: Dem Beklagten wird nachgelassen, die Vollstreckung durch Sicherheitsleistung in Höhe von 110 % der erstattungsfähigen Kosten abzuwenden, wenn nicht der Vollstreckungsgläubiger vor der Vollstreckung in gleicher Höhe Sicherheit leistet.

: Die Berufung wird zugelassen.

Tatbestand

1: Die Klägerin wendet sich gegen eine datenschutzrechtliche Anordnung des Beklagten, ihre „Fanpage“ bei der Beigeladenen (F.) zu deaktivieren.

2: Die Klägerin ist ein Unternehmen mit Sitz in A-Stadt in Schleswig-Holstein.

3: Sie unterhält bei der Beigeladenen eine sogenannte Fanpage. Fanpages sind spezielle Benutzeraccounts, die bei Facebook von Unternehmen, gemeinnützigen Einrichtungen, Künstlern und Prominenten eingerichtet werden können. Der Betreffende muss sich hierzu bei Facebook registrieren und kann dann die von Facebook unterhaltene Plattform dazu benutzen, sich den Nutzern dieser Plattform zu präsentieren und Äußerungen aller Art in den Medien- und Meinungsmarkt einzubringen. Nutzer der Plattform können eigene Beiträge auf der Plattform posten. Nutzer der Fanpage, die bei Facebook registriert sind (in Folgendem: registrierter Nutzer bzw. Facebook-Mitglied) geben bei der Registrierung bei Facebook ihren Vor- und Nachnamen, das Geburtsdatum, das Geschlecht und ihre E-Mail-Adresse an.

4: Die technischen Abläufe beim Aufruf einer Fanpage bei Facebook durch einen Nutzer sind danach zu differenzieren, ob der Nutzer ein Nicht-Facebook-Mitglied ist oder als Facebook-Mitglied beim Besuch der Fanpage gerade als solches eingeloggt ist oder nicht.

5: Der Ergebnisbericht der Arbeitsgruppe des AK I „Staatsrecht und Verwaltung“ zum Datenschutz in sozialen Netzwerken vom 04. April 2012 (S. 9; Arbeitsgruppe verschiedener Bundesländer, www.datenschutzzentrum.de/internet/20120404-AGSozNetzw-AK-I-IMK.pdf ) stellt die technischen Abläufe wie folgt dar:

6: Tabelle 2: Fanpage

7


	Fallgruppe	Technische Abläufe
1	Nicht-Facebook-Mitglied oder Facebook-Mitglied, das gerade nicht eingeloggt ist, besucht eine Fanpage.	Übertragung der IP-Adresse (unklar, ob Speicherung als generische oder spezifische IP-Adresse) und Setzen/Übertragen des datr-Cookie
2	Eingeloggtes Facebook-Mitglied besucht eine Fanpage	Übertragung der IP-Adresse (unklar, ob Speicherung als generische oder spezifische IP-Adresse) und Setzen/Übertragung des datr-Cookie und Übertragung des c_user-Cookies

8: Der c_user-Cookie wird von Facebook gesetzt, wenn sich das Facebook-Mitglied einloggt und enthält die Anmeldekennnummer (User-ID) des Facebook-Mitglieds. Facebook kann dadurch das Mitglied identifizieren, den Aufruf der Website der Fanpage einer konkreten Person zuordnen und auf diese Weise den Inhalt der Fanpage personalisieren (vgl. Ergebnisbericht der Arbeitsgruppe des AK I, aaO, Seite 8).

9: Der datr-Cookie, der bei jedem Aufruf der Website www.facebook.com gesetzt wird, hat eine Gültigkeit von zwei Jahren, kann aber durch entsprechende Browser-Einstellung blockiert und gelöscht werden. Er dient Facebook nach eigenen Angaben zur Identifizierung des Web-Browsers, der die Verbindung mit der Facebook-Seite aufbaut und spielt eine Schlüsselrolle beim Schutz des sozialen Netzwerkes vor „böswilligen Aktivitäten“ (vgl. Ergebnisbericht der Arbeitsgruppe des AK I, aaO, Seite 7 ff.).

10: Betreiber von Fanpages bei Facebook können mit Hilfe des von Facebook kostenfrei zur Verfügung gestellten Werkzeugs „Facebook-Insights“ anonymisierte Statistik-Informationen über Nutzer erhalten. Die durch Facebook erstellten Statistiken enthalten Angaben über die Nutzung der Fanpage. Dazu gehören Informationen über den Nutzerzuwachs, die Demographie der Nutzer und über die Nutzung der einzelnen Funktionalitäten der Fanpage (vgl. Ergebnisbericht der Arbeitsgruppe des AK I, aaO, Seite 9). Für den konkreten Inhalt einer solchen Statistik (Insights) wird auf Blatt 78 ff. der Gerichtsakte verwiesen.

11: Mit Schreiben vom 01.11.2011 teilte der Beklagte, das unabhängige Landeszentrum für Datenschutz Schleswig-Holstein, der Klägerin mit, dass damit ein aufsichtsbehördliches Verfahren nach § 38 Bundesdatenschutzgesetz (BDSG) eingeleitet werde.

12: Beim Aufruf der Fanpage (damals noch unter … würden Angaben über die Nutzung der Fanpage durch Facebook-Mitglieder und -Nichtmitglieder in die USA an Facebook übermittelt. Web-Seiten-Betreiber hätten die Unterrichtungspflichten nach § 13 Abs. 1 TMG (Telemediengesetz) und die Anforderungen an die Einholung einer Einwilligung in die Datenverarbeitung nach § 13 Abs. 3 TMG einzuhalten. Dies habe bei dem von der Klägerin angebotenen Dienst, dem Betreiben der Fanpage, nicht festgestellt werden können. Die Erstellung der Nutzungsprofile (Insights) erfolge unter Verstoß gegen § 15 Abs. 3 TMG. Über die Reichweitenanalyse werde nicht informiert, eine Widerspruchsmöglichkeit existiere ebenso wenig wie eine datenschutzrechtlich wirksame Einwilligungserklärung. Die Informationen aus der Reichweitenanalyse würden mit den identifizierenden Angaben der Facebook-Mitglieder zusammengeführt. Als Betreiberin der Fanpage sei die Klägerin Diensteanbieterin iSd § 2 Nr. 1 TMG und verantwortliche Stelle nach § 3 Abs. 7 BDSG.

13: Mit Schreiben vom 09.11.2011 brachte die Klägerin zum Ausdruck, sie sei nicht verantwortliche Stelle iSd § 3 Abs. 7 BDSG. Weder erhebe, verarbeite oder nutze sie personenbezogene Daten selbst, noch lasse sie eine Erhebung, Verarbeitung und Nutzung in ihrem Auftrag vornehmen. Sie komme mit personenbezogenen Daten der Nutzer der Facebook-Seite (Fanpage) nicht in Berührung.

14: Mit Bescheid vom 10.11.2011 ordnete der Beklagte gegenüber der Klägerin gemäß § 38 Abs. 5 Satz 1 BDSG an, dafür zu sorgen, dass die von ihr betriebene „Fanpage“ unter … deaktiviert werde. Für den Fall, dass dieser Verpflichtung nicht innerhalb von sechs Wochen nach Zustellung des Bescheides nachgekommen werde, wurde ein Zwangsgeld in Höhe von 5.000 € angedroht.

15: Die Anordnung wurde damit begründet, Nutzungsdaten nach § 15 TMG (u. a. IP-Adresse, Cookie-IDs, z. B. aus dem Cookie „datr“, Familien- und Vorname, Geburtsdatum) von Nutzern, welche die Fanpage der Klägerin aufriefen, würden nach § 15 Abs. 3 Satz 1 TMG für Zwecke der Werbung von Facebook erhoben, ohne dass die Klägerin als die nach § 12 Abs. 3 TMG iVm § 3 Abs. 7 BDSG für die Datenverarbeitung datenschutzrechtlich verantwortliche Stelle Benutzer gemäß § 13 Abs. 1 TMG über eine Widerspruchsmöglichkeit unterrichte. Eine technische Möglichkeit zur Beachtung eines Widerspruches bestehe derzeit nicht, da Facebook hierfür keine technische Möglichkeit bereitstelle. Bereits deshalb liege ein Verstoß gegen § 15 Abs. 3 Satz 1 und 2 TMG vor. Die Klägerin veranlasse durch das Bereitstellen einer Fanpage, dass Facebook aus den dabei anfallenden Nutzungsdaten Nutzungsprofile der Fanpagenutzer erstelle. Dadurch bestimme die Klägerin gemeinsam mit Facebook den Zweck und die wesentlichen Mittel der Datenverarbeitung, wodurch sie eine datenschutzrechtliche Verantwortung trage. Da die Klägerin keine technische Möglichkeit zur Errichtung eines Widerspruchsmechanismus habe, gleichwohl aber eine datenschutzrechtliche Verantwortung bestehe, sei die Anordnung erfolgt, die Fanpage zu deaktivieren.

16: Unter dem 17.11.2011 legte die Klägerin Widerspruch gegen den Bescheid vom 10.11.2011 ein.

17: Zur Begründung nahm sie Bezug auf die Stellungnahme vom 09.11.2011. Sie vertiefte ihr Vorbringen, personenbezogene Daten würden lediglich von Facebook erhoben und sie selbst sei daher keine verantwortliche Stelle gemäß § 12 Abs. 3 TMG iVm § 3 Abs. 7 BDSG.

18: Der Widerspruch der Klägerin wurde mit Widerspruchsbescheid vom 25.11.2011 zurückgewiesen. Als Betreiberin der Fanpage bei Facebook sei die Klägerin Diensteanbieterin nach § 2 Nr. 1 TMG. Sie sei neben Facebook auch die datenschutzrechtlich verantwortliche Stelle gemäß § 12 Abs. 3 TMG iVm § 3 Abs. 7 BDSG. Durch das Einrichten der Fanpage leiste die Klägerin einen aktiven und willentlichen Beitrag zur Erhebung von personenbezogenen Nutzerdaten. Es sei in diesem Zusammenhang unerheblich, dass die Klägerin nicht von allen Nutzerdaten Kenntnis erhalte. Im Datenschutzrecht werde vielmehr unabhängig vom Wissen über die Daten darauf abgestellt, wer objektiv über die Daten bestimmen könne, wer die Entscheidungsgewalt über den Zweck und die Mittel der Datenverarbeitung habe. Eine objektive Entscheidungsgewalt über den Zweck der Datenverarbeitung bestehe gerade deshalb, weil die Klägerin mit der Einrichtung der Fanpage und der dadurch initiierten Nutzung durch Fanpagebesucher die Zuführung der personenbezogenen Nutzerdaten und damit die Erstellung der Nutzungsprofile für die Zwecke der Werbung und der bedarfsgerechten Gestaltung von Telemedien steuere. Die Klägerin erhalte auf Basis der von ihr gezielt ermöglichten Erhebung von personenbezogenen Nutzerdaten von Facebook eine Nutzungsstatistik zur Verwendung für eigene geschäftliche Zwecke. Grundlage dieser Nutzungsstatistik seien personenbezogene Nutzerdaten der Fanpagebesucher, die Statistik könne ohne diese Daten nicht erstellt werden. Es sei nicht von Bedeutung, dass der Klägerin von Facebook ein Datenverarbeitungsergebnis nur in Form einer nicht personenbezogenen Nutzungsstatistik bereitgestellt werde und in welcher Form diese hiervon Gebrauch mache. Ein eigenes Erheben, Verarbeiten oder Nutzen von Daten durch eine verantwortliche Stelle werde vom Datenschutzrecht nicht gefordert. Wie der Gesetzgeber in § 11 Abs. 1 Satz 1 BDSG deutlich mache, könnten personenbezogene Daten im Auftrag durch andere Stellen erhoben, verarbeitet oder genutzt werden, wobei der Auftraggeber für die Einhaltung der Datenschutzvorschriften verantwortlich bleibe. Es sei dabei möglich, dass sich die verantwortliche Stelle keine personenbezogenen, sondern anonymisierte Datenverarbeitungsergebnisse bereitstellen lasse, um diese für eigene geschäftliche Zwecke zu nutzen. Nichts anderes könne im Verhältnis zweier verantwortlicher Stellen zueinander gelten, wenn die personenbezogenen Daten nur durch eine verantwortliche Stelle erhoben und/oder gespeichert würden, die andere verantwortliche Stelle jedoch diese Erhebung und Speicherung aktiv und gezielt initiiere sowie unterstütze, die Zwecke der Datenverarbeitung dadurch mitbestimme und sich von der anderen verantwortlichen Stelle ein anonymisiertes Verarbeitungsergebnis bereitstellen lasse. Mit Errichtung der Fanpage entscheide die Klägerin nicht nur über den Zweck der Erhebung, Verarbeitung und Nutzung der personenbezogenen Nutzungsdaten, sondern es werde auch über das wesentliche Mittel der Datenverarbeitung entschieden. Ohne den Betrieb der Fanpage seien die konkreten Datenverarbeitungsprozesse nicht möglich.

19: Der Widerspruchsbescheid vom 25.11.2011 wurde dem Prozessbevollmächtigten der Klägerin am 25.11.2011 per Fax übersandt und am 30.11.2011 per Post zugestellt.

20: Die Klägerin hat am 27.12.2011 (Tag nach dem zweiten Weihnachtsfeiertag) Klage erhoben.

21: Die Klägerin trägt vor, ihre Fanpage bei Facebook betreibe sie nunmehr unter der neuen Adresse www.facebook.com/mobilcomdebitel.

22: Die Anordnung gemäß § 38 Abs. 5 Satz 1 BDSG zur Deaktivierung der Fanpage sei rechtswidrig und verletze sie in ihren Rechten. Ein Verstoß gegen datenschutzrechtliche Vorschriften, den sie zu verantworten habe, liege nicht vor. Es könne dahinstehen, ob die Fanpage einen Telemediendienst darstelle und sie, die Klägerin, Anbieterin desselben sei, denn jedenfalls sei der Diensteanbieter nur für die eigene Datenverarbeitung verantwortlich, nicht für eine solche durch Dritte. Dies ergebe sich aus dem Wortlaut des § 12 Abs. 1 und 2 TMG. Die Hinweispflicht auf ein Widerspruchsrecht gemäß § 15 Abs. 3 Satz 2 TMG iVm § 13 Abs. 1 TMG beziehe sich nur auf die eigene Datenverarbeitung des Diensteanbieters.

23: Die datenschutzrechtliche Verantwortlichkeit des Diensteanbieters richte sich nach § 12 Abs. 3 TMG iVm § 3 Abs. 7 BDSG. Die verantwortliche Stelle sei in § 3 Abs. 7 BDSG dahin definiert, dass dies die Stelle sei, die personenbezogene Daten für sich selbst erhebe, verarbeite oder nutze oder dies durch andere im Auftrag vornehmen lasse. Bei der Auslegung von § 3 Abs. 7 BDSG sei Art. 2 d) RL 95/46/EG (Datenschutzrichtlinie) ergänzend heranzuziehen, wonach verantwortlich nur sei, wer über die Zwecke und Mittel der Datenverarbeitung entscheide. Dabei komme es allein auf die Verfügungsmacht über die Daten an. In Zusammenhang mit dem Betreiben der Fanpage erhebe die Klägerin weder personenbezogene Daten für sich selbst, noch geschehe dies durch Beauftragung eines anderen und ein Drittes gebe es nicht. Für ein Erheben von Daten sei Voraussetzung, dass die Klägerin selbst Kenntnis der Daten erhielte oder objektive Verfügungsgewalt über diese begründen würde. Das sei jedoch nicht der Fall. Die Klägerin habe weder Kenntnis noch Verfügungsgewalt betreffend die Daten. Die Daten der Nutzer der Fanpage kämen in keinem Zeitpunkt mit der technischen Infrastruktur der Klägerin in Berührung, sie würden unmittelbar von Facebook erhoben und durch Facebook verarbeitet.

24: Es liege auch keine Auftragsdatenverarbeitung gemäß § 3 Abs. 7 BDSG iVm § 11 BDSG vor. Typisches Merkmal der Auftragsdatenverarbeitung sei der Umstand, dass sich der Auftraggeber die Entscheidungsbefugnis vorbehalte und dem Dritten keinerlei inhaltlicher Bewertungs- und Ermessungsspielraum gestattet sei. Die Klägerin habe keinerlei Einfluss auf die Verarbeitung der Daten durch Facebook, es bestehe hinsichtlich der Daten keinerlei Entscheidungsspielraum der Klägerin. Facebook erhebe und verarbeite die Daten für eigene Geschäftszwecke und nicht als Auftragnehmerin der Klägerin. Allein die Tatsache, dass die Klägerin eine Fanpage bei Facebook unterhalte und Inhalte auf dem Server von Facebook hinterlege, genüge nicht für die Annahme einer verantwortlichen Stelle. Die Entscheidung über die Errichtung einer Fanpage sei keine über die Art, den Umfang und den Zweck der Datenverarbeitung durch Facebook. Die Klägerin entscheide nicht, auch nicht gemeinsam mit Facebook, wie mit den Daten der Nutzer umgegangen werde.

25: Es bestehe auch keine Mischform zwischen eigener und Auftragsdatenverarbeitung. § 3 Abs. 7 BDSG sehe nur die eigene Datenerhebung/-verarbeitung/-nutzung oder Auftragsdatenerhebung/-verarbeitung/-nutzung vor, jedoch keine Mischform.

26: Die Klägerin ist im Übrigen der Ansicht, dass durch Facebook eine ausreichende Unterrichtung über die Erhebung und Verwendung personenbezogener Daten gemäß § 13 Abs. 1 Satz 1 TMG erfolge. Die insoweit zuständige irische Datenschutzbehörde habe keine datenschutzrechtlichen Beanstandungen erhoben (Report of Audit, 21.12.2011, Seite 51 ff., www.dataprotection.ie).

27: Die Klägerin ist ferner der Ansicht, dass selbst wenn ein Verstoß gegen Datenschutzbestimmungen vorliege, die angegriffene Verfügung wegen Ermessensfehler aufzuheben sei.

28: Die Klägerin beantragt,

29: den Bescheid vom 10.11.2011 in der Fassung des Widerspruchsbescheides vom 25.11.2011 aufzuheben.

30: Der Beklagte beantragt,

31: die Klage abzuweisen.

32: Der Beklagte trägt vor: Die streitgegenständliche Anordnung beziehe sich nunmehr auf die neue Fanpage der Klägerin (www.facebook.com/mobilcomdebitel).

33: Die Klägerin sei Diensteanbieterin gemäß § 2 Satz 1 Nr. 1 TMG, so dass sie die Pflichten des Diensteanbieters gemäß § 13 Abs. 1 Satz 1 TMG und § 15 Abs. 3 Satz 2 TMG träfen.

34: Aus § 12 Abs. 1 und 2 TMG sei nicht ableitbar, dass der Diensteanbieter nicht für die Datenverarbeitung einer anderen Stelle verantwortlich sein könne. Vorliegend ergebe sich die Verantwortlichkeit für die Datenverarbeitung durch Facebook aus § 12 Abs. 3 TMG iVm § 3 Abs. 7 BDSG und Art. 2 d) RL 95/46/EG, wonach für die Verarbeitung Verantwortlicher sei, wer „allein oder gemeinsam mit anderen“ über Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheide. Die Klägerin entscheide in diesem Sinne gemeinsam mit Facebook über Zwecke und Mittel der Verarbeitung von personenbezogenen Daten. Durch das Anlegen der Fanpage unternehme die Klägerin den entscheidenden Schritt dafür, dass u. a. die IP-Adresse des Nutzers an Facebook geleitet werde. Die Fanpage stelle damit ein wesentliches Mittel zur Datenverarbeitung dar. Die Klägerin leiste einen willentlichen und adäquat kausalen Beitrag zu den datenschutzrechtlichen Verstößen durch Facebook. Die Beklagte verweist auf das Urteil des LG B-Stadt vom 06.03.2012 (- 16 O 551/10 -, juris), das in dem Fall, dass im Rahmen des Registrierungsprozesses bei Facebook Einladungs- und Erinnerungsmails an Personen aus der Kontaktliste des sich registrierenden Nutzers versendet werden, ausgeführt hat, die Versendung der Mails beruhe nicht allein auf dem Entschluss eines Dritten, also der einladenden Nutzer. Vielmehr handelten diese und Facebook als Mittäter gemäß § 830 Abs. 1 Satz 1 BGB, da sie bewusst und gewollt bei der Versendung der E-Mail zusammenwirkten: Die Nutzer stellten die erforderlichen Adressdaten, während Facebook die Erstellung der Mails und deren Versand übernehme. Der Beklagte ist der Auffassung, dass dieselben Grundsätze im Verhältnis zwischen dem Fanpage-Betreiber und Facebook zur Anwendung gelangen müssten.

35: Die Beigeladene beantragt,

36: den Bescheid vom 10.11.2011 in der Fassung des Widerspruchsbescheides vom 25.11.2011 aufzuheben.

37: Die Beigeladene teilt die Rechtsauffassung der Klägerin.

38: Der Bescheid vom 10.11.2011 in der Fassung des Widerspruchsbescheides vom 25.11.2011 sei bereits deshalb rechtswidrig, weil er durch die in der Anordnung ausdrücklich genannte Ermächtigungsgrundlage des § 38 Abs. 5 Satz 1 BDSG nicht gedeckt sei. § 38 Abs. 5 Satz 1 BDSG ermächtige zu Maßnahmen, die auf eine Veränderung eines Datenverarbeitungsvorganges bzw. auf Beseitigung von Mängeln innerhalb eines Datenverarbeitungsvorganges gerichtet seien. Die Untersagung eines Datenverarbeitungsvorganges oder gar die vollständige Beseitigung einer mit einem Datenverarbeitungsvorgang im Zusammenhang stehenden Infrastruktur könne gemäß § 38 Abs. 5 Satz 1 BDSG nicht angeordnet werden. Die streitige Anordnung komme in ihrer Wirkung jedoch einer vollständigen Untersagung gleich, so dass sie nicht auf § 38 Abs. 5 Satz 1 BDSG gestützt werden könne.

39: § 38 Abs. 5 Satz 1 und 2 BDSG regelten die behördlichen Eingriffsbefugnisse im Bereich des Datenschutzes als gestuftes Verfahren. Erst bei Fruchtlosigkeit von Maßnahmen nach § 38 Abs. 5 Satz 1 BDSG könne zu Maßnahmen nach § 38 Abs. 5 Satz 2 BDSG (Untersagungsanordnungen) gegriffen werden. Dieses abgestufte Verfahren habe der Beklagte nicht eingehalten. Ohnehin sei ein Austausch der Ermächtigungsgrundlage (§ 38 Abs. 5 Satz 2 BDSG statt § 38 Abs. 5 Satz 1 BDSG) unzulässig.

40: Zwar wäre nur sie, die Beigeladene, in der Lage, den Datenverarbeitungsvorgang zu modifizieren und insoweit sei die Klägerin nicht die richtige Adressatin für eine Anordnung nach § 38 Abs. 5 Satz 1 BDSG. Die Tatsache, dass der Beklagte die streitige Anordnung an eine völlig ungeeignete Stelle richte, könne ihn jedoch nicht von der Notwendigkeit befreien, das in § 38 Abs. 5 Satz 2 BDSG vorgesehene zweistufige Verfahren einzuhalten.

41: Die streitige Anordnung sei auch deshalb rechtswidrig, weil die Klägerin im Hinblick auf die Fanpage keine datenschutzrechtlich verantwortliche Stelle sei.

42: Adressat der Verpflichtungen in §§ 13, 15 TMG sei die datenschutzrechtlich verantwortliche Stelle gemäß § 12 Abs. 3 TMG iVm § 3 Abs. 7 BDSG und Art. 2 d) RL 95/46/EG. Fanpage-Betreiber seien keine datenschutzrechtlich verantwortliche Stelle, da sie nicht über Zwecke und Mittel der Datenverarbeitung (mit-)entscheiden würden.

43: Die Datenverarbeitung für die Insights-Funktion laufe unbeeinflusst von den Betreibern einer Fanpage ab. Diese hätten keine Entscheidungsbefugnis in Bezug auf die Zwecke und Mittel der Datenverarbeitung. Die Möglichkeit, eine Fanpage zu eröffnen, die Tatsache, dass dort Nutzeraktivitäten nachverfolgt werden, die Art der Verarbeitung dieser Daten und sogar, dass und wie diese aufbereitet und den Fanpage-Betreibern zur Verfügung gestellt würden, habe sie - die Beigeladene - bereits unabhängig vom einzelnen Fanpage-Betreiber entschieden und in ihrer Infrastruktur angelegt. Der Entscheidungsspielraum der Fanpage-Betreiber beschränke sich einzig und allein auf die Frage, ob sie eine Fanpage anlegten oder nicht. Diese Entscheidung, eine Fanpage anzulegen, sei allein nicht als Entscheidung über die „Zwecke und Mittel der Verarbeitung von personenbezogenen Daten“ anzusehen. Im Sinne des Art. 2 d) RL 95/46/EG genüge gerade nicht jede Entscheidung, die entfernt ursächlich für das Ergebnis einer Datenverarbeitung sein könne. Vielmehr müsse die Entscheidungsbefugnis die Möglichkeit einräumen, die Datenverarbeitung selbst zu kontrollieren. Wer keinen Einfluss auf die Entscheidung habe, warum und wie personenbezogene Daten verarbeitet würden, könne nicht als verantwortliche Stelle angesehen werden. Durch die Entscheidung, eine Fanpage anzulegen, blieben das „Wie“ und „Warum“ der Datenverarbeitung durch sie - die Beigeladene - unbeeinflusst. Es werde lediglich ein weiteres Analyseobjekt geschaffen, das sie zur Förderung der eigenen Geschäftstätigkeit routinemäßig in die Insights-Funktion aufnehme und auswerte, wie jede andere Fanpage auch. Dieser Befund werde dadurch unterstrichen, dass die Klägerin selbst zu keinem Zeitpunkt eine wie auch immer geartete Verfügungsgewalt über personenbezogene Daten oder die Mittel der Datenverarbeitung erhalte. Die Mittel der Datenverarbeitung lägen vollständig bei ihr - der Beigeladenen-. Zu keinem Zeitpunkt des Verarbeitungsprozesses bekomme die Klägerin Zugang zu diesen Mitteln oder zu den Daten der Nutzer. Die Klägerin habe keinerlei Einfluss darauf, welche Daten verarbeitet würden, welche Analysen durchgeführt würden oder wie die Ergebnisse aufbereitet würden. Die Analyseergebnisse, die sie schließlich enthalte, enthielten keine personenbezogenen Daten mehr.

