VG Wiesbaden

Merkliste
Zitieren als:
VG Wiesbaden, Urteil vom 06.10.2010 - 6 K 280/10.WI - asyl.net: M18191
https://www.asyl.net/rsdb/M18191
Leitsatz:

Die Übermittlung von personenbezogenen Daten als eine Form der Datenverarbeitung (§ 3 Abs. 4 BDSG) hinsichtlich der vom Bundeskriminalamt vorgenommenen Gefährdungsprognose (eines polnischen Journalisten bei der Akkreditierung zum NATO-Gipfel im April 2009) an die NATO war mangels Rechtsgrundlage rechtswidrig.

Es kommt nicht entscheidungserheblich darauf an, dass das NATO-Hauptquartier über einen angemessenen Datenschutzstandard verfügt; die vorgelegte "Einwilligungserklärung" widerlegt dies aber mehr als deutlich.

Hinzu kommt, dass mit dem Vertrag von Lissabon seit dem 1.12.2009 der Art. 3 Abs. 2 EG-Datenschutzrichtlinie nicht mehr vertragskonform ist und insoweit, zumindest seit dem 1.12.2009, die EG-Datenschutzrichtlinie auch im Bereich der öffentlichen Sicherheit, der Landesverteidigung und der Sicherheit des Staates sowie im Bereich der Strafrechtspflege entsprechend anzuwenden ist.

Schlagwörter: Übermittlung personenbezogener Daten, Feststellungsklage, Schadensersatz, Bundeskriminalamt, NATO, INPOL, Datenschutz, Rechtsgrundlage, informationelles Selbstbestimmungsrecht, Einwilligung, Schriftform, digitale Signatur, Grundsätzliche Bedeutung, Vorabentscheidungsverfahren, EuGH, Revision,
Normen: RL 95/46/EG Art.23, BDSG § 7, BDSG § 8, BDSG § 3 Abs. 1, BKAG § 7 Abs. 6, BKAG § 32 Abs. 2 S. 1, BDSG § 20 Abs. 2 Nr. 1, BDSG § 3 Abs. 4, BKAG § 5, BKAG § 25, BKAG § 14 Abs. 5, BKAG § 14 Abs. 6, BDSG § 4 Abs. 1, BDSG § 4a, TMG § 13 Abs. 2, RL 95/46/EG Art. 2 Bst. h, RL 95/46/EG Art. 7 Bst. a, RL 95/46/EG Art. 3 Abs. 2, BGB § 126a
Auszüge:

[...]

Die Klage ist zulässig. Insbesondere steht dem Kläger ein Feststellungsinteresse zur Seite. Dies insbesondere, als die Beklagte bis zum Zeitpunkt der gerichtlichen Entscheidung nicht vorgetragen hat, dass die Aussonderungsprüfdaten eingehalten wurden und die Daten des Klägers nunmehr bei der Beklagten gelöscht sind. Dem Kläger steht jedoch auch ein materieller und immaterieller Schadensersatzanspruch im Falle der Rechtswidrigkeit der vorliegenden Maßnahme zur Seite (siehe §§ 7 und 8 BDSG; Art. 23 EG-Datenschutzrichtline).

Die Klage ist auch begründet. Bei der Bewertung des Bundeskriminalamtes gegenüber der NATO handelt es sich um eine Übermittlung personenbezogener Daten. Denn die Bewertung bezieht sich auf den Kläger persönlich und ist mithin eine Einzelangabe über persönliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener) im Sinne von § 3 Abs. 1 BDSG.

