23 und Art. 13 Abs. 1 DSG Ziff. 6-19; RAMPINI CORRADO; in: Maurer-Lambrou Urs et al. (Hrsg.), Kommentar zum Schweizerischen Datenschutzgesetz, 2. auflage, Basel 2006, Art. 13 DSG N. 24; AEBI-MÜLLER REGINA E., Personbezogene Informationen im System des zivilrechtlichen Persönlichkeitsschutzes: Unter beson- derer Berücksichtigung der Rechtslage in der Schweiz und in Deutschland, Abhandlungen zum schweizerischen Recht Heft 710, Bern 2005, S. 277 und f.; WEBER ROLF H., E-Commerce und Recht: Rahmenbedingungen elekt- ronischer Geschäftsformen, Zürich 2001; JACCARD MICHEL, La protection des données sur Internet en droit suisse, Lex Electronica, vol. 6/n°2 2001, Nr. 28 http://www.lex-electronica.org/articles/v6-2/jaccard.htm; WALTER JEAN- PHILIPPE, La protection des données dans le cyberespace, Medialex 2000/2, S. 92; BRUN ALAIN, La directive eur- péenne relative à la protection des données: convergences et divergences avec le droit suisse, in: Epiney Ast- rid/Freiermuth marianne (Hrsg.), Datenschutz in der Schweiz und in Europa, Freiburg 1999; PAGE GÉRALD, Le droit de l’informatique, Fiches juridiques suisses 1405, Genève 1996; HÜNIG MARKUS, in: Maurer-Lambrou Urs/Vogt Nedim Peter (Hrsg.), Kommentar zum Schweizerischen Datenschutzgesetz, Basel 1995, Art. 12 DSG N. 10; STEINAUER PAUL-HENRI, Le droit privé matériel, in: Gillard Nicolas (Hrsg.), La nouvelle loi fédérale sur la protec- tion des données, publication CEDIDAC 28, Lausanne 1994, p. 102 ff.
6/12
auf sein Kaufverhalten hat und damit die Forschungsergebnisse beeinflusst werden, ist es not- wendig die Daten in einem ersten Schritt ohne das Wissen des Probanden heimlich zu erheben. Würde dies nicht gemacht, könnte diese Forschungsmethode nicht oder nur eingeschränkt ein- gesetzt werden. In einem solchen Fall könnte eine Datenbearbeitung, die gegen den Grundsatz des Erkennbarkeitsprinzips verstösst, gemäss Art. 12 Abs. 2 lit. a aDSG gerechtfertig werden.
E. 16 Eine solche Auslegung ist nach Meinung des EDÖB im Einklang mit dem aDSG. Allerdings ist hierbei strikt darauf zu achten, dass für jede einzelne Verletzung eines jeden Grundsatzes der Datenbearbeitung ein Rechtfertigungsgrund gemäss Art. 13 DSG vorliegt (vgl. hierzu auch BGE 97 II 97). Es ist nach Meinung des EDÖB nicht möglich, Verletzungen der Grundsätze der Da- tenbearbeitung einzig und alleine damit zur rechtfertigen, dass ein Rechtfertigungsgrund für die Bearbeitung der Daten vorliegt.
Das Datenschutzgesetz nach der Revision vom 01. Januar 2008
E. 17 Der Wortlaut von Art. 12 Abs. 2 lit. a des Bundesgesetzes über den Datenschutz (Stand 01. Januar 2008; DSG; SR 235.1) besagt: „Er darf insbesondere nicht Personendaten entgegen den Grundsätzen der Artikel 4, 5 Absatz 1 und 7 Absatz 1 bearbeiten“. In der aktuellen Version des DSG ist es daher nicht mehr möglich, Rechtfertigungsgründe für eine Verletzung gegen die Grundsätze anzubringen. Aus diesem Grund sind die Interpretationsvarianten 1 und 2 auf das aktuell geltende DSG nicht mehr anwendbar. Obengenannter Wortlaut des aktuellen DSG lässt insgesamt nur noch die nachfolgenden beiden Interpretationsmöglichkeiten zu:
Interpretationsvariante 3:
E. 18 Eine Verletzung der Grundsätze der Datenbearbeitung ist nicht mehr möglich. Aus diesem Grund wird in der Literatur3 die Meinung vertreten, dass die Grundsätze der Datenbearbeitung (insbesondere das Erkennbarkeitsprinzip) weit auszulegen sind. Bei der weiten Auslegung der Datenschutzgrundsätze muss daher in die Erwägungen mit einbezogen werden, ob und in wie- weit die betroffene Person mit einer solchen Datenbearbeitung hätte rechnen müssen oder hät- te rechnen können.
E. 19 Am Beispiel der Marktforschung könnte in diesem Sinne die nachfolgende Argumentationslogik angeführt werden: Da das Risiko besteht, dass ein Kunde sein Kaufverhalten ändert, sobald ihm bekannt ist, dass er dabei beobachtet wird, hat der Marktforscher ein überwiegendes priva- tes Interesse daran, dass er die betroffene Person ohne dessen Kenntnis beobachtet. Da aber der Kunde im weitesten Sinne ebenfalls von der Marktforschung profitiert und unter gewissen Voraussetzungen (z.B. dass die Daten gemäss Art. 13 Abs. 2 lit. e DSG vor der Veröffentli- chung anonymisiert werden) grundsätzlich davon ausgegangen werden kann, dass es ihm un- ter den gegebenen Umständen egal ist, ob und in wieweit sein Verhalten geheim beobachtet wird oder er unter gewissen Voraussetzungen (beispielsweise, weil allgemein informiert wurde, dass innerhalb einer bestimmten Supermarktkette regelmässig „verdeckte“ Marktanalysen durchgeführt werden) sogar mit einer solchen Bearbeitung rechnen musste, kann davon ausge- gangen werden, dass entweder an der Erkennbarkeit kein Interesse besteht oder eine solche aus den Umständen heraus gegeben ist.
E. 20 Eine solche Auslegung spiegelt nach Meinung des EDÖB den Willen des Gesetzgebers wider und ist im Einklang mit der aktuellen Fassung des DSG. Allerdings ist bei der weiten Auslegung
3 BONDALLAZ STEPHANE, Le „droit à une télécommunication protégée“ ou la nécessité de reconsidérer la protection de la vie privée dans les environnements numériques, in: Jusletter 25. Februar 2008, Rz 22; Cottier Bertil, La révision de la loi fédérale sur la protection des données: mieux vaut tard que jamais, in: Jusletter 17 Dezember 2007, Rz 37; HUBER RENE, Die Teilrevision des Eidgenossischen Datenschutzgesetzes – ungenügende Pinselre- novation, Recht 2006/6, S. 214 ; Bundesamt für Justiz, Änderung von Art. 12 Abs. 2 Bst. A DSG: Auslegungshilfe, http://www.ejpd.admin.ch/ejpd/de/home/themen/staat_und_buerger/ref_gesetzgebung/ref_abgeschlossene_proje kte0/ref_datenschutz.html.
7/12
der Datenschutzgrundsätze stets darauf zu achten, dass diese nicht zu ausufernd ist und die schützenswerten Interessen aller Betroffenen in die Abwägungen angemessen einfliessen.
Interpretationsvariante 4:
E. 21 Nach der Interpretationsvariante 44 ist ebenfalls keine Verletzung der Grundsätze der Datenbe- arbeitung möglich. Werden allerdings die Grundsätze der Datenbearbeitung eng ausgelegt, so kann es zu dem stossenden Ergebnis kommen, dass aufgrund von Art. 12 Abs. 2 lit. a DSG ei- ne Datenbearbeitung nicht erlaubt sein könnte, obwohl der Lebenssachverhalt die Persönlich- keit der betroffenen Person nicht bzw. nicht nennenswert verletzt.
E. 22 Am Beispiel der Marktforschung könnte, daher gemäss dieser Interpretationsvariante festgehal- ten werden, dass die geheime Datenbearbeitung von der betroffenen Person nicht erkannt wird und somit gegen das Erkennbarkeitsprinzip verstösst (enge Auslegung). Da ein solcher Ver- stoss gemäss dem Wortlaut Art. 12 Abs. 2 lit. a DSG unzulässig ist, läge damit eine widerrecht- liche Persönlichkeitsverletzung vor.
E. 23 Eine solche Interpretation würde zu einer restriktiven Auslegung des Datenschutzgesetzes füh- ren.
Vergleich und Bewertung der Interpretationsvarianten:
E. 24 Den vier verschiedenen Interpretationsvarianten liegen grundsätzlich unterschiedliche ange- strebte Datenschutzniveaus zugrunde. Die Interpretationsvariante 1 würde den Datenschutz grösstenteils seines Inhalts berauben, indem Verstösse gegen die Grundsätze der Datenbear- beitung erlaubt würden. Für eine solche Meinung finden sich in der relevanten Literatur keine Hinweise. Die Interpretationsvarianten 2 und 3 führen zu einem Datenschutzniveau, welches im Rahmen der herrschenden Lehre als angemessen angesehen wird. Die Interpretationsvariante 4 führt zu einem Datenschutzniveau, welches im Einzelfall eine erhebliche Einschränkung des Datenbearbeiters zur Folge haben kann. Eine Mindermeinung vertritt in der Literatur diese In- terpretationsvariante.
Gleichwertigkeit der Interpretationsvarianten 2 und 3:
E. 25 Bei der Abklärung, ob eine widerrechtliche Persönlichkeitsverletzung vorliegt kommen in beiden Interpretationsvarianten unterschiedliche Vorgehensweisen zur Anwendung, welche nachfol- gend im Vergleich kurz dargestellt werden:
Vorgehensweise Interpretationsvariante 2 Vorgehensweise Interpretationsvariante 3
1. Überprüfung, ob eine Verletzung des jeweiligen Grundsatzes der Datenbe- arbeitung vorliegt (enge Auslegung der Grundsätze der Datenbearbei- tung).
2. Überprüfung, ob ein Verstoss gegen den jeweils verletzten Grundsatz der Datenbearbeitung (enge Auslegung) mit einem Rechtfertigungsgrund ge mäss Art. 13 DSG gerechtfertigt wer den kann.
1. Überprüfung ob eine Verletzung des jeweiligen Grundsatzes der Datenbe- arbeitung vorliegt (weite Auslegung der Grundsätze der Datenbearbeitung,
welche die enge Auslegung und die Rechtfertigungsgründe in die Verhält- nismässigkeitsabwägung, ob der jewei- lige Grundsatz verletzt ist, mit ein- schliesst).
4 Wermelinger Amédéo/Schweri Daniel, Teilrevision des Eidgenössischen Datenschutzrechts – Es nützt nicht viel, schadet es etwas?, in: Jusletter 3. März 2008, Rz 41.
2.
8/12
3. Schlussfolgerung ob ein Verstoss ge- gen den jeweiligen Grundsatz ge- rechtfertigt werden kann.
3. Schlussfolgerung ob überhaupt ein Verstoss gegen den jeweiligen Grund- satz vorliegt.
4. Feststellung ob eine widerrechtliche Persönlichkeitsverletzung vorliegt.
4. Feststellung ob eine Verletzung des jeweiligen Grundsatzes der Datenbe- arbeitung und damit eine widerrechtli- che Persönlichkeitsverletzung vorliegt.