44: Das durch den Beklagten mit der Terminologie „gemeinsame Zwecksetzung“ suggerierte Zusammenwirkung zwischen der Klägerin und ihr - der Beigeladenen - existiere nicht. Eine gemeinsame Zwecksetzung, wenn es sie denn tatsächlich gäbe, sei für eine gemeinsame Verantwortlichkeit ohnehin nicht ausreichend. Gemäß Art. 2 d) RL 95/46/EG sei nämlich die Entscheidung über „Zwecke und Mittel“ der Verarbeitung entscheidend, nicht über „Zwecke oder Mittel“. Die gemeinsame Zwecksetzung sei danach zwar eine notwendige, aber keine hinreichende Bedingung für das Vorliegen einer gemeinsamen Verantwortlichkeit. Auf die Mittel der Datenverarbeitung, insbesondere die im Netzwerk der Beigeladenen implementierte Insights-Funktion, habe die Klägerin aber keinen Einfluss.

45: Auch der vom Beklagten angestellte Vergleich zwischen dem Betreiben einer Fanpage bei Facebook mit dem Nutzer eines Werbenetzwerkes bzw. der Inanspruchnahme von Angeboten von Online-Inhalten, die Platz auf ihren Websites an Werbenetzbetreiber vermieten (sogenanntes „Behavioural Targeting“) überzeuge nicht. Die Situation des Betreibers einer Fanpage im Netzwerk von Facebook sei nicht mit dem Betrieb einer Website im Internet vergleichbar. Eine Fanpage entstehe gerade nicht im Internet, sondern im (Parallel-)Netzwerk der Beigeladenen. Ein Fanpage-Betreiber habe daher keine mit dem Betreiber einer Website vergleichbaren Gestaltungs- oder Entscheidungsmöglichkeiten, sondern sei gezwungen, sich an die Spielregeln der Beigeladenen zu halten. Die tatsächlichen Umstände seien somit völlig andere.

46: Soweit Art. 2 d) RL 95/46/EG die Möglichkeit einer gemeinsamen datenschutzrechtlichen Verantwortung vorsehe, setze diese selbstverständlich voraus, dass jeder gemeinsam Verantwortliche selbst in Bezug auf die Datenverarbeitung oder zumindest Teilaspekte davon die Voraussetzung von Art. 2 d) RL 95/46/EG erfülle.

47: Eine Gesamtverantwortung qua Zurechnung sehe Art. 2 d) RL 95/46/EG grundsätzlich nicht vor.

48: Es liege auch keine Auftragsdatenverarbeitung und keine einer Auftragsdatenverarbeitung vergleichbare Situation vor. Sie verarbeite keine personenbezogenen Daten im Auftrag der Klägerin. Soweit im Rahmen der Auftragsdatenverarbeitung ausnahmsweise ein fehlender Kontakt mit personenbezogenen Daten die Verantwortlichkeit des Auftraggebers nicht beeinträchtige, basiere dies darauf, dass der Auftraggeber über sein Weisungsrecht dennoch in der Lage sei, alle relevanten Entscheidungen zu treffen und die Datenverarbeitung zu kontrollieren. Ein solches Auftragsverhältnis mit einem Weisungsrecht und der Möglichkeit der Kontrolle über die Datenverarbeitung existiere im Verhältnis zwischen der Klägerin und ihr nicht. Die Klägerin bestimme nicht die Zwecke der Datenverarbeitung, sondern profitiere lediglich vom Ergebnis einer eigenständig initiierten Datenverarbeitung durch sie - die Beigeladene.

49: Auch die vom Beklagten konstruierte allgemeine Verantwortlichkeit vergleichbar einer „Störerhaftung“ könne die fehlende datenschutzrechtliche Verantwortung der Klägerin nicht ersetzen. Die Figur einer Verantwortlichkeit für Störungszustände sei dem Datenschutzrecht fremd. Der dem deutschen Polizei- und Ordnungsrecht entliehene Begriff der Störerhaftung finde keine Entsprechung in den europarechtlichen Harmonisierungsvorschriften für den Datenschutz. Vielmehr enthalte Art. 2 d) RL 95/46/EG eine eigene explizite Regelung der datenschutzrechtlichen Verantwortlichkeit. Danach sei allein derjenige Verantwortlicher im datenschutzrechtlichen Sinne, der eine Datenverarbeitung steuernd in den Händen halte, in dem er maßgeblich „über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheide“. Eine Verantwortlichkeit für „Störungszustände“ oder für eine Datenverarbeitung, für die allein ein Dritter verantwortlich ist, sei nicht vorgesehen.

50: Diese Definition der Verantwortlichkeit sei bei der Umsetzung der Datenschutzrichtlinie in nationales Recht nicht erweitert worden. Vielmehr sei § 3 Abs. 7 BDSG in Anlehnung an die Terminologie des Art. 2 d) RL 95/46/EG formuliert worden. Eine national-autonome Erweiterung auf „Nichtverantwortliche“ im Sinne der RL 95/46/EG sei also nicht beabsichtigt gewesen und wäre darüber hinaus europarechtlich unzulässig. Die Beigeladene nimmt insoweit auf ein Urteil des EuGH vom 24.11.2011 (C-468/10 und C-469/10) Bezug.

51: Die Beigeladene ist im Übrigen der Auffassung, dass ihre Datenverarbeitung dem allein maßgeblichen irischen materiellen Datenschutzrecht entspreche. Im Übrigen sei die streitige Anordnung auch ermessensfehlerhaft.

52: Für das weitere Vorbringen der Beteiligten sowie die Einzelheiten des Sachverhaltes wird auf die Schriftsätze der Beteiligten sowie auf den Verwaltungsvorgang, der dem Gericht vorgelegen hat, Bezug genommen.

Entscheidungsgründe

53: Die Klage ist zulässig und begründet.

54: Der Bescheid vom 10.11.2011 in der Fassung des Widerspruchsbescheides vom 25.11.2011 ist rechtswidrig und verletzt die Klägerin in ihren Rechten gemäß Art. 14 Abs. 1 GG (Eigentumsrecht, Recht am eingerichteten und ausgeübten Gewerbebetrieb) bzw. Art. 12 Abs. 1 Satz 2 GG (Freiheit der Berufsausübung), so dass er aufzuheben war (§ 113 VwGO).

55: Zunächst ist festzustellen, dass keine Hauptsacheerledigung dadurch eingetreten ist, dass sich die Adresse der Fanpage der Klägerin nach Erlass des Bescheides vom 10.11.2011 in der Fassung des Widerspruchsbescheides vom 25.11.2011 von … - wie in den Bescheiden benannt - zu … geändert hat.

56: Der Bescheid vom 10.11.2011 in der Fassung des Widerspruchsbescheides vom 25.11.2011 ist dahin auszulegen, dass die Anordnung zur Deaktivierung sich auf die jeweils von der Klägerin bei Facebook betriebene Fanpage, unabhängig von der Adressierung, bezieht.

57: Die an die Klägerin gerichtete Anordnung, ihre Fanpage bei Facebook zu deaktivieren, ist rechtswidrig.

58: In der streitigen Anordnung nach § 38 Abs. 5 Satz 1 BDSG geht es nicht um die datenschutzrechtliche Verantwortlichkeit der Klägerin für Inhalte der Fanpage und auch nicht um die Frage einer datenschutzrechtlichen Verantwortlichkeit einer von Facebook unabhängigen eigenen Datenerhebung und Datenverarbeitung betreffend die Nutzer ihrer Fanpage. In Rede steht die datenschutzrechtliche Verantwortlichkeit als Diensteanbieter von Telemedien gemäß § 13 Abs. 1 TMG und § 15 Abs. 3 Satz 2 TMG durch das Betreiben einer Fanpage bei Facebook als solches.

59: Insoweit ist eine datenschutzrechtliche (Mit-)Verantwortlichkeit der Klägerin für die mit der Eröffnung einer Fanpage ausgelösten Vorgänge der Erhebung, Verwendung und Verarbeitung personenbezogener Daten von Nutzern der Fanpage durch Facebook zu verneinen.

60: Da bereits aus diesem Grunde die Anordnung der Deaktivierung der Fanpage rechtswidrig ist, bedarf es keiner Entscheidung zum Verhältnis der Eingriffsermächtigungen des § 38 Abs. 5 Satz 1 und Satz 2 BDSG zueinander (offengelassen, ob ein abgestuftes Verfahren vorgesehen ist: OVG Schleswig, Beschluss vom 12.01.2011 - 4 MB 56/10 -, juris; Annahme eines abgestuften Verfahrens: Gola u. a., BDSG, München 2010, Rnr. 26 zu § 38 BDSG und Schaffland/ Wiltfang, BDSG, 2005, Rnr. 26 zu § 38 BDSG).

61: Für die oben beschriebene Erhebung, Verwendung und Verarbeitung personenbezogener Daten durch Facebook ist die Klägerin nicht (mit-) verantwortlich.

62: Zwar dürfte sie als Betreiberin einer Fanpage als Diensteanbieter iSd § 2 Satz 1 Nr. 1 TMG anzusehen sein, wonach Diensteanbieter jede natürliche oder juristische Person ist, die eigene oder fremde Telemedien zur Nutzung bereithält oder den Zugang zur Nutzung vermittelt (zur Qualifizierung von Fanpages als Telemedien: Ergebnisbericht der Arbeitsgruppe des AK I „Staatsrecht und Verwaltung“ zum Datenschutz in sozialen Netzwerken vom 04. April 2012, Seite 9; Wissenschaftlicher Dienst des Schleswig-Holsteinischen Landtages, Stellungnahme vom 24.11.2011 zur Facebook-Kampagne des ULD, S. 12, www.datenschutzzentrum.de; Inhaber eines geschäftlich genutzten Facebook-Accounts als Diensteanbieter von Telemedien: LG Aschaffenburg, Urteil vom 19.08.2011 - 2 HKO 54/11, 2 HKO 54/11 -, juris; offengelassen durch: OLG Düsseldorf, Beschluss vom 10.05.2012 - I-20 W 20/12 -, juris), jedoch fehlt der Klägerin die datenschutzrechtliche (Mit-)Verantwortlichkeit für die durch den Besuch einer Fanpage ausgelöste Erhebung, Verwendung und Verarbeitung personenbezogener Daten (im Folgenden zusammenfassend: Datenverarbeitung) durch die Beigeladene.

63: Die Beteiligten gehen zutreffend übereinstimmend davon aus, dass mit dem Begriff „Diensteanbieter“ im Sinne des Telemediengesetzes hinsichtlich der Verarbeitung personenbezogener Daten keine spezialgesetzliche Verantwortlichkeit abweichend von dem Begriff der verantwortlichen Stelle gemäß § 3 Abs. 7 BDSG bzw. Verantwortlicher im Sinne von Art. 2 d) der RL 95/46/EG (Datenschutzrichtlinie) geregelt wurde.

64: Die Richtlinie 2000/31/EG des Europäischen Parlaments und des Rates vom 08.06.2000 über bestimmte rechtliche Aspekte der Dienste der Informationsgesellschaft, insbesondere des elektronischen Geschäftsverkehrs, im Binnenmarkt („Richtlinie über den elektronischen Geschäftsverkehr“, E-Commerce-Richtlinie - ECRL -), die der Gesetzgeber mit dem Telemediengesetz (TMG) umsetzen wollte (vgl. Spindler u. a., Recht der elektronischen Medien, München 2008, Rdnr. 8 zu § 1 TMG) regelt in Art. 1 Abs. 5 b) ausdrücklich, dass diese Richtlinie keine Anwendung findet auf Fragen betreffend die Dienste der Informationsgesellschaft, die von der RL 95/46/EG und RL 97/66/EG erfasst werden. Der Erwägungsgrund Nr. 14 zur ECRL-Richtlinie besagt ausdrücklich, dass der Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten ausschließlich Gegenstand der Richtlinie 95/46/EG und der Richtlinie 97/66/EG ist, die uneingeschränkt auf die Dienste der Informationsgesellschaft anwendbar seien.

65: Dementsprechend richtet sich die datenschutzrechtliche Verantwortlichkeit für die Verarbeitung personenbezogener Daten ausschließlich nach § 12 Abs. 3 TMG iVm § 3 Abs. 7 BDSG und Art. 2 d) RL 95/46/EG.

66: Da das Telemediengesetz keine von den vorgenannten Vorschriften abweichende Verantwortlichkeit bei der Verarbeitung personenbezogener Daten schafft, bedarf es an dieser Stelle keiner Entscheidung, ob eine davon abweichende national-gesetzliche Definition der Verantwortlichkeit überhaupt zulässig wäre (in Frage käme hier die entsprechende Anwendung der Grundsätze, die der EuGH mit seinem Urteil vom 24.11.2011 -, C-468/10 und C-469/10, curia.europa.eu/juris, zur Unzulässigkeit der Abweichung von in Art. 7 RL 95/46/EG abschließend geregelten Datenverarbeitungsgrundsätzen aufgestellt hat).

67: Eine (Mit-)Verantwortlichkeit der Klägerin für die Verarbeitung personenbezogener Daten der Nutzer der Fanpage besteht nicht.

68: Die Klägerin ist nicht verantwortliche Stelle iSd § 3 Abs. 7 BDSG.

69: Danach ist verantwortliche Stelle jede Person oder Stelle, die personenbezogene Daten für sich selbst erhebt, verarbeitet oder nutzt oder dies durch einen anderen im Auftrag vornehmen lässt.

70: Da das Bundesdatenschutzgesetz die RL 95/46/EG des Europäischen Parlaments und des Rates vom 24.10.1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutzrichtlinie) umsetzt, ist die Regelung in § 3 Abs. 7 BDSG im Lichte dieser Richtlinie auszulegen. Nach Art. 2 d) RL 95/46/EG ist „für die Verarbeitung Verantwortlicher“ die natürliche oder juristische Person, Behörde, Einrichtung oder jede andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.

71: Im Hinblick auf die mit der Nutzung einer Fanpage ausgelöste Verarbeitung personenbezogener Daten kann weder von einer eigenen Datenverarbeitung durch die Klägerin noch davon gesprochen werden, dass diese die betreffende Datenverarbeitung durch die Beigeladene aufgrund eines Auftrages vornehmen lasse.

72: Der Nutzer einer Fanpage der Klägerin bei Facebook ruft unmittelbar eine Facebook-Seite auf, so dass personenbezogene Daten ausschließlich vom Nutzer direkt zu Facebook gelangen. Insoweit unterscheidet sich die Konstellation bei Fanpages von dem Fall, dass Anbieter von Online-Inhalten ihre Internetseite so konfigurieren, dass ein Besucher dieser Seite automatisch zur Webseite des Betreibers eines Werbenetzwerkes umgeleitet wird, womit der Anbieter von Online-Inhalten die Übermittlung der IP-Adresse auslöst und hierfür den ersten erforderlichen Schritt zur Ermöglichung der folgenden Datenverarbeitung, die der Betreiber des Werbenetzwerkes ausübt, macht, wofür die Art.-29-Datenschutzgruppe der EU in der Stellungnahme 2/2010 zur Werbung auf Basis von Behavioural Targeting vom 22.06.2010, Seite 14 (www.ec.europa.eu/justice), eine gewisse Verantwortung für die Datenverarbeitung auch dem Anbieter von Online-Inhalten zusprechen möchte.

73: In der vorliegend zur Beurteilung anstehenden Konstellation der Nutzung einer Fanpage kommt die Klägerin mit ihrem operativen Instrumentarium demgegenüber in keinerlei direkten Kontakt zu dem Nutzer der Fanpage und dessen personenbezogenen Daten (wobei offenbleiben kann, ob und ggf. unter welchen Voraussetzungen eine IP-Adresse ein personenbezogenes Datum ist: vgl. hierzu Wissenschaftlicher Dienst des Schleswig-Holsteinischen Landtages, Stellungnahme vom 24.11.2011 zur „Facebook-Kampagne“ des ULD, Seite 4, Schleswig-Holsteinischer Landtag Umdruck 17/2988, www.landtag.ltsh.de/infothek/wahl17/umdrucke/2900/umdruck-17-2988.pdf ; ders., a. a.O. S. 7 ff., zur Frage, ob die von Facebook gesetzten Cookies personenbezogene Daten sind).

74: Dieser fehlende Kontakt der Klägerin zu personenbezogenen Daten der Nutzer der Fanpage schlösse ihre datenschutzrechtliche Verantwortlichkeit gemäß § 3 Abs. 7 BDSG und Art. 2 d) RL 95/46/EG nicht aus, wenn ein Fall der Auftragsdatenverarbeitung der Beigeladenen für die Klägerin iSd § 11 Abs. 1 Satz 1 BDSG vorläge. Dies ist jedoch nicht der Fall.

75: § 11 Abs. 1 Satz 1 BDSG bestimmt, dass in dem Falle, dass personenbezogene Daten im Auftrag durch andere Stellen erhoben, verarbeitet oder genutzt werden, der Auftraggeber für die Einhaltung der Vorschriften des BDSG und anderer Vorschriften über den Datenschutz verantwortlich ist. Art. 2 e) RL 95/46/EG bestimmt, dass „Auftragsverarbeiter“ die natürliche oder juristische Person, Behörde, Einrichtung oder jede andere Stelle ist, die personenbezogene Daten im Auftrag des für die Verarbeitung Verantwortlichen verarbeitet.

76: Die Beigeladene ist jedoch hinsichtlich der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten der Nutzer der Fanpage keine Auftragnehmerin der Klägerin.

77: Ein Auftragsverhältnis zwischen der Klägerin und der Beigeladenen besteht insoweit nicht. Es ist nicht feststellbar, dass insoweit in irgendeiner Weise eine vertragliche Beziehung zwischen der Klägerin und der Beigeladenen besteht. Die vertragliche Beziehung ist auf das Zurverfügungstellen der Fanpage durch die Beigeladene an die Klägerin entsprechend den Nutzungsbedingungen der Beigeladenen beschränkt.

78: Die Erhebung, Verwendung und Verarbeitung personenbezogener Daten von Nutzern der Fanpage durch die Beigeladene ist nicht Gegenstand dieser Vereinbarung.

79: Soweit die Beigeladene der Klägerin den kostenlosen Dienst „Insights“ zur Verfügung stellt, handelt es sich lediglich um eine unabhängig von einem Auftrag ausgeführte statistische Auswertung der Nutzung der Fanpage mit dem Ergebnis von anonymisiertem Statistikmaterial (insoweit ebenfalls die Annahme einer Auftragsdatenverarbeitung durch Facebook ablehnend: Wissenschaftlicher Dienst des Deutschen Bundestages, Die Verletzung datenschutzrechtlicher Bestimmungen durch sogenannte Facebook-Fanpages und Social-Plugins, 07.10.2011, S. 9, www.datenschutzzentrum.de/facebook/material/-WissDienst-BT-Facebook-UL; ebenso: Wissenschaftlicher Dienst des Schleswig-Holsteinischen Landtages, 24.11.2011, S. 17 f., a.a.O.). Das für die Annahme eines Auftragsverhältnisses wesentliche Element eines vertraglichen Weisungsrechtes fehlt im Vertragsverhältnis zwischen der Klägerin und der Beigeladenen. Die Klägerin ist nicht „Herrin der Daten“ (vgl. zu diesem Begriff für den Auftraggeber einer Auftragsdatenverarbeitung: Gola u. a., BDSG, München 2010, Rnr. 50 zu § 3 BDSG).

80: Damit kann die Klägerin nicht als datenschutzrechtlich Verantwortliche für eine Auftragsdatenverarbeitung durch die Beigeladene iSd § 11 Abs. 1 Satz 1 BDSG bzw. Art. 2 e) RL 95/46/EG angesehen werden.

81: Die Klägerin ist auch nicht unter dem Gesichtspunkt verantwortliche Stelle gemäß § 3 Abs. 7 1. Alt. BDSG und Art. 2 d) RL 95/46/EG, dass sie „gemeinsam mit anderen“ über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheiden würde.

82: Die Regelung in § 3 Abs. 7 1. Alt. BDSG ist im Lichte von Art. 2 d) RL 95/46/EG auszulegen, der den für die Verarbeitung Verantwortlichen als jede Stelle definiert, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.

83: Die Klägerin entscheidet entgegen der Auffassung des Beklagten mit dem Bereitstellen einer Fanpage bei der Beigeladenen jedoch nicht mit der Beigeladenen zusammen über Zwecke und Mittel der Verarbeitung von personenbezogenen Daten.

84: Vorliegend bedarf es keiner Entscheidung, ob für die Annahme einer datenschutzrechtlichen Verantwortlichkeit gemäß Art. 2 d) RL 95/46/EG aufgrund des Wortlautes „über die Zweckeund Mittel der Verarbeitung … entscheidet“ die (allein oder gemeinsam mit anderen getroffene) Entscheidung sowohl über die Zwecke als auch über die Mittel vorausgesetzt wird (vgl. demgegenüber Art.-29-Datenschutzgruppe, Stellungnahme 1/2010 zu den Begriffen „Für die Verarbeitung Verantwortlicher“ und „Auftragsverarbeitung“ vom 16.02.2010 - WP 169 -, Seite 17, wonach es möglich erscheine, dass ausschließlich der Auftragsverarbeiter über die technischen und organisatorischen Mittel entscheide). Denn vorliegend fehlt es sowohl hinsichtlich der Zwecke als auch der Mittel der Verarbeitung von personenbezogenen Daten der Nutzer der Fanpage der Klägerin an einer für diese allein oder gemeinsam mit der Beigeladenen bestehenden Entscheidungsgewalt.

85: Die Zwecke und Mittel der Verarbeitung der betreffenden personenbezogenen Daten werden ausschließlich von der Beigeladenen bestimmt. Die Entscheidung der Klägerin beschränkt sich auf die Annahme eines für sie unabänderlichen Angebotes, die Fanpage einzurichten und mit Inhalten zu füllen oder nicht. Durch die Annahme dieses Angebotes und die Einrichtung einer Fanpage bestimmt die Klägerin nicht Zwecke und Mittel der Verarbeitung von personenbezogenen Daten der Nutzer der Fanpage. Allein die Entscheidung über die Eröffnung einer Fanpage führt daher nicht zur Begründung einer datenschutzrechtlichen Verantwortlichkeit der Klägerin (vgl. Wissenschaftlicher Dienst des Schleswig-Holsteinischen Landtages, Stellungnahme zur Facebook-Kampagne des ULD vom 24.11.2011, Seite 18; a.A. Polenz, Die Datenverarbeitung durch und via Facebook auf dem Prüfstand, VuR 2012, 207, 211).

86: Die datenschutzrechtliche Verantwortlichkeit in Bezug auf die Verarbeitung personenbezogener Daten richtet sich ausschließlich nach der abschließenden Regelung in § 3 Abs. 7 BDSG, der im Lichte des Art. 2 d) RL 95/46/EG auszulegen ist.

87: Grundvoraussetzung für die nach diesen Vorschriften sich ergebende datenschutzrechtliche Verantwortlichkeit ist der tatsächliche und/oder rechtliche Einfluss der Stelle in Bezug auf die Verarbeitung personenbezogener Daten, die bei einer eigenen Datenverarbeitung oder einer gemeinsamen mit einem anderen durchgeführten arbeitsteiligen Datenverarbeitung und bei einer Auftragsdatenverarbeitung aufgrund des Weisungsrechtes des Auftraggebers hinsichtlich der Datenverarbeitung gegeben ist. Eine Stelle, die weder einen rechtlichen noch einen tatsächlichen Einfluss auf die Entscheidung betreffend die Verarbeitung personenbezogener Daten hat, kann nicht als für die Verarbeitung Verantwortlicher angesehen werden (Art.-29-Datenschutzgruppe, Stellungnahme 1/2010 vom 16.02.2010 - WP 169 -, Seite 15).

88: Mangels eines tatsächlichen oder rechtlichen Einflusses auf die Verarbeitung personenbezogener Daten der Nutzer der Fanpage ist die Klägerin keine für die Verarbeitung personenbezogener Daten verantwortliche Stelle.

89: Mit § 3 Abs. 7 BDSG und Art. 2 d) RL 95/46/EG ist eine abschließende Regelung betreffend die datenschutzrechtliche Verantwortlichkeit für die Verarbeitung personenbezogener Daten gegeben. Diese Regelung der Verantwortlichkeit kann nicht durch den Rückgriff auf Zurechnungsnormen des Privatrechtes oder des allgemeinen Polizei- und Ordnungsrechtes ausgeweitet werden.