Zum Zeitpunkt der Beauskunftung durch das Bundeskriminalamt waren die Daten in den Dateien INPOL-Fall innere Sicherheit und in der Zentraldatei "International agierende gewaltbereiter Störer" (IGast) bereits rechtswidrig gespeichert, da zum Zeitpunkt der Beauskunftung diese Dateien errichtet und betrieben worden sind, ohne dass der Bundesminister des Inneren eine gemäß § 7 Abs. 6 BKAG vorgesehene Verordnung über die Art der zu speichernden Daten erlassen hatte (vgl. VG Gießen, Urt. v. 29.04.2002, Az. 10 E 141/01; VG Karlsruhe; Urt. v. 14.04.2010, Az. 3 K 1988/09 u.a.; OVG Lüneburg, Urt. v. 16.12.2008, Az. 11 LC 229/08; a.A. HessVGH, Urt. v. 16.12.2004, Az. 11 UE 2982/02). Dies mit der Folge, dass die Speicherung unzulässig war und daher zu diesem Zeitpunkt die Daten hätten gelöscht sein müssen (§ 32 Abs. 2 Satz 1 1. Alt. BKAG, entspricht § 20 Abs. 2 Nr. 1 BDSG).

Die Speicherung der personenbezogenen Daten des Klägers beim Bundeskriminalamt und damit natürlich auch ihre Nutzung war zum Zeitpunkt der Beauskunftung an die NATO allein deshalb unzulässig, weil es zu diesem Zeitpunkt an der Rechtsverordnung gemäß § 7 Abs. 6 BKAG fehlte, welche die Art der Daten festzulegen hat, die nach § 8 und 9 BKAG gespeichert werden dürfen. Erst nach Festlegung der Art dieser Daten durch die Rechtsverordnung bedarf es auf die jeweilige Datei bezogen der Umsetzung durch die jeweils konkrete Errichtungsanordnung, für deren Rechtsmäßigkeit die Rechtsverordnung gemäß § 7 Abs. 6 BKAG zwingende Voraussetzung ist. Hierauf kann auch nicht verzichtet werden, denn hätte der Gesetzgeber die vom Bundeskriminalamt zur speichernden Daten als bestimmt genug angesehen, hätte er nicht auf eine entsprechende weitere Konkretisierung dieser Daten durch Rechtsverordnung bestanden. Im Gegenteil, in der amtlichen Begründung wurde zu § 7 ausgeführt: "Abs. 6 bestimmt, dass der Bundesminister des Inneren mit Zustimmung des Bundesrates nähere Entscheidung der Datenspeicherung aufgrund der §§ 8, 9 durch Rechtsverordnung festleg" (BT-Drucksache 13/1550, B, zu 7 Abs. 6, S. 25 – VG Gießen, Urt. v. 29.04.2002, Az. 10 E 141/01).

Die Verordnung über die Art der Daten, die nach den §§ 8 und 9 des BKAG gespeichert werden dürfen, wurde jedoch erst am 29.05.2010 als Verordnungsentwurf vorgelegt. Diesem hat der Bundesrat am 04.06.2010 zugestimmt. Die Verordnung ist erst am 09.06.2010 in Kraft getreten. Eine Übergangsregelung enthält die Verordnung nicht. Damit wäre die Speicherung, Verarbeitung und Nutzung von Daten in den Dateien erst ab dem 09.06.2010 zulässig.

Die Übermittlung von personenbezogenen Daten als eine Form der Datenverarbeitung (§ 3 Abs. 4 BDSG) hinsichtlich der von dem Bundeskriminalamt vorgenommenen Gefährdungsprognose an die NATO war auch unabhängig von dem zuvor ausgeführtem rechtswidrig. Denn eine entsprechende gesetzliche Ermächtigungsgrundlage fehlt.

Soweit die Beklagte die Auffassung vertritt, dass § 5 BKAG eine ausreichende Rechtsgrundlage sei, ergibt sich dies aus dem Gesetz nicht. § 5 BKAG (Schutz von Mitgliedern der Verfassungsorgane) regelt, dass unbeschadet der Rechte des Präsidenten des Deutschen Bundestages und der Zuständigkeit der Bundespolizei und den Polizeien der Länder es dem Bundeskriminalamt obliegt, den erforderlichen Personenschutz für die Mitglieder der Verfassungsorgane des Bundes sowie in besonderen festzulegenden Fällen der Gäste dieser Verfassungsorgane aus anderen Staaten sowie der innere Schutz der Dienst- und der Wohnsitze sowie der jeweiligen Aufenthaltsräume des Bundespräsidenten, der Mitglieder der Bundesregierung und in besonders festzulegenden Fällen ihrer Gäste aus anderen Staaten durchzuführen. Insoweit handelt es sich bei der Norm um eine Aufgabennorm, nicht jedoch um eine Datenübermittlungsnorm. Sie beinhaltet allenfalls die Möglichkeit des Zugriffs der Personenschützer des Beklagten auf die eigenen rechtmäßig gespeicherten Daten beim Bundeskriminalamt zuzugreifen um "die im zeitlichen und räumlichen Zusammenhang mit der Schutzperson stehenden Gefahrenquellen festzustellen und geeignete Maßnahmen zu treffen", wie die Beklagte zu Recht selbst festgestellt hat.