Im Ergebnis können aber beide Interpretationsvarianten (je nach Auslegung der Rechtferti- gungsgründe in der Interpretationsvariante 2 und der Grundsätze der Datenbearbeitung in der Interpretationsvariante 3) immer zum gleichen Ergebnis führen, da grundsätzlich die gleichen Überlegungen in die Überprüfung der Grundsätze einfliessen.
Der Wille des Gesetzgebers
E. 26 Nach 12 Abs. 2 lit. a aDSG waren gemäss dem Gesetzeswortlaut („Er darf insbesondere nicht ohne Rechtfertigungsgründe Personendaten entgegen den Grundsätzen der Artikel 4, 5 Absatz 1 und 7 Absatz 1 bearbeiten“) die Interpretationsvarianten 1 und 2 möglich. In der heute gülti- gen Version von Art. 12 Abs. 2 lit. a DSG („Er darf insbesondere nicht Personendaten entgegen den Grundsätzen der Artikel 4, 5 Absatz 1 und 7 Absatz 1 bearbeiten“) sind grundsätzlich nur noch die Interpretationsvarianten 3 und 4 möglich. Dies spiegelt auch den Willen des Gesetz- gebers wider, wie dies das Bundesamt für Justiz in seiner Auslegungshilfe vom 10. Oktober 2006 verdeutlich5. Rosenthal6 argumentiert hingegen, dass sich der Gesetzgeber falsch ausge- drückt habe und es sich bei der Streichung der Worte „ohne Rechtfertigungsgrund“ um ein Ver- sehen des Gesetzgebers handle7. Diese Argumentation ist abzulehnen. In der Anwendung des DSG wurde in der Vergangenheit mitunter von der vom Gesetzgeber unerwünschten Interpreta- tionsvariante 1 ausgegangen. Um diese Interpretationsvariante aber bereits vom Gesetz her auszuschliessen, hat der Gesetzgeber die Worte „ohne Rechtfertigungsgrund“ für den Art. 12 Abs. 2 lit. a DSG im Wissen um die Gleichwertigkeit der Interpretationsvarianten 2 und 3 be- wusst gestrichen.
Schlussfolgerung: Auslegung von Art. 12 Abs. 2 lit. a DSG
E. 27 In seinem Urteil hat das Bundesverwaltungsgericht die Interpretationsvariante 1 gewählt, wel- che nach Meinung des EDÖB bereits unter altem Recht nicht dem Willen des Gesetzgebers entsprochen hat und unter dem derzeit geltenden DSG klar gegen den Wortlaut von Art. 12 Abs. 2 lit. a DSG verstösst, welcher keine Rechtfertigungsgründe für eine Verletzung der Grundsätze der Datenbearbeitung zulässt. Damit ist das Urteil des Bundesverwaltungsgerichts als nicht im Einklang mit dem Bundesgesetz vom 01. Januar 2008 über den Datenschutz einzu- stufen.
E. 28 Würde man der Auslegung (Interpretationsvariante 1) des Bundesverwaltungsgerichts folgen, so würde das Datenschutzniveau der Schweiz erheblich gesenkt. Die Grundsätze der Datenbe-
5 Bundesamt für Justiz, Änderung von Art. 12 Abs. 2 Bst. A DSG: Auslegungshilfe, http://www.ejpd.admin.ch/ejpd/de/home/themen/staat_und_buerger/ref_gesetzgebung/ref_abgeschlossene_proje kte0/ref_datenschutz.html 6 DAVID ROSENTHAL (in: David Rosenthal, Yvonne Jöhri; Handkommentar zum Datenschutzgesetz; zu Art. 4 Abs. 4 DSG; Ziff. 59), der die Meinung vertritt, dass der Gesetzgeber auch im Falle des Erkennbarkeitsgrundsatzes eine Abwägung der Interessen wollte, sich aber falsch ausdrückte, weil er dies nicht als Frage der Rechtfertigung erkannte. Dies sei für private Datenbearbeiter auf dem Wege der Auslegung zu korrigieren. 7 DAVID ROSENTHAL; in: David Rosenthal, Yvonne Jöhri; Handkommentar zum Datenschutzgesetz; zu Art. 12 Abs. 2 DSG; Ziff. 16
9/12
arbeitung würden damit ausgehöhlt und die Beurteilung, ob eine Datenschutzverletzung vorliegt würde auf die Frage reduziert, ob es, unabhängig von den eingesetzten Mitteln (geheime Da- tenbearbeitung, nachträgliche Zweckänderung, Täuschung bei der Erhebung der Daten, etc.), für die Bearbeitung der Daten einen Rechtfertigungsgrund gibt. In anderen Worten ausgedrückt würde das bedeuten, dass bei der Bearbeitung von personenbezogenen Daten der Zweck der Bearbeitung die Mittel der Bearbeitung heiligt. Frei nach diesem Grundsatz hat das Bundesver- waltungsgericht sein Urteil gefällt, indem es in Erwägungen 12.3.2 auf Seite 27 urteilt: „Vielmehr sind die Daten gerade objektiv notwendig, um die vermuteten Urheberrechtsverletzer identifizie- ren und anschliessend gegen diese vorgehen zu können. Demgegenüber erscheint der Eingriff in die Persönlichkeitsrechte der betroffenen Personen nicht ausgesprochen schwerwiegend“. Eine solche verkürzte Sichtweise entspricht nicht dem Willen des Gesetzgebers und ist nach Meinung des EDÖB abzulehnen, da keine der Auslegungsprinzipien (grammatikalische, syste- matische, teleologische) diese Interpretationsvariante stützt.
E. 29 Da dem Urteil des Bundesverwaltungsgerichts in diesem Bereich Leitwirkung zukommt, wären die Folgen einer solchen Interpretation sowohl für die Bürger der Schweiz als auch für die Schweiz selbst folgenschwer. Die Bürger der Schweiz wären in weiten Teilen ihrer Auskunfts- rechte gemäss Art. 8 DSG beraubt (siehe Rz. 12). Bei Vorliegen eines Rechtfertigungsgrundes für die Datenbearbeitung wäre aufgrund der verkürzten Sichtweise des Bundesverwaltungsge- richts auch jegliche Art der Datenbearbeitung (zweckwidrig und/oder heimlich) gerechtfertigt. Eine betroffene Person könnte sich gegen eine solche Datenbearbeitung noch nicht einmal zur Wehr setzen, da sie entweder gar nicht weiss, dass Daten über sie bearbeitet werden oder da sich nicht weiss, dass ihre Daten zu einem ganz anderen Zweck bearbeitet werden, als bei der Beschaffung angegeben wurde. Damit würde eine Situation geschaffen, in welcher die informa- tionelle Selbstbestimmung der betroffenen Personen weitgehend aufgehoben würde, was aller- dings gerade dem Zweck des Bundesgesetzes über den Datenschutz (Art. 1 DSG) widerspricht.
E. 30 Ganz abgesehen davon, dass gemäss dem Wortlaut von Art. 12 Abs. 2 lit. a DSG („Er darf ins- besondere nicht Personendaten entgegen den Grundsätzen der Artikel 4, 5 Absatz 1 und 7 Ab- satz 1 bearbeiten.“) gar keine Rechtfertigungsgründe zugelassen sind, müssten die Interessen aller Beteiligter und der Umfang der Datenbearbeitung durch die Beklagte und Beschwerde- gegnerin in die Verhältnismässigkeitsabwägung einfliessen, um letztendlich entscheiden zu können, ob die Datenbearbeitung zulässig ist. Auch hier greift das Bundesverwaltungsgericht zu kurz, indem es behauptet, dass ohne die Sammlung der technischen Informationen eine Verfol- gung der Urheberrechtsverletzer nicht möglich wäre. Es führt aus, dass die Daten objektiv not- wendig seien, um die vermuteten Urheberrechtsverletzer identifizieren und anschliessend ge- gen sie vorgehen zu können unabhängig davon, ob diese für ein Strafverfahren oder für ein Zi- vilverfahren verwendet werden. Im Hinblick auf die Notwendigkeit über diese Daten zu verfü- gen, erscheine der Eingriff in die Persönlichkeitsrechte der betroffenen Personen nicht ausge- sprochen schwerwiegend. Damit sagt das Bundesverwaltungsgericht nichts anderes, als dass der Zweck der Datenbearbeitung (Ahndung von mutmasslichen Urheberrechtsverletzungen) die eingesetzten Mittel (geheime, täuschende und zweckwidrige Datenbearbeitung) heilige. Eine solche Interpretation des Datenschutzgesetzes ist nach Meinung des EDÖB klar abzulehnen, da sie weder dem Wortlaut des Gesetzes entspricht, noch den Willen des Gesetzgebers wider- spiegelt.
E. 31 Vor diesem Hintergrund muss das Urteil des Bundesverwaltungsgerichts nach Meinung des EDÖB zwingend revidiert werden.
Zu 2: unvollständige Würdigung des Sachverhalts
E. 32 Bereits in den Erwägungen zum Rechtmässigkeitsprinzip (Art. 4 Abs. 1 DSG) klärt das Bundes- verwaltungsgericht lediglich ab, ob und in wieweit die Datenerfassung ausdrücklich verboten ist. Diese Betrachtung greift nach Meinung des EDÖB zu kurz. Das Rechtmässigkeitsprinzip findet entgegen der Meinung des Bundesverwaltungsgericht nicht nur dort Anwendung, wo eine Da- tenbearbeitung ausdrücklich verboten ist, sondern auch immer dann, wenn eine Datenbearbei-
10/12
tung gegen irgendeine Rechtsnorm (inklusive den Bestimmungen zu den Persönlichkeitsrech- ten im Rahmen der Anwendung des Datenschutzgesetzes) verstösst. Der EDÖB ist der Mei- nung, dass durch die Datenbearbeitung der Logistep AG die Persönlichkeit der betroffenen Personen verletzt ist. Damit liegt auch gleichzeitig ein Verstoss gegen das Rechtmässigkeits- prinzip von Art. 4 Abs. 1 DSG vor. Das Bundesverwaltungsgericht hat die Überprüfung des Rechtmässigkeitsprinzips aber einzig und alleine darauf reduziert, zu überprüfen, ob eine ge- setzliche Grundlage besteht, welche eine derartige Datenbearbeitung explizit verbietet (Erwä- gungen 8.3.2). Da dies nicht der Fall ist, hat es im Umkehrschluss darauf geschlossen, dass sie daher erlaubt sein müsse. Eine solche Sichtweise ist klar abzulehnen.