90: Als Schuldner eines deliktischen Schadensersatzanspruches kommt im gewerblichen Rechtsschutz- und Wettbewerbsrecht ebenso wie im bürgerlichen Recht der Täter, Mittäter (§ 830 Abs. 1 Satz 1 BGB) oder Teilnehmer (§ 830 Abs. 2 BGB) der unerlaubten Handlung sowie daneben derjenige in Betracht, dem das Verhalten des Handelnden zuzurechnen ist (vgl. BGH, Urteil vom 18.10.2001 - 1 ZR 22/99 -, juris). Darüber hinaus eröffnet die Störerhaftung die Möglichkeit, auch denjenigen in Anspruch zu nehmen, der - ohne Täter oder Teilnehmer zu sein - in irgendeiner Weise willentlich und adäquat kausal zur Verletzung eines geschützten Gutes oder zu einer verbotenen Handlung beigetragen hat (BGH, aaO; BGH, Urteil vom 15.08.2013 - I ZR 80/12 -, juris, Prüfpflicht eines Speicherplatzproviders). Diese Störerhaftung, die ihre Grundlage nicht im Deliktsrecht, sondern in der Regelung über die Besitz- und die Eigentumsstörung in § 862 und § 1004 BGB hat, vermittelt dagegen nur Abwehransprüche.

91: Diese speziell auf das Zivilrecht ausgerichteten Zurechnungsnormen können vorliegend nicht zur Anwendung gebracht werden, da die datenschutzrechtliche Verantwortlichkeit abschließend in § 3 Abs. 7 BDSG und Art. 2 d) RL 95/46/EG geregelt ist.

92: Aus dem gleichen Grunde scheidet auch ein Rückgriff auf die Grundsätze der Störerhaftung (§ 218 LVwG SH Verhaltensstörer, § 219 LVwG SH Zustandsstörer) und die Grundsätze über die Inanspruchnahme von Nichtstörern (vgl. § 220 LVwG SH) aus (vgl. aber zur Inanspruchnahme eines Domain-Registrars als Nichtstörer durch Ordnungsverfügung nach dem Glückspielstaatsvertrag: OVG Nordrhein-Westfalen, Beschluss vom 26.01.2010 - 13 B 760/09 -, juris; vgl. für eine Sperrungsanordnung gegen den Access-Provider aufgrund des Glücksspielstaatsvertrages mit Rückgriff auf den Störerbegriff des allgemeinen Polizei- und Ordnungsrechts: VG Düsseldorf, Urteil vom 29.11.2011 - 27 K 5887/10 -, juris; vgl. auch VG Köln, Urteil vom 15.12.2011 - 6 K 5404/10 -, juris; vgl. zu einer Sperrverfügung nach dem Medienstaatsvertrag gegen Nichtverantwortliche aufgrund spezialrechtlicher Regelung: VG Düsseldorf, Beschluss vom 19.12.2002 - 15 L 4148/02 -, juris).

93: Genauso wie Art. 7 der RL 95/46/EG eine erschöpfende und abschließende Liste der Fälle vorsieht, in denen eine Verarbeitung personenbezogener Daten als rechtmäßig angesehen werden kann und daher die Einführung von schärferen oder liberaleren Grundsätzen durch nationales Recht ausgeschlossen ist (vgl. EuGH, Urteil vom 24.11.2011 - C-468/10 und C-469/10, aaO) ist auch die Regelung der datenschutzrechtlichen Verantwortlichkeit in Art. 2 d) RL 95/46/EG erschöpfend und abschließend geregelt, so dass keine Begründung der datenschutzrechtlichen Verantwortlichkeit über die entsprechende Anwendung der Grundsätze des allgemeinen Polizei- und Ordnungsrechtes insbesondere auch betreffend die Verantwortlichkeit von Nichtstörern im Bereich des materiellen Datenschutzrechtes zulässig ist.

94: Die Kostenentscheidung folgt aus § 154 Abs. 1 VwGO.

95: Die außergerichtlichen Kosten der Beigeladenen sind erstattungsfähig, da diese sich durch einen eigenen Sachantrag am Kostenrisiko des Prozesses beteiligt hat (§ 154 Abs. 3 VwGO iVm § 162 Abs. 3 VwGO).

96: Die Entscheidung über die vorläufige Vollstreckbarkeit beruht auf § 167 VwGO iVm §§ 708 Nr. 11, 711 ZPO.

97: Die Berufung ist gemäß § 124 a Abs. 1 Satz 1 VwGO iVm § 124 Abs. 2 Nr. 3 VwGO wegen der grundsätzlichen Bedeutung der Rechtssache zugelassen worden.

ra.de-Urteilsbesprechung zu Schleswig-Holsteinisches Verwaltungsgericht Urteil, 09. Okt. 2013 - 8 A 218/11

Urteilsbesprechung schreiben

0 Urteilsbesprechungen zu Schleswig-Holsteinisches Verwaltungsgericht Urteil, 09. Okt. 2013 - 8 A 218/11

Referenzen - Gesetze

Schleswig-Holsteinisches Verwaltungsgericht Urteil, 09. Okt. 2013 - 8 A 218/11 zitiert 19 §§.

(1) Der unterliegende Teil trägt die Kosten des Verfahrens. (2) Die Kosten eines ohne Erfolg eingelegten Rechtsmittels fallen demjenigen zur Last, der das Rechtsmittel eingelegt hat. (3) Dem Beigeladenen können Kosten nur auferlegt werden, we

VwGO

Für vorläufig vollstreckbar ohne Sicherheitsleistung sind zu erklären:1.Urteile, die auf Grund eines Anerkenntnisses oder eines Verzichts ergehen;2.Versäumnisurteile und Urteile nach Lage der Akten gegen die säumige Partei gemäß § 331a;3.Urteile, dur

(1) Soweit sich aus diesem Gesetz nichts anderes ergibt, gilt für die Vollstreckung das Achte Buch der Zivilprozeßordnung entsprechend. Vollstreckungsgericht ist das Gericht des ersten Rechtszugs. (2) Urteile auf Anfechtungs- und Verpflichtungskl

(1) Gegen Endurteile einschließlich der Teilurteile nach § 110 und gegen Zwischenurteile nach den §§ 109 und 111 steht den Beteiligten die Berufung zu, wenn sie von dem Verwaltungsgericht oder dem Oberverwaltungsgericht zugelassen wird. (2) Die B

(1) Das Eigentum und das Erbrecht werden gewährleistet. Inhalt und Schranken werden durch die Gesetze bestimmt. (2) Eigentum verpflichtet. Sein Gebrauch soll zugleich dem Wohle der Allgemeinheit dienen. (3) Eine Enteignung ist nur zum Wohle der All

(1) Kosten sind die Gerichtskosten (Gebühren und Auslagen) und die zur zweckentsprechenden Rechtsverfolgung oder Rechtsverteidigung notwendigen Aufwendungen der Beteiligten einschließlich der Kosten des Vorverfahrens. (2) Die Gebühren und Auslage

(1) Alle Deutschen haben das Recht, Beruf, Arbeitsplatz und Ausbildungsstätte frei zu wählen. Die Berufsausübung kann durch Gesetz oder auf Grund eines Gesetzes geregelt werden. (2) Niemand darf zu einer bestimmten Arbeit gezwungen werden, außer im

(1) Wird das Eigentum in anderer Weise als durch Entziehung oder Vorenthaltung des Besitzes beeinträchtigt, so kann der Eigentümer von dem Störer die Beseitigung der Beeinträchtigung verlangen. Sind weitere Beeinträchtigungen zu besorgen, so kann der

BDSG

(1) Haben mehrere durch eine gemeinschaftlich begangene unerlaubte Handlung einen Schaden verursacht, so ist jeder für den Schaden verantwortlich. Das Gleiche gilt, wenn sich nicht ermitteln lässt, wer von mehreren Beteiligten den Schaden durch seine

TMG

Die Verarbeitung personenbezogener Daten durch eine öffentliche Stelle ist zulässig, wenn sie zur Erfüllung der in der Zuständigkeit des Verantwortlichen liegenden Aufgabe oder in Ausübung öffentlicher Gewalt, die dem Verantwortlichen übertragen wurd

(1) Wird der Besitzer durch verbotene Eigenmacht im Besitz gestört, so kann er von dem Störer die Beseitigung der Störung verlangen. Sind weitere Störungen zu besorgen, so kann der Besitzer auf Unterlassung klagen. (2) Der Anspruch ist ausgeschlo

Im Sinne dieses Gesetzes1.ist Diensteanbieter jede natürliche oder juristische Person, die eigene oder fremde Telemedien zur Nutzung bereithält oder den Zugang zur Nutzung vermittelt,2.ist niedergelassener Diensteanbieter jeder Anbieter, der mittels

Referenzen - Urteile

Urteil einreichen

Schleswig-Holsteinisches Verwaltungsgericht Urteil, 09. Okt. 2013 - 8 A 218/11 zitiert oder wird zitiert von 2 Urteil(en).

Schleswig-Holsteinisches Verwaltungsgericht Urteil, 09. Okt. 2013 - 8 A 218/11 zitiert 2 Urteil(e) aus unserer Datenbank.

bei uns veröffentlicht am 15.08.2013

Bundesgerichtshof

BUNDESGERICHTSHOF IM NAMEN DES VOLKES URTEIL I ZR 80/12 Verkündet am: 15. August 2013 Führinger Justizangestellte als Urkundsbeamtin der Geschäftsstelle in dem Rechtsstreit Nachschlagewerk: ja BGHZ: nein B

bei uns veröffentlicht am 12.01.2011

Schleswig Holsteinisches Oberverwaltungsgericht

Tenor Die Beschwerde gegen den Beschluss des Schleswig-Holsteinischen Verwaltungsgerichts - 14. Kammer - vom 01. Oktober 2010 wird zurückgewiesen. Der Antragsteller trägt die Kosten des Beschwerdeverfahrens. Die außergerichtlichen Kosten de

RechtsgebieteBaugenehmigung Bebauungsplan Nutzungsuntersagung und -änderung andere Verwaltungsrecht

Referenzen

Telemediengesetz - TMG | § 2 Begriffsbestimmungen

Im Sinne dieses Gesetzes

1.

ist Diensteanbieter jede natürliche oder juristische Person, die eigene oder fremde Telemedien zur Nutzung bereithält oder den Zugang zur Nutzung vermittelt,

2.

ist niedergelassener Diensteanbieter jeder Anbieter, der mittels einer festen Einrichtung auf unbestimmte Zeit Telemedien geschäftsmäßig anbietet oder erbringt; der Standort der technischen Einrichtung allein begründet keine Niederlassung des Anbieters,

2a.

ist drahtloses lokales Netzwerk ein Drahtloszugangssystem mit geringer Leistung und geringer Reichweite sowie mit geringem Störungsrisiko für weitere, von anderen Nutzern in unmittelbarer Nähe installierte Systeme dieser Art, welches nicht exklusive Grundfrequenzen nutzt,

3.

ist Nutzer jede natürliche oder juristische Person, die Telemedien nutzt, insbesondere um Informationen zu erlangen oder zugänglich zu machen,

4.

sind Verteildienste Telemedien, die im Wege einer Übertragung von Daten ohne individuelle Anforderung gleichzeitig für eine unbegrenzte Anzahl von Nutzern erbracht werden,

5.

ist kommerzielle Kommunikation jede Form der Kommunikation, die der unmittelbaren oder mittelbaren Förderung des Absatzes von Waren, Dienstleistungen oder des Erscheinungsbilds eines Unternehmens, einer sonstigen Organisation oder einer natürlichen Person dient, die eine Tätigkeit im Handel, Gewerbe oder Handwerk oder einen freien Beruf ausübt; die Übermittlung der folgenden Angaben stellt als solche keine Form der kommerziellen Kommunikation dar:

a): Angaben, die unmittelbaren Zugang zur Tätigkeit des Unternehmens oder der Organisation oder Person ermöglichen, wie insbesondere ein Domain-Name oder eine Adresse der elektronischen Post,
b): Angaben in Bezug auf Waren und Dienstleistungen oder das Erscheinungsbild eines Unternehmens, einer Organisation oder Person, die unabhängig und insbesondere ohne finanzielle Gegenleistung gemacht werden; dies umfasst auch solche unabhängig und insbesondere ohne finanzielle Gegenleistung oder sonstige Vorteile von natürlichen Personen gemachten Angaben, die eine unmittelbare Verbindung zu einem Nutzerkonto von weiteren natürlichen Personen bei Diensteanbietern ermöglichen,

6.

sind audiovisuelle Mediendienste

a): audiovisuelle Mediendienste auf Abruf und
b): die audiovisuelle kommerzielle Kommunikation,

7.

ist audiovisueller Mediendiensteanbieter ein Anbieter von audiovisuellen Mediendiensten,

8.

sind audiovisuelle Mediendienste auf Abruf nichtlineare audiovisuelle Mediendienste, bei denen der Hauptzweck des Dienstes oder eines trennbaren Teils des Dienstes darin besteht, unter der redaktionellen Verantwortung eines audiovisuellen Mediendiensteanbieters der Allgemeinheit Sendungen zur Information, Unterhaltung oder Bildung zum individuellen Abruf zu einem vom Nutzer gewählten Zeitpunkt bereitzustellen,

9.

ist audiovisuelle kommerzielle Kommunikation jede Form der Kommunikation mit Bildern mit oder ohne Ton, die einer Sendung oder einem nutzergenerierten Video gegen Entgelt oder gegen eine ähnliche Gegenleistung oder als Eigenwerbung beigefügt oder darin enthalten ist, wenn die Kommunikation der unmittelbaren oder mittelbaren Förderung des Absatzes von Waren und Dienstleistungen oder der Förderung des Erscheinungsbilds natürlicher oder juristischer Personen, die einer wirtschaftlichen Tätigkeit nachgehen, dient, einschließlich Sponsoring und Produktplatzierung,

10.

sind Videosharingplattform-Dienste

a): Telemedien, bei denen der Hauptzweck oder eine wesentliche Funktion darin besteht, Sendungen oder nutzergenerierte Videos, für die der Diensteanbieter keine redaktionelle Verantwortung trägt, der Allgemeinheit bereitzustellen, wobei der Diensteanbieter die Organisation der Sendungen und der nutzergenerierten Videos, auch mit automatischen Mitteln, bestimmt,
b): trennbare Teile von Telemedien, wenn für den trennbaren Teil der in Buchstabe a genannte Hauptzweck vorliegt,

11.

ist Videosharingplattform-Anbieter ein Diensteanbieter, der Videosharingplattform-Dienste betreibt,

12.

ist redaktionelle Verantwortung die Ausübung einer wirksamen Kontrolle hinsichtlich der Zusammenstellung der Sendungen und ihrer Bereitstellung mittels eines Katalogs,

13.

ist Sendung eine Abfolge von bewegten Bildern mit oder ohne Ton, die unabhängig von ihrer Länge Einzelbestandteil eines von einem Diensteanbieter erstellten Sendeplans oder Katalogs ist,

14.

ist nutzergeneriertes Video eine von einem Nutzer erstellte Abfolge von bewegten Bildern mit oder ohne Ton, die unabhängig von ihrer Länge einen Einzelbestandteil darstellt und die von diesem oder einem anderen Nutzer auf einen Videosharingplattform-Dienst hochgeladen wird,

15.

ist Mitgliedstaat jeder Mitgliedstaat der Europäischen Union und jeder andere Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum, für den die Richtlinie 2010/13/EU des Europäischen Parlaments und des Rates vom 10. März 2010 zur Koordinierung bestimmter Rechts- und Verwaltungsvorschriften der Mitgliedstaaten über die Bereitstellung audiovisueller Mediendienste (Richtlinie über audiovisuelle Mediendienste) (ABl. L 95 vom 15.4.2010, S. 1; L 263 vom 6.10.2010, S. 15), die durch die Richtlinie (EU) 2018/1808 (ABl. L 303 vom 28.11.2018, S. 69) geändert worden ist, gilt,

16.

ist Drittstaat jeder Staat, der nicht Mitgliedstaat ist,

17.

ist Mutterunternehmen ein Unternehmen, das ein oder mehrere Tochterunternehmen kontrolliert,

18.

ist Tochterunternehmen ein Unternehmen, das unmittelbar oder mittelbar von einem Mutterunternehmen kontrolliert wird,

19.

ist Gruppe die Gesamtheit von Mutterunternehmen, allen seinen Tochterunternehmen und allen anderen mit dem Mutterunternehmen und seinen Tochterunternehmen wirtschaftlich und rechtlich verbundenen Unternehmen.

Einer juristischen Person steht eine Personengesellschaft gleich, die mit der Fähigkeit ausgestattet ist, Rechte zu erwerben und Verbindlichkeiten einzugehen.

Bundesdatenschutzgesetz - BDSG 2018 | § 3 Verarbeitung personenbezogener Daten durch öffentliche Stellen

Bundesdatenschutzgesetz - BDSG 2018 | § 38 Datenschutzbeauftragte nichtöffentlicher Stellen

(1) Ergänzend zu Artikel 37 Absatz 1 Buchstabe b und c der Verordnung (EU) 2016/679 benennen der Verantwortliche und der Auftragsverarbeiter eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten, soweit sie in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. Nehmen der Verantwortliche oder der Auftragsverarbeiter Verarbeitungen vor, die einer Datenschutz-Folgenabschätzung nach Artikel 35 der Verordnung (EU) 2016/679 unterliegen, oder verarbeiten sie personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung, haben sie unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Personen eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten zu benennen.

(2) § 6 Absatz 4, 5 Satz 2 und Absatz 6 finden Anwendung, § 6 Absatz 4 jedoch nur, wenn die Benennung einer oder eines Datenschutzbeauftragten verpflichtend ist.

Bundesdatenschutzgesetz - BDSG 2018 | § 3 Verarbeitung personenbezogener Daten durch öffentliche Stellen

Telemediengesetz - TMG | § 2 Begriffsbestimmungen

Im Sinne dieses Gesetzes

1.

ist Diensteanbieter jede natürliche oder juristische Person, die eigene oder fremde Telemedien zur Nutzung bereithält oder den Zugang zur Nutzung vermittelt,

2.

2a.

3.

ist Nutzer jede natürliche oder juristische Person, die Telemedien nutzt, insbesondere um Informationen zu erlangen oder zugänglich zu machen,

4.

sind Verteildienste Telemedien, die im Wege einer Übertragung von Daten ohne individuelle Anforderung gleichzeitig für eine unbegrenzte Anzahl von Nutzern erbracht werden,

5.

a): Angaben, die unmittelbaren Zugang zur Tätigkeit des Unternehmens oder der Organisation oder Person ermöglichen, wie insbesondere ein Domain-Name oder eine Adresse der elektronischen Post,
b): Angaben in Bezug auf Waren und Dienstleistungen oder das Erscheinungsbild eines Unternehmens, einer Organisation oder Person, die unabhängig und insbesondere ohne finanzielle Gegenleistung gemacht werden; dies umfasst auch solche unabhängig und insbesondere ohne finanzielle Gegenleistung oder sonstige Vorteile von natürlichen Personen gemachten Angaben, die eine unmittelbare Verbindung zu einem Nutzerkonto von weiteren natürlichen Personen bei Diensteanbietern ermöglichen,

6.

sind audiovisuelle Mediendienste

a): audiovisuelle Mediendienste auf Abruf und
b): die audiovisuelle kommerzielle Kommunikation,

7.

ist audiovisueller Mediendiensteanbieter ein Anbieter von audiovisuellen Mediendiensten,

8.

9.

10.

sind Videosharingplattform-Dienste

a): Telemedien, bei denen der Hauptzweck oder eine wesentliche Funktion darin besteht, Sendungen oder nutzergenerierte Videos, für die der Diensteanbieter keine redaktionelle Verantwortung trägt, der Allgemeinheit bereitzustellen, wobei der Diensteanbieter die Organisation der Sendungen und der nutzergenerierten Videos, auch mit automatischen Mitteln, bestimmt,
b): trennbare Teile von Telemedien, wenn für den trennbaren Teil der in Buchstabe a genannte Hauptzweck vorliegt,

11.

ist Videosharingplattform-Anbieter ein Diensteanbieter, der Videosharingplattform-Dienste betreibt,

12.

ist redaktionelle Verantwortung die Ausübung einer wirksamen Kontrolle hinsichtlich der Zusammenstellung der Sendungen und ihrer Bereitstellung mittels eines Katalogs,

13.

ist Sendung eine Abfolge von bewegten Bildern mit oder ohne Ton, die unabhängig von ihrer Länge Einzelbestandteil eines von einem Diensteanbieter erstellten Sendeplans oder Katalogs ist,

14.

15.

16.

ist Drittstaat jeder Staat, der nicht Mitgliedstaat ist,

17.

ist Mutterunternehmen ein Unternehmen, das ein oder mehrere Tochterunternehmen kontrolliert,

18.

ist Tochterunternehmen ein Unternehmen, das unmittelbar oder mittelbar von einem Mutterunternehmen kontrolliert wird,

19.

Einer juristischen Person steht eine Personengesellschaft gleich, die mit der Fähigkeit ausgestattet ist, Rechte zu erwerben und Verbindlichkeiten einzugehen.

Bundesdatenschutzgesetz - BDSG 2018 | § 3 Verarbeitung personenbezogener Daten durch öffentliche Stellen

Bundesdatenschutzgesetz - BDSG 2018 | § 11 Ernennung und Amtszeit

(1) Der Deutsche Bundestag wählt ohne Aussprache auf Vorschlag der Bundesregierung die Bundesbeauftragte oder den Bundesbeauftragten mit mehr als der Hälfte der gesetzlichen Zahl seiner Mitglieder. Die oder der Gewählte ist von der Bundespräsidentin oder dem Bundespräsidenten zu ernennen. Die oder der Bundesbeauftragte muss bei ihrer oder seiner Wahl das 35. Lebensjahr vollendet haben. Sie oder er muss über die für die Erfüllung ihrer oder seiner Aufgaben und Ausübung ihrer oder seiner Befugnisse erforderliche Qualifikation, Erfahrung und Sachkunde insbesondere im Bereich des Schutzes personenbezogener Daten verfügen. Insbesondere muss die oder der Bundesbeauftragte über durch einschlägige Berufserfahrung erworbene Kenntnisse des Datenschutzrechts verfügen und die Befähigung zum Richteramt oder höheren Verwaltungsdienst haben.

(2) Die oder der Bundesbeauftragte leistet vor der Bundespräsidentin oder dem Bundespräsidenten folgenden Eid: „Ich schwöre, dass ich meine Kraft dem Wohle des deutschen Volkes widmen, seinen Nutzen mehren, Schaden von ihm wenden, das Grundgesetz und die Gesetze des Bundes wahren und verteidigen, meine Pflichten gewissenhaft erfüllen und Gerechtigkeit gegen jedermann üben werde. So wahr mir Gott helfe. “ Der Eid kann auch ohne religiöse Beteuerung geleistet werden.

(3) Die Amtszeit der oder des Bundesbeauftragten beträgt fünf Jahre. Einmalige Wiederwahl ist zulässig.

Bundesdatenschutzgesetz - BDSG 2018 | § 38 Datenschutzbeauftragte nichtöffentlicher Stellen

(2) § 6 Absatz 4, 5 Satz 2 und Absatz 6 finden Anwendung, § 6 Absatz 4 jedoch nur, wenn die Benennung einer oder eines Datenschutzbeauftragten verpflichtend ist.

Bundesdatenschutzgesetz - BDSG 2018 | § 3 Verarbeitung personenbezogener Daten durch öffentliche Stellen

Bundesdatenschutzgesetz - BDSG 2018 | § 11 Ernennung und Amtszeit

(3) Die Amtszeit der oder des Bundesbeauftragten beträgt fünf Jahre. Einmalige Wiederwahl ist zulässig.

Bundesdatenschutzgesetz - BDSG 2018 | § 3 Verarbeitung personenbezogener Daten durch öffentliche Stellen

Telemediengesetz - TMG | § 2 Begriffsbestimmungen

Im Sinne dieses Gesetzes

1.

ist Diensteanbieter jede natürliche oder juristische Person, die eigene oder fremde Telemedien zur Nutzung bereithält oder den Zugang zur Nutzung vermittelt,

2.

2a.

3.

ist Nutzer jede natürliche oder juristische Person, die Telemedien nutzt, insbesondere um Informationen zu erlangen oder zugänglich zu machen,

4.

sind Verteildienste Telemedien, die im Wege einer Übertragung von Daten ohne individuelle Anforderung gleichzeitig für eine unbegrenzte Anzahl von Nutzern erbracht werden,

5.

a): Angaben, die unmittelbaren Zugang zur Tätigkeit des Unternehmens oder der Organisation oder Person ermöglichen, wie insbesondere ein Domain-Name oder eine Adresse der elektronischen Post,
b): Angaben in Bezug auf Waren und Dienstleistungen oder das Erscheinungsbild eines Unternehmens, einer Organisation oder Person, die unabhängig und insbesondere ohne finanzielle Gegenleistung gemacht werden; dies umfasst auch solche unabhängig und insbesondere ohne finanzielle Gegenleistung oder sonstige Vorteile von natürlichen Personen gemachten Angaben, die eine unmittelbare Verbindung zu einem Nutzerkonto von weiteren natürlichen Personen bei Diensteanbietern ermöglichen,

6.

sind audiovisuelle Mediendienste

a): audiovisuelle Mediendienste auf Abruf und
b): die audiovisuelle kommerzielle Kommunikation,

7.

ist audiovisueller Mediendiensteanbieter ein Anbieter von audiovisuellen Mediendiensten,

8.

9.