Gemäß § 25 BKAG (Verarbeitung und Nutzung personenbezogener Daten) kann das Bundeskriminalamt personenbezogene Daten verarbeiten und nutzen, soweit dies zur Erfüllung seiner Aufgaben zum Schutze von Mitgliedern von Verfassungsorganen erforderlich ist. Die Übermittlung der im Rahmen der Aufgabenerfüllung nach § 5 gewonnenen Daten ist jedoch nur unter den Voraussetzungen der §§ 10 – 14 BKAG zulässig.

Vorliegend handelt es sich aber um eine Datenübermittlung an eine exterritoriale Organisation, die NATO. Gemäß § 14 Abs. 6 BKAG kann das Bundeskriminalamt personenbezogene Daten an Dienststellen der Stationierungsstreitkräfte im Rahmen des Art. 3 des Zusatzabkommens zu dem Abkommen zwischen den Parteien des Nordatlantikvertrages über die Rechtstellung ihrer Truppen hinsichtlich der in der Bundesrepublik Deutschland stationierten ausländischen Streitkräfte vom 3. August 1959 (BGBl. 1961 II, S. 1183) übermitteln, wenn dies zur rechtmäßigen Erfüllung der in der Zuständigkeit liegenden Aufgaben erforderlich ist. Vorliegend geht es jedoch nicht um die Übermittlung von Daten an ausländische Streitkräfte, welche in Deutschland stationiert sind, sondern um die Übermittlung von Daten an das NATO-Hauptquartier in Brüssel, welches durch diese Norm gerade nicht genannt ist. Eine weitere Übermittlungsnorm ist nicht ersichtlich. Insbesondere handelt es sich bei der NATO nicht um eine internationale kriminalpolizeiliche Organisation (§ 14 Abs. 5 BKAG - vertiefend vergleiche VG Wiesbaden, Beschluss vom 31.03.2009, Az. 6 L 353/09.WI, S. 5 ff.).

Eine Regelung wie in § 19 Abs. 3 Bundesverfassungsschutzgesetz fehlt im Bundeskriminalamtsgesetz und zwar zu Recht. Nach § 19 Abs. 3 Bundesverfassungsschutzgesetz ist das Bundesamt für Verfassungsschutz und gerade nicht das Bundeskriminalamt berechtigt personenbezogene Daten an ausländische öffentliche Stellen sowie an über- und zwischen Stellen zu übermitteln, wenn die Übermittlung zur Erfüllung seiner Aufgabe oder zur Wahrung erheblicher Sicherheitsinteressen des Empfängers erforderlich ist. Die Übermittlung hat zu unterbleiben, wenn u.a. überwiegende schutzwürdige Interessen des Betroffenen entgegenstehen. Zusätzlich sind weitere Handlungen zur Wahrung des Rechts auf informationelle Selbstbestimmung erforderlich. Selbst diese Norm einmal zugrunde gelegt, wäre eine rechtmäßige Übermittlung allein schon deshalb fraglich, weil weder eine Aufgabe des Bundeskriminalamtes bezüglich der NATO vorliegt, noch ein erhebliches Sicherheitsinteresse der NATO auch nur im Ansatz dargelegt wurde.

Hierauf kommt es jedoch nicht an, da § 19 Bundesverfassungsschutzgesetz nicht auf das Bundeskriminalamt Anwendung findet.