E. 33 In den Erwägungen zum Prinzip von Treu und Glauben anerkennt das Bundesverwaltungsge- richt, dass wider Treu und Glauben handelt, wer Daten durch absichtliche Täuschung beschafft, weil er beispielsweise die betroffene Person über seine Identität oder den Zweck der Bearbei- tung falsch informiert, oder wer heimlich Daten beschafft, ohne dabei eine Rechtsnorm zu ver- letzen (vgl. Botschaft zum DSG, BBl 1988 II, S. 449; Erwägungen 9.3.1). Das Bundesverwal- tungsgericht kommt in den Erwägungen 9.3.4 und 9.3.5 zu dem Schluss, dass eine Verletzung des Erkennbarkeitsprinzips vorliegt, da die Daten im Regelfall ohne Wissen der betroffenen Personen beschafft werden. Dennoch folgert das Bundesverwaltungsgericht, dass angesichts der Umstände, die die Logistep AG erst zur Datensammlung bewegen, eine solche Verletzung vor dem Grundsatz von Treu und Glauben standhält (Erwägungen 9.3.6). Als Begründung hier- für führt das Bundesverwaltungsgericht an, dass sich die betroffenen P2P-Netzwerkteilnehmer vermutungsweise urheberrechtlich strafbar gemacht haben und von den Urheberrechtsinhabern nicht stillschweigend hingenommen werden kann, dass Urheberrechtsverletzungen begangen werden und die Verletzer unbescholten davon kommen, wenn – im rechtlich zulässigen Rah- men – Massnahmen dagegen ergriffen werden können.
E. 34 Allerdings hat das Bundesverwaltungsgericht nicht überprüft, ob sich die von der Logistep AG ergriffenen Massnahmen im rechtlich zulässigen Rahmen bewegen. Gerade dies wird aber vom EDÖB bestritten. Aus diesem Grund ist es notwendig, dass nicht nur die Datenbearbeitung durch die Logistep AG vor Eröffnung des Strafverfahrens sondern auch die weitere Datenbear- beitung durch die Urheberrechtsinhaber nach der Einleitung eines Strafverfahrens in die Erwä- gungen mit einbezogen wird, um im Hinblick auf einen Verstoss gegen die Grundsätze des Da- tenschutzgesetzes eine angemessene Interessensabwägung durchführen zu können. Das Bundesverwaltungsgericht unterlässt eine solche und gibt sich pauschal mit der Begründung zufrieden, dass sich mit Berufung auf die Ahndung mutmasslicher Urheberrechtsverletzer, sämtliche vorangegangenen Datenschutzverletzungen rechtfertigen lassen. Hierbei blendet das Bundesverwaltungsgericht aus, dass der IP-Adressinhaber nicht der Urheberrechtsverletzer (Nutzung des Internetanschlusses durch mehrere Benutzer) sein muss und regelmässig gut- gläubige Inhaber von Internetanschlüssen mit ungerechtfertigten Zivilforderungen konfrontiert werden. Es berücksichtigt dabei nicht, dass die meisten Strafverfahren aufgrund des Opportuni- tätsprinzips nicht weiterverfolgt werden und dass weder die Urheberrechtsinhaber noch die Be- klagte und Beschwerdegegnerin ein Interesse an einer Strafverfolgung haben. Damit kann aber auch der Urheberrechtsverletzer nicht zweifelsfrei identifiziert werden, wie dies bei einem or- dentlich zu Ende geführten Strafverfahren, das in einem Urteil mündet, der Fall ist. Vielmehr verwendet die Beklagte und Beschwerdegegnerin sowie die Urheberrechtsinhaber die einge- reichten Strafanzeigen fast ausschliesslich zur Identifikation von mutmasslichen Urheberrechts- verletzern, mit dem Ziel diese vor einer rechtskräftigen Verurteilung mit Zivilforderungen zu kon- frontieren. Dass auch die Beklagte und Beschwerdegegnerin ausschliesslich an der Identifizie- rung und Geltendmachung von Zivilforderungen interessiert ist, zeigt sich aus den Verträgen, welche die Beklagte und Beschwerdegegnerin mit den Urheberrechtsinhabern abgeschlossen hat. Die Beklagte und Beschwerdegegnerin übernimmt nicht nur das Kostenrisiko für die ge- richtlichen Verfahren erster Instanz (§3 (2) des Dienstleistungsvertrags [in den Vorakten zur Klageschrift; Anhang 3]) sondern erhält neben Setup-Kosten in Höhe von EUR 650,- (§4 (1) des Dienstleistungsvertrags) zusätzlich EUR 189,- für jeden erfassten und abgemahnten Rechtsver- letzer sowie zusätzlich eine erfolgsabhängige Vergütung in Höhe von 50% der eingegangenen Schadensersatzzahlungen (§4 (2) des Dienstleistungsvertrags). Einzig durch die Einleitung ei-
11/12
nes Strafverfahrens und einer anschliessenden Akteneinsicht haben die Urheberrechtsinhaber die Möglichkeit das Fernmeldegeheimnis zu umgehen, um gegenüber den identifizierten (oft gutgläubigen) Inhabern von IP-Adressen Zivilforderungen geltend zu machen. Damit ist das von der Beklagten und Beschwerdegegnerin im Auftrag der Urheberrechtsinhaber angestrengte Strafverfahren lediglich Mittel zum Zweck, um gegenüber den mutmasslichen Urheberrechtsver- letzern Zivilforderungen geltend zu machen. Deshalb werden auch regelmässig die Strafverfah- ren gar nicht zu Ende geführt (vgl. Vorakten: Anhang 6 und 7 der Anhang zur Klageschrift). An- ders wäre könnte die Datenbearbeitung der Beklagten und Beschwerdegegnerin zu beurteilen, wenn sie ausschliesslich auf die Ermittlung und strafrechtliche Verurteilung der Urheberrechts- verletzer abzielen würde und seitens der Beklagten kein wirtschaftliches Interesse an der Gel- tendmachung von Zivilforderungen gegenüber Personen, die noch nicht zweifelsfrei als Urhe- berrechtsverletzer identifiziert sind, bestehen würde. In diesem Sinne hat der EDÖB auch das Vorgehen der IFPI beurteilt, der es mit dem Ausforschen von IP-Adressen einzig um die straf- rechtliche Verfolgung von Urheberrechtsverletzern geht.
E. 35 Das Bundesverwaltungsgericht anerkennt, dass die Suche nach den urheberrechtlich geschütz- ten Werken und die Aufzeichnung der entsprechenden Daten ohne Wissen der betroffenen Ad- ressinhaber geschieht und somit die Beklagte und Beschwerdegegnerin das Zweckmässig- keitsprinzip fortlaufend verletzt. Gleichzeitig bringt das Bundesverwaltungsgericht allerdings vor, dass für die Verletzung des Zweckmässigkeitsprinzips ein überwiegendes privates und öffentli- ches Interesse vorliegen würde, was im Hinblick auf die von der Beklagten und Beschwerde- gegnerin gewählten Vorgehensweise (siehe Erwägungen zu 34) bestritten wird.
E. 36 Betrachtet man die Datenbearbeitung durch die Beklagte und Beschwerdegegnerin, so lässt sich die Parallele zu den verdeckten Ermittlungen ziehen. Das Bundesgericht hält in seinem Ur- teil vom 16. Juni 2008 fest, dass „gemäss den Ausführungen in der Botschaft [zum Bundesge- setz über die verdeckt Ermittlung (BVE; SR 312.8)] verdeckte Ermittlung das Anknüpfen von Kontakten zu verdächtigen Personen [sei], die darauf abzielen, die Begehung einer strafbaren Handlung festzustellen und zu beweisen, wobei vorwiegend passiv die deliktische Tätigkeit un- tersucht wird“ (BGE 134 IV 266; S. 270; E 3.1.1). Hiervon „ist laut Botschaft die Observation zu unterscheiden, welche grundsätzlich das gezielte Beobachten von Vorgängen an öffentlichen oder allgemein zugänglichen Orten – allenfalls unter Einsatz von Bild- und Tonaufnahmegerä- ten – umfasst. Sowohl bei einer Observation als auch bei einer verdeckten Ermittlung gehe es darum, Beweise für eine strafbare Handlung zu erlangen, wobei diese Tätigkeit für die verdäch- tigten Personen nicht erkennbar sein soll. Während bei einer Observation von aussen gezielt beobachtet werde, erfolge bei einer verdeckten Ermittlung das Einschleusen von dafür einge- setzten Polizeibeamten in einen bestimmten Personenkreis“ (BGE 134 IV 266; S. 270; E 3.1.1). Weiterhin führt das Bundesgericht aus, dass verdeckte Ermittlung das Anknüpfen von Kontak- ten durch Polizeiangehörige zu verdächtigen Personen ist, die darauf abzielen, die Begehung einer strafbaren Handlung festzustellen und zu beweisen, wobei die Polizeiangehörigen nicht als solche erkennbar sind. „Von der Observation unterscheidet sich die verdeckte Ermittlung dadurch, dass die Polizeiangehörigen die verdächtigen Personen nicht lediglich gezielt zwecks Aufklärung von Straftaten beobachten, sondern zu diesem Zweck mit den verdächtigen Perso- nen über irgendein Medium kommunizieren“ (BGE 134 IV 266; S. 275; E 3.6.1), wobei eine ver- deckte Ermittlung nach überwiegenden Ansichten im Schrifttum jedenfalls ein gewisses Mass an Täuschungs- und/oder Handlungs- und Eingriffsintensität voraussetzt (BGE 134 IV 266; S. 276; E 3.6.2). In diesem Rahmen ist massgebend, „dass der Verdächtige überhaupt getäuscht wird, weil der mit ihm zu Ermittlungszwecken kommunizierende Polizeiangehörige nicht als sol- cher erkennbar ist. Alleine schon wegen dieser Täuschung bedarf die verdeckte Ermittlung in jedem Fall einer besonderen gesetzlichen Regelung, ganz unabhängig davon, welche Eingriffs- intensität die verdeckte Ermittlung im konkreten Einzelfall aufweist“ (BGE 134 IV 266; S. 277; E 3.6.4).
E. 37 Das Vorgehen der Beklagten und Beschwerdegegnerin ist mit der eines verdeckten Ermittlers vergleichbar. Die Beklagte gibt sich im P2P-Netzwerk als gewöhnlicher Nutzer aus und tritt mit dem vermeintlichen Urheberrechtsverletzer über das Internet in Kontakt und kommuniziert mit
12/12
ihm, indem es das urheberrechtlich geschützte Werk abruft. Durch das Auftreten als gewöhnli- cher Nutzer innerhalb des P2P-Netzwerks täuscht sie den mutmasslichen Urheberrechtsverlet- zer, wie dies ein verdeckter Ermittler der Untersuchungsbehörde tut.
E. 38 Angesichts der im BVE verankerten strengen Anforderungen an die verdeckte Ermittlung zur Verfolgung von besonders schweren Straftaten (Art. 4 Abs. 1 BVE) erscheint die Schlussfolge- rung des Bundesverwaltungsgerichts stossend, indem es zur Ermittlung mutmasslicher Urhe- berrechtsverletzer (welches lediglich ein Antragsdelikt darstellt) durch Private solche Täu- schungshandlungen sogar dann zulässt, wenn es den Urheberrechtsinhabern lediglich um die Geltendmachung von zivilrechtlichen Forderungen geht.