10.

sind Videosharingplattform-Dienste

a): Telemedien, bei denen der Hauptzweck oder eine wesentliche Funktion darin besteht, Sendungen oder nutzergenerierte Videos, für die der Diensteanbieter keine redaktionelle Verantwortung trägt, der Allgemeinheit bereitzustellen, wobei der Diensteanbieter die Organisation der Sendungen und der nutzergenerierten Videos, auch mit automatischen Mitteln, bestimmt,
b): trennbare Teile von Telemedien, wenn für den trennbaren Teil der in Buchstabe a genannte Hauptzweck vorliegt,

11.

ist Videosharingplattform-Anbieter ein Diensteanbieter, der Videosharingplattform-Dienste betreibt,

12.

ist redaktionelle Verantwortung die Ausübung einer wirksamen Kontrolle hinsichtlich der Zusammenstellung der Sendungen und ihrer Bereitstellung mittels eines Katalogs,

13.

ist Sendung eine Abfolge von bewegten Bildern mit oder ohne Ton, die unabhängig von ihrer Länge Einzelbestandteil eines von einem Diensteanbieter erstellten Sendeplans oder Katalogs ist,

14.

15.

16.

ist Drittstaat jeder Staat, der nicht Mitgliedstaat ist,

17.

ist Mutterunternehmen ein Unternehmen, das ein oder mehrere Tochterunternehmen kontrolliert,

18.

ist Tochterunternehmen ein Unternehmen, das unmittelbar oder mittelbar von einem Mutterunternehmen kontrolliert wird,

19.

Einer juristischen Person steht eine Personengesellschaft gleich, die mit der Fähigkeit ausgestattet ist, Rechte zu erwerben und Verbindlichkeiten einzugehen.

Bundesdatenschutzgesetz - BDSG 2018 | § 3 Verarbeitung personenbezogener Daten durch öffentliche Stellen

Bürgerliches Gesetzbuch - BGB | § 830 Mittäter und Beteiligte

(2) Anstifter und Gehilfen stehen Mittätern gleich.

Bundesdatenschutzgesetz - BDSG 2018 | § 38 Datenschutzbeauftragte nichtöffentlicher Stellen

(2) § 6 Absatz 4, 5 Satz 2 und Absatz 6 finden Anwendung, § 6 Absatz 4 jedoch nur, wenn die Benennung einer oder eines Datenschutzbeauftragten verpflichtend ist.

Bundesdatenschutzgesetz - BDSG 2018 | § 3 Verarbeitung personenbezogener Daten durch öffentliche Stellen

Grundgesetz für die Bundesrepublik Deutschland - GG | Art 14

(1) Das Eigentum und das Erbrecht werden gewährleistet. Inhalt und Schranken werden durch die Gesetze bestimmt.

(2) Eigentum verpflichtet. Sein Gebrauch soll zugleich dem Wohle der Allgemeinheit dienen.

(3) Eine Enteignung ist nur zum Wohle der Allgemeinheit zulässig. Sie darf nur durch Gesetz oder auf Grund eines Gesetzes erfolgen, das Art und Ausmaß der Entschädigung regelt. Die Entschädigung ist unter gerechter Abwägung der Interessen der Allgemeinheit und der Beteiligten zu bestimmen. Wegen der Höhe der Entschädigung steht im Streitfalle der Rechtsweg vor den ordentlichen Gerichten offen.

Grundgesetz für die Bundesrepublik Deutschland - GG | Art 12

(1) Alle Deutschen haben das Recht, Beruf, Arbeitsplatz und Ausbildungsstätte frei zu wählen. Die Berufsausübung kann durch Gesetz oder auf Grund eines Gesetzes geregelt werden.

(2) Niemand darf zu einer bestimmten Arbeit gezwungen werden, außer im Rahmen einer herkömmlichen allgemeinen, für alle gleichen öffentlichen Dienstleistungspflicht.

(3) Zwangsarbeit ist nur bei einer gerichtlich angeordneten Freiheitsentziehung zulässig.

Verwaltungsgerichtsordnung - VwGO | § 113

(1) Soweit der Verwaltungsakt rechtswidrig und der Kläger dadurch in seinen Rechten verletzt ist, hebt das Gericht den Verwaltungsakt und den etwaigen Widerspruchsbescheid auf. Ist der Verwaltungsakt schon vollzogen, so kann das Gericht auf Antrag auch aussprechen, daß und wie die Verwaltungsbehörde die Vollziehung rückgängig zu machen hat. Dieser Ausspruch ist nur zulässig, wenn die Behörde dazu in der Lage und diese Frage spruchreif ist. Hat sich der Verwaltungsakt vorher durch Zurücknahme oder anders erledigt, so spricht das Gericht auf Antrag durch Urteil aus, daß der Verwaltungsakt rechtswidrig gewesen ist, wenn der Kläger ein berechtigtes Interesse an dieser Feststellung hat.

(2) Begehrt der Kläger die Änderung eines Verwaltungsakts, der einen Geldbetrag festsetzt oder eine darauf bezogene Feststellung trifft, kann das Gericht den Betrag in anderer Höhe festsetzen oder die Feststellung durch eine andere ersetzen. Erfordert die Ermittlung des festzusetzenden oder festzustellenden Betrags einen nicht unerheblichen Aufwand, kann das Gericht die Änderung des Verwaltungsakts durch Angabe der zu Unrecht berücksichtigten oder nicht berücksichtigten tatsächlichen oder rechtlichen Verhältnisse so bestimmen, daß die Behörde den Betrag auf Grund der Entscheidung errechnen kann. Die Behörde teilt den Beteiligten das Ergebnis der Neuberechnung unverzüglich formlos mit; nach Rechtskraft der Entscheidung ist der Verwaltungsakt mit dem geänderten Inhalt neu bekanntzugeben.

(3) Hält das Gericht eine weitere Sachaufklärung für erforderlich, kann es, ohne in der Sache selbst zu entscheiden, den Verwaltungsakt und den Widerspruchsbescheid aufheben, soweit nach Art oder Umfang die noch erforderlichen Ermittlungen erheblich sind und die Aufhebung auch unter Berücksichtigung der Belange der Beteiligten sachdienlich ist. Auf Antrag kann das Gericht bis zum Erlaß des neuen Verwaltungsakts eine einstweilige Regelung treffen, insbesondere bestimmen, daß Sicherheiten geleistet werden oder ganz oder zum Teil bestehen bleiben und Leistungen zunächst nicht zurückgewährt werden müssen. Der Beschluß kann jederzeit geändert oder aufgehoben werden. Eine Entscheidung nach Satz 1 kann nur binnen sechs Monaten seit Eingang der Akten der Behörde bei Gericht ergehen.

(4) Kann neben der Aufhebung eines Verwaltungsakts eine Leistung verlangt werden, so ist im gleichen Verfahren auch die Verurteilung zur Leistung zulässig.

(5) Soweit die Ablehnung oder Unterlassung des Verwaltungsakts rechtswidrig und der Kläger dadurch in seinen Rechten verletzt ist, spricht das Gericht die Verpflichtung der Verwaltungsbehörde aus, die beantragte Amtshandlung vorzunehmen, wenn die Sache spruchreif ist. Andernfalls spricht es die Verpflichtung aus, den Kläger unter Beachtung der Rechtsauffassung des Gerichts zu bescheiden.

Bundesdatenschutzgesetz - BDSG 2018 | § 38 Datenschutzbeauftragte nichtöffentlicher Stellen

(2) § 6 Absatz 4, 5 Satz 2 und Absatz 6 finden Anwendung, § 6 Absatz 4 jedoch nur, wenn die Benennung einer oder eines Datenschutzbeauftragten verpflichtend ist.

Schleswig Holsteinisches Oberverwaltungsgericht Beschluss, 12. Jan. 2011 - 4 MB 56/10

Tenor

: Die Beschwerde gegen den Beschluss des Schleswig-Holsteinischen Verwaltungsgerichts - 14. Kammer - vom 01. Oktober 2010 wird zurückgewiesen.

: Der Antragsteller trägt die Kosten des Beschwerdeverfahrens.

: Die außergerichtlichen Kosten der Beigeladenen im Beschwerdeverfahren sind nicht erstattungsfähig.

: Der Wert des Streitgegenstandes wird für das Beschwerdeverfahren auf

: 5.000,--- Euro

: festgesetzt.

Gründe

: I.

1: Der Antragsteller wendet sich gegen eine datenschutzrechtliche Verfügung des Antragsgegners im Hinblick auf die Datenverarbeitung im Zusammenhang mit der sogenannten hausarztzentrierten Versorgung (HzV) in Schleswig-Holstein.

2: Durch Schiedsspruch vom 15. Juni 2010 kam zwischen dem Antragsteller, dem als eingetragener Verein rechtsfähigen … Schleswig-Holstein - im Folgenden: ... SH -, in Kooperation mit einer Ärztegenossenschaft sowie als Dienstleistungsgesellschaft der ... Vertragsgemeinschaft e.G. (...G), und den beigeladenen Krankenkassen ein "Vertrag zur Durchführung einer hausarztzentrierten Versorgung in Schleswig-Holstein gemäß § 73 b SGB V" zustande. Gegenstand des Vertrages ist nach § 2 die Umsetzung der hausarztzentrierten Versorgung für die Versicherten der Krankenkasse, deren Teilnahme freiwillig ist und durch Erklärung gegenüber der Krankenkasse beantragt werden kann. Der Antragsteller organisiert die Teilnahme des jeweiligen Hausarztes an der HzV und nimmt für ihn die Abrechnung der HzV-Vergütung und der Praxisgebühr vor; er wird insoweit zur Abgabe und zum Empfang von Willenserklärungen von Hausärzten und für sie ermächtigt. Für die Abrechnung der in dem Vertragswerk festgelegten Vergütung gegenüber der jeweiligen Krankenkasse wird gemäß §§ 2, 11 HzV-Vertrag die...G als Dienstleister bestimmt. Für deren Tätigkeit entrichtet der Hausarzt eine Verwaltungskostenpauschale an den Antragsteller, die jener an die ...G weiterreicht und die dort zur Abkürzung der Zahlungswege mit der auszuzahlenden HzV-Vergütung verrechnet wird (§ 14 HzV-Vertrag). Gemäß § 8 HzV-Vertrag in Verbindung mit § 1 Abs. 3 der Anlage 1 zum HzV-Vertrag darf der jeweils teilnehmende Hausarzt zum Zwecke der Datenübermittlung an die...G als Dienstleister des Antragstellers nur eine besonders zugelassene Vertragssoftware nutzen, für die von der ...G ein Anforderungskatalog erstellt wird. Die Anforderungen an eine zuzulassende Vertragssoftware werden den Herstellern von Praxissoftwareprogrammen zur Verfügung gestellt; diese müssen darüber hinaus für die Vertragssoftware ein Modul verwenden, das im HzV-Vertrag als "gekapselter Kern" bezeichnet wird und von der ...G zur Verfügung gestellt wird (vgl. Anlage 1 § 2 Abs. 2 HzV-Vertrag). Der Anforderungskatalog für den gekapselten Kern enthält nach dem Vertrag Betriebsgeheimnisse der ...G und der Krankenkasse und soll nicht veröffentlicht werden; er kann quartalsweise weiterentwickelt werden und wird den Herstellern der Praxissoftware von der ...G auf Grundlage einer Lizenzvereinbarung überlassen und in definierte Schnittstellen eingebunden. Die Verwendung dieses gekapselten Kerns dient ausweislich des Vertrages der Prüfung, Verschlüsselung und Übermittlung von Abrechnungsdaten an die ...G.

3: Hausärzte, die an der hausarztzentrierten Versorgung teilnehmen wollen, können dem HzV-Vertrag durch Erklärung beitreten und später ihre Mitgliedschaft kündigen (§§ 4, 5 HzV-Vertrag). Teilnehmende Hausärzte sowie Versicherte willigen in ihrer Teilnahmeerklärung in die Datenverarbeitung zu Abrechnungs- und Teilnahmeverwaltungszwecken einschließlich der Datenübermittlung und -verarbeitung beim Antragsteller und seinem Dienstleister, der ...G, sowie weiteren beauftragten Rechenzentren ein. § 20 des HzV-Vertrages normiert die Einhaltung der Datenschutzvorschriften für Patienten- und Versichertendaten nach der ärztlichen Berufsordnung, strafrechtlichen Bestimmungen, dem Bundesdatenschutzgesetz sowie den Regelungen des Sozialgesetzbuches. Zur weiteren Regelung sieht § 20 Abs. 2 den Abschluss eines gesonderten Vertrages vor, der als Anlage 8 in Gestalt eines "Rahmenvertrages für die Erhebung, Verarbeitung und Nutzung personenbezogener Daten im Auftrag" zwischen dem Antragsteller sowie der...G als Dienstleistungsgesellschaft geschlossen worden ist. Dieser Rahmenvertrag, an dem die beigeladenen Krankenkassen nicht beteiligt sind, ist ausweislich seines § 1 Bestandteil des HzV-Vertrages. Der an der HzV teilnehmende Hausarzt kann nach § 1 Abs. 3 des Rahmenvertrages durch Abgabe einer Erklärung diesem beitreten. Hierdurch wird nach den Vorschriften des Rahmenvertrages ein Auftragsverhältnis nach § 295 Abs. 1 b Satz 1 und 4 SGB V begründet, in dem der Hausarzt als "Auftraggeber" und der Antragsteller als "Auftragnehmer" bezeichnet wird. Die in einem Anhang B bezeichneten Daten, welche u.a. die Leistungen des teilnehmenden Hausarztes, die Diagnosen der an der HzV teilnehmenden Patienten sowie die ärztlichen Verordnungen enthalten, werden vom Hausarzt unmittelbar zur Dienstleistungsgesellschaft ...G bzw. deren Unterauftragnehmer und von dort zur jeweiligen Krankenkasse übermittelt. Insgesamt 13 Unterauftragnehmer der ...G werden in einem Anhang D bezeichnet. Der Hausarzt bleibt nach dem Rahmenvertrag als Auftraggeber für die datenschutzrechtliche Zulässigkeit der Datenverarbeitung auch beim Dienstleister und seinen Unterauftragnehmern verantwortlich. Der Rahmenvertrag enthält Regelungen über Weisungs-, Auskunfts- und Kontrollrechte und -pflichten des jeweiligen Hausarztes.

4: Nach § 16 HzV-Vertrag ist das Vertragswerk im Wesentlichen am 17. Juni 2010 in Kraft getreten.

5: Der Antragsgegner, der bereits im Vorfeld des Schiedsspruches hinsichtlich Regelungen zur Datenverarbeitung mit dem Antragsteller in einen Austausch getreten war, erließ mit Bescheid vom 21. Juli 2010 gegenüber dem Antragsteller eine aufsichtsbehördliche Anordnung gemäß §§ 39 Abs. 2 Landesdatenschutzgesetz (LDSG) i.V.m. § 38 Abs. 1, 5 Bundesdatenschutzgesetz (BDSG), mit welcher diesem aufgegeben wurde, dafür zu sorgen, dass bei der Durchführung des HzV-Vertrages in Schleswig-Holstein keine von den Hausärzten im Zusammenhang mit der Durchführung des Vertrages erhobenen personenbezogenen Daten der Patienten an die...G oder an andere in dem HzV-Vertrag vorgesehene, als Unterauftragnehmer bezeichnete Stellen weitergegeben werden. Soweit diese Daten bereits von den Hausärzten weitergegeben wurden, sind sie nach dem Bescheid durch den Antragsteller gesondert zu speichern und dürfen nicht genutzt werden. Die sofortige Vollziehung des Bescheides wurde angeordnet und dem Antragsteller ein Zwangsgeld in Höhe von 30.000,-- Euro für den Fall, dass er den ausgesprochenen Verpflichtungen nicht innerhalb von einer Woche nach Zugang des Bescheides nachkomme, angedroht. Zur Begründung führte der Antragsgegner aus, dass nach der Rechtsprechung des Bundessozialgerichts für die Übermittlung von Daten im Rahmen der gesetzlichen Krankenversicherung an private Abrechnungsstellen eine gesetzliche Grundlage erforderlich sei, da es sich bei den für die Abrechnungen der HzV benötigten Daten um Angaben über die Gesundheit der Betroffenen handele, die verstärktem rechtlichen Schutz nach § 3 Abs. 9 BDSG und § 67 Abs. 12 SGB X sowie der ärztlichen Schweigepflicht und damit dem Schutz des § 203 Abs. 1 StGB unterlägen. Nach § 295 Abs. 1 b Sätze 5 - 8 SGB V sei die Einschaltung einer privaten Stelle bei der Übermittlung von Daten, sofern keine direkte Übermittlung an die Krankenkassen nach § 295 Abs. 1 b Satz 1 SGB V erfolge, zwingend im Wege der Auftragsdatenverarbeitung nach § 80 SGB X vorzunehmen. Eine Rechtsgrundlage für die eigenständige Übermittlung an private Stellen als selbstständige datenverarbeitete Stellen habe der Gesetzgeber bewusst nicht geschaffen. In dem vorliegenden Vertragswerk zur hausärztlichen Versorgung sei aber keine Auftragsdatenverarbeitung im Sinne von § 80 SGB X vorgesehen. Die Hausärzte, die danach an der HzV und der Datenverarbeitung teilnähmen, seien entgegen ihrer ausdrücklichen vertraglichen Bezeichnung nicht Auftraggeber im Sinne des deutschen und europäischen Datenschutzrechtes; ebenso fehle es dem Antragsteller an der vertraglich ausdrücklich zuerkannten Eigenschaft als Auftragnehmer. Die Hausärzte könnten lediglich einem in Gänze vorgefertigten Vertragswerk beitreten, auf dessen Inhalt sie keinerlei Einfluss gehabt hätten. Auch die Software werde ihnen vom angeblichen Auftragnehmer vorgeschrieben. Gleichzeitig sei den Hausärzten die Kenntnis wesentlicher Elemente der zu verwendenden Software (nämlich des gekapselten Kerns) verboten, welche gerade die abfließenden, besonders zu schützenden Patientendaten beträfen. Darüber hinaus finde eine Nutzung der übermittelten Daten auch zu Zwecken der allgemeinen Interessenvertretung aller Hausärzte statt, da teilnehmende Hausärzte zur Abtretung von Vergütungsforderungen zum Zwecke des Führens von Musterverfahren verpflichtet würden und damit eine entsprechende Nutzung der Daten ihrer Patienten ermöglichten. Die Anordnung sei zum Schutze der Daten einer großen Zahl von Patienten vor unzulässiger Weitergabe an private Stellen geeignet, erforderlich und verhältnismäßig. Von einem kompletten Verbot jeder Datenverarbeitung für den Antragsteller werde im Hinblick auf die Rechtslage des § 38 Abs. 5 Satz 1 und 2 BDSG gegenwärtig abgesehen. Eine Verfügung gegenüber sämtlichen Ärzten in Schleswig-Holstein, eine Datenweitergabe an den Antragsteller und dessen Unterauftragnehmer zu unterbinden, wäre dagegen deutlich eingriffsintensiver und wegen der Massenhaftigkeit der Verfahren kaum praktikabel. Im Hinblick auf die Ermöglichung einer Leistungsabrechnung könne kurzfristig eine echte Auftragsdatenverarbeitung umgesetzt werden, bei welcher etwa die Krankenkassen als Auftraggeber im Sinne von § 80 SGB X eingesetzt werden könnten. Die Anordnung der sofortigen Vollziehung sei zum Schutze des Persönlichkeitsrechts und des Rechts auf informationelle Selbstbestimmung der betroffenen Patienten erforderlich, da deren personenbezogenen Daten höchster rechtlicher Schutz zukomme. Eine Datenweitergabe, die jederzeit beginnen könne und dann nicht mehr korrigierbar sei, müsse vermieden werden.

6: Den gegen die Verfügung gerichteten Widerspruch des Antragstellers vom 05. August 2010 hat der Antragsgegner mit Widerspruchsbescheid vom 27. August 2010 als unbegründet zurückgewiesen. Hiergegen hat der Antragsteller mit Schriftsatz vom 01. Oktober 2010 Klage erhoben.

7: Den beim Sozialgericht D-Stadt am 17. August 2010 eingereichten und mit Beschluss des Sozialgerichts vom 03. September 2010 an das Verwaltungsgericht Schleswig verwiesenen Antrag auf einstweiligen Rechtsschutz hat das Verwaltungsgericht mit Beschluss vom 01. Oktober 2010 mit der Begründung zurückgewiesen, der angegriffene Bescheid sei weder offensichtlich rechtswidrig noch offensichtlich rechtmäßig. Bei der vorzunehmenden Interessenabwägung sei dem Schutz der Patienten der Vorrang einzuräumen, zumal auf Seiten des Antragstellers offensichtlich eine Vielzahl von Subauftragnehmern eingeschaltet sei, bei denen eine realistische Möglichkeit der Datensicherung zur Zeit nicht sichergestellt sei.

8: Hiergegen richtet sich die fristgerecht eingelegte Beschwerde des Antragstellers, die im Wesentlichen wie folgt begründet wird:

9: Die Anordnung des Antragsgegners sei offensichtlich rechtswidrig. Dies ergebe sich schon daraus, dass ein festgestellter Verstoß im Sinne von § 38 Abs. 5 Satz 1 BDSG nicht vorliege, da vor dem Ablauf eines Quartals nach Durchführung des Bereinigungsverfahrens im Hinblick auf die Gesamtvergütung nach § 73 b SGB V keine Datenübermittlungen stattfänden und es daher am Moment der Gegenwärtigkeit eines datenschutzrechtlichen Verstoßes fehle. Die im HzV-Vertrag und im Rahmenvertrag gewählte Konstruktion der Datenverarbeitung zu Abrechnungszwecken entspreche dem gesetzlichen Strukturleitbild der §§ 73 b, 295 SGB V, welches eine Auftragsdatenverarbeitung zu Zwecken der Abrechnung mit einschließe. Diese sei notwendiger Gegenstand des nach § 73 b Abs. 5 SGB V abzuschließenden Vertrages "über den Inhalt und die Durchführung der hausarztzentrierten Versorgung" und die "Vergütung". Die Tatsache, dass die teilnehmenden Hausärzte dem Vertrag lediglich beiträten, sei sozialrechtlich zwingend. Dieser Beitritt sei vollkommen freiwillig, da es den Hausärzten auch möglich sei, zu einem etwaigen konkurrierenden HzV-Vertrag beizutreten. Die Regelungen des HzV-Vertrages sowie des Rahmenvertrages als dessen Anlage 8 erfüllten sämtliche Anforderungen des § 80 SGB X. Durch ihren freiwilligen Beitritt übernähmen die Hausärzte die datenschutzrechtliche Verantwortung im dort konstruierten Auftragsverhältnis zum Antragsteller. Sie seien auch als Verantwortliche der Datenverarbeitung im Sinne von Art. 2 e der vorliegend zu beachtenden Datenschutzrichtlinie der Europäischen Union (Richtlinie 95/46/EG vom 24.10.1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr) anzusehen. Zu diesem Ergebnis führe auch die Heranziehung des als Auslegungshilfe zu wertenden Papiers "WP 169 - Stellungnahme zu den Begriffen "für die Verarbeitung Verantwortlicher" und "Auftragsverarbeiter" " der Art. 29 - Datenschutzgruppe der EU vom 16. Februar 2010. Dem jeweiligen Hausarzt sei sowohl von der gesetzlichen Regelung der §§ 73 b, 295 SGB V und der ärztlichen Schweigepflicht als auch auf Grund ihrer traditionellen Rolle als Hausarzt und durch die vertraglichen Regelungen des HzV-Vertrages eindeutig die datenschutzrechtliche Verantwortung für die Verarbeitung von Patientendaten zugewiesen. Nach ihrem faktisch bestehenden Einfluss sei lediglich bei Zweifeln an dieser ausdrücklichen Verantwortungszuweisung zu fragen, die vorliegend nicht bestünden. Aber selbst dann seien die Einflussmöglichkeiten des Hausarztes vorliegend als ausreichend für seine Rolle als Verantwortlicher der Datenverarbeitung im Sinne der EU-Richtlinie anzusehen, da er nur über die wesentlichen Elemente der Datenverarbeitung informiert sein müsse. Dem Auftragnehmer dürfe ein Ermessen über die im Einzelnen gewählten technischen und organisatorischen Mittel der Datenverarbeitung verbleiben. Die datenschutzrechtliche Verantwortung des Hausarztes werde durch die Verwendung des gekapselten Kernes nicht beeinträchtigt, da dieser Teil der Praxissoftware sei, die vom jeweiligen Hersteller über eine Schnittstelle eingebunden worden sei. Es würden in dem gekapselten Kern lediglich Datenarten nach dem festgelegten Katalog des Anhangs B des Rahmenvertrages abgeführt. Über die abfließenden Daten könne der Hausarzt Informationen bei dem Hersteller seiner Praxissoftware erhalten, welcher auch im Falle fehlerhafter Datenübergaben an die Dienstleistungsgesellschaft des Antragstellers heranzuziehen sei. Die genaue Funktionsweise des gekapselten Kerns müsse der Hausarzt nicht kennen.

10: Auch die Voraussetzungen des § 80 Abs. 5 SGB X bei einer Auftragserteilung an private Stellen seien erfüllt, wenngleich die Geltung dieser Norm vorliegend durch § 295 Abs. 1 b Satz 6 SGB V nicht angeordnet werde. Insoweit sei § 80 SGB X auf das Verhältnis zwischen privaten Stellen - vorliegend: dem Hausarzt und dem Antragsteller bzw. der ...G - nicht anwendbar. Jedenfalls aber sei die Datenverarbeitung, wie sie im HzV-Vertrag vorgesehen sei, kostengünstiger als bei einer Verarbeitung durch den Hausarzt selbst. Es würden lediglich Abrechnungsdaten und damit weniger als die Hälfte aller beim Hausarzt vorhandenen Patientendaten, sowohl auf den Gesamtdatenbestand als auch auf den einzelnen Patienten bezogen, übermittelt.