Mangels weiterer Rechtsgrundlage im Bundeskriminalamtsgesetz findet ergänzend das Bundesdatenschutzgesetz Anwendung.

Gemäß § 4 Abs. 1 BDSG ist die Übermittlung personenbezogener Daten auch zulässig, wenn der Betroffene eingewilligt hat. Gemäß § 4a BDSG bedarf die Einwilligung jedoch zu ihrer Wirksamkeit der freien Entscheidung des Betroffenen. Dabei ist er auf dem vorgesehenen Zweck der Erhebung, Verarbeitung oder Nutzung sowie, soweit nach den Umständen des Einzelfalls erforderlich oder auf Verlangen, auf die Folgen der Verweigerung der Einwilligung hinzuweisen. Die Einwilligung bedarf der Schriftform, soweit nicht wegen besonderer Umstände eine andere Form angemessen ist.

Eine direkte Einwilligung des Klägers gegenüber dem Bundeskriminalamt wurde unstreitig nicht erteilt. Wenn überhaupt erfolgte eine Erklärung ausschließlich gegenüber der NATO.

Bei dieser mangelt es bereits an der Schriftform. Die Akkreditierung erfolgte per Internet. Es mag dahingestellt sein, ob insoweit, da die Akkreditierungseintragung über das Internet in Deutschland erfolgte, das Telemediengesetz Anwendung findet und damit die elektronische Form der Einwilligung gemäß § 13 Abs. 2 TMG erforderlich wäre. Eine solche liegt auf jeden Fall unbestritten nicht vor. Auf die Frage, ob die Erklärung gegenüber der NATO als solche bereits rechtmäßig war kommt es vorliegend auch nicht an. Denn für die vorliegende Rechtsfrage muss eine wirksame Einwilligungserklärung nach deutschem Recht bezüglich des Bundeskriminalamtes vorliegen. Damit müsste die NATO eine Einwilligungserklärung des Klägers dem Bundeskriminalamt vorlegen die der Einwilligungsregelung des § 4a BDSG entspricht.

Das ist nicht der Fall. Denn soweit der Kläger erklärt hat, dass seine Daten gespeichert und in Verbindung mit seiner Akkreditierung verwendet werden dürfen, hat er weder erklärt, dass die NATO Daten an das Bundeskriminalamt zum Zwecke einer Prognoseentscheidung übermitteln darf, geschweige denn eine Einwilligung erteilt, die das Bundeskriminalamt berechtigt hätte, ein Votum an die NATO zu übermitteln. Die in Englisch benutzte Formulierung weist vielmehr nur darauf hin, dass die Daten im Rahmen des bei der NATO durchgeführten Akkreditierungsvorgangs benutzt werden sollen. Von einer Datenübermittlung an Dritte und einer Datenerhebung bei Dritten (hier das Bundeskriminalamt) ist jedoch in dieser Erklärung keine Rede. Auf Berufserfahrung, Gebräuchlichkeiten und Vermutungen, wie in der Frage 42 von der Bundesregierung erklärt kommt es insoweit gerade nicht an.

Soweit die Beklagte vorträgt, dass keine Anhaltspunkte dafür bestünden, dass das NATO-Hauptquartier nicht über einen angemessenen Datenschutzstandard verfüge, kommt es vorliegend auf ein angemessenes Datenschutzniveau bei der NATO nicht an (vgl. insoweit § 4 b und § 4c BDSG - welche nach § 37 BKSG ausgeschlossen sind). Die vorgelegte "Einwilligungserklärung" widerlegt aber ein angemessenes Datenschutzniveau mehr als deutlich. Denn im Rahmen des europäischen Datenschutzstandards hätte die NATO mindestens eine Einwilligungserklärung abfordern müssen, welche Art. 2 Buchst. h) und Art. 7 Buchst. a) Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABl Nr. L 281 vom 23.11.1995, S. 31 ff., genannt: EG-Datenschutzrichtlinie) entspricht – was nicht der Fall ist. Weitere Informationen über Regelungen bezüglich des Umgangs mit personenbezogenen Daten bei der NATO wurden dem Gericht nicht vorgelegt und dürften auch nicht existieren.