E. 39 Aus diesem Grund ist der EDÖB der Meinung, dass ein derart schwerer Eingriff in die Persön- lichkeit der betroffenen Personen, wie sie von der Beklagten und Beschwerdegegnerin vorge- nommen wird und der nicht nur die mutmasslichen Urheberrechtsverletzer selbst, sondern auch in vielen Fällen gutgläubige Inhaber von IP-Adressen trifft, gegen das Datenschutzgesetz ver- stösst. Die von der Beklagten und Beschwerdegegnerin sowie den Urheberrechtsinhabern vor- genommene Datenbearbeitung kann auch nicht alleine damit begründet werden, dass eine sol- che Datenbearbeitung zur Durchsetzung der Urheberrechte benötigt wird. Sollte daher das Bundesgericht zu dem Schluss kommen, dass die Datenbearbeitung der Beklagten gegen die allgemeinen Datenschutzbestimmungen verstösst und nicht in einer Art und Weise einge- schränkt werden können (z.B. durch bestimmte Auflagen im Rahmen des Strafverfahrens), dass sie den gesetzlichen Anforderungen entspricht, ist nach Meinung des EDÖB für die von der Beklagten und Beschwerdegegnerin durchgeführte Datenbearbeitung eine gesetzliche Grundlage notwendig.
E. 40 Der EDÖB erkennt die Notwendigkeit für einen ausreichenden Urheberrechtsschutz an. Den- noch dürfen die Massnahmen zur Durchsetzung von Urheberrechten die Persönlichkeit der be- troffenen Personen nur im rechtlich zulässigen Rahmen einschränken. Eine systematische und proaktive Überwachung von Peer-to-Peer Netzwerken, zu einem Zeitpunkt, in dem noch nicht einmal ein Anfangsverdacht auf eine konkrete Urheberrechtsverletzung besteht, geht nach Mei- nung des EDÖB viel zu weit.
3. Anträge
E. 41 Gemäss den oben genannten Ausführungen sei die Beklagte und Beschwerdeführerin anzu- weisen, ihre Datenbearbeitung unverzüglich einzustellen und es sei ihr zu verbieten, die bereits erhobenen Daten an die Urheberrechtsinhaber weiterzugeben.
EIDGENÖSSISCHER DATENSCHUTZ- UND
ÖFFENTLICHKEITSBEAUFTRAGTER
Hanspeter Thür
Anlage: Urteil des Bundesverwaltungsgerichts (A-3144/2008) vom 27. Mai 2009
Die weiteren fallrelevanten Dokumente befinden sich in den Vorakten.
Volltext (verifizierbarer Originaltext)
Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter EDÖB Der Beauftragte
Feldeggweg 1, 3003 Bern Tel. 031 323 74 84, Fax 031 325 99 96 www.edoeb.admin.ch
CH-3003 Bern, EDÖB, MS Einschreiben (R) mit Rückschein Bundesgericht 1000 Lausanne 14
Ihr Zeichen: Unser Zeichen: A2009.06.03-0001 / MS Sachbearbeiter/in: Marc-Frédéric Schäfer Bern, 26.06.2009
Beschwerde in öffentlich-rechtlichen Angelegenheiten (Art. 82 ff. BGG)
des
Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) Feldeggweg 1, 3003 Bern (Kläger und Beschwerdeführer)
gegen
Logistep AG, Sennweidstrasse 45, 6312 Steinhausen (Beklagte und Beschwerdegegnerin)
vertreten durch RA Ursula Sury, Die Advokatur Sury, Alpenquai 4, Postfach, 6002 Luzern
in der Sache
Empfehlung des EDÖB vom 09. Januar 2008
Betreffend
die Bearbeitung und Weitergabe von elektronischen Datenspuren durch die Logistep AG im Auftrag von Urheberrechtsinhabern.
2/12
I. Begehren
1. In Abänderung der relevanten Erwägungen des Urteils des Bundesverwaltungsgerichts sei die Beklagte und Beschwerdegegnerin anzuweisen, ihre Datenbearbeitung unverzüglich einzustel- len und es sei ihr jegliche Weitergabe von gesammelten Peer-to-Peer Daten an die Urheber- rechtsinhaber zu untersagen.
2. Unter Kosten und Entschädigungsfolge zu Lasten der Beklagten und Beschwerdegegnerin.
II. Begründung
1. Formelles
1 Die vorliegende Beschwerde erfolgt rechtzeitig innert der 30-tägigen Frist seit Zustellung des angefochtenen Urteils.
Beweis: Urteil des Bundesverwaltungsgerichts (A-3144/2008) vom 27. Mai 2009
Mit dem Entscheid vom 27. Mai 2009 (A-3144/2008) hat das Bundesverwaltungsgericht einen Entscheid im Sinne von Art. 90 des Bundesgerichtsgesetzes (BGG, SR 173.110) gefällt, der das Verfahren abschliesst. Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) ist gemäss Art. 29 Abs. 4 des Bundesgesetzes über den Datenschutz (DSG, SR 235.1) berechtigt, gegen diesen Entscheid Beschwerde zu führen. Mit der Beschwerde rügt der Eidge- nössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) die Verletzung von Bundes- recht, namentlich die falsche Auslegung der Bestimmungen des DSG (Art. 9 der Bundesverfas- sung der Schweizerischen Eidgenossenschaft [BV; SR 101]) sowie die unvollständige Würdi- gung des Sachverhaltes.
2. Materielles
2 Der Sachverhalt und der bisherige Prozessverlauf kann kurz wie folgt zusammengefasst wer- den:
Die Logistep AG (Beklagte und Beschwerdegegnerin) sucht im Auftrag von Urheberrechtsinha- bern mittels einer von ihr entwickelten Software in verschiedenen Peer-to-Peer-Netzwerken (nachfolgend P2P-Netzwerk) nach angebotenen urheberrechtlich geschützten Werken und lädt die dort angebotenen Werke herunter. Hierbei werden ein Teil der zur Herstellung und Auf- rechterhaltung der Internetverbindung relevanten technischen Protokolldaten aufgezeichnet und in einer Datenbank abgespeichert. Diese Daten werden dann im Rahmen eines Strafverfahrens zur Identifikation des mutmasslichen Urheberrechtsverletzers verwendet, um ihn letztendlich mit Schadensersatzforderungen zu konfrontieren.
Nach einer Sachverhaltsabklärung ist der EDÖB (Kläger und Beschwerdeführer) zu dem Schluss gelangt, dass die Art und Weise, wie die Logistep AG die Daten bearbeitet, um Urhe- berrechtsverletzungen zu ahnden, gegen das Bundesgesetz über den Datenschutz verstösst (DSG, SR 235.1). Aus diesem Grund hat der EDÖB am 09. Januar 2008 eine Empfehlung an die Logistep AG erlassen und – weil sie durch die Logistep AG am 14. Februar 2008 abgelehnt wurde – am 13. Mai 2008 Klage beim Bundesverwaltungsgericht angehoben. Mit Entscheidung vom 27. Mai 2009 hat das Bundesverwaltungsgericht die Klage abgewiesen.
3/12
Relevante Erwägungen des Bundesverwaltungsgerichts
3 Das Bundesverwaltungsgericht hält fest, dass es sich bei der Bearbeitung der relevanten tech- nischen Protokolldaten (u.a. „Internetworking Protocol Adress“; IP-Adresse) um Persondaten im Sinne des DSG handelt (Erwägung 2.2.4 des Bundesverwaltungsgerichts). Zudem bejaht es die sachliche und räumliche Zuständigkeit des EDÖB im vorliegenden Fall. Daher ist gemäss Bun- desverwaltungsgericht auf die frist- und formgerecht eingereichte Klage einzutreten (Erwägung 5.2).
4 In den Erwägungen 10 hält das Bundesverwaltungsgericht fest, dass die Beklagte bei der Bear- beitung der IP-Adressen regelmässig das Zweckmässigkeitsprinzip (Art. 4 Abs. 3 DSG) verletzt. Dies wird damit begründet, dass die Aufzeichnung der entsprechenden Daten ohne Wissen der betroffenen Adressinhaber geschieht. Selbst wenn vereinzelt darauf aufmerksam gemacht wer- den sollte, dass „Anti-P2P-Firmen Daten loggen“, könne dabei keineswegs von einer Angabe des Datenbeschaffungszwecks durch die Bearbeiterin gesprochen werden. Das Bundesverwal- tungsgericht stellt sogar fest, dass das Vorgehen der Beklagten ausschliesst, dass dem IP- Adressinhaber im Moment der Beschaffung angegeben wird, wozu seine Daten gespeichert werden und das Vorgehen der Beklagen darauf abzielt, dass die Benutzer des P2P-Netzwerks ihre Absichten nicht frühzeitig erkennen (Erwägung 10.3.2). Damit kommt das Bundesverwal- tungsgericht zu demselben Schluss wie der EDÖB, dass nämlich bei der Datenbearbeitung durch die Logistep AG das Zweckmässigkeitsprinzip (Art. 4 Abs. 3 DSG) und das Erkennbar- keitsprinzip (Art. 4 Abs. 4 DSG) verletzt ist und mithin eine Persönlichkeitsverletzung vorliegt (Erwägungen 11.4).
5 In den Erwägungen 12 überprüft das Bundesverwaltungsgericht, ob im Sinne von Art. 13 DSG Rechtfertigungsgründe für die Datenbearbeitung vorliegen. Es stellt fest, dass die Daten gerade objektiv notwendig seien, um die vermuteten Urheberrechtsverletzer identifizieren und an- schliessen gegen diese vorgehen zu können. Demgegenüber erscheint dem Bundesverwal- tungsgericht der Eingriff in die Persönlichkeitsrechte der betroffenen Personen nicht ausgespro- chen schwerwiegend. Daher erscheine es bei dieser Ausgangslage weder missbräuchlich noch unverhältnismässig, technische Daten zu sammeln, um mit diesen die Verletzer zu identifizie- ren.
Trotz der klaren Verletzung des Zweckmässigkeitsprinzips und des Erkennbarkeitsprinzips so- wie dem Vorliegen einer Persönlichkeitsverletzung kommt das Bundesverwaltungsgericht daher zum Schluss, dass für die Sammlung der Daten ausreichende überwiegende private und öffent- liche Interessen vorliegen, welche diese rechtfertigen. Damit ist die Datenbearbeitung nicht als widerrechtlich einzustufen.
Beschwerden des EDÖB
6 Der EDÖB legt gegen dieses Urteil des Bundesverwaltungsgerichts Beschwerde ein und rügt die beiden nachfolgenden wesentlichen Mängel:
1. Das Bundesverwaltungsgericht hat geltendes Bundesrecht, namentlich Art. 12 Abs. 2 lit. a DSG, falsch angewendet. Es hat entgegen dem Sinn und Wortlaut von Art. 12 Abs. 2 lit. a DSG („Er [der Datenbearbeiter] darf insbesondere nicht Personendaten entgegen den Grundsätzen von Art. 4, 5 Absatz 1 und 7 Absatz 1 [DSG] bearbeiten“) geurteilt. Nach sys- tematischer, teleologischer und grammatikalischer Auslegung, sind keine Verstösse gegen die Grundsätze der Datenbearbeitung mehr möglich. Die Rechtsauslegung des Bundesver- waltungsgerichts widerspricht daher dem DSG (Art. 9 BV).