11: Die im Vertrag vorgesehene Verpflichtung des Hausarztes zur Abtretung von Forderungen zum Zwecke des Führens von Musterverfahren durch den Antragsteller und die damit einhergehende Datenverarbeitung seien für die Annahme eines Auftragsdatenverarbeitungsverhältnisses unschädlich, da Musterverfahren jedenfalls auch im Interesse des jeweiligen einzelnen Hausarztes lägen und eine Anonymisierung der Daten möglich sei. Im Übrigen enthalte der Vertrag an dieser Stelle den Vorbehalt der datenschutzrechtlichen Zulässigkeit.

12: Die Anordnung des Antragsgegners sei auch insoweit offensichtlich rechtswidrig, als sie einer faktischen Untersagung der gesamten Datenverarbeitung zur Durchführung der hausarztzentrierten Versorgung gleichkomme und daher lediglich auf Grundlage des § 38 Abs. 5 Satz 2 BDSG hätte erfolgen können. Dafür sei aber eine vorherige Anordnung nach Satz 1 der Norm zwingend. Außerdem hätte der Antragsgegner in einer Anordnung die Art und Weise der Beseitigung eines festgestellten datenschutzrechtlichen Verstoßes vorgeben müssen, vorliegend also gegebenenfalls einen Verzicht auf den gekapselten Kern oder auf die Abtretung zur Durchführung von Musterverfahren.

13: Das Verwaltungsgerichts habe in seiner Interessenabwägung weder die Interessen des Antragstellers an der Durchführung der geschlossenen Verträge sowie an der Vergütung für die Abrechnungsdienstleistung noch die Interessen der Hausärzte, denen gemäß Art. 12 Abs. 1 GG verfassungsrechtliches Gewicht zukomme, und der Patienten an einer Teilnahme an der hausarztzentrierten Versorgung angemessen gewürdigt.

14: Der Antragsgegner vertritt demgegenüber die Auffassung, dass nach Inkrafttreten des HzV-Vertrages eine rechtswidrige Datenverarbeitung jedenfalls unmittelbar bevorstehe. Die im Vertrag vorgesehenen Datenverarbeitungsregelungen seien nicht durch ein gesetzliches Strukturleitbild vorgegeben. Vielmehr sei der Gesetzgeber, wie sich auch aus der Gesetzgebungsgeschichte ergebe, von einer direkten Datenübermittlung der Hausärzte an die Krankenkassen ausgegangen. Entsprechend sehe nun auch ein für Nordrhein-Westfalen geschiedster HzV-Vertrag eine Trennung der vertraglichen Regelungen über die Durchführung der hausarztzentrierten Versorgung einschließlich der Vergütung von der dort nicht geregelten Abrechnung und Datenverarbeitung zu diesem Zwecke vor. Nach dem vorliegend streitgegenständlichen HzV-Vertrag sei ein Einfluss der Hausärzte auf die Datenverarbeitung faktisch ausgeschlossen. Sie besäßen keine hinreichenden Kontrollmöglichkeiten über den Abfluss von Patientendaten. Die Stellung als Auftraggeber einer Auftragsdatenverarbeitung setze gerade nach der Stellungnahme der EU-Datenschutzgruppe in dem WP169-Papier jenseits der formalen Bezeichnung der Rollen als Auftragsverarbeiter bzw. Verantwortlicher in Verträgen und Gesetzen einen tatsächlichen Einfluss über die Datenverarbeitung voraus, der hier insbesondere wegen der Verwendung des gekapselten Kernes nicht bestehe. Für diesen sei keine Funktions- und Schnittstellenbeschreibung verfügbar und auch die Hersteller von Praxissoftware müssten sich im Rahmen eines Non-Disclosure-Agreements an die Geheimhaltung der Funktionsweise dieses Kerns halten. Der Arzt erfahre nicht, welche Daten abgeflossen seien, und könne mangels einer eigenen Benutzeroberfläche den Umfang der Datenübermittlung an die ...G auch nicht feststellen. Auch die Weiterentwicklung der Vertragssoftware des gekapselten Kernes entziehe sich seinem Einflussbereich. Insoweit werde gegen die Vorgaben des novellierten BDSG bzw. des § 80 SG X verstoßen, dass der Auftraggeber über die Datenverarbeitung bestimmen müsse.

15: Die Anforderungen des § 80 Abs. 5 SGB X seien infolge der Rechtsgrundverweisung des § 295 Abs. 1 b Satz 6 SGB V auf das Verhältnis von Hausärzten zum Antragsteller und dessen Unterauftragnehmern in vollem Umfang anzuwenden. Es sei hier aber nicht erkennbar, dass mehr als 50 % der Daten beim Hausarzt verblieben und dass die Datenverarbeitung in der gewählten Konstruktion erheblich kostengünstiger sei als beim Hausarzt oder bei Einschaltung öffentlicher Stellen.

16: Die datenschutzrechtliche Anordnung stelle keine Untersagung einer gesamten Datenverarbeitung nach § 38 Abs. 5 Satz 2 BDSG dar, da nur ein Teilaspekt der Datenverarbeitung im Rahmen der hausarztzentrierten Versorgung betroffen sei und sich die Patienten gleichwohl zur Teilnahme an der HzV registrieren lassen könnten. Auch eine Weitergabe von Patientendaten vom Hausarzt direkt an die Krankenkassen sei möglich. Dass eine datenschutzrechtliche Anordnung ein Verbotselement aufweise, mache sie nicht automatisch zu einer Untersagung im Sinne des § 38 Abs. 5 Satz 2 BDSG. Da vorliegend die gesamte Konstruktion der vertraglich festgelegten Datenverarbeitung als rechtswidrig zu erachten sei, wäre eine Teilanordnung bezüglich des gekapselten Kerns und der Musterverfahren nicht ausreichend.

17: Im Hinblick auf die vom Verwaltungsgericht vorzunehmende Interessenabwägung seien eigene wirtschaftliche Interessen des Antragstellers nicht erkennbar, da dieser die Verwaltungskostenpauschale in voller Höhe an seine Dienstleister, die ...G, weiterleite.

18: Die Beigeladenen, die im vorliegenden Beschwerdeverfahren keinen Antrag gestellt haben, unterstützen das Vorbringen des Antragsgegners und haben ergänzend wie folgt vorgetragen:

19: Die Regelungen des HzV-Vertrages stellten die Rollen von Auftraggebern und Auftragnehmern in einer Auftragsdatenverarbeitung auf den Kopf. Die gesetzlich vorgegebenen Auswahl- und Kontrollpflichten des Auftraggebers im Hinblick auf Auftragnehmer würden in ihm nicht umgesetzt. Im Übrigen scheitere die gewählte Konstruktion auch insoweit an den Anforderungen des § 80 Abs. 5 SGB X, als diese Norm über den Anwendungsbefehl des § 295 Abs. 1 b Satz 8 SGB V und den dort in Bezug genommenen § 35 SGB I auch unmittelbar für den Antragsteller gelte und eine vollumfängliche Datenweitergabe an dessen Unterauftragnehmer - die...G - daher ausgeschlossen sei.

20: § 38 Abs. 5 Satz 1 BDSG decke die hier ausgesprochene datenschutzrechtliche Anordnung als untersagungsgleiche Maßnahme ab, nachdem sich die Anordnungsbefugnis infolge der Novelle des BDSG im Jahre 2009 auch auf die Beseitigung materieller datenschutzrechtlicher Verstöße beziehe. Sei eine Datenverarbeitung materiell-rechtlich im Kern rechtswidrig, so müssten die von Art. 28 der EU-Datenschutzrichtlinie verlangten effektiven Eingriffsbefugnisse der Aufsichtsbehörde auch faktisch untersagungsgleich wirkende Maßnahmen einschließen. Die zur Beseitigung des rechtswidrigen Zustandes im Einzelnen vorzunehmenden Änderungen müssten von den Partnern des HzV-Vertrages im Wege der Vertragsumgestaltung vorgenommen werden. Dahingehende Anordnungen seien dem Antragsgegner nicht unmittelbar möglich. Solche vertraglichen Umgestaltungsmöglichkeiten seien aber für die Vertragspartner vorliegend gegeben, um eine hausarztzentrierte Versorgung in Schleswig-Holstein noch zu ermöglichen, sodass die Bewertung des Verwaltungsgerichts, den Schutz der Patientendaten den Vorrang einzuräumen, nicht zu beanstanden sei.

: II.

21: Die Beschwerde ist zulässig, aber unbegründet. Die zu ihrer Begründung dargelegten Gründe, die allein Gegenstand der Prüfung durch den Senat sind (§§ 146 Abs. 4 Satz 6 VwGO) stellen das Ergebnis des angefochtenen Beschlusses nicht in Frage.

22: Die datenschutzrechtliche Anordnung des Antragsgegners vom 21. Juli 2010 ist nach summarischer Bewertung durch den Senat im Verfahren des einstweiligen Rechtsschutzes nicht offensichtlich rechtswidrig. Es bestehen vielmehr in mehrfacher Hinsicht Anhaltspunkte dafür, dass der Antragsgegner zu Recht von einem materiell-rechtlichen Verstoß der im HzV-Vertrag vorgesehenen Regelungen über die Datenverarbeitung gegen rechtliche Vorgaben zum Schutz von Patientendaten ausgegangen ist, die ihm ein aufsichtsbehördliches Vorgehen nach § 38 Abs. 5 BDSG ermöglichen.

23: Es bestehen nach Aussicht des Senates gravierende Zweifel daran, dass es sich bei der durch das HzV-Vertragswerk in der Fassung des Schiedsspruches vom 15. Juni 2010 vorgesehenen Verarbeitung von Patientendaten, die von den teilnehmenden Hausärzten unmittelbar an die ...G als Dienstleister des Antragstellers übermittelt werden, um eine Auftragsdatenverarbeitung im Sinne von § 80 SGB X handelt. Nach dem auf Grund von § 320 SGB V (BGBl. 2010 I S. 983) bis zum 01. Juli 2011 weitergeltenden § 295 Abs. 1 b Satz 6 SGB V ist bei der Beauftragung einer anderen Stelle im Sinne von Satz 5 dieser Norm mit der Datenverarbeitung zu Abrechnungszwecken § 80 SGB X anzuwenden. Diese Regelung ist vom Gesetzgeber infolge der Entscheidung des Bundessozialgerichts vom 10. Dezember 2008 - B 6 KA 37/07 R - wegen des Erfordernisses einer spezifischen Rechtsgrundlage für die Weitergabe von personenbezogenen Abrechnungsdaten an andere Stellen, zum Beispiel privatrechtlich organisierte Rechenzentren, geschaffen worden, um die im Bereich besonderer Versorgungsformen bereits bestehende Abrechnungspraxis über Rechenzentren befristet zu ermöglichen und insoweit datenschutzrechtlich abzusichern (vgl. die Entwurfsbegründung in BT-Dr. 16/13428, S. 96). Für die solchermaßen beauftragten Stellen sollte das gleiche Schutzniveau wie bei Stellen, welche unmittelbar dem Sozialgeheimnis des § 35 SGB I unterliegen, gewährleistet werden. Mit dem Verweis auf § 80 SGB X wollte der Gesetzgeber gleichermaßen die Voraussetzungen und die Rechtsfolgen einer Beauftragung privater Stellen mit der Verarbeitung von Sozialdaten auf das Abrechnungsverfahren im Rahmen besonderer Versorgungsformen erstrecken (vgl. ebenda, S. 96 und auch S. 92 zur entsprechenden Regelung des § 120 SGB V). Daher ist in diesem Kontext sowohl die Frage der Zulässigkeit einer Auftragserteilung an private Stellen als auch die Einhaltung der Anforderungen an die Ausgestaltung einer solchen Auftragsdatenverarbeitung in vollem Umfang an § 80 SGB X zu messen. Liegen dessen Voraussetzungen nicht vor, so ist die Einschaltung privater Stellen in die Abrechnung ärztlicher Leistungen gemäß § 295 Abs. 1 b SGB V im Rahmen der hausarztzentrierten Versorgung unzulässig, weil es insoweit an einer erforderlichen spezialgesetzlichen Übermittlungsgrundlage außerhalb eines echten Auftragsdatenverarbeitungsverhältnisses fehlt.

24: Vorliegend spricht bereits die mangelnde Auswahlmöglichkeit eines Auftragsverarbeiters - also des Auftragnehmers - für die jeweiligen Hausärzte im Rahmen des HzV-Vertragswerkes gegen die Annahme eines Auftragsdatenverarbeitungsverhältnisses zum Antragsteller und dessen Dienstleister. Die Wahrnehmung der datenschutzrechtlichen Verantwortung des Auftraggebers im Rahmen einer Auftragsdatenverarbeitung setzt nach allgemeiner Auffassung nämlich zunächst voraus, dass von dort eine sorgfältige Auswahl des Auftragnehmers erfolgt, um die Einhaltung sämtlicher datenschutzrechtlicher Verpflichtungen auch bei dessen Einschaltung zu gewährleisten (vgl. Rombach in: Hauck/Noftz, SGB X, § 80 Rdnr. 30; Bieresborn in: Von Wulffen, SGB X, 7. Aufl. 2010, § 80 Rdnr. 8; Bergmann/Möhrle, Datenschutzrecht, § 80 SGB X Rdnr. 19). Die Verpflichtung zur sorgfältigen Auswahl des Auftragnehmers ist in § 80 SGB X als spezialgesetzlicher Regelung über die Auftragsdatenverarbeitung zwar nicht ausdrücklich mit geregelt, wird dort jedoch ebenfalls vorausgesetzt (vgl. Bergmann/Möhrle, a.a.O.). Die Verpflichtung zur sorgfältigen Auswahl entspricht insoweit der ausdrücklichen allgemeinen Regelung in § 11 Abs. 2 Satz 1 BDSG. Auch nach Auffassung der Art. 29 - Datenschutzgruppe der EU hängt die Existenz eines Auftragsverarbeiters von einer Entscheidung des für die Verarbeitung Verantwortlichen ab, der beschließen kann, entweder die Daten innerhalb seiner Organisation zu verarbeiten oder die Verarbeitungstätigkeiten ganz oder teilweise an eine externe Organisation zu delegieren (vgl. die Stellungnahme WP169 vom 16.02.2010 http://ec.europa.eu/justice/policies/privacy -, S. 1, 30). Vorliegend wird dem an der hausarztzentrierten Versorgung teilnahmewilligem Hausarzt eine Auswahl der Stelle, die er mit der Verarbeitung von Abrechnungsdaten seiner Patienten einschalten will, jedoch im Rahmen des vorliegenden Vertragswerks nicht ermöglicht. Der Arzt übernimmt nicht nur ein in vollem Umfang vorgestaltetes Vertragswerk - was an sich der Annahme einer Auftragsdatenverarbeitung nicht notwendigerweise entgegenstehen muss -, sondern seine Teilnahme an der hausarztzentrierten Versorgung und an der vorgesehenen Datenverarbeitung über den Antragsteller und seinen Dienstleister und dessen Unterauftragnehmer sind in einer Weise miteinander verbunden, die dem Arzt lediglich einen Beitritt zu beiden Systemen insgesamt ermöglicht. Bereits mit seiner Beitrittserklärung nach § 4 des HzV-Vertrages, die als Anlage 5 vertraglich vorgegeben ist, willigt der Hausarzt in die Datenverarbeitung über den Antragsteller und die...G ein. Entsprechend enthält auch die Versicherteneinschreibung der betroffenen Patienten mit der Entscheidung für die Teilnahme an der hausarztzentrierten Versorgung in gleichem Zuge eine vorgefertigte Einwilligung in die Datenverarbeitung über den Antragsteller und die ...G (Anlage 6). Das Abrechnungsverfahren für die Vergütung nach § 11 HzV-Vertrag in Verbindung mit Anlage 3 sowie die Vorgaben über die Datenverarbeitung in § 20 HzV-Vertrag in Verbindung mit Anlage 8 sehen das Abrechnungsverfahren über den Antragsteller und die...G, mit dem eine entsprechende Verarbeitung von Patientendaten einhergeht, ohne Wahlmöglichkeit des Hausarztes verpflichtend vor. Die Regelungen des Rahmenvertrages über die Auftragsdatenverarbeitung sind gemäß § 20 Abs. 2 HzV-Vertrag, § 1 Abs. 1 des Rahmenvertrages als Anlage 8 Bestandteil des HzV-Vertrages. Eine gesonderte Kündigungsmöglichkeit in Bezug auf die Datenverarbeitung zur Abrechnungszwecken steht dem Hausarzt nicht zu (vgl. § 10 Abs. 2 Rahmenvertrag, § 5 HzV-Vertrag). Die Einschaltung des Antragstellers und dessen Dienstleister und Unterauftragnehmer in die Datenverarbeitung kann der Hausarzt somit nur um den Preis des Verzichtes der Teilnahme an der hausarztzentrierten Versorgung vermeiden oder beenden, zumal in Schleswig-Holstein - soweit ersichtlich - mit den Beigeladenen kein konkurrierender HzV-Vertrag besteht.

25: Darüber hinaus wäre dem Hausarzt ein Abweichen von den vorformulierten Datenverarbeitungsbestimmungen des Vertragswerkes allenfalls im Rahmen von Einzelweisungen möglich, wobei offen erscheint, inwieweit angesichts des Beitritts des Arztes zu den Verträgen noch Spielraum für andersgerichtete Anweisungen verbleibt. Nach § 12 Abs. 2 des Rahmenvertrages können Bestimmungen über die Datenverarbeitung in Gestalt der Anhänge, die auch das EDV-Verfahren und die übermittelten Daten betreffen, mit Wirkung für sämtliche HzV-Partner und damit auch für die Hausärzte nachträglich durch Übereinkunft zwischen dem Antragsteller und seiner Dienstleistungsgesellschaft - also ohne den beigetretenen Hausarzt - geändert werden. Auch dazu soll der Hausarzt durch seinen Beitritt sein Einverständnis erklären. Und schließlich kann der Antragsteller gemäß § 16 Abs. 6 des HzV-Vertrages im Falle des Ausscheidens der...G mit Wirkung für die Hausärzte eine neue Dienstleistungsgesellschaft bestimmen.

26: Ebenso wenig wie die Auswahl einer anderen in die Datenverarbeitung einzuschaltenden Stelle als die ...G bzw. den Antragsteller ist den Hausärzten bei Teilnahme an der HzV nach dem vorliegenden Vertragswerk eine direkte Übermittlung von Abrechnungsdaten an die Krankenkassen möglich, wie sie der Gesetzgeber in § 296 Abs. 1 b Satz 1 SGB V als Grundmodell vorsieht, sodass ihm auch die Option der eigenen Verarbeitung von Patientendaten im Rahmen des HzV-Vertrages verschlossen bleibt.

27: Dem Einwand des Antragstellers, die vorgesehene Abrechnung und Datenverarbeitung über den Hausärzteverband und dessen Dienstleister sei gesetzlich vorgegeben Strukturleitbild im Rahmen der §§ 73 b, 295 SGB V, ist nach Auffassung des Senates nicht zu folgen. Auch wenn eine derartige Konstruktion bei einer Beachtung der Vorgaben des Gesetzgebers zur Auftragsdatenverarbeitung für die Einschaltung privater Stellen durchaus gangbar sein mag, ist der Gesetzgeber grundsätzlich von einer direkten Datenübermittlung des Hausarztes an die dem Sozialgeheimnis unterworfene Krankenkasse ausgegangen (vgl. den Gesetzentwurf zum GKV-Modernisierungsgesetz, BT-Dr. 15/1525 S. 146: "Bei den ohne Beteiligung der Kassenärztlichen Vereinigungen mit den Krankenkassen… abgeschlossenen Verträgen zu… Hausarzt zentrierter Versorgung… haben die Leistungserbringer die Abrechnungsdaten nach Absatz 1 direkt an die jeweilige Krankenkasse, mit der sie die Verträge abgeschlossen hat, zu übermitteln"). Durch § 73 b Abs. 4 und 5 SGB V wird im Übrigen eine Regelung des konkreten Abrechnungsverfahrens und der damit einhergehenden Datenverarbeitung im Rahmen der durch Gemeinschaften der Allgemeinärzte abzuschließenden HzV-Verträge nicht notwendig vorgegeben, denn vertragliche Regelungen über Inhalt und Durchführung der hausarztzentrierten Versorgung sowie über die Vergütung können sich auf die entsprechenden ärztlichen Teilnahmevoraussetzungen und Leistungen einerseits und die Höhe der dafür zu leistenden Vergütungen beschränken, ohne gleichzeitig ein Abrechnungsverfahren vorzusehen. Dies zeigt nicht zuletzt der von dem Antragsgegner eingereichte Schiedsspruch betreffend einen HzV-Vertrag zwischen der BKK Vertragsarbeitsgemeinschaft Nordrhein-Westfalen und dem Hausärzteverband Nordrhein e.V..

28: Gegen die Stellung der teilnehmenden Hausärzte als Auftraggeber einer Datenverarbeitung im Verhältnis zum Antragsteller und seinem Dienstleister und gegen die Einhaltung der Vorgaben des § 80 SGB X spricht des Weiteren, dass die vorgesehene Datenverarbeitung gegenüber dem vertraglich als Auftraggeber ausgewiesenen Hausarzt nicht vollständig transparent ist. § 80 Abs. 2 Satz 6 Nr. 3 SGB X sieht für eine Auftragserteilung an eine nicht-öffentliche Stelle (wie vorliegend den Antragsteller und seinen Dienstleister) vor, dass dem Auftraggeber schriftlich das Recht unter anderem zur Einsichtnahme in Datenverarbeitungsprogramme eingeräumt wird. Hierdurch sowie durch die im Rahmen der Auftragsdatenverarbeitung vorzusehenden Kontroll-und Weisungsrechte des § 80 Abs. 2 Satz 2 SGB X muss, wie allgemein bei der Auftragsdatenverarbeitung, eine vollständige Einsichtsmöglichkeit des Auftraggebers in die vom Auftragnehmer durchgeführte Datenverarbeitung gewährleistet werden. Ein uneingeschränktes Recht zur Einsichtnahme in Datenverarbeitungsprogramme wird dem Hausarzt im Rahmen des HzV-Vertrages und seiner Anlage 8 jedoch nicht eingeräumt (vgl. dort § 4 Abs. 3 der Anlage 8). Es bestehen für den Senat im Eilverfahren erhebliche Bedenken gegenüber der im Vertrag vorgesehenen Verwendung eines auch für den Hausarzt nicht offengelegten oder nachvollziehbaren sogenannten gekapselten Kerns, zumal dieser gerade die Aufbereitung und Übermittlung von Patientendaten aus der Praxissoftware des Hausarztes heraus an den Dienstleister des Antragstellers betrifft. Insoweit erscheint es nicht ausreichend, dass die Datenkategorien in einer Anlage zum Rahmenvertrag beschrieben werden. Der Hausarzt muss vielmehr eine Möglichkeit besitzen, auch effektiv zu kontrollieren, welche Daten seiner Patienten aus seinem Praxissystem an welche Stelle(n) abfließen. Die beim Auftraggeber einer Auftragsdatenverarbeitung verbleibende volle datenschutzrechtliche Verantwortung bedingt lückenlose Kontrollmöglichkeiten des Auftraggebers über sämtliche Pfade der Datenverarbeitung hinweg, zumal dem Auftragnehmer eine Datenverarbeitung ausschließlich ihm Rahmen der Weisungen des Auftraggebers gestattet ist (vgl. nur Gola/Schomerus, BDSG, 10. Aufl. 2010, § 11 Rdnr.3, Walz, in: Simitis, BDSG, 6. Aufl. 2006, § 11 Rdnr. 56). Nach den bislang im einstweiligen Rechtsschutzverfahren vorgetragenen Gesichtspunkten und unter Berücksichtigung von § 2 der Anlage 1 zum HzV-Vertrag geht der Senat zum gegenwärtigen Zeitpunkt davon aus, dass weder der Hausarzt noch der Hersteller seiner Praxissoftware in der Lage sind, die Funktionalitäten des gekapselten Kerns und damit auch den Umfang der durch ihn abgeleiteten Daten sowie die Datenempfänger nachzuvollziehen und zu kontrollieren. Dies ist mit den Anforderungen an die Informationsmöglichkeit eines Auftraggebers aus § 80 Abs. 2 SGB X in einer grundlegenden Weise nicht vereinbar. Im Übrigen wäre ein Auftraggeber im Verhältnis zum Auftragnehmer auch nicht auf die Möglichkeit zu verweisen, an den Hersteller der von ihm verwendeten Software - nach Maßgabe des diesbezüglichen Vertragsverhältnisses - heranzutreten, um eine vollständige Offenlegung der erfolgenden Datenverarbeitung zu erbitten. Die erforderliche Transparenz der Datenverarbeitung muss vielmehr unmittelbar im Verhältnis Auftraggeber-Auftragnehmer gewährleistet sein. Darüber hinaus scheint nach dem insoweit plausiblen Vortrag des Antragsgegners und der Beigeladenen vorliegend auch ein Hersteller von Praxissoftware nicht in der Lage zu sein, die tatsächliche Datenverarbeitung von Patientendaten im gekapselten Kern durch ein Ansetzen an der Schnittstelle des Praxissoftwaresystems festzustellen.