Zwar findet gemäß Art. 3 Abs. 2 EG-Datenschutzrichtlinie die Richtlinie nach ihrem Wortlaut auf die Fälle der Verarbeitung personenbezogener Daten betreffend die öffentliche Sicherheit, die Landesverteidigung und die Sicherheit des Staates keine Anwendung. Jedoch hat der Bundesgesetzgeber mit seinen Regelungen im Bundeskriminalamtsgesetz keine eigenständige Einwilligungsregelung zur Einwilligung, die öffentliche Sicherheit betreffen, geschaffen. Er verweist vielmehr auf die allgemein datenschutzrechtlichen Regelungen, mithin auch denen, die der EG-Datenschutzrichtlinie unterliegen.

Hinzu kommt, dass mit dem Vertrag von Lissabon seit dem 01.12.2009 der Art. 3 Abs. 2 EG-Datenschutzrichtlinie nicht mehr vertragskonform ist und insoweit, zumindest seit dem 01.12.2009, die EG-Datenschutzrichtlinie auch im Bereich der öffentlichen Sicherheit, der Landesverteidigung und der Sicherheit des Staates sowie im Bereich der Strafrechtspflege entsprechend anzuwenden ist. Hierauf kommt es jedoch vorliegend nicht an. Denn zur Auskunftserteilung und Übermittlung von Daten durch das Bundeskriminalamt an die NATO hat es immer einer Einwilligungserklärung gem. § 4a BDSG bedurft, welche das Bundeskriminalamt ausdrücklich ermächtigt, personenbezogene Daten und damit auch Einschätzungen zu einer Person (persönliche und sachliche Verhältnisse) an die NATO zu übermitteln.

Soweit die Einwilligung per Internet abgegeben wurde ist auch zu beachten, dass das Schriftformerfordernis auch nicht im Sinne von § 126a BGB in Form der elektronischen Einwilligung gegeben wurde. Liegt eine digitale Signatur bei der elektronischen Einwilligung nicht vor, ist diese nichtig. Dies deckt sich insoweit mit den Folgen einer Verletzung der Schriftform (Simitis in Simitis a.a.O., § 4 a Rdnr. 39).

Besondere Umstände, die eine andere Erklärungsform vorliegend rechtfertigen, liegen ebenfalls nicht vor und sind vom Beklagten auch nicht geltend gemacht worden.

Insoweit liegt von dem Kläger eine wirksame Einwilligung gegenüber der NATO zur Datenübermittlung durch das Bundeskriminalamt an die NATO als Rechtsgrundlage im Sinne von § 4 Abs. 1 BDSG nicht vor. Hinzu kommt, dass öffentliche Stellen auf eine Einwilligung grundsätzlich nur dann zurückgreifen dürfen, sofern eine entsprechende gesetzliche Regelung besteht, die auch die Verweigerungsfolgen umschreibt (vgl. Simitis in Simitis BDSG-Kommentar, 6. Auflage, § 4a Rdnr. 17). Hieran fehlt es ebenfalls. Dies hat zur Folge, dass die Datenübermittlung an die NATO mangels Rechtsgrundlage rechtswidrig war. [...]

Die Revision war zuzulassen, da die Rechtssache grundsätzliche Bedeutung hat. Vorliegend geht es insbesondere um die Fortbildung des Rechtes bezüglich einer Datenübermittlung an eine internationale Organisation und der Frage der damit verbundenen gesetzlichen Ermächtigungsgrundlage. Soweit das Bundesverwaltungsgericht im Rahmen des Revisionsverfahrens erwägen sollte, die Klage abzuweisen, wäre zu prüfen, inwieweit eine Vorabentscheidung durch den Europäischen Gerichtshof im Hinblick auf den Anwendungs- und Auslegungsbereich der EG-Datenschutzrichtlinie ebenso einzuholen wäre, wie für die Frage der Datenspeicherung eines EU-Inländers in die Datei "IGAST" (vgl. EuGH Große Kammer, Urteil vom 16.12.2008, Az. C-524/06, zum Ausländerzentralregister). [...]