2. Das Bundesverwaltungsgericht hat den Sachverhalt unvollständig in seine Erwägungen mit einbezogen und wesentliche Aspekte für die Beurteilung, ob die Grundsätze der Datenbe- arbeitung gemäss Art. 4 DSG eingehalten wurden, entweder gar nicht oder nur teilweise be-
4/12
trachtet. Daher sind aus Sicht des EDÖB bereits die Erwägungen zum Zweckmässigkeits- prinzip und zum Erkennbarkeitsprinzip unvollständig.
Begründung der Beschwerde
7 Im Schweizerischen Zivilgesetzbuch (ZGB, SR 210) wird in Art. 28 der Schutz natürlicher und juristischer Personen vor persönlichkeitsverletzenden Beeinträchtigungen durch Dritte geregelt. Hieraus ergibt sich implizit ein Verbot unerlaubter Eingriffe in die Persönlichkeit anderer. Bei der Beurteilung, ob eine widerrechtliche Persönlichkeitsverletzung vorliegt empfiehlt sich in metho- discher Hinsicht eine zweistufige Vorgehensweise1. In einem ersten Schritt sollte geprüft wer- den, ob eine Persönlichkeitsverletzung in dem Sinne vorliegt, dass ein Verhalten eines Dritten ein Persönlichkeitsgut des Betroffenen verletzt und wenn ja, ob das Handeln grundsätzlich als widerrechtliche einzustufen ist. In einem zweiten Schritt sollte geprüft werden, ob die Wider- rechtlichkeit der Persönlichkeitsverletzung durch das Vorliegen eines Rechtfertigungsgrundes aufgehoben wird. Bei der Überprüfung, ob eine persönlichkeitsverletzende Datenschutzverlet- zung vorliegt, wurde in der Vergangenheit auch auf diese Methode zurückgegriffen. Da sie al- lerdings speziell im Bereich Datenschutz (wie nachfolgend aufgeführt) immer wieder zu Proble- men geführt hat, wurde das Bundesgesetz über den Datenschutz mit der Revision vom 01. Ja- nuar 2008 angepasst, um diesen in der Praxis auftauchenden Problemen Rechnung zu tragen.
Zu 1: Auslegung von Art. 12 Abs. 2 DSG
8 Das Verhältnis zwischen den Grundsätzen der Datenbearbeitung (Art. 4 bis 7 DSG), Art. 12 DSG (Persönlichkeitsverletzung) und Art. 13 DSG (Rechtfertigungsgründe) gab bereits vor der Revision des DSG mehrfach Anlass zu Diskussionen. Auch existiert in der herrschenden Lehre keine einheitliche Meinung im Hinblick auf die Auslegung von Art. 12 Abs. 2 lit. a DSG. Der EDÖB identifiziert in der herrschenden Lehre insgesamt vier verschiedene Auslegungsvarianten im Verhältnis zwischen den oben genannten Artikel.
9 Sowohl nach der Vorversion des Datenschutzgesetzes (Stand 22. November 2006) als auch nach neuem Datenschutzgesetz (Stand 01. Januar 2008) darf gemäss Art. 12 Abs. 1 DSG, wer Personendaten bearbeitet, dabei die Persönlichkeit der betroffenen Personen nicht widerrecht- lich verletzen. Dieser Grundsatz wird in Art. 12 Abs. 2 DSG konkretisiert. In diesem Rahmen sind sowohl nach Wortlaut des DSG vor der Revision vom 01. Januar 2008 als auch nach Wort- laut des DSG nach der Revision vom 01. Januar 2008 jeweils zwei Interpretationsvarianten möglich. Die in der herrschenden Lehre diskutierten vier Interpretationsvarianten werden nach- folgend dargestellt und verglichen.
Das Datenschutzgesetz vor der Revision vom 01. Januar 2008
10 Der Wortlaut von Art. 12 Abs. 2 lit. a der alten Version des Bundesgesetzes über den Daten- schutz (Stand 22. November 2006; aDSG) besagt: „Er darf insbesondere nicht ohne Rechtferti- gungsgrund Personendaten entgegen den Grundsätzen der Artikel 4, 5 Absatz 1 und 7 Absatz 1 bearbeiten“. Dieser Wortlaut liess insgesamt die nachfolgenden beiden in der Lehre vertrete- nen Interpretationsmöglichkeiten zu:
Interpretationsvariante 1:
11 Mitunter wurde die Meinung vertreten, dass gemäss Art. 12 Abs. 2 lit. a aDSG zu überprüfen sei, ob für die Datenbearbeitung Rechtfertigungsgründe gemäss Art. 13 aDSG insgesamt vor- liegen würden. Demnach könnte nach dieser Meinung eine Verletzung einzelner Grundsätze der Datenbearbeitung auch dann gerechtfertigt werden, wenn ein Rechtfertigungsgrund für die Datenbearbeitung insgesamt vorliegt.
1 E. AEBI-MUELLER; in M. Amstutz, et. al; Handkommentar zum Schweizer Privatrecht; zu Art. 28 ZGB; Rz. 29
5/12
12 Nach Meinung des EDÖB war eine solche Interpretation gemäss dem Wortlaut des aDSG theo- retisch denkbar. Er hat sie jedoch abgelehnt. Hätte man nämlich das aDSG in dieser Art ausge- legt, so wäre es möglich gewesen, jegliche Art der Datenbearbeitung (unabhängig von der Art und Weise der Bearbeitung, insbesondere der Erhebung der Daten) alleine damit zu rechtferti- gen, dass für die Bearbeitung der Daten insgesamt ein Rechtfertigungsgrund vorliegt. Bei- spielsweise dürften nach dieser Interpretation Daten auch immer dann geheim bearbeitet wer- den, wenn bloss ein Rechtfertigungsgrund zur Datenbearbeitung, nicht aber ein Rechtferti- gungsgrund zur geheimen Datenbearbeitung vorliegt. Auch eine nachträgliche Änderung des Bearbeitungszwecks wäre nach dieser Interpretation möglich, ohne dass die betroffene Person hierüber Kenntnis hätte oder dass um ihr Einverständnis gefragt würde, wenn ein Rechtferti- gungsgrund für den neuen Bearbeitungszweck vorläge.
13 Eine solche Auslegung widerspricht nach Meinung des EDÖB dem Recht auf informationelle Selbstbestimmung der betroffenen Person und damit dem in Art. 1 aDSG beschriebenen Zweck des Bundesgesetzes über den Datenschutz. Da eine geheime Datenbearbeitung möglich wäre, hätten die betroffenen Personen folglich auch keine Kenntnis von der Datenbearbeitung. Dies hätte zu Folge, dass sie mangels Kenntnis ihr Auskunftsrecht gemäss Art. 8 DSG nicht mehr gehörig geltend machen könnten. Ausserdem wäre die Überprüfung ob eine Datenbearbeitung dem DSG entspricht auf die Prüfung reduziert, ob ein Rechtfertigungsgrund für das Sammeln und das Bearbeiten der Daten vorliegt. Dies würde die in Art. 4 DSG festgehaltenen Grundsätze der Datenbearbeitung obsolet machen. Eine solche Interpretation ist daher nach systematischer und teleologischer Auslegung abzulehnen. Zudem hat das Bundesgericht im Rahmen der Beur- teilung von widerrechtlichen Persönlichkeitsverletzungen im Rahmen von Art. 28 des Schweize- rischen Zivilgesetzbuches (ZGB; SR 210) eine solche Interpretation abgelehnt (BGE 97 II 97, S. 106 f.; Erwägung 4d).
Interpretationsvariante 2:
14 Die Literatur2 hat in der Auslegung des aDSG die Meinung vertreten, dass ein Verstoss gegen die Grundsätze der Datenbearbeitung nur dann möglich sein soll, wenn für jeden einzelnen Ver- stoss gegen einen Grundsatz Rechtfertigungsgründe angefügt werden können. In diesem Rahmen wurden die Grundsätze der Datenbearbeitung in einem ersten Schritt überprüft. In ei- nem zweiten Schritt wurde dann geprüft, ob Rechtfertigungsgründe für die Verletzung des je- weiligen Grundsatzes vorliegen, um im dritten Schritt zu entscheiden, ob insgesamt eine wider- rechtliche Persönlichkeitsverletzung stattgefunden hat.
15 So wäre es zum Beispiel denkbar, eine Verletzung des Erkennbarkeitsprinzips damit zu recht- fertigen, dass der Bearbeitungszweck nicht erreicht werden könnte, wenn die Daten nicht ge- heim erhoben werden. Als Beispiel kann hier die Marktforschung aufgeführt werden. Da die Kenntnis, dass das Konsumverhalten eines Probanden analysiert wird, bereits einen Einfluss
2 DAVID ROSENTHAL; in: David Rosenthal, Yvonne Jöhri; Handkommentar zum Datenschutzgesetz; zu Art. 12 Abs. 2 DSG; Ziff. 19-23 und Art. 13 Abs. 1 DSG Ziff. 6-19; RAMPINI CORRADO; in: Maurer-Lambrou Urs et al. (Hrsg.), Kommentar zum Schweizerischen Datenschutzgesetz, 2. auflage, Basel 2006, Art. 13 DSG N. 24; AEBI-MÜLLER REGINA E., Personbezogene Informationen im System des zivilrechtlichen Persönlichkeitsschutzes: Unter beson- derer Berücksichtigung der Rechtslage in der Schweiz und in Deutschland, Abhandlungen zum schweizerischen Recht Heft 710, Bern 2005, S. 277 und f.; WEBER ROLF H., E-Commerce und Recht: Rahmenbedingungen elekt- ronischer Geschäftsformen, Zürich 2001; JACCARD MICHEL, La protection des données sur Internet en droit suisse, Lex Electronica, vol. 6/n°2 2001, Nr. 28 http://www.lex-electronica.org/articles/v6-2/jaccard.htm; WALTER JEAN- PHILIPPE, La protection des données dans le cyberespace, Medialex 2000/2, S. 92; BRUN ALAIN, La directive eur- péenne relative à la protection des données: convergences et divergences avec le droit suisse, in: Epiney Ast- rid/Freiermuth marianne (Hrsg.), Datenschutz in der Schweiz und in Europa, Freiburg 1999; PAGE GÉRALD, Le droit de l’informatique, Fiches juridiques suisses 1405, Genève 1996; HÜNIG MARKUS, in: Maurer-Lambrou Urs/Vogt Nedim Peter (Hrsg.), Kommentar zum Schweizerischen Datenschutzgesetz, Basel 1995, Art. 12 DSG N. 10; STEINAUER PAUL-HENRI, Le droit privé matériel, in: Gillard Nicolas (Hrsg.), La nouvelle loi fédérale sur la protec- tion des données, publication CEDIDAC 28, Lausanne 1994, p. 102 ff.