29: Soweit der Antragsteller darauf hinweist, dass nach Auffassung des Art. 29 - Datenschutzgruppe der EU die Entscheidung über Mittel der Datenverarbeitung nicht vollständig vom Auftraggeber getroffen werden muss, sondern dem Auftragnehmer insoweit noch ein Gestaltungsspielraum verbleiben darf, so kann dies auch nach der Stellungnahme im WP169 - Papier nicht die Informationsmöglichkeiten des Auftraggebers über die für die Datenverarbeitung verwendeten Mittel einschränken. Diese Information sollte auch nach Auffassung der EU-Datenschutzexperten vollständig sein (vgl. das WP169, S. 18). Im Übrigen hat der Auftraggeber (bzw. in der Terminologie der EU-Richtlinie: der Verantwortliche) über die wesentlichen Elemente der Datenverarbeitung und damit notwendig über die zu verarbeitenden Daten zu entscheiden (vgl. ebenda, S. 17). Folgerichtig muss es für ihn daher auch kontrollierbar sein, ob die abgeleiteten Daten sich im Rahmen der von ihm festgelegten Entscheidung über die zu verarbeitenden Daten halten. Dies jedoch scheint vorliegend nicht der Fall zu sein.

30: Gegen eine Stellung der an der HzV teilnehmenden Hausärzte als Auftraggeber im Sinne von § 80 SGB X spricht als weiterer Gesichtspunkt die vom Antragsgegner in seiner datenschutzrechtlichen Anordnung angesprochene Möglichkeit, mit Hilfe der zu übermittelnden Patientendaten auch ohne entsprechende, vom Hausarzt ausgehende Beauftragung ein Musterverfahren gegenüber der Krankenkasse zur Durchsetzung von Vergütungsansprüchen zu führen. Gegen ein solches Musterverfahren kann sich der zur Abtretung seiner Ansprüche verpflichtete Hausarzt gemäß § 6 Abs. 10 der Anlage 3 zum HzV-Vertrag nur im Rahmen der Unzumutbarkeit oder datenschutzrechtlicher Hinderungsgründe wenden. Ob im Rahmen des letzteren Vorbehaltes diese Abtretungsverpflichtung wegen entgegenstehender Vorgaben des § 80 SGB X überhaupt zum Tragen kommen kann, erscheint fraglich; jedenfalls würde der Antragsteller bei der Führung von Musterverfahren unter Verwendung zumindest personenbeziehbarer Patientendaten - wobei eine Anonymisierung von § 6 Abs. 10 der Anlage nicht ausdrücklich vorgesehen ist - auch eigene Zwecke, nämlich diejenigen der Interessenvertretung aller Ärzte, verfolgen. Dies würde insoweit seine Stellung als Verantwortlicher einer Datenverarbeitung nach sich ziehen (vgl. nur Bergmann/Möhrle, § 11 BDSG Rdnr. 11; Walz, in: Simitis, a.a.O., § 11 Rdnr. 19; vgl. auch die Stellungnahme der Art. 29 - Datenschutzgruppe der EU im WP169, a.a.O., S. 18, wonach die Entscheidung über den Zweck der Verarbeitung ausschließlich dem für die Verarbeitung Verantwortlichen vorbehalten ist).

31: Erhebliche Zweifel an der Einhaltung der für eine Auftragsdatenverarbeitung nach § 295 Abs. 1 b Satz 6 SGB V i.V.m. § 80 SGB X maßgeblichen Vorgaben bestehen nach dem vorliegenden Vertragswerk aus Sicht des Senates auch hinsichtlich der Beschränkungen gemäß § 80 Abs. 5 SGB X für die Auftragserteilung an nicht öffentliche Stellen. Die Anforderungen des § 80 Abs. 5 SGB X sind auf Grund der umfassenden Verweisung des § 295 Abs. 1b Satz 6 SGB V auf § 80 SGB X entsprechend dem vom Gesetzgeber beabsichtigten Schutzniveau bei Einschaltung privater Abrechnungsdienstleister im Rahmen der hausarztzentrierten Versorgung gleichermaßen anwendbar. Warum dies nach Auffassung des Antragstellers nicht der Fall sein soll, ist nicht ersichtlich, da auch dem Gesetzgeber die Eigenschaft von teilnehmenden Hausärzten als private datenverarbeitende Stelle bekannt war.

32: Nach § 80 Abs. 5 SGB X ist eine Datenverarbeitung im Auftrag durch nicht-öffentliche Stellen nur zulässig, wenn beim Auftraggeber sonst Störungen im Betriebsablauf auftreten können oder die übertragenen Arbeiten beim Auftragnehmer erheblich kostengünstiger besorgt werden könnten und der Auftrag nicht die Speicherung des gesamten Datenbestandes des Auftraggebers umfasst, wobei der überwiegende Teil der Speicherung des gesamten Datenbestandes beim Auftraggeber verbleiben muss. § 80 Abs. 5 SGB X bewirkt eine erhebliche Einschränkung für die Beauftragung einer nicht-öffentlichen Stelle und ist als Ausnahmeregelung grundsätzlich eng auszulegen (vgl. Rombach, in: Hauck/Noftz, a.a.O., § 80 SGB X Rdnr. 34; Von Wulffen, a.a.O., § 80 SGB X Rdnr. 13). Ob vorliegend Störungen im Betriebsablauf bei Nichteinschaltung eines privaten Abrechnungsdienstleisters im Sinne der 1. Alternative auftreten können, liegt bei summarischer Betrachtung nicht auf der Hand und wäre erforderlichenfalls im Rahmen des Hauptsacheverfahrens weiter aufzuklären. Ein Kostenvergleich für das Vorliegen der 2. Alternative (vgl. hierzu: Bergmann/Möhrle, § 80 SGB X Rndr. 28) ist vom Antragsteller nicht vorgetragen worden. Auch die Frage, ob der beim Hausarzt verbleibende Datenbestand über die an der hausarztzentrierten Versorgung teilnehmenden Patienten die übermittelten und beim Antragsteller bzw. seinem Dienstleister gespeicherten Daten überwiegt, wäre ggf. weiter aufzuklären, da sich angesichts des umfassenden Datenkataloges des Anhanges B zur Anlage 8 des HzV-Vertrages ein Überwiegen des beim Hausarzt verbleibenden Datenbestandes nicht ohne Weiteres annehmen lässt.

33: Jedenfalls aber wird die Vorgabe des § 80 Abs. 5 SGB X, dass der überwiegende Teil des Datenbestandes beim Auftraggeber verbleiben muss, sofern der Auftragnehmer eine nicht-öffentliche Stelle ist, im Verhältnis des Antragstellers zu seinem Dienstleister...G nicht eingehalten. Darauf haben die beigeladenen Krankenkassen zuletzt mit nachvollziehbaren Argumenten hingewiesen. Der Antragsteller unterläge, wenn er - nach eigenem Vortrag - als Auftragnehmer der Datenverarbeitung im Verhältnis zum Hausarzt zu sehen wäre, gemäß § 295 Abs. 1 b Satz 8 SGB V als nicht in § 35 SGB I genannte Stelle dem dort geregelten Sozialgeheimnis entsprechend. Das Sozialgeheimnis umfasst nach § 35 Abs. 2 SGB I auch, dass eine Erhebung, Verarbeitung und Nutzung von Sozialdaten nur unter den Voraussetzungen des 2. Kapitels des 10. Buches des Sozialgesetzbuches, also nach den §§ 67 - 85 a SGB X, zulässig ist. Damit ist auch die Vorschrift des § 80 SGB X selbst für den Auftragnehmer einer Auftragsdatenverarbeitung nach § 295 Abs. 1b SGB V bei Einschaltung einer "anderen Stelle" in die Abrechnung von Leistungen der hausarztzentrierten Versorgung anzuwenden. Da die betroffenen Patientendaten im Rahmen des HzV-Vertrages vom Hausarzt jedoch zu 100 % an den Unterauftragnehmer des Antragstellers, die ...G, übermittelt werden sollen, verbliebe dem Antragsteller bei Annahme seiner Stellung als erstem Auftragnehmer kein Datenbestand und erst recht nicht der überwiegende Teil des Datenbestandes im Verhältnis zu den von seinem Dienstleister zu speichernden Daten.

34: Ist die nach dem HzV-Vertragswerk vorgesehene Datenverarbeitung somit nach derzeitigem Regelungsstand schon nicht als Auftragsdatenverarbeitung im Sinne von § 80 SGB X zu bewerten, fehlt es an einer Rechtsgrundlage für die Weitergabe der Patientendaten vom Hausarzt an den Antragsteller und seinen Dienstleister sowie dessen Unterauftragnehmer. Selbst wenn eine Auftragsdatenverarbeitung vorläge, wären die dafür geltenden Anforderungen nicht eingehalten. Ein Verstoß gegen materielles Datenschutzrecht im Sinne von § 38 Abs. 5 BDSG liegt somit vor. Dabei ist die Annahme eines Verstoßes nicht erst dann gerechtfertigt und sind aufsichtsbehördliche Maßnahmen nicht erst dann zulässig, wenn die betreffende Datenverarbeitung bereits ins Werk gesetzt ist. Gerade wenn es um besonders sensible und sogar strafrechtlich geschützte Daten wie Patientendaten (hier einschließlich von Krankheitsdiagnosen und Verordnungsdaten) geht, muss einer datenschutzrechtlichen Aufsichtsbehörde vor dem Hintergrund der durch Art. 28 Abs. 3, 2.Spiegelstrich der EU-Datenschutzrichtlinie verlangten wirksamen Einwirkungsbefugnisse ein Tätigwerden schon dann möglich sein, wenn die unzulässige Datenverarbeitung durch ein Vertragswerk bereits deutlich vorgezeichnet ist und dieses Vertragswerk in Kraft getreten ist. Dies ist vorliegend der Fall, sodass dahinstehen kann, zu welchem Zeitpunkt auf Grund der vorzunehmenden Vergütungsbereinigung erstmals Daten tatsächlich übermittelt werden. Im Übrigen bedürfte selbst die Übermittlung der Patientenregistrierungen für die Hausarzt zentrierte Versorgung an die ...G (vgl. Ziffer 2.1.1 der Anlage 4 zum HzV-Vertrag) einer ausreichenden Rechtsgrundlage, da auch durch sie Sozialdaten im Sinne der §§ 35 SGB I, 67 SGB X verarbeitet werden.

35: Ob sich die streitbefangene Anordnung des Antragsgegners, mit der dieser in die Datenweitergabe an den Dienstleister des Antragstellers eingreift bzw. eine separate Speicherung und Nutzungssperrung etwaiger bereits übermittelter Daten von Patienten angeordnet hat, noch im Rahmen der nach § 38 Abs. 5 Satz 1 BDSG auf der ersten Stufe des gestaffelten aufsichtsbehördlichen Vorgehens zulässigen Maßnahmen zur Beseitigung von Datenschutzverstößen hält, oder ob es sich wegen des untersagungsähnlichen Gehaltes der Anordnung insoweit bereits um eine Maßnahme handelt, die lediglich nach den einschränkenden Voraussetzungen des dortigen Satz 2 - die vorliegend unstreitig nicht erfüllt sind - möglich wäre, erscheint dem Senat allerdings nicht ganz zweifelsfrei. Insoweit bleibt im Hauptsacheverfahren das Verhältnis beider Befugnisnormen zueinander insbesondere nach Inkrafttreten der Novellierung des BDSG im Jahre 2009, mit welcher eine Befugnis zur Anordnung von Maßnahmen zur Beseitigung materieller Datenschutzverstöße ergänzend eingefügt wurde, weiter zu klären. Aus diesem Grunde kann der Bescheid des Antragsgegners vom 21. Juli 2010 im Rahmen einer summarischen Prüfung im Eilverfahren weder als offensichtlich rechtmäßig noch als offensichtlich rechtswidrig angesehen werden. Das Verwaltungsgericht hat daher im Ergebnis zu Recht maßgeblich auf eine Abwägung der betroffenen Interessen im Rahmen des § 80 Abs. 5 VwGO abgestellt. Dabei ist auch aus Sicht des erkennenden Senats in nicht zu beanstandender Weise den Interessen der von einer unzulässigen Datenverarbeitung betroffenen Patienten der Vorrang eingeräumt worden. Diese genießen vor dem Hintergrund der strafrechtlichen Relevanz einer unbefugten Offenbarung von ärztlichen Berufsgeheimnissen und wegen der Sensibilität der hier betroffenen Gesundheitsdaten allerhöchsten Rang. Entgegenstehende eigene wirtschaftliche Interessen des Antragstellers sind vorliegend nicht erkennbar, da er die für die Abrechnung der Vergütung zu vereinnahmende Verwaltungskostenpauschale vom Hausarzt an seinen Dienstleister, der hier nicht Beteiligter des Verfahrens ist, weiterleitet. Im Übrigen wären derartige wirtschaftliche Interessen vorliegend auch nicht geeignet, einen Vorrang gegenüber den Belangen der betroffenen Patienten zu begründen. Den zu berücksichtigenden Interessen des Antragstellers und der hinter ihm stehenden Hausärzte an einer Durchführung der hausarztzentrierten Versorgung kommt gleichfalls kein vorrangiges Gewicht zu, zumal es der Antragsteller als ein Beteiligter am Vertragswerk des HzV-Vertrages maßgeblich mit in der Hand hat, datenschutzkonforme Vertragsgestaltungen zu initiieren.

36: Die Kostenentscheidung folgt aus § 154 Abs. 2 VwGO, die Festsetzung des Streitwertes beruht auf den § 53 Abs. 2, 52 Abs. 1 und 2 GKG.

37: Die außergerichtlichen Kosten der Beigeladenen sind gemäß § 162 Abs. 3 VwGO nicht erstattungsfähig, weil diese im Beschwerdeverfahren keinen eigenen Antrag gestellt haben.

38: Dieser Beschluss ist unanfechtbar (§ 152 Abs. 1 VwGO, §§ 68 Abs. 1 Satz 5, 66 Abs. 3 Satz 3 GKG).

Bundesdatenschutzgesetz - BDSG 2018 | § 38 Datenschutzbeauftragte nichtöffentlicher Stellen

(2) § 6 Absatz 4, 5 Satz 2 und Absatz 6 finden Anwendung, § 6 Absatz 4 jedoch nur, wenn die Benennung einer oder eines Datenschutzbeauftragten verpflichtend ist.

Telemediengesetz - TMG | § 2 Begriffsbestimmungen

Im Sinne dieses Gesetzes

1.

ist Diensteanbieter jede natürliche oder juristische Person, die eigene oder fremde Telemedien zur Nutzung bereithält oder den Zugang zur Nutzung vermittelt,

2.

2a.

3.

ist Nutzer jede natürliche oder juristische Person, die Telemedien nutzt, insbesondere um Informationen zu erlangen oder zugänglich zu machen,

4.

sind Verteildienste Telemedien, die im Wege einer Übertragung von Daten ohne individuelle Anforderung gleichzeitig für eine unbegrenzte Anzahl von Nutzern erbracht werden,

5.

a): Angaben, die unmittelbaren Zugang zur Tätigkeit des Unternehmens oder der Organisation oder Person ermöglichen, wie insbesondere ein Domain-Name oder eine Adresse der elektronischen Post,
b): Angaben in Bezug auf Waren und Dienstleistungen oder das Erscheinungsbild eines Unternehmens, einer Organisation oder Person, die unabhängig und insbesondere ohne finanzielle Gegenleistung gemacht werden; dies umfasst auch solche unabhängig und insbesondere ohne finanzielle Gegenleistung oder sonstige Vorteile von natürlichen Personen gemachten Angaben, die eine unmittelbare Verbindung zu einem Nutzerkonto von weiteren natürlichen Personen bei Diensteanbietern ermöglichen,

6.

sind audiovisuelle Mediendienste

a): audiovisuelle Mediendienste auf Abruf und
b): die audiovisuelle kommerzielle Kommunikation,

7.

ist audiovisueller Mediendiensteanbieter ein Anbieter von audiovisuellen Mediendiensten,

8.

9.

10.

sind Videosharingplattform-Dienste

a): Telemedien, bei denen der Hauptzweck oder eine wesentliche Funktion darin besteht, Sendungen oder nutzergenerierte Videos, für die der Diensteanbieter keine redaktionelle Verantwortung trägt, der Allgemeinheit bereitzustellen, wobei der Diensteanbieter die Organisation der Sendungen und der nutzergenerierten Videos, auch mit automatischen Mitteln, bestimmt,
b): trennbare Teile von Telemedien, wenn für den trennbaren Teil der in Buchstabe a genannte Hauptzweck vorliegt,

11.

ist Videosharingplattform-Anbieter ein Diensteanbieter, der Videosharingplattform-Dienste betreibt,

12.

ist redaktionelle Verantwortung die Ausübung einer wirksamen Kontrolle hinsichtlich der Zusammenstellung der Sendungen und ihrer Bereitstellung mittels eines Katalogs,

13.

ist Sendung eine Abfolge von bewegten Bildern mit oder ohne Ton, die unabhängig von ihrer Länge Einzelbestandteil eines von einem Diensteanbieter erstellten Sendeplans oder Katalogs ist,

14.

15.

16.

ist Drittstaat jeder Staat, der nicht Mitgliedstaat ist,

17.

ist Mutterunternehmen ein Unternehmen, das ein oder mehrere Tochterunternehmen kontrolliert,

18.

ist Tochterunternehmen ein Unternehmen, das unmittelbar oder mittelbar von einem Mutterunternehmen kontrolliert wird,

19.

Einer juristischen Person steht eine Personengesellschaft gleich, die mit der Fähigkeit ausgestattet ist, Rechte zu erwerben und Verbindlichkeiten einzugehen.

Bundesdatenschutzgesetz - BDSG 2018 | § 3 Verarbeitung personenbezogener Daten durch öffentliche Stellen

Telemediengesetz - TMG | § 1 Anwendungsbereich

(1) Dieses Gesetz gilt für alle elektronischen Informations- und Kommunikationsdienste, soweit sie nicht Telekommunikationsdienste nach § 3 Nummer 61 des Telekommunikationsgesetzes, telekommunikationsgestützte Dienste nach § 3 Nummer 63 des Telekommunikationsgesetzes oder Rundfunk nach § 2 des Rundfunkstaatsvertrages sind (Telemedien). Dieses Gesetz gilt für alle Anbieter einschließlich der öffentlichen Stellen unabhängig davon, ob für die Nutzung ein Entgelt erhoben wird.

(2) Dieses Gesetz gilt nicht für den Bereich der Besteuerung.

(3) Das Telekommunikationsgesetz und die Pressegesetze bleiben unberührt.

(4) Die an die Inhalte von Telemedien zu richtenden besonderen Anforderungen ergeben sich aus dem Staatsvertrag für Rundfunk und Telemedien (Rundfunkstaatsvertrag).

(5) Dieses Gesetz trifft weder Regelungen im Bereich des internationalen Privatrechts noch regelt es die Zuständigkeit der Gerichte.

(6) Die besonderen Bestimmungen dieses Gesetzes für audiovisuelle Mediendienste gelten nicht für Dienste, die

1.: ausschließlich zum Empfang in Drittstaaten bestimmt sind und
2.: weder unmittelbar noch mittelbar von der Allgemeinheit mit handelsüblichen Verbraucherendgeräten in einem Mitgliedstaat empfangen werden.

Bundesdatenschutzgesetz - BDSG 2018 | § 3 Verarbeitung personenbezogener Daten durch öffentliche Stellen

Bundesdatenschutzgesetz - BDSG 2018 | § 11 Ernennung und Amtszeit

(3) Die Amtszeit der oder des Bundesbeauftragten beträgt fünf Jahre. Einmalige Wiederwahl ist zulässig.

Bundesdatenschutzgesetz - BDSG 2018 | § 3 Verarbeitung personenbezogener Daten durch öffentliche Stellen

Bundesdatenschutzgesetz - BDSG 2018 | § 11 Ernennung und Amtszeit

(3) Die Amtszeit der oder des Bundesbeauftragten beträgt fünf Jahre. Einmalige Wiederwahl ist zulässig.

Bundesdatenschutzgesetz - BDSG 2018 | § 3 Verarbeitung personenbezogener Daten durch öffentliche Stellen

Bürgerliches Gesetzbuch - BGB | § 830 Mittäter und Beteiligte

(2) Anstifter und Gehilfen stehen Mittätern gleich.

Bundesgerichtshof Urteil, 15. Aug. 2013 - I ZR 80/12

BUNDESGERICHTSHOF

IM NAMEN DES VOLKES

URTEIL

I ZR 80/12 Verkündet am:

15. August 2013

Führinger

Justizangestellte

als Urkundsbeamtin

der Geschäftsstelle

in dem Rechtsstreit

Nachschlagewerk: ja

BGHZ: nein

BGHR: ja

File-Hosting-Dienst

UrhG § 97; TMG § 7 Abs. 2, § 10

a) Ist das Geschäftsmodell eines File-Hosting-Dienstes nicht von vornherein auf

Rechtsverletzungen angelegt, ist der Umstand, dass der Betreiber durch eigene

Maßnahmen die Gefahr einer rechtsverletzenden Nutzung des Dienstes fördert, bei

der Bestimmung des Umfangs der ihm als Störer obliegenden Prüfpflichten zu berücksichtigen

(Fortführung von BGH, Urteil vom 12. Juli 2012 - I ZR 18/11, BGHZ

194, 339 Rn. 21 ff. - Alone in the Dark).

b) Leistet ein File-Hosting-Dienst durch sein konkretes Geschäftsmodell Urheberrechtsverletzungen

in erheblichem Umfang Vorschub, so ist ihm eine umfassende

regelmäßige Kontrolle der Linksammlungen zuzumuten, die auf seinen Dienst verweisen

(Fortführung von BGHZ 194, 339 Rn. 39 - Alone in the Dark).

c) Die Prüfpflichten des Störers, die sich danach ergeben, bestehen in Bezug auf jedes

Werk, hinsichtlich dessen ihm eine klare Rechtsverletzung angezeigt worden ist; sie

verringern sich nicht deswegen, weil er auf eine große Zahl von Verletzungen - im

Streitfall auf das Öffentlich-Zugänglichmachen von über 4800 Musiktiteln - hingewiesen

worden ist.

BGH, Urteil vom 15. August 2013 - I ZR 80/12 - OLG Hamburg

LG Hamburg

Der I. Zivilsenat des Bundesgerichtshofs hat auf die mündliche Verhandlung

vom 8. Mai 2013 durch den Vorsitzenden Richter Prof. Dr. Bornkamm und

die Richter Prof. Dr. Büscher, Prof. Dr. Schaffert, Dr. Kirchhoff und Dr. Löffler

für Recht erkannt:

Die Revision der Beklagten zu 1 gegen das Urteil des Hanseatischen Oberlandesgerichts Hamburg, 5. Zivilsenat, vom 14. März 2012 wird zurückgewiesen. Auf die Revision der Beklagten zu 2 und 3 wird das genannte Urteil im Kostenpunkt und insoweit aufgehoben , als zum Nachteil der Beklagten zu 2 und 3 erkannt worden ist. Im Umfang der Aufhebung wird die Sache zur neuen Verhandlung und Entscheidung, auch über die Kosten des Revisionsverfahrens, an das Berufungsgericht zurückverwiesen.
Von Rechts wegen

Tatbestand:

1: Die Klägerin ist die Gesellschaft für musikalische Aufführungs- und mechanische Vervielfältigungsrechte (GEMA). Sie nimmt als Verwertungsgesellschaft die Verwertungsrechte von Musikurhebern (Komponisten und Textdichtern ) wahr. Die Klägerin ist Inhaber der ausschließlichen Verwertungsrechte an den in den Anlagen K1, K2 und K27 bezeichneten Musikwerken. Die Beklagte zu 1 (nachfolgend: die Beklagte), eine Aktiengesellschaft mit Sitz in der Schweiz, stellt unter der Internetadresse www.rapidshare.com Nutzern Speicherplatz im Internet zur Verfügung („File-Hosting-Dienst“). Bei diesem Dienst kann der Nutzer beliebige Dateien auf die Internetseite der Beklagten hochladen , die dann auf deren Server abgespeichert werden. Nach dem Hochladen wird dem Nutzer ein elektronischer Verweis übermittelt, mit dem dieser die abgelegte Datei über seinen Browser aufrufen und herunterladen kann (Download -Link). Der Beklagte zu 2 ist zur Alleinvertretung berechtigtes Mitglied des Verwaltungsrats der Beklagten, der Beklagte zu 3 war bis in das Jahr 2010 deren Geschäftsführer.

2: Die Beklagte stellt weder ein Inhaltsverzeichnis über die hochgeladenen Dateien noch eine Suchfunktion oder sonstige Katalogisierung dieser Daten bereit. Die Nutzer der Beklagten können jedoch die jeweiligen Download-Links in Linksammlungen einstellen. Es ist möglich, in den Linksammlungen nach bestimmten, auf den Servern der Beklagten abgespeicherten Dateien zu suchen.

3: Die Beklagte bietet für die Nutzung ihres Dienstes zwei Möglichkeiten an. Ohne Registrierung kann der Dienst kostenlos, aber nur in eingeschränktem Umfang genutzt werden. So beginnt der Download mit Verzögerung, weitere Downloads sind im unmittelbaren Anschluss nicht möglich und die Downloadgeschwindigkeit ist begrenzt; zudem können die hochgeladenen Dateien - nach Vortrag der Beklagten - höchstens zehnmal heruntergeladen werden. Daneben gab es die Möglichkeit, nach Registrierung des Nutzers ein kostenpflichtiges Premium-Konto einzurichten. Das Premium-Konto ermöglicht insbesondere ein schnelles und paralleles Herunterladen mehrerer Dateien.

4: Die Beklagte vergab darüber hinaus Premium-Punkte an Nutzer, deren hochgeladene Dateien von anderen Personen abgerufen wurden. Diese Punkte konnten in ein kostenloses Premium-Konto oder andere hochwertige Prämien eingetauscht werden. Mit Wirkung zum 1. Juli 2010 hat die Beklagte die für Dateiaufrufe gewährten Premium-Punkte abgeschafft. Der Nutzer kann nun soge- nannte „Rapids“ und sodann das Leistungspaket „PremiumPro“ erwerben, das im Wesentlichen dem bisherigen Premium-Konto entspricht.