6/12
auf sein Kaufverhalten hat und damit die Forschungsergebnisse beeinflusst werden, ist es not- wendig die Daten in einem ersten Schritt ohne das Wissen des Probanden heimlich zu erheben. Würde dies nicht gemacht, könnte diese Forschungsmethode nicht oder nur eingeschränkt ein- gesetzt werden. In einem solchen Fall könnte eine Datenbearbeitung, die gegen den Grundsatz des Erkennbarkeitsprinzips verstösst, gemäss Art. 12 Abs. 2 lit. a aDSG gerechtfertig werden.
16 Eine solche Auslegung ist nach Meinung des EDÖB im Einklang mit dem aDSG. Allerdings ist hierbei strikt darauf zu achten, dass für jede einzelne Verletzung eines jeden Grundsatzes der Datenbearbeitung ein Rechtfertigungsgrund gemäss Art. 13 DSG vorliegt (vgl. hierzu auch BGE 97 II 97). Es ist nach Meinung des EDÖB nicht möglich, Verletzungen der Grundsätze der Da- tenbearbeitung einzig und alleine damit zur rechtfertigen, dass ein Rechtfertigungsgrund für die Bearbeitung der Daten vorliegt.
Das Datenschutzgesetz nach der Revision vom 01. Januar 2008
17 Der Wortlaut von Art. 12 Abs. 2 lit. a des Bundesgesetzes über den Datenschutz (Stand 01. Januar 2008; DSG; SR 235.1) besagt: „Er darf insbesondere nicht Personendaten entgegen den Grundsätzen der Artikel 4, 5 Absatz 1 und 7 Absatz 1 bearbeiten“. In der aktuellen Version des DSG ist es daher nicht mehr möglich, Rechtfertigungsgründe für eine Verletzung gegen die Grundsätze anzubringen. Aus diesem Grund sind die Interpretationsvarianten 1 und 2 auf das aktuell geltende DSG nicht mehr anwendbar. Obengenannter Wortlaut des aktuellen DSG lässt insgesamt nur noch die nachfolgenden beiden Interpretationsmöglichkeiten zu:
Interpretationsvariante 3:
18 Eine Verletzung der Grundsätze der Datenbearbeitung ist nicht mehr möglich. Aus diesem Grund wird in der Literatur3 die Meinung vertreten, dass die Grundsätze der Datenbearbeitung (insbesondere das Erkennbarkeitsprinzip) weit auszulegen sind. Bei der weiten Auslegung der Datenschutzgrundsätze muss daher in die Erwägungen mit einbezogen werden, ob und in wie- weit die betroffene Person mit einer solchen Datenbearbeitung hätte rechnen müssen oder hät- te rechnen können.
19 Am Beispiel der Marktforschung könnte in diesem Sinne die nachfolgende Argumentationslogik angeführt werden: Da das Risiko besteht, dass ein Kunde sein Kaufverhalten ändert, sobald ihm bekannt ist, dass er dabei beobachtet wird, hat der Marktforscher ein überwiegendes priva- tes Interesse daran, dass er die betroffene Person ohne dessen Kenntnis beobachtet. Da aber der Kunde im weitesten Sinne ebenfalls von der Marktforschung profitiert und unter gewissen Voraussetzungen (z.B. dass die Daten gemäss Art. 13 Abs. 2 lit. e DSG vor der Veröffentli- chung anonymisiert werden) grundsätzlich davon ausgegangen werden kann, dass es ihm un- ter den gegebenen Umständen egal ist, ob und in wieweit sein Verhalten geheim beobachtet wird oder er unter gewissen Voraussetzungen (beispielsweise, weil allgemein informiert wurde, dass innerhalb einer bestimmten Supermarktkette regelmässig „verdeckte“ Marktanalysen durchgeführt werden) sogar mit einer solchen Bearbeitung rechnen musste, kann davon ausge- gangen werden, dass entweder an der Erkennbarkeit kein Interesse besteht oder eine solche aus den Umständen heraus gegeben ist.
20 Eine solche Auslegung spiegelt nach Meinung des EDÖB den Willen des Gesetzgebers wider und ist im Einklang mit der aktuellen Fassung des DSG. Allerdings ist bei der weiten Auslegung
3 BONDALLAZ STEPHANE, Le „droit à une télécommunication protégée“ ou la nécessité de reconsidérer la protection de la vie privée dans les environnements numériques, in: Jusletter 25. Februar 2008, Rz 22; Cottier Bertil, La révision de la loi fédérale sur la protection des données: mieux vaut tard que jamais, in: Jusletter 17 Dezember 2007, Rz 37; HUBER RENE, Die Teilrevision des Eidgenossischen Datenschutzgesetzes – ungenügende Pinselre- novation, Recht 2006/6, S. 214 ; Bundesamt für Justiz, Änderung von Art. 12 Abs. 2 Bst. A DSG: Auslegungshilfe, http://www.ejpd.admin.ch/ejpd/de/home/themen/staat_und_buerger/ref_gesetzgebung/ref_abgeschlossene_proje kte0/ref_datenschutz.html.
7/12
der Datenschutzgrundsätze stets darauf zu achten, dass diese nicht zu ausufernd ist und die schützenswerten Interessen aller Betroffenen in die Abwägungen angemessen einfliessen.
Interpretationsvariante 4:
21 Nach der Interpretationsvariante 44 ist ebenfalls keine Verletzung der Grundsätze der Datenbe- arbeitung möglich. Werden allerdings die Grundsätze der Datenbearbeitung eng ausgelegt, so kann es zu dem stossenden Ergebnis kommen, dass aufgrund von Art. 12 Abs. 2 lit. a DSG ei- ne Datenbearbeitung nicht erlaubt sein könnte, obwohl der Lebenssachverhalt die Persönlich- keit der betroffenen Person nicht bzw. nicht nennenswert verletzt.
22 Am Beispiel der Marktforschung könnte, daher gemäss dieser Interpretationsvariante festgehal- ten werden, dass die geheime Datenbearbeitung von der betroffenen Person nicht erkannt wird und somit gegen das Erkennbarkeitsprinzip verstösst (enge Auslegung). Da ein solcher Ver- stoss gemäss dem Wortlaut Art. 12 Abs. 2 lit. a DSG unzulässig ist, läge damit eine widerrecht- liche Persönlichkeitsverletzung vor.
23 Eine solche Interpretation würde zu einer restriktiven Auslegung des Datenschutzgesetzes füh- ren.
Vergleich und Bewertung der Interpretationsvarianten:
24 Den vier verschiedenen Interpretationsvarianten liegen grundsätzlich unterschiedliche ange- strebte Datenschutzniveaus zugrunde. Die Interpretationsvariante 1 würde den Datenschutz grösstenteils seines Inhalts berauben, indem Verstösse gegen die Grundsätze der Datenbear- beitung erlaubt würden. Für eine solche Meinung finden sich in der relevanten Literatur keine Hinweise. Die Interpretationsvarianten 2 und 3 führen zu einem Datenschutzniveau, welches im Rahmen der herrschenden Lehre als angemessen angesehen wird. Die Interpretationsvariante 4 führt zu einem Datenschutzniveau, welches im Einzelfall eine erhebliche Einschränkung des Datenbearbeiters zur Folge haben kann. Eine Mindermeinung vertritt in der Literatur diese In- terpretationsvariante.
Gleichwertigkeit der Interpretationsvarianten 2 und 3:
25 Bei der Abklärung, ob eine widerrechtliche Persönlichkeitsverletzung vorliegt kommen in beiden Interpretationsvarianten unterschiedliche Vorgehensweisen zur Anwendung, welche nachfol- gend im Vergleich kurz dargestellt werden:
Vorgehensweise Interpretationsvariante 2 Vorgehensweise Interpretationsvariante 3
1. Überprüfung, ob eine Verletzung des jeweiligen Grundsatzes der Datenbe- arbeitung vorliegt (enge Auslegung der Grundsätze der Datenbearbei- tung).
2. Überprüfung, ob ein Verstoss gegen den jeweils verletzten Grundsatz der Datenbearbeitung (enge Auslegung) mit einem Rechtfertigungsgrund ge mäss Art. 13 DSG gerechtfertigt wer den kann.
1. Überprüfung ob eine Verletzung des jeweiligen Grundsatzes der Datenbe- arbeitung vorliegt (weite Auslegung der Grundsätze der Datenbearbeitung,
welche die enge Auslegung und die Rechtfertigungsgründe in die Verhält- nismässigkeitsabwägung, ob der jewei- lige Grundsatz verletzt ist, mit ein- schliesst).
4 Wermelinger Amédéo/Schweri Daniel, Teilrevision des Eidgenössischen Datenschutzrechts – Es nützt nicht viel, schadet es etwas?, in: Jusletter 3. März 2008, Rz 41.
2.
8/12
3. Schlussfolgerung ob ein Verstoss ge- gen den jeweiligen Grundsatz ge- rechtfertigt werden kann.
3. Schlussfolgerung ob überhaupt ein Verstoss gegen den jeweiligen Grund- satz vorliegt.
4. Feststellung ob eine widerrechtliche Persönlichkeitsverletzung vorliegt.
4. Feststellung ob eine Verletzung des jeweiligen Grundsatzes der Datenbe- arbeitung und damit eine widerrechtli- che Persönlichkeitsverletzung vorliegt.
Im Ergebnis können aber beide Interpretationsvarianten (je nach Auslegung der Rechtferti- gungsgründe in der Interpretationsvariante 2 und der Grundsätze der Datenbearbeitung in der Interpretationsvariante 3) immer zum gleichen Ergebnis führen, da grundsätzlich die gleichen Überlegungen in die Überprüfung der Grundsätze einfliessen.
Der Wille des Gesetzgebers
26 Nach 12 Abs. 2 lit. a aDSG waren gemäss dem Gesetzeswortlaut („Er darf insbesondere nicht ohne Rechtfertigungsgründe Personendaten entgegen den Grundsätzen der Artikel 4, 5 Absatz 1 und 7 Absatz 1 bearbeiten“) die Interpretationsvarianten 1 und 2 möglich. In der heute gülti- gen Version von Art. 12 Abs. 2 lit. a DSG („Er darf insbesondere nicht Personendaten entgegen den Grundsätzen der Artikel 4, 5 Absatz 1 und 7 Absatz 1 bearbeiten“) sind grundsätzlich nur noch die Interpretationsvarianten 3 und 4 möglich. Dies spiegelt auch den Willen des Gesetz- gebers wider, wie dies das Bundesamt für Justiz in seiner Auslegungshilfe vom 10. Oktober 2006 verdeutlich5. Rosenthal6 argumentiert hingegen, dass sich der Gesetzgeber falsch ausge- drückt habe und es sich bei der Streichung der Worte „ohne Rechtfertigungsgrund“ um ein Ver- sehen des Gesetzgebers handle7. Diese Argumentation ist abzulehnen. In der Anwendung des DSG wurde in der Vergangenheit mitunter von der vom Gesetzgeber unerwünschten Interpreta- tionsvariante 1 ausgegangen. Um diese Interpretationsvariante aber bereits vom Gesetz her auszuschliessen, hat der Gesetzgeber die Worte „ohne Rechtfertigungsgrund“ für den Art. 12 Abs. 2 lit. a DSG im Wissen um die Gleichwertigkeit der Interpretationsvarianten 2 und 3 be- wusst gestrichen.