5: Mit Schreiben ihrer Prozessbevollmächtigten vom 22. November 2006 teilte die Klägerin mit, dass die in der Anlage K2 genannten 143 Musikwerke ohne ihre Zustimmung über den Dienst der Beklagten öffentlich zugänglich gemacht worden waren. Mit Schreiben vom 15. Januar 2008 setzte die Klägerin die Beklagte davon in Kenntnis, dass auch die aus der Anlage K1 ersichtlichen 1687 Musikwerke über den Dienst der Beklagten abrufbar seien, unter dem 4. April 2008 folgte ein entsprechendes Schreiben in Bezug auf die in der Anlage K27 genannten 2985 Musikwerke. Nachdem diese Dateien in derFolgezeit nach dem Vortrag der Klägerin weiterhin über den Dienst der Beklagten abrufbar waren, nimmt sie die Beklagten auf Unterlassung in Anspruch.

6: Die Klägerin hat beantragt, es den Beklagten unter Androhung der gesetzlichen Ordnungsmittel zu verbieten, im Rahmen des Online-Dienstes www.rapidshare.com die in der Anlage K1, K2 und K27 genannten Musikwerke öffentlich zugänglich zu machen und/oder öffentlich zugänglich machen zu lassen.

7: Das Landgericht hat die Beklagten antragsgemäß verurteilt (LG Hamburg , ZUM 2009, 863). Das Berufungsgericht hat die Berufung der Beklagten mit der Maßgabe zurückgewiesen, dass sich die Verurteilung darauf beschränkt , die in Rede stehenden Werke öffentlich zugänglich machen zu lassen (OLG Hamburg, MMR 2012, 393).

8: Mit ihrer vom Berufungsgericht zugelassenen Revision, deren Zurückweisung die Klägerin beantragt, verfolgen die Beklagten ihren Antrag auf Klageabweisung weiter.

Entscheidungsgründe:

9: A. Das Berufungsgericht hat die Klage - klarstellend beschränkt auf die Handlungsform „öffentlich zugänglich machen zu lassen“ und auf Verletzungshandlungen in Deutschland - für begründet erachtet und hierzu ausgeführt:

10: Der Klägerin stehe gemäß § 97 Abs. 1, §§ 19a, 120, 121 Abs. 4 UrhG, Art. 5 Abs. 1, Art. 3 Abs. 1, Art. 2 Abs. 6 RBÜ gegenüber den Beklagten ein Anspruch zu, es zu unterlassen, die im Urteilstenor genannten Musikwerke öffentlich zugänglich machen zu lassen.

11: Die Musikwerke seien in dem Moment öffentlich zugänglich gemacht worden, in dem der Download-Link für den Dienst der Beklagten in einer Linksammlung im Internet dritten Personen uneingeschränkt zur Verfügung gestellt werde. Dies sei hinsichtlich der im Urteilstenor genannten Musikwerke geschehen.

12: Die Klägerin habe die Beklagte mit Schreiben vom 22. November 2006, 15. Januar 2008 und 4. April 2008 in Kenntnis gesetzt, dass über deren Plattform die in den Anlagen K1, K2 und K27 genannten Musikwerke öffentlich hätten heruntergeladen werden können. Damit sei es den Beklagten möglich gewesen , künftige Rechtsverletzungen zu verhindern. Gleichwohl seien diese Musikwerke in der Folgezeit noch über den Dienst der Beklagten abrufbar gewesen. Für diese Urheberrechtsverletzungen hafte die Beklagte als Störerin.

13: Auch wenn das Geschäftsmodell der Beklagten grundsätzlich den Schutz der Rechtsordnung verdiene, berge es strukturell in einem Umfang die Gefahr massenhafter Urheberrechtsverletzungen in sich, dass der Beklagten erheblich gesteigerte Prüf- und Handlungspflichten zur Verhinderung von Urheberrechtsverletzungen zuzumuten seien. Die Beklagte habe die Position eines neutralen Vermittlers verlassen. Zum Zeitpunkt der Verletzungshandlungen sei ihr Angebot maßgeblich zumindest auch auf die massenhafte Begehung von Urheberrechtsverletzungen ausgerichtet gewesen. Private Nutzer seien ermutigt worden , die hochgeladenen Dateien möglichst breit und flächendeckend zu verteilen. Es verstehe sich von selbst, dass eine Downloadhäufigkeit von über 100.000 Vorgängen, mit der die Beklagte werbe, nicht im vertraulichen geschäftlichen oder privaten Bereich, sondern allenfalls mit hoch attraktiven und damit im Regelfall rechtswidrigen Inhalten erreichbar sei. Die Beklagte hätte die Begehung rechtswidriger Handlungen über ihren Dienst auch durch die an die Häufigkeit des Herunterladens von Dateien gekoppelte Vergabe von PremiumPunkten maßgeblich gefördert. Selbst wenn die Beklagte inzwischen die aktive Bewerbung urheberrechtswidriger Handlungen eingestellt habe, wirke diese doch im Bewusstsein der maßgeblichen Verkehrskreise fort.

14: Unabhängig davon sei für die Annahme einer aktiven Förderung von Urheberrechtsverletzungen von entscheidendem Gewicht, dass die Beklagte ihren Nutzern weiterhin letztlich ein vollständig anonymes Handeln ermögliche. Durch die von ihr gewählte Anonymität hätte sich die Beklagte willentlich außer Stande gesetzt, wirkungsvoll gegen Rechtsverletzer vorgehen zu können. Auch der Umstand, dass die Beklagte ihren Dienst weiterhin im Wesentlichen durch das Volumen heruntergeladener Dateien und nicht durch das Bereitstellen von Speicherplatz finanziere, zeige, dass sie der Begehung von vielfachen Urheberrechtsverletzungen Vorschub leiste.

15: Vor diesem Hintergrund sei die Beklagte ihren umfangreichen Sorgfaltsund Prüfpflichten als Störerin nicht hinreichend nachgekommen und hafte daher auf Unterlassung.

16: Die Beklagten zu 2 und 3 hafteten nach allgemeinen Rechtsgrundsätzen in gleicher Weise.

17: B. Die gegen diese Beurteilung gerichtete Revision derBeklagten zu 1 hat keinen Erfolg. Die Beklagte hat die ihr als Störerin obliegenden Prüfpflichten verletzt; hätte sie diese Pflichten erfüllt, hätten weitere Verletzungen der Rechte der Klägerin verhindert werden können.

18: I. Die internationale Zuständigkeit der deutschen Gerichte ergibt sich aus Art. 5 Nr. 3 des Lugano-Übereinkommens über die gerichtliche Zuständigkeit und die Vollstreckung gerichtlicher Entscheidungen in Zivil- und Handelssachen vom 16. September 1988 (BGBl. 1994 II S. 2658). Die Klägerin macht Ansprüche aus einer in Deutschland begangenen unerlaubten Handlung - dem Öffentlich -Zugänglichmachen der in den Anlagen K1, K2 und K27 genannten Musikwerke - geltend.

19: II. Die Revision rügt vergeblich, das Berufungsurteil sei nicht mit Gründen versehen (§ 547 Nr. 6 ZPO), weil die Begründung den Unterlassungstenor nicht trage. Die Begründung verpflichte die Beklagte nur zu reaktiven Maßnahmen mit dem Ziel, erneut eingetretene Rechtsverletzungen innerhalb kürzester Zeit wieder zu beenden. Das sei mit dem tenorierten Verbot nicht vereinbar.

20: Das Berufungsgericht hat die Beklagte als Störerin zur Unterlassung verurteilt. Das bringt der Unterlassungstenor mit der Wendung „öffentlich zugänglich machen zu lassen“ zum Ausdruck. Die Unterlassungspflicht des Störers, die an die Verletzung von Prüfpflichten anknüpft, bezieht sich auf die erforderlichen und ihm zumutbaren Maßnahmen zur Beseitigung der Rechtsverletzung und zur Verhinderung künftiger Rechtsverletzungen. Daraus folgt notwendig, dass die Entscheidungsgründe sich zentral mit den Prüf- und Handlungspflichten des Störers zu befassen haben. Die entsprechend gefassten Entscheidungsgründe des Berufungsgerichts genügen der formalen Anforderung des § 547 Nr. 6 ZPO, eine Begründung des Unterlassungstenors zu geben.

21: III. Der Tenor des Berufungsurteils ist hinreichend bestimmt. Die Beklagten können ihm zwar nicht unmittelbar entnehmen, welche konkreten Handlungs - und Prüfpflichten ihnen obliegen. Die im Einzelnen zu befolgenden Sorgfalts - und Prüfpflichten ergeben sich aber aus den Entscheidungsgründen des Urteils (vgl. BGH, Urteil vom 19. April 2007 - I ZR 35/04, BGHZ 172, 119 Rn. 52 - Internet-Versteigerung II; Urteil vom 30. April 2008 - I ZR 73/05, GRUR 2008, 702 Rn. 37 = WRP 2008, 1104 Internet-Versteigerung III). Im Übrigen lassen sich die Grenzen dessen, was den Beklagten zuzumuten ist, im Erkenntnisverfahren nicht präziser bestimmen, weil zukünftige Verletzungen dadurch, dass die fraglichen Werke öffentlich zugänglich gemacht werden, nicht konkret abzusehen sind. Daher ist die Verlagerung eines Teils des Streits in das Vollstreckungsverfahren nicht zu vermeiden, wenn nicht der auf einen durchsetzbaren Unterlassungsanspruch zielende Rechtsschutz geopfert werden soll (vgl. BGHZ 172, 119 Rn. 48 - Internet-Versteigerung II). Da den Beklagten im Vollstreckungsverfahren stets nur schuldhafte Verstöße zur Last gelegt werden können , kann ein unverschuldetes Verhalten die Verhängung von Ordnungsmitteln nicht rechtfertigen.

22: IV. Nach den nicht angegriffenen Feststellungen des Berufungsgerichts ist die Klägerin als Inhaberin der ausschließlichen Verwertungsrechte an den aus den Anlagen K1, K2 und K27 ersichtlichen und nach § 2 Abs. 1 Nr. 2, Abs. 2 UrhG geschützten Musikwerken berechtigt, urheberrechtliche Unterlassungsansprüche gegenüber der Beklagten geltend zu machen.

23: V. Ohne Erfolg rügt die Revision, die Feststellung des Berufungsgerichts, die fraglichen Musikwerke seien öffentlich zugänglich gemacht worden, halte rechtlicher Überprüfung nicht stand.

24: Das Berufungsgericht hat festgestellt, die Klägerin habe hinsichtlich jedes einzelnen der 4815 Musikwerke substantiiert dargelegt, dass sie öffentlich zugänglich gemacht worden seien. Dem sei die Beklagte nicht ausreichend entgegengetreten. Ihr Bestreiten mit Nichtwissen sei unerheblich, weil die maßgeblichen Umstände Gegenstand der Wahrnehmung der Beklagten als Dienstbetreiber gewesen seien. Im Übrigen hat das Berufungsgericht auf die Ausführungen des Landgerichts Bezug genommen. Danach habe die Klägerin substantiiert dargelegt und belegt, dass die fraglichen Titel jeweils über einen elektronischen Verweis (Link) auf den Server der Beklagten herunterzuladen waren, der auf einer im Internet abrufbaren Link-Sammlung eingestellt war. Die Klägerin habe dazu die jeweiligen Screenshots, auf denen der konkrete Downloadvorgang zu erkennen sei, und die Datenträger, auf denen nach dem Vortrag der Klägerin die heruntergeladenen Musikdateien gespeichert worden seien , vorgelegt. Sie habe zudem den im Internet veröffentlichten Link zum Server der Beklagten angegeben.

25: Gegen diese Feststellungen wendet sich die Revision mit der Begründung , dass die jeweiligen elektronischen Verweise in den Link-Sammlungen nicht Gegenstand der Wahrnehmung der Beklagten gewesen seien. Eine Verbindung der Beklagten zu den Betreibern der Linksammlungen sei nicht festgestellt worden.

26: Die Revision verkennt, dass das Berufungsgericht nur insoweit von einem unzulässigen Bestreiten der Beklagten mit Nichtwissen ausgeht, als ein Verweis auf Dateien erfolgt ist, die auf den Servern der Beklagten gespeichert sind. Der Inhalt ihrer Server ist jedoch ohne weiteres Gegenstand der Wahrnehmung der Beklagten, so dass insoweit ein Bestreiten mit Nichtwissen unzulässig ist (§ 138 Abs. 4 ZPO). Soweit die Beklagte auch mit Nichtwissen bestritten habe, dass die entsprechenden elektronischen Verweise in LinkSammlungen veröffentlicht wurden, hat das Berufungsgericht unter Bezugnahme auf die Ausführungen des Landgerichts diese Tatsache ohne Rechtsfehler als erwiesen angesehen.

27: Ohne Erfolg rügt die Revision auch, das Berufungsgericht habe außer Acht gelassen, dass die Klägerin einen Dritten zur „Verbesserung ihres Arbeitsergebnisses“ hätte einschalten können. Anhaltspunkte hierfür bestehen nicht. Ein entsprechendes Verhalten der Klägerin liegt fern. Das Gleiche gilt für die Rüge der Revision, das Berufungsgericht habe unberücksichtigt gelassen, dass die von der Klägerin eingesetzte Software auf „private Nachrichten“ aus dem Internet zum Auffinden der Links hätte zugreifen können.

28: VI. Das Berufungsgericht ist zutreffend davon ausgegangen, dass die Verantwortlichkeit als Täter oder Teilnehmer grundsätzlich vorrangig gegenüber der Störerhaftung ist. Im Streitfall kann nicht von vornherein ausgeschlossen werden, dass die Beklagte an den von ihren Nutzern begangenen Urheberrechtsverletzungen etwa als Gehilfin beteiligt war (vgl. BGH, Urteil vom 15. Januar 2009 - I ZR 57/07, GRUR 2009, 841 Rn. 18 = WRP 2009, 1139 - Cybersky). Allerdings setzt eine Teilnehmerhaftung die Kenntnis von einer konkret drohenden Haupttat voraus. Die im Streitfall getroffenen Feststellungen erlauben nicht die Annahme, die Beklagte habe über eine solche Kenntnis verfügt.

29: VII. Die Beklagte kann aber als Störerin in Anspruch genommen werden, weil sie Prüfpflichten verletzt hat (vgl. BGH, Urteil vom 12. Juli 2012 - I ZR 18/11, BGHZ 194, 339 Rn. 15 ff. - Alone in the Dark). Entgegen der Ansicht der Revision gehen die der Beklagten vom Berufungsgericht auferlegten Prüfpflichten nicht über das zumutbare Maß hinaus.

30: 1. Als Störer kann bei der Verletzung absoluter Rechte auf Unterlassung in Anspruch genommen werden, wer - ohne Täter oder Teilnehmer zu sein - in irgendeiner Weise willentlich und adäquat-kausal zur Verletzung des geschützten Rechtsguts beiträgt. Da die Störerhaftung nicht über Gebühr auf Dritte erstreckt werden kann, die die rechtswidrige Beeinträchtigung nicht selbst vorge- nommen haben, setzt die Haftung des Störers nach der Rechtsprechung des Senats die Verletzung von Prüfpflichten voraus. Deren Umfang bestimmt sich danach, ob und inwieweit dem als Störer Inanspruchgenommenen nach den Umständen eine Prüfung zuzumuten ist (vgl. BGH, Urteil vom 30. April 2008 - I ZR 73/05, GRUR 2008, 702 Rn. 50 = WRP 2008, 1104 - Internetversteigerung III; Urteil vom 12. Mai 2010 - I ZR 121/08, BGHZ 185, 330 Rn. 19 - Sommer unseres Lebens; BGH, Urteil vom 18. November 2011 - I ZR 155/09, GRUR 2011, 617 Rn. 37 = WRP 2011, 881 - Sedo; BGHZ 194, 339 Rn. 19 - Alone in the Dark). Einer allgemeinen Prüfungspflicht von Diensteanbietern im Sinne der §§ 8 bis 10 TMG für die von Nutzern auf ihre Server eingestellten Dateien steht im Übrigen § 7 Abs. 2 Satz 1 TMG entgegen. Danach sind Diensteanbieter nicht verpflichtet, die von ihnen übermittelten oder gespeicherten Informationen zu überwachen oder nach Umständen zu forschen, die auf eine rechtswidrige Tätigkeit hindeuten. Nach dieser Vorschrift, die auf Art. 15 Abs. 1 der Richtlinie 2000/31/EG über den elektronischen Geschäftsverkehr beruht, sind Überwachungspflichten allgemeiner Art ausgeschlossen. Nicht ausgeschlossen sind dagegen Überwachungspflichten in spezifischen Fällen. Diensteanbieter, die von Nutzern bereitgestellte Informationen speichern, müssen außerdem die nach vernünftigem Ermessen von ihnen zu erwartende und in innerstaatlichen Rechtsvorschriften niedergelegte Sorgfaltspflicht anwenden, um bestimmte Arten rechtswidriger Tätigkeiten aufzudecken und zu verhindern (Erwägungsgrund 48 der Richtlinie 2000/31/EG; vgl. BGH, GRUR 2011, 617 Rn. 40 - Sedo). Diese vom Senat aufgestellten Grundsätze stehen im Einklang mit den Maßstäben, die der Gerichtshof der Europäischen Union in seinem Urteil vom 12. Juli 2011 (C-324/09, Slg. 2011, I-6011 = GRUR 2011, 1025 Rn. 109 ff., 139, 144 - L’Oréal/eBay) aufgestellt hat (vgl. BGH, Urteil vom 17. August 2011 - I ZR 57/09, BGHZ 191, 19 Rn. 22 ff. - Stiftparfüm).

31: Weitergehende Prüfungspflichten können bei einer besonderen Gefahrengeneigtheit des angebotenen Dienstes bestehen. Eine solche ist anzunehmen , wenn das Geschäftsmodell von vornherein auf Rechtsverletzungen durch die Nutzer angelegt ist oder der Gewerbetreibende durch eigene Maßnahmen die Gefahr einer rechtsverletzenden Nutzung fördert (vgl. BGH, GRUR 2009, 841 Rn. 21 f. - Cybersky; BGHZ 194, 339 Rn. 22 - Alone in the Dark).

32: 2. Von diesen Grundsätzen ist auch im Streitfall auszugehen.

33: a) Die Beklagte ist Diensteanbieterin im Sinne der § 2 Nr. 1, § 10 Satz 1 Nr. 1 TMG, weil es sich bei den auf ihren Servern gespeicherten Daten um fremde Informationen gemäß § 10 Satz 1 TMG handelt (vgl. BGHZ 194, 339 Rn. 21 - Alone in the Dark).

34: b) Das Geschäftsmodell der Beklagten ist nicht von vornherein auf Rechtsverletzungen angelegt. Das Berufungsgericht hat ohne Rechtsfehler angenommen , dass legale Nutzungsmöglichkeiten des Dienstes der Beklagten, für die ein beträchtliches technisches und wirtschaftliches Bedürfnis besteht, in großer Zahl vorhanden und üblich sind.

35: Neben einer Verwendung als „virtuelles Schließfach“ für eine sichere Verwahrung großer Mengen geschäftlicher oder privater Daten kann der Dienst der Beklagten dazu benutzt werden, bestimmten Nutzern eigene oder gemeinfreie Dateien zum Herunterladen oder zur Bearbeitung bereitzustellen. Das kommt etwa für Geschäftskunden in Betracht, die ihren Kunden Zugang zu bestimmten Informationen gewähren wollen, oder für Privatpersonen, die selbst erstellte digitale Bilder oder Filme mit Freunden oder Bekannten austauschen möchten. Dabei ist auch möglich, dass ein berechtigtes Bedürfnis zum massenhaften Herunterladen großer Dateien durch Dritte besteht - ein Merkmal, das die Beklagte als Vorteil ihres Dienstes herausstellt (BGHZ 194, 339 Rn. 23 - Alone in the Dark). Zudem hat das Berufungsgericht - wenn auch in anderem Zusammenhang - darauf verwiesen, dass dezentrale Speicherorte für die Verteilung von Software-Backups genutzt werden und dass der Dienst der Beklagten jedenfalls von einer seriösen Fachzeitschrift auf eine Stufe mit anderen Anbietern legaler Dienstleistungen im Bereich des „Cloud Computing“ gestellt worden ist.

36: c) Das Berufungsgericht ist aber auf der Grundlage der von ihm getroffenen tatsächlichen Feststellungen zu Recht davon ausgegangen, dass die Beklagte - auch wenn nicht angenommen werden kann, dass sie von konkret bevorstehenden Urheberrechtsverletzungen Kenntnis hatte - die Gefahr einer urheberrechtsverletzenden Nutzung ihres Dienstes durch eigene Maßnahmen gefördert hat. Die abweichende Beurteilung des Senats in der Entscheidung „Alone in the Dark“ (BGHZ 194, 339 Rn. 25 ff.) beruhte auf den dort getroffenen tatrichterlichen Feststellungen.

37: Als gewerbliches Unternehmen ist die Beklagte bestrebt, Einnahmen zu erzielen. Anders als andere Dienste etwa im Bereich des „Cloud Computing“ verlangt die Beklagte kein Entgelt für die Bereitstellung von Speicherplatz. Im Rahmen ihres Geschäftsmodells erzielt sie ihre Umsätze vielmehr nur durch den Verkauf von Premium-Konten oder - nach der inzwischen erfolgten Umstellung ihrer Angebote - von „Rapids“ und „PremiumPro“-Konten.

38: Die damit verbundenen Komfortmerkmale vor allem hinsichtlich Geschwindigkeit der Ladevorgänge, Dauer der Datenspeicherung und Größe der hochladbaren Dateien sind zwar auch bei vielen legalen Nutzungsmöglichkeiten von Bedeutung (vgl. BGHZ 194, 339 Rn. 26 - Alone in the Dark). Das Berufungsgericht hat jedoch angenommen, eine Häufigkeit von 100.000 Downloads für manche Dateien, mit der die Beklagte wirbt, sei nur mit hochattraktiven und damit im Regelfall rechtswidrigen Inhalten zu erreichen. Diese tatrichterliche Beurteilung verstößt nicht gegen Denkgesetze oder Erfahrungssätze und hält revisionsrechtlicher Prüfung stand. Auch wenn der Dienst der Beklagten auch für die Verteilung von für eine große Personenzahl bestimmten SoftwareUpdates von Interesse sein mag, ist doch die Annahme des Berufungsgerichts nicht rechtsfehlerhaft, für viele Nutzer sei gerade das rechtsverletzende Herunterladen urheberrechtlich geschützter Werke wie Filme, Musik oder Softwareprodukte attraktiv.

39: Je öfter diese Nutzer solche geschützten Inhalte ohne weitere Kosten bei der Beklagten tatsächlich herunterladen oder herunterzuladen beabsichtigen, desto eher sind sie bereit, die kostenpflichtigen Angebote der Beklagten in Anspruch zu nehmen. Das Berufungsgericht ist deshalb ohne Rechtsfehler davon ausgegangen, dass die Beklagte ihre Umsätze durch eine steigende Zahl von Downloads erhöht und dass sie deshalb in erheblichem Maß gerade von massenhaften Downloads profitiert, für die vor allem zum rechtswidrigen Herunterladen bereitstehende Dateien mit geschützten Inhalten attraktiv sind.

40: Diese Attraktivität für illegale Nutzungen wird, wie das Berufungsgericht zutreffend festgestellt hat, durch die Möglichkeit gesteigert, die Dienste der Beklagten anonym in Anspruch zu nehmen (vgl. BGH, Urteil vom 12. Juli 2007 - I ZR 18/04, BGHZ 173, 188 Rn. 25 - Jugendgefährdende Medien bei eBay). An diesem Umstand ändert sich nichts durch das an die Diensteanbieter gerichtete Gebot, grundsätzlich eine anonyme Nutzung von Telemedien zu ermöglichen , soweit sie technisch möglich und zumutbar ist (vgl. § 13 Abs. 6 TMG).

41: Vor diesem Hintergrund konnte das Berufungsgericht auch die bis zum 30. Juni 2010 praktizierte, von der Downloadhäufigkeit der hochgeladenen Dateien abhängige Vergabe von Premium-Punkten an Nutzer der Beklagten ohne Rechtsfehler als weiteres Indiz dafür ansehen, dass sie Rechtsverletzungen gefördert hat. Denn die Beklagte hat damit insbesondere auch die hohe Attrak- tivität des Herunterladens von Dateien mit urheberrechtlich geschütztem Inhalt belohnt, die auf ihren Servern ohne Zustimmung der Rechteinhaber zugänglich gemacht worden sind.

42: Das Berufungsgericht hat aus den vorgenannten Feststellungen ohne Rechtsfehler die tatsächliche Schlussfolgerung gezogen, dass die konkrete Ausgestaltung des Dienstes der Beklagten einen erheblichen Anreiz schafft, ihn für massenhafte Rechtsverletzungen zu nutzen. Es hat dabei auch berücksichtigt , dass die Beklagte selbst von einer Missbrauchsquote von 5 bis 6 % ausgegangen ist, was bei einem täglichen Upload-Volumen von 500.000 Dateien auf ca. 30.000 urheberrechtsverletzende Nutzungshandlungen hinausläuft.

43: 3. Das Berufungsgericht ist in tatrichterlicher Würdigung dieser Umstände ohne Rechtsfehler davon ausgegangen, dass der Beklagten zwar keine anlasslose , wohl aber eine anlassbezogene Überwachungspflicht auferlegt werden kann, die einer bereits erfolgten Rechtsverletzung nachfolgt und erneuten Rechtsverletzungen vorbeugt.

44: a) Der Umfang der Prüfpflichten desjenigen, der als Störer in Anspruch genommen wird, bestimmt sich danach, ob und inwieweit ihm nach den Umständen eine Prüfung zuzumuten ist (BGH, Urteil vom 15. Oktober 1998 - I ZR 120/96, GRUR 1999, 418, 419 f. = WRP 1999, 211 - Möbelklassiker; Urteil vom 1. April 2004 - I ZR 317/01, BGHZ 158, 343, 350 - Schöner Wetten; Urteil vom 9. Februar 2006 - I ZR 124/03, GRUR 2006, 875 Rn. 32 = WRP 2006, 1109 - Rechtsanwalts-Ranglisten; Urteil vom 12. Mai 2010 - I ZR 121/08, BGHZ 185, 330 Rn. 19 - Sommer unseres Lebens). Da die Beklagte durch eigene Maßnahmen die Gefahr einer rechtsverletzenden Nutzung ihres Dienstes fördert, obliegen ihr im Rahmen der Störerhaftung grundsätzlich weitgehende Prüfungspflichten. Dennoch ist es ihr - soweit sie als Störerin in Anspruch genommen wird - nicht zuzumuten, jede von Nutzern auf ihren Servern hochgela- dene Datei auf rechtsverletzende Inhalte zu untersuchen. Denn dies würde ihr Geschäftsmodell gefährden, das nicht von vornherein auf Rechtsverletzungen durch die Nutzer angelegt ist, sondern - wie dargelegt - in vielfältiger Weise auch legal genutzt werden kann (vgl. BGH, Urteil vom 11. März 2004 - I ZR 304/01, BGHZ 158, 236, 251 f. - Internet-Versteigerung I), und für das grundsätzlich das Haftungsprivileg des § 10 Satz 1 TMG gilt (vgl. BGHZ 185, 330 Rn. 24 - Sommer unseres Lebens; vgl. auch EuGH, Slg. 2011, I-6011 = GRUR 2011, 1025 Rn. 139 - L’Oréal/eBay).

45: Eine Prüfpflicht der Beklagten im Hinblick auf die zugunsten der Klägerin geschützten Musikwerke, deren Verletzung die Wiederholungsgefahr begründen kann, konnte daher erst entstehen, nachdem sie von der Klägerin auf eine klare Rechtsverletzung in Bezug auf die konkreten Musikwerke hingewiesen worden war (BGHZ 194, 339 Rn. 28 - Alone in the Dark). Der Umstand, dass die Beklagte durch eigene Maßnahmen die Gefahr einer rechtsverletzenden Nutzung ihres Dienstes fördert, ist jedoch bei der Bestimmung des Umfangs ihrer Prüfpflichten zu berücksichtigen.

46: b) Die Beklagte ist mit Schreiben vom 22. November 2006, vom 15. Januar 2008 und vom 4. April 2008 von der Klägerin auf klare Rechtsverletzungen in Bezug auf die in den Anlagen K1, K2 und K27 genannten Werke hingewiesen worden. Sie war daher ab diesem Zeitpunkt nicht nur dazu verpflichtet , das konkrete Angebot unverzüglich zu sperren, sondern hatte auch Vorsorge zu treffen, dass es möglichst nicht zu weiteren gleichartigen Rechtsverletzungen kam (vgl. BGH, Urteil vom 17. August 2011 - I ZR 57/09, BGHZ 191, 19 Rn. 39 - Stiftparfüm; BGHZ 194, 339 Rn. 29 - Alone in the Dark).

47: c) Nach den vom Berufungsgericht in Bezug genommenen - und insoweit von der Revision nicht angegriffenen - Feststellungen des Landgerichts waren die in Rede stehenden Musikwerke noch nach den Schreiben der Klägerin vom 22. November 2006, 15. Januar 2008 und 4. April 2008, die jeweils die Prüfpflicht der Beklagten begründeten, auf deren Servern abrufbar. Die Beklagte hat die ihr als Störerin obliegenden Prüfpflichten verletzt, weil sie nach den Hinweisen der Klägerin nicht jeweils alles ihr technisch und wirtschaftlich Zumutbare getan hat, um weitere Rechtsverletzungen im Hinblick auf die zugunsten der Klägerin geschützten Werke auf ihren Servern zu verhindern (vgl. BGHZ 194, 339 Rn. 31 - Alone in the Dark).

48: aa) Das Berufungsgericht hat nur hinsichtlich der in Anlage K2 aufgeführten Musikwerke ausdrücklich festgestellt, dass die Beklagte die dort genannten Dateien insgesamt gelöscht hat. Auch im Übrigen hat die Beklagte aber eine entsprechende Löschung vorgetragen; das Berufungsgericht hat insoweit keine abweichenden Feststellungen getroffen. Ihre darüber hinausgehenden Sorgfalts - und Prüfpflichten zur Verhinderung weiterer gleichartiger Rechtsverletzungen hat die Beklage zu 1 jedoch nicht erfüllt.

49: Solche gleichartigen Rechtsverletzungen sind nicht nur Angebote, die mit den bekannt gewordenen Fällen identisch sind, die also das Zugänglichmachen derselben Musikwerke durch denselben Nutzer betreffen. Vielmehr hat die Beklagte im Rahmen dessen, was ihr technisch und wirtschaftlich zumutbar ist, dafür Sorge zu tragen, dass weder der für die angezeigte Verletzung verantwortliche Nutzer noch andere Nutzer Dritten über ihre Server die ihr konkret benannten urheberrechtlich geschützten Werke anbieten. Die Urheberrechtsverletzung ist auf das konkrete urheberrechtlich geschützte Werk bezogen. Im Sinne der Störerhaftung sind Verletzungshandlungen gleichartig, durch die dieses Urheberrecht erneut verletzt wird. Dabei kommt es nicht auf die Person desjenigen an, der durch das Zugänglichmachen des geschützten Werkes den Verletzungstatbestand erfüllt (vgl. BGHZ 194, 339, Rn. 32 - Alone in the Dark).

50: bb) Das Berufungsgericht hat den Tatsachenvortrag der Beklagten zu deren Überprüfungsmaßnahmen als insgesamt unsubstantiiert angesehen, weil diese sich darauf beschränkt hätten, allgemeine organisatorische Maßnahmen zu benennen, die nicht im Zusammenhang mit den ihnen konkret entgegengehaltenen Rechtsverletzungen gestanden hätten. Zudem sei nicht ersichtlich, wann, mit welchen Mitteln, wie, durch wen, wie häufig und mit welchem Ergebnis Maßnahmen durchgeführt worden seien. Das Berufungsurteil beruht indes nicht auf einer Zurückweisung des Vortrags der Beklagten als unsubstantiiert. Das Berufungsgericht hat sich vielmehr im Einzelnen mit den von der Beklagten behaupteten Maßnahmen befasst. Hiergegen wendet sich die Revision vergeblich.

51: (1) Die Revision macht geltend, die Beklagte hätte dargelegt, dass sie ein 17-köpfiges Team zur Bekämpfung von Missbräuchen (Abuse-Team) unterhalte , das sieben Tage die Woche und 24 Stunden am Tag mit der Prüfung und Löschung von Dateien im Zusammenhang mit möglichen Urheberrechtsverletzungen befasst sei. Die Mitarbeiter der Beklagten gingen entsprechenden Meldungen nach und suchten aktiv einschlägige Internetseiten auf, um Urheberrechtsverletzungen abzustellen und zu verhindern. Damit hat die Beklagte keine konkreten Maßnahmen in Bezug auf die Verhinderung der gerügten Urheberrechtsverletzungen dargelegt. Allein die Zahl und der Einsatzzeitraum der beschäftigten Mitarbeiter kann schon deshalb nicht als hinreichender Vortrag angesehen werden, weil er keine Angaben dazu enthält, mit welcher Intensität und wie im Einzelnen eine Überprüfung stattfand.

52: (2) Den Hinweis der Beklagten in ihren Nutzungsbedingungen, dass es unzulässig sei, Werke unter Verletzung des Urheberrechts hochzuladen, hat das Berufungsgericht ohne Rechtsfehler als notwendige, aber wenig effektive Maßnahme angesehen.

53: (3) Der von der Beklagten vorgetragene Einsatz von MD5-Filtern kann Verletzungshandlungen nur in geringem Umfang verhindern, weil diese Filter nur Dateien erkennen können, die mit der rechtsverletzenden Datei identisch sind. Der Einsatz von MD5-Filtern reicht deshalb für die Erfüllung der Überprüfungs - und Kontrollpflichten der Beklagten nicht aus.

54: (4) Auch mit dem von der Revision besonders herausgestellten Angebot eines Lösch-Interface für Rechteinhaber kann die Beklagte ihre Sorgfalts- und Prüfpflichten nicht erfüllen. Der Klägerin bietet das Lösch-Interface nur eine begrenzte Möglichkeit, gegen illegale Nutzungen vorzugehen. Sie kann nur die konkreten, ihr schon bekannten rechtsverletzenden Dateien oder Links löschen, aber nicht selbst nach potentiellen neuen Rechtsverletzungen suchen. Zudem kann die Klägerin nicht gegen die hinter dem jeweiligen rechtsverletzenden Angebot stehenden Personen vorgehen, weil diese im Dienst der Beklagten und folglich auch bei Nutzung des von ihr angebotenen Lösch-Interface anonym bleiben. Schon diese beiden Eigenschaften des von der Beklagten eingerichteten Lösch-Interface begründen einen wesentlichen Unterschied zu dem Programm , zu dem sich der Senat in der Entscheidung „Kinderhochstühle im Internet“ (Urteil vom 22. Juli 2010 - I ZR 139/08, GRUR 2011, 152 Rn. 43 = WRP 2011, 223) geäußert hat. Anders als in jenem Markenverletzungen betreffenden Fall sind die vorliegenden Urheberrechtsverletzungen auch offensichtlich, sobald ein zu einem geschützten Werk führender Link veröffentlicht worden ist. Die Beklagte kann sich den ihr obliegenden Kontrollmaßnahmen deshalb nicht dadurch entziehen, dass sie der Klägerin ihr Lösch-Interface anbietet.

55: cc) Nach den rechtsfehlerfreien Feststellungen des Berufungsgerichts hat die Beklagte die ihr obliegende Prüfpflicht verletzt und es dadurch versäumt, weitere, mit den von der Klägerin angezeigten Fällen gleichartige Rechtsverletzungen zu verhindern.

56: (1) Die Beklagte hat ihre Prüfpflicht verletzt, weil sie es unterlassen hat, die einschlägigen Linksammlungen im Hinblick auf die im Klageantrag aufgeführten Musikwerke zu durchsuchen.

57: Soweit Hyperlinks in Linksammlungen auf Dateien verweisen, die auf den Servern der Beklagten gespeichert sind und zugunsten der Klägerin geschützte Werke enthalten, handelt es sich um Verletzungshandlungen, die mit den festgestellten Verletzungen gleichartig sind und auf die sich die Prüfpflichten der Beklagten grundsätzlich erstrecken, nachdem sie über entsprechende Verstöße unterrichtet worden ist (vgl. BGHZ 194, 339 Rn. 37 - Alone in the Dark).

58: Da nach den rechtsfehlerfreien Feststellungen des Berufungsgerichts davon auszugehen ist, dass die Beklagte durch ihr konkretes Geschäftsmodell Urheberrechtsverletzungen in erheblichem Umfang Vorschub leistet, ist ihr eine umfassende regelmäßige Kontrolle der Linksammlungen zuzumuten, die auf ihren Dienst verweisen. Soweit der Senat in der Entscheidung „Alone in the Dark“ ausgeführt hat, der Beklagten sei grundsätzlich auch eine manuelle Kontrolle jedenfalls einer einstelligen Zahl von Linksammlungen zumutbar (vgl. BGHZ 194, 339 Rn. 39), war dies auf den in jenem Fall gestellten Klageantrag und die dort getroffenen tatrichterlichen Feststellungen zurückzuführen. Eine allgemeine Begrenzung der Zahl zu kontrollierender Linksammlungen kann dem Urteil „Alone in the Dark“ nicht entnommen werden.

59: Die Prüfpflichten des Störers bestehen bei jedem Werk, zu dem er auf eine klare Rechtsverletzung hingewiesen worden ist, im selben Umfang. Sie verringern sich nicht dadurch, dass sie in Bezug auf eine große oder sehr große Werkzahl – allein im Streitfall über 4800 Musikwerke - erfüllt werden müssen. Denn der urheberrechtliche Schutz kann nicht dadurch geschwächt werden, dass es im Rahmen eines an sich zulässigen Geschäftsmodells zu einer gro- ßen Zahl von Rechtsverletzungen kommt. Allerdings ist nicht von vornherein auszuschließen, dass der als Störer in Anspruch Genommene im Vollstreckungsverfahren mangelndes Verschulden einwenden könnte, wenn er im Einzelfall die Prüfpflicht für eine Vielzahl von Werken einer großen Zahl von Rechteinhabern nicht gleichzeitig erfüllen konnte, obwohl er seinen Geschäftsbetrieb angemessen ausgestattet hatte, um seinen Prüfpflichten nachzukommen. Allerdings werden häufig viele Rechte zahlreicher Rechtsinhaber in denselben Linksammlungen verletzt. Dementsprechend wird die Zahl der zu prüfenden Linksammlungen nicht im selben Verhältnis wie die Zahl der urheberrechtlich geschützten Werke ansteigen, die zu überprüfen sind. Die Annahme mangelnden Verschuldens bei der Verletzung der Prüfpflicht wird daher allenfalls sehr zurückhaltend in Ausnahmefällen in Betracht kommen.

60: Danach hat das Berufungsgericht die Prüfpflichten der Beklagten nicht überspannt, indem es ihr eine umfassende Kontrolle von Link-Ressourcen auferlegt , bei der sie gezielt nach weiteren Links suchen muss, die den Werktitel vollständig oder in einem Umfang enthalten, der darauf schließen lässt, dass das betreffende Werk zugänglich gemacht wird, wobei auch die verbale Beschreibung im Begleittext in die Überprüfung einbezogen werden soll. Die vom Berufungsgericht der Beklagten in diesem Umfang auferlegte allgemeine „Marktbeobachtungspflicht“ ist unter den konkreten Umständen des Streitfalls zumutbar und geboten. Die Beklagte ist somit verpflichtet, über allgemeine Suchmaschinen wie Google, Facebook oder Twitter mit geeignet formulierten Suchanfragen und gegebenenfalls auch unter Einsatz von sogenannten Webcrawlern zu ermitteln, ob sich hinsichtlich der konkret zu überprüfenden Werke Hinweise auf weitere rechtsverletzende Links auf ihren Dienst finden.

61: (2) Nach den Feststellungen des Berufungsgerichts hat die Beklagte einen Wortfilter benutzt, um mittels ihrer Server begangene Rechtsverletzungen aufzudecken. Ob dieser Wortfilter - wie erforderlich - unter Anzeige auch ähnli- cher Ergebnisse für alle im Streitfall relevanten Musikwerke eingesetzt worden ist, ist indes nicht festgestellt. Insoweit kann daher nicht von der Verletzung einer weiteren Prüfungspflicht durch die Beklagte ausgegangen werden (vgl. BGHZ 194, 339, Rn. 33 ff. - Alone in the Dark).

62: (3) Dass der Beklagten obliegende Prüfpflichten im Einzelfall auch zu einer Löschung rechtmäßiger Sicherungskopien führen können, macht ihre Erfüllung nicht unzumutbar (vgl. BGHZ 194, 339 Rn. 45 - Alone in the Dark). Es ist deshalb unerheblich, dass das bloße Hochladen auf die Server der Beklagten für sich allein noch nicht auf die Vorbereitung eines illegalen ÖffentlichZugänglichmachens schließen lässt. Ist ein bestimmtes urheberrechtlich geschütztes Werk über den Dienst der Beklagten bereits einmal in unzulässiger Weise öffentlich zugänglich gemacht worden, begründet das erneute Hochladen dieses Werks grundsätzlich die Gefahr, dass es wieder unter Verletzung des Urheberrechts genutzt wird. Die Beklagte hat dieser Gefahr im Hinblick auf das von ihrem Geschäftsmodell ausgehende erhebliche Gefährdungspotential für urheberrechtlich geschützte Interessen wirksam entgegenzutreten. Entgegen der Ansicht der Revision ist kein Erfahrungssatz ersichtlich, dass dies zu einer für die Beklagte existenzgefährdenden Vielzahl von Löschungen für rechtmäßige Nutzungen gespeicherter Dateien führt.

63: 4. Mit Recht ist das Berufungsgericht auch davon ausgegangen, dass die Beklagte als Störer für die späteren gleichartigen Rechtsverletzungen haftet, weil sie diese bei Erfüllung der ihr obliegenden zumutbaren Prüfpflichten hätte verhindern können. Die im Klageantrag aufgeführten Werke wurden nach den Schreiben vom 22. November 2006, 15. Januar 2008 und 4. April 2008 auf Link-Listen über bestimmte Links zu Speicherplätzen der Beklagten zum Download angeboten. Es ist kein Grund dafür ersichtlich, warum die Beklagte als branchenkundiges Unternehmen die gerade zur Suche nach den fraglichen Links dienenden Link-Listen nicht ebenso hätte auffinden können, wie die an einem rechtsverletzenden Herunterladen interessierten Internetnutzer oder die Klägerin. Die Revision macht das auch nicht geltend.

64: C. Dagegen hat die Revision der Beklagten zu 2 und 3 Erfolg. Sie führt zur Aufhebung des Berufungsurteils, soweit zum Nachteil der Beklagten zu 2 und 3 erkannt worden ist, und in diesem Umfang zur Zurückverweisung der Sache an das Berufungsgericht.

65: Die bislang vom Berufungsgericht getroffenen Feststellungen reichen nicht aus, um eine Haftung der Beklagten zu 2 und 3 zu begründen. Die allein in Betracht kommende Haftung der Beklagten zu 2 und 3 als Störer scheidet aus, wenn sie weder an der Rechtsverletzung teilgenommen haben noch von ihr wussten und die Möglichkeit hatten, sie zu verhindern (vgl. BGH, Urteil vom 26. September 1985 - I ZR 86/83, GRUR 1986, 248 - Sporthosen). Die für die Rechtsverletzung maßgebliche Handlung ist hier die Verletzung von Prüfpflichten , die der Beklagten obliegen, nachdem sie durch die Klägerin von den Urheberrechtsverletzungen hinsichtlich der im Klageantrag aufgeführten Sprachwerke in Kenntnis gesetzt worden ist. Auf die Beklagten zu 2 und 3 bezogene Feststellungen dazu hat das Berufungsgericht bislang nicht getroffen.

Bornkamm Büscher Schaffert
Kirchhoff Löffler
Vorinstanzen:
LG Hamburg, Entscheidung vom 12.06.2009 - 310 O 93/08 -
OLG Hamburg, Entscheidung vom 14.03.2012 - 5 U 87/09 -

Bürgerliches Gesetzbuch - BGB | § 862 Anspruch wegen Besitzstörung

(2) Der Anspruch ist ausgeschlossen, wenn der Besitzer dem Störer oder dessen Rechtsvorgänger gegenüber fehlerhaft besitzt und der Besitz in dem letzten Jahre vor der Störung erlangt worden ist.

Bürgerliches Gesetzbuch - BGB | § 1004 Beseitigungs- und Unterlassungsanspruch

(2) Der Anspruch ist ausgeschlossen, wenn der Eigentümer zur Duldung verpflichtet ist.

Bundesdatenschutzgesetz - BDSG 2018 | § 3 Verarbeitung personenbezogener Daten durch öffentliche Stellen

Verwaltungsgerichtsordnung - VwGO | § 154

(1) Der unterliegende Teil trägt die Kosten des Verfahrens.

(2) Die Kosten eines ohne Erfolg eingelegten Rechtsmittels fallen demjenigen zur Last, der das Rechtsmittel eingelegt hat.

(3) Dem Beigeladenen können Kosten nur auferlegt werden, wenn er Anträge gestellt oder Rechtsmittel eingelegt hat; § 155 Abs. 4 bleibt unberührt.

(4) Die Kosten des erfolgreichen Wiederaufnahmeverfahrens können der Staatskasse auferlegt werden, soweit sie nicht durch das Verschulden eines Beteiligten entstanden sind.

(5) Soweit der Antragsteller allein auf Grund von § 80c Absatz 2 unterliegt, fallen die Gerichtskosten dem obsiegenden Teil zur Last. Absatz 3 bleibt unberührt.

Verwaltungsgerichtsordnung - VwGO | § 162

(2) Die Gebühren und Auslagen eines Rechtsanwalts oder eines Rechtsbeistands, in den in § 67 Absatz 2 Satz 2 Nummer 3 und 3a genannten Angelegenheiten auch einer der dort genannten Personen, sind stets erstattungsfähig. Soweit ein Vorverfahren geschwebt hat, sind Gebühren und Auslagen erstattungsfähig, wenn das Gericht die Zuziehung eines Bevollmächtigten für das Vorverfahren für notwendig erklärt. Juristische Personen des öffentlichen Rechts und Behörden können an Stelle ihrer tatsächlichen notwendigen Aufwendungen für Post- und Telekommunikationsdienstleistungen den in Nummer 7002 der Anlage 1 zum Rechtsanwaltsvergütungsgesetz bestimmten Höchstsatz der Pauschale fordern.

(3) Die außergerichtlichen Kosten des Beigeladenen sind nur erstattungsfähig, wenn sie das Gericht aus Billigkeit der unterliegenden Partei oder der Staatskasse auferlegt.

Verwaltungsgerichtsordnung - VwGO | § 167

(1) Soweit sich aus diesem Gesetz nichts anderes ergibt, gilt für die Vollstreckung das Achte Buch der Zivilprozeßordnung entsprechend. Vollstreckungsgericht ist das Gericht des ersten Rechtszugs.

(2) Urteile auf Anfechtungs- und Verpflichtungsklagen können nur wegen der Kosten für vorläufig vollstreckbar erklärt werden.

Zivilprozessordnung - ZPO | § 708 Vorläufige Vollstreckbarkeit ohne Sicherheitsleistung

Für vorläufig vollstreckbar ohne Sicherheitsleistung sind zu erklären:

1.: Urteile, die auf Grund eines Anerkenntnisses oder eines Verzichts ergehen;
2.: Versäumnisurteile und Urteile nach Lage der Akten gegen die säumige Partei gemäß § 331a;
3.: Urteile, durch die gemäß § 341 der Einspruch als unzulässig verworfen wird;
4.: Urteile, die im Urkunden-, Wechsel- oder Scheckprozess erlassen werden;
5.: Urteile, die ein Vorbehaltsurteil, das im Urkunden-, Wechsel- oder Scheckprozess erlassen wurde, für vorbehaltlos erklären;
6.: Urteile, durch die Arreste oder einstweilige Verfügungen abgelehnt oder aufgehoben werden;
7.: Urteile in Streitigkeiten zwischen dem Vermieter und dem Mieter oder Untermieter von Wohnräumen oder anderen Räumen oder zwischen dem Mieter und dem Untermieter solcher Räume wegen Überlassung, Benutzung oder Räumung, wegen Fortsetzung des Mietverhältnisses über Wohnraum auf Grund der §§ 574 bis 574b des Bürgerlichen Gesetzbuchs sowie wegen Zurückhaltung der von dem Mieter oder dem Untermieter in die Mieträume eingebrachten Sachen;
8.: Urteile, die die Verpflichtung aussprechen, Unterhalt, Renten wegen Entziehung einer Unterhaltsforderung oder Renten wegen einer Verletzung des Körpers oder der Gesundheit zu entrichten, soweit sich die Verpflichtung auf die Zeit nach der Klageerhebung und auf das ihr vorausgehende letzte Vierteljahr bezieht;
9.: Urteile nach §§ 861, 862 des Bürgerlichen Gesetzbuchs auf Wiedereinräumung des Besitzes oder auf Beseitigung oder Unterlassung einer Besitzstörung;
10.: Berufungsurteile in vermögensrechtlichen Streitigkeiten. Wird die Berufung durch Urteil oder Beschluss gemäß § 522 Absatz 2 zurückgewiesen, ist auszusprechen, dass das angefochtene Urteil ohne Sicherheitsleistung vorläufig vollstreckbar ist;
11.: andere Urteile in vermögensrechtlichen Streitigkeiten, wenn der Gegenstand der Verurteilung in der Hauptsache 1.250 Euro nicht übersteigt oder wenn nur die Entscheidung über die Kosten vollstreckbar ist und eine Vollstreckung im Wert von nicht mehr als 1.500 Euro ermöglicht.

Verwaltungsgerichtsordnung - VwGO | § 124

(2) Die Berufung ist nur zuzulassen,

1.: wenn ernstliche Zweifel an der Richtigkeit des Urteils bestehen,
2.: wenn die Rechtssache besondere tatsächliche oder rechtliche Schwierigkeiten aufweist,
3.: wenn die Rechtssache grundsätzliche Bedeutung hat,
4.: wenn das Urteil von einer Entscheidung des Oberverwaltungsgerichts, des Bundesverwaltungsgerichts, des Gemeinsamen Senats der obersten Gerichtshöfe des Bundes oder des Bundesverfassungsgerichts abweicht und auf dieser Abweichung beruht oder
5.: wenn ein der Beurteilung des Berufungsgerichts unterliegender Verfahrensmangel geltend gemacht wird und vorliegt, auf dem die Entscheidung beruhen kann.