Schlussfolgerung: Auslegung von Art. 12 Abs. 2 lit. a DSG
27 In seinem Urteil hat das Bundesverwaltungsgericht die Interpretationsvariante 1 gewählt, wel- che nach Meinung des EDÖB bereits unter altem Recht nicht dem Willen des Gesetzgebers entsprochen hat und unter dem derzeit geltenden DSG klar gegen den Wortlaut von Art. 12 Abs. 2 lit. a DSG verstösst, welcher keine Rechtfertigungsgründe für eine Verletzung der Grundsätze der Datenbearbeitung zulässt. Damit ist das Urteil des Bundesverwaltungsgerichts als nicht im Einklang mit dem Bundesgesetz vom 01. Januar 2008 über den Datenschutz einzu- stufen.
28 Würde man der Auslegung (Interpretationsvariante 1) des Bundesverwaltungsgerichts folgen, so würde das Datenschutzniveau der Schweiz erheblich gesenkt. Die Grundsätze der Datenbe-
5 Bundesamt für Justiz, Änderung von Art. 12 Abs. 2 Bst. A DSG: Auslegungshilfe, http://www.ejpd.admin.ch/ejpd/de/home/themen/staat_und_buerger/ref_gesetzgebung/ref_abgeschlossene_proje kte0/ref_datenschutz.html 6 DAVID ROSENTHAL (in: David Rosenthal, Yvonne Jöhri; Handkommentar zum Datenschutzgesetz; zu Art. 4 Abs. 4 DSG; Ziff. 59), der die Meinung vertritt, dass der Gesetzgeber auch im Falle des Erkennbarkeitsgrundsatzes eine Abwägung der Interessen wollte, sich aber falsch ausdrückte, weil er dies nicht als Frage der Rechtfertigung erkannte. Dies sei für private Datenbearbeiter auf dem Wege der Auslegung zu korrigieren. 7 DAVID ROSENTHAL; in: David Rosenthal, Yvonne Jöhri; Handkommentar zum Datenschutzgesetz; zu Art. 12 Abs. 2 DSG; Ziff. 16
9/12
arbeitung würden damit ausgehöhlt und die Beurteilung, ob eine Datenschutzverletzung vorliegt würde auf die Frage reduziert, ob es, unabhängig von den eingesetzten Mitteln (geheime Da- tenbearbeitung, nachträgliche Zweckänderung, Täuschung bei der Erhebung der Daten, etc.), für die Bearbeitung der Daten einen Rechtfertigungsgrund gibt. In anderen Worten ausgedrückt würde das bedeuten, dass bei der Bearbeitung von personenbezogenen Daten der Zweck der Bearbeitung die Mittel der Bearbeitung heiligt. Frei nach diesem Grundsatz hat das Bundesver- waltungsgericht sein Urteil gefällt, indem es in Erwägungen 12.3.2 auf Seite 27 urteilt: „Vielmehr sind die Daten gerade objektiv notwendig, um die vermuteten Urheberrechtsverletzer identifizie- ren und anschliessend gegen diese vorgehen zu können. Demgegenüber erscheint der Eingriff in die Persönlichkeitsrechte der betroffenen Personen nicht ausgesprochen schwerwiegend“. Eine solche verkürzte Sichtweise entspricht nicht dem Willen des Gesetzgebers und ist nach Meinung des EDÖB abzulehnen, da keine der Auslegungsprinzipien (grammatikalische, syste- matische, teleologische) diese Interpretationsvariante stützt.
29 Da dem Urteil des Bundesverwaltungsgerichts in diesem Bereich Leitwirkung zukommt, wären die Folgen einer solchen Interpretation sowohl für die Bürger der Schweiz als auch für die Schweiz selbst folgenschwer. Die Bürger der Schweiz wären in weiten Teilen ihrer Auskunfts- rechte gemäss Art. 8 DSG beraubt (siehe Rz. 12). Bei Vorliegen eines Rechtfertigungsgrundes für die Datenbearbeitung wäre aufgrund der verkürzten Sichtweise des Bundesverwaltungsge- richts auch jegliche Art der Datenbearbeitung (zweckwidrig und/oder heimlich) gerechtfertigt. Eine betroffene Person könnte sich gegen eine solche Datenbearbeitung noch nicht einmal zur Wehr setzen, da sie entweder gar nicht weiss, dass Daten über sie bearbeitet werden oder da sich nicht weiss, dass ihre Daten zu einem ganz anderen Zweck bearbeitet werden, als bei der Beschaffung angegeben wurde. Damit würde eine Situation geschaffen, in welcher die informa- tionelle Selbstbestimmung der betroffenen Personen weitgehend aufgehoben würde, was aller- dings gerade dem Zweck des Bundesgesetzes über den Datenschutz (Art. 1 DSG) widerspricht.
30 Ganz abgesehen davon, dass gemäss dem Wortlaut von Art. 12 Abs. 2 lit. a DSG („Er darf ins- besondere nicht Personendaten entgegen den Grundsätzen der Artikel 4, 5 Absatz 1 und 7 Ab- satz 1 bearbeiten.“) gar keine Rechtfertigungsgründe zugelassen sind, müssten die Interessen aller Beteiligter und der Umfang der Datenbearbeitung durch die Beklagte und Beschwerde- gegnerin in die Verhältnismässigkeitsabwägung einfliessen, um letztendlich entscheiden zu können, ob die Datenbearbeitung zulässig ist. Auch hier greift das Bundesverwaltungsgericht zu kurz, indem es behauptet, dass ohne die Sammlung der technischen Informationen eine Verfol- gung der Urheberrechtsverletzer nicht möglich wäre. Es führt aus, dass die Daten objektiv not- wendig seien, um die vermuteten Urheberrechtsverletzer identifizieren und anschliessend ge- gen sie vorgehen zu können unabhängig davon, ob diese für ein Strafverfahren oder für ein Zi- vilverfahren verwendet werden. Im Hinblick auf die Notwendigkeit über diese Daten zu verfü- gen, erscheine der Eingriff in die Persönlichkeitsrechte der betroffenen Personen nicht ausge- sprochen schwerwiegend. Damit sagt das Bundesverwaltungsgericht nichts anderes, als dass der Zweck der Datenbearbeitung (Ahndung von mutmasslichen Urheberrechtsverletzungen) die eingesetzten Mittel (geheime, täuschende und zweckwidrige Datenbearbeitung) heilige. Eine solche Interpretation des Datenschutzgesetzes ist nach Meinung des EDÖB klar abzulehnen, da sie weder dem Wortlaut des Gesetzes entspricht, noch den Willen des Gesetzgebers wider- spiegelt.
31 Vor diesem Hintergrund muss das Urteil des Bundesverwaltungsgerichts nach Meinung des EDÖB zwingend revidiert werden.
Zu 2: unvollständige Würdigung des Sachverhalts
32 Bereits in den Erwägungen zum Rechtmässigkeitsprinzip (Art. 4 Abs. 1 DSG) klärt das Bundes- verwaltungsgericht lediglich ab, ob und in wieweit die Datenerfassung ausdrücklich verboten ist. Diese Betrachtung greift nach Meinung des EDÖB zu kurz. Das Rechtmässigkeitsprinzip findet entgegen der Meinung des Bundesverwaltungsgericht nicht nur dort Anwendung, wo eine Da- tenbearbeitung ausdrücklich verboten ist, sondern auch immer dann, wenn eine Datenbearbei-
10/12
tung gegen irgendeine Rechtsnorm (inklusive den Bestimmungen zu den Persönlichkeitsrech- ten im Rahmen der Anwendung des Datenschutzgesetzes) verstösst. Der EDÖB ist der Mei- nung, dass durch die Datenbearbeitung der Logistep AG die Persönlichkeit der betroffenen Personen verletzt ist. Damit liegt auch gleichzeitig ein Verstoss gegen das Rechtmässigkeits- prinzip von Art. 4 Abs. 1 DSG vor. Das Bundesverwaltungsgericht hat die Überprüfung des Rechtmässigkeitsprinzips aber einzig und alleine darauf reduziert, zu überprüfen, ob eine ge- setzliche Grundlage besteht, welche eine derartige Datenbearbeitung explizit verbietet (Erwä- gungen 8.3.2). Da dies nicht der Fall ist, hat es im Umkehrschluss darauf geschlossen, dass sie daher erlaubt sein müsse. Eine solche Sichtweise ist klar abzulehnen.
33 In den Erwägungen zum Prinzip von Treu und Glauben anerkennt das Bundesverwaltungsge- richt, dass wider Treu und Glauben handelt, wer Daten durch absichtliche Täuschung beschafft, weil er beispielsweise die betroffene Person über seine Identität oder den Zweck der Bearbei- tung falsch informiert, oder wer heimlich Daten beschafft, ohne dabei eine Rechtsnorm zu ver- letzen (vgl. Botschaft zum DSG, BBl 1988 II, S. 449; Erwägungen 9.3.1). Das Bundesverwal- tungsgericht kommt in den Erwägungen 9.3.4 und 9.3.5 zu dem Schluss, dass eine Verletzung des Erkennbarkeitsprinzips vorliegt, da die Daten im Regelfall ohne Wissen der betroffenen Personen beschafft werden. Dennoch folgert das Bundesverwaltungsgericht, dass angesichts der Umstände, die die Logistep AG erst zur Datensammlung bewegen, eine solche Verletzung vor dem Grundsatz von Treu und Glauben standhält (Erwägungen 9.3.6). Als Begründung hier- für führt das Bundesverwaltungsgericht an, dass sich die betroffenen P2P-Netzwerkteilnehmer vermutungsweise urheberrechtlich strafbar gemacht haben und von den Urheberrechtsinhabern nicht stillschweigend hingenommen werden kann, dass Urheberrechtsverletzungen begangen werden und die Verletzer unbescholten davon kommen, wenn – im rechtlich zulässigen Rah- men – Massnahmen dagegen ergriffen werden können.
34 Allerdings hat das Bundesverwaltungsgericht nicht überprüft, ob sich die von der Logistep AG ergriffenen Massnahmen im rechtlich zulässigen Rahmen bewegen. Gerade dies wird aber vom EDÖB bestritten. Aus diesem Grund ist es notwendig, dass nicht nur die Datenbearbeitung durch die Logistep AG vor Eröffnung des Strafverfahrens sondern auch die weitere Datenbear- beitung durch die Urheberrechtsinhaber nach der Einleitung eines Strafverfahrens in die Erwä- gungen mit einbezogen wird, um im Hinblick auf einen Verstoss gegen die Grundsätze des Da- tenschutzgesetzes eine angemessene Interessensabwägung durchführen zu können. Das Bundesverwaltungsgericht unterlässt eine solche und gibt sich pauschal mit der Begründung zufrieden, dass sich mit Berufung auf die Ahndung mutmasslicher Urheberrechtsverletzer, sämtliche vorangegangenen Datenschutzverletzungen rechtfertigen lassen. Hierbei blendet das Bundesverwaltungsgericht aus, dass der IP-Adressinhaber nicht der Urheberrechtsverletzer (Nutzung des Internetanschlusses durch mehrere Benutzer) sein muss und regelmässig gut- gläubige Inhaber von Internetanschlüssen mit ungerechtfertigten Zivilforderungen konfrontiert werden. Es berücksichtigt dabei nicht, dass die meisten Strafverfahren aufgrund des Opportuni- tätsprinzips nicht weiterverfolgt werden und dass weder die Urheberrechtsinhaber noch die Be- klagte und Beschwerdegegnerin ein Interesse an einer Strafverfolgung haben. Damit kann aber auch der Urheberrechtsverletzer nicht zweifelsfrei identifiziert werden, wie dies bei einem or- dentlich zu Ende geführten Strafverfahren, das in einem Urteil mündet, der Fall ist. Vielmehr verwendet die Beklagte und Beschwerdegegnerin sowie die Urheberrechtsinhaber die einge- reichten Strafanzeigen fast ausschliesslich zur Identifikation von mutmasslichen Urheberrechts- verletzern, mit dem Ziel diese vor einer rechtskräftigen Verurteilung mit Zivilforderungen zu kon- frontieren. Dass auch die Beklagte und Beschwerdegegnerin ausschliesslich an der Identifizie- rung und Geltendmachung von Zivilforderungen interessiert ist, zeigt sich aus den Verträgen, welche die Beklagte und Beschwerdegegnerin mit den Urheberrechtsinhabern abgeschlossen hat. Die Beklagte und Beschwerdegegnerin übernimmt nicht nur das Kostenrisiko für die ge- richtlichen Verfahren erster Instanz (§3 (2) des Dienstleistungsvertrags [in den Vorakten zur Klageschrift; Anhang 3]) sondern erhält neben Setup-Kosten in Höhe von EUR 650,- (§4 (1) des Dienstleistungsvertrags) zusätzlich EUR 189,- für jeden erfassten und abgemahnten Rechtsver- letzer sowie zusätzlich eine erfolgsabhängige Vergütung in Höhe von 50% der eingegangenen Schadensersatzzahlungen (§4 (2) des Dienstleistungsvertrags). Einzig durch die Einleitung ei-
11/12
nes Strafverfahrens und einer anschliessenden Akteneinsicht haben die Urheberrechtsinhaber die Möglichkeit das Fernmeldegeheimnis zu umgehen, um gegenüber den identifizierten (oft gutgläubigen) Inhabern von IP-Adressen Zivilforderungen geltend zu machen. Damit ist das von der Beklagten und Beschwerdegegnerin im Auftrag der Urheberrechtsinhaber angestrengte Strafverfahren lediglich Mittel zum Zweck, um gegenüber den mutmasslichen Urheberrechtsver- letzern Zivilforderungen geltend zu machen. Deshalb werden auch regelmässig die Strafverfah- ren gar nicht zu Ende geführt (vgl. Vorakten: Anhang 6 und 7 der Anhang zur Klageschrift). An- ders wäre könnte die Datenbearbeitung der Beklagten und Beschwerdegegnerin zu beurteilen, wenn sie ausschliesslich auf die Ermittlung und strafrechtliche Verurteilung der Urheberrechts- verletzer abzielen würde und seitens der Beklagten kein wirtschaftliches Interesse an der Gel- tendmachung von Zivilforderungen gegenüber Personen, die noch nicht zweifelsfrei als Urhe- berrechtsverletzer identifiziert sind, bestehen würde. In diesem Sinne hat der EDÖB auch das Vorgehen der IFPI beurteilt, der es mit dem Ausforschen von IP-Adressen einzig um die straf- rechtliche Verfolgung von Urheberrechtsverletzern geht.
35 Das Bundesverwaltungsgericht anerkennt, dass die Suche nach den urheberrechtlich geschütz- ten Werken und die Aufzeichnung der entsprechenden Daten ohne Wissen der betroffenen Ad- ressinhaber geschieht und somit die Beklagte und Beschwerdegegnerin das Zweckmässig- keitsprinzip fortlaufend verletzt. Gleichzeitig bringt das Bundesverwaltungsgericht allerdings vor, dass für die Verletzung des Zweckmässigkeitsprinzips ein überwiegendes privates und öffentli- ches Interesse vorliegen würde, was im Hinblick auf die von der Beklagten und Beschwerde- gegnerin gewählten Vorgehensweise (siehe Erwägungen zu 34) bestritten wird.
36 Betrachtet man die Datenbearbeitung durch die Beklagte und Beschwerdegegnerin, so lässt sich die Parallele zu den verdeckten Ermittlungen ziehen. Das Bundesgericht hält in seinem Ur- teil vom 16. Juni 2008 fest, dass „gemäss den Ausführungen in der Botschaft [zum Bundesge- setz über die verdeckt Ermittlung (BVE; SR 312.8)] verdeckte Ermittlung das Anknüpfen von Kontakten zu verdächtigen Personen [sei], die darauf abzielen, die Begehung einer strafbaren Handlung festzustellen und zu beweisen, wobei vorwiegend passiv die deliktische Tätigkeit un- tersucht wird“ (BGE 134 IV 266; S. 270; E 3.1.1). Hiervon „ist laut Botschaft die Observation zu unterscheiden, welche grundsätzlich das gezielte Beobachten von Vorgängen an öffentlichen oder allgemein zugänglichen Orten – allenfalls unter Einsatz von Bild- und Tonaufnahmegerä- ten – umfasst. Sowohl bei einer Observation als auch bei einer verdeckten Ermittlung gehe es darum, Beweise für eine strafbare Handlung zu erlangen, wobei diese Tätigkeit für die verdäch- tigten Personen nicht erkennbar sein soll. Während bei einer Observation von aussen gezielt beobachtet werde, erfolge bei einer verdeckten Ermittlung das Einschleusen von dafür einge- setzten Polizeibeamten in einen bestimmten Personenkreis“ (BGE 134 IV 266; S. 270; E 3.1.1). Weiterhin führt das Bundesgericht aus, dass verdeckte Ermittlung das Anknüpfen von Kontak- ten durch Polizeiangehörige zu verdächtigen Personen ist, die darauf abzielen, die Begehung einer strafbaren Handlung festzustellen und zu beweisen, wobei die Polizeiangehörigen nicht als solche erkennbar sind. „Von der Observation unterscheidet sich die verdeckte Ermittlung dadurch, dass die Polizeiangehörigen die verdächtigen Personen nicht lediglich gezielt zwecks Aufklärung von Straftaten beobachten, sondern zu diesem Zweck mit den verdächtigen Perso- nen über irgendein Medium kommunizieren“ (BGE 134 IV 266; S. 275; E 3.6.1), wobei eine ver- deckte Ermittlung nach überwiegenden Ansichten im Schrifttum jedenfalls ein gewisses Mass an Täuschungs- und/oder Handlungs- und Eingriffsintensität voraussetzt (BGE 134 IV 266; S. 276; E 3.6.2). In diesem Rahmen ist massgebend, „dass der Verdächtige überhaupt getäuscht wird, weil der mit ihm zu Ermittlungszwecken kommunizierende Polizeiangehörige nicht als sol- cher erkennbar ist. Alleine schon wegen dieser Täuschung bedarf die verdeckte Ermittlung in jedem Fall einer besonderen gesetzlichen Regelung, ganz unabhängig davon, welche Eingriffs- intensität die verdeckte Ermittlung im konkreten Einzelfall aufweist“ (BGE 134 IV 266; S. 277; E 3.6.4).
37 Das Vorgehen der Beklagten und Beschwerdegegnerin ist mit der eines verdeckten Ermittlers vergleichbar. Die Beklagte gibt sich im P2P-Netzwerk als gewöhnlicher Nutzer aus und tritt mit dem vermeintlichen Urheberrechtsverletzer über das Internet in Kontakt und kommuniziert mit
12/12
ihm, indem es das urheberrechtlich geschützte Werk abruft. Durch das Auftreten als gewöhnli- cher Nutzer innerhalb des P2P-Netzwerks täuscht sie den mutmasslichen Urheberrechtsverlet- zer, wie dies ein verdeckter Ermittler der Untersuchungsbehörde tut.
38 Angesichts der im BVE verankerten strengen Anforderungen an die verdeckte Ermittlung zur Verfolgung von besonders schweren Straftaten (Art. 4 Abs. 1 BVE) erscheint die Schlussfolge- rung des Bundesverwaltungsgerichts stossend, indem es zur Ermittlung mutmasslicher Urhe- berrechtsverletzer (welches lediglich ein Antragsdelikt darstellt) durch Private solche Täu- schungshandlungen sogar dann zulässt, wenn es den Urheberrechtsinhabern lediglich um die Geltendmachung von zivilrechtlichen Forderungen geht.
39 Aus diesem Grund ist der EDÖB der Meinung, dass ein derart schwerer Eingriff in die Persön- lichkeit der betroffenen Personen, wie sie von der Beklagten und Beschwerdegegnerin vorge- nommen wird und der nicht nur die mutmasslichen Urheberrechtsverletzer selbst, sondern auch in vielen Fällen gutgläubige Inhaber von IP-Adressen trifft, gegen das Datenschutzgesetz ver- stösst. Die von der Beklagten und Beschwerdegegnerin sowie den Urheberrechtsinhabern vor- genommene Datenbearbeitung kann auch nicht alleine damit begründet werden, dass eine sol- che Datenbearbeitung zur Durchsetzung der Urheberrechte benötigt wird. Sollte daher das Bundesgericht zu dem Schluss kommen, dass die Datenbearbeitung der Beklagten gegen die allgemeinen Datenschutzbestimmungen verstösst und nicht in einer Art und Weise einge- schränkt werden können (z.B. durch bestimmte Auflagen im Rahmen des Strafverfahrens), dass sie den gesetzlichen Anforderungen entspricht, ist nach Meinung des EDÖB für die von der Beklagten und Beschwerdegegnerin durchgeführte Datenbearbeitung eine gesetzliche Grundlage notwendig.
40 Der EDÖB erkennt die Notwendigkeit für einen ausreichenden Urheberrechtsschutz an. Den- noch dürfen die Massnahmen zur Durchsetzung von Urheberrechten die Persönlichkeit der be- troffenen Personen nur im rechtlich zulässigen Rahmen einschränken. Eine systematische und proaktive Überwachung von Peer-to-Peer Netzwerken, zu einem Zeitpunkt, in dem noch nicht einmal ein Anfangsverdacht auf eine konkrete Urheberrechtsverletzung besteht, geht nach Mei- nung des EDÖB viel zu weit.
3. Anträge
41 Gemäss den oben genannten Ausführungen sei die Beklagte und Beschwerdeführerin anzu- weisen, ihre Datenbearbeitung unverzüglich einzustellen und es sei ihr zu verbieten, die bereits erhobenen Daten an die Urheberrechtsinhaber weiterzugeben.
EIDGENÖSSISCHER DATENSCHUTZ- UND
ÖFFENTLICHKEITSBEAUFTRAGTER
Hanspeter Thür
Anlage: Urteil des Bundesverwaltungsgerichts (A-3144/2008) vom 27. Mai 2009
Die weiteren fallrelevanten Dokumente befinden sich in den Vorakten.