BGE 136 II 508 |
47. Auszug aus dem Urteil der I. öffentlich-rechtlichen Abteilung i.S. Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB) gegen Logistep AG (Beschwerde in öffentlich-rechtlichen Angelegenheiten) |
1C_285/2009 vom 8. September 2010 |
Regeste |
Art. 82 ff. BGG, Art. 3 lit. a, Art. 4 Abs. 3 und 4, Art. 12 Abs. 2 lit. a und Art. 13 DSG; unzulässige Persönlichkeitsverletzung durch das Bearbeiten von Daten über P2P-Netzwerkteilnehmer. |
Voraussetzungen, unter denen IP-Adressen als Personendaten im Sinne von Art. 3 lit. a DSG zu qualifizieren sind (E. 3). |
Ist das Sammeln von Daten über P2P-Netzwerkteilnehmer für diese nicht erkennbar, verletzt dies die Grundsätze der Zweckbindung und der Erkennbarkeit nach Art. 4 Abs. 3 und 4 DSG (E. 4). |
Trotz ihres Wortlauts sind in der Bestimmung von Art. 12 Abs. 2 lit. a DSG (wie in lit. b und c) Rechtfertigungsgründe nicht ausgeschlossen; ihre Annahme erfolgt jedoch nur unter grosser Zurückhaltung (E. 5). |
Die von der Beschwerdegegnerin mit ihrer Datenbearbeitung begangene Persönlichkeitsverletzung kann nicht durch überwiegende private oder öffentliche Interessen gerechtfertigt werden (E. 6). |
Sachverhalt |
A. Am 9. Januar 2008 erliess der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) eine Empfehlung an die Adresse der Logistep AG. Er hielt fest, die Logistep AG suche mittels der von ihr entwickelten Software in verschiedenen Peer-to-Peer-Netzwerken (auch P2P-Netzwerke genannt) nach angebotenen urheberrechtlich geschützten Werken. Beim Herunterladen dieser Werke würden folgende Übermittlungsdaten aufgezeichnet und in einer Datenbank abgespeichert:
|
- der Benutzername des Nutzers des P2P-Netzwerks;
|
- die IP-Adresse (Internetworking Protocol Address) des verwendeten Internetanschlusses;
|
- die GUID (eine Identifikationsnummer der vom Anbieter des urheberrechtlich geschützten Werks verwendeten Software);
|
- das verwendete P2P-Netzwerkprotokoll;
|
- der Name und elektronische Fingerabdruck (Hashcode) des urheberrechtlich geschützten Werks;
|
- das Datum, die Uhrzeit und der Zeitraum der Verbindung zwischen der Software der Logistep AG und der Software des Anbieters des jeweiligen urheberrechtlich geschützten Werks.
|
Die so erhobenen Daten würden anschliessend an die Urheberrechtsinhaber weitergegeben und von diesen zur Identifikation des Inhabers des Internetanschlusses verwendet. Zu diesem Zweck reichten die Urheberrechtsinhaber unter anderem Strafanzeige gegen Unbekannt ein und verschafften sich die Identitätsdaten im Rahmen des Akteneinsichtsrechts. Diese Daten würden sodann zur Geltendmachung von Schadenersatzforderungen verwendet. Der EDÖB gelangte zum Schluss, dass die Bearbeitungsmethoden der Logistep AG geeignet seien, die Persönlichkeit einer grösseren Anzahl von Personen zu verletzen (Art. 29 Abs. 1 lit. a des Bundesgesetzes vom 19. Juni 1992 über den Datenschutz [DSG; SR 235.1]). Daher empfahl er dieser mit Schreiben vom 9. Januar 2008 gestützt auf Art. 29 Abs. 3 DSG, die Datenbearbeitung unverzüglich einzustellen, solange keine ausreichende gesetzliche Grundlage für eine zivilrechtliche Nutzung der durch sie erhobenen Daten bestehe.
|
Nachdem die Logistep AG die Empfehlung mit Schreiben vom 14. Februar 2008 abgelehnt hatte, legte der EDÖB die Angelegenheit mit Klage vom 13. Mai 2008 dem Bundesverwaltungsgericht zum Entscheid vor. Er beantragte in erster Linie, die Logistep AG sei aufzufordern, die von ihr praktizierte Datenbearbeitung (inklusive der Weitergabe an die Urheberrechtsinhaber) unverzüglich einzustellen, solange keine ausreichende gesetzliche Grundlage für eine generelle Überwachung von Peer-to-Peer-Netzwerken bestehe. (...) Mit Urteil vom 27. Mai 2009 wies das Bundesverwaltungsgericht die Klage ab und hob die Empfehlung des EDÖB vom 9. Januar 2008 auf. (...)
|
B. Mit Beschwerde in öffentlich-rechtlichen Angelegenheiten an das Bundesgericht vom 26. Juni 2009 beantragt der EDÖB, die Logistep AG sei anzuweisen, ihre Datenbearbeitung unverzüglich einzustellen. Ihr sei jegliche Weitergabe von gesammelten Peer-to-Peer-Daten an die Urheberrechtsinhaber zu untersagen. (...)
|
Das Bundesgericht heisst die Beschwerde gut und hebt das Urteil des Bundesverwaltungsgerichts vom 27. Mai 2009 auf. Es weist die Logistep AG an, jede Datenbearbeitung im Bereich des Urheberrechts einzustellen, und untersagt ihr, die bereits beschafften Daten den betroffenen Urheberrechtsinhabern weiterzuleiten.
|
(Auszug)
|
Aus den Erwägungen: |
Erwägung 1 |
1.1 Angefochten ist ein Endentscheid des Bundesverwaltungsgerichts über eine Empfehlung des EDÖB (Art. 86 Abs. 1 lit. a und Art. 90 BGG). Gemäss Art. 29 Abs. 4 Satz 2 des Bundesgesetzes vom 19. Juni 1992 über den Datenschutz (DSG; SR 235.1) i.V.m. Art. 89 Abs. 2 lit. d BGG ist der EDÖB berechtigt, gegen diesen Entscheid Beschwerde zu führen.
|
Der angefochtene Entscheid betrifft eine Empfehlung des EDÖB im Privatrechtsbereich (Art. 29 DSG). Es stellt sich die Frage, ob nicht statt der Beschwerde in öffentlich-rechtlichen Angelegenheiten nach Art. 82 ff. BGG die Beschwerde in Zivilsachen nach Art. 72 ff. BGG zu erheben gewesen wäre. Die Frage ist aus folgenden Gründen zu verneinen. Das Verfahren wurde vom der Bundesverwaltung angehörenden EDÖB eingeleitet und richtet sich gegen ein Privatrechtssubjekt. Die beiden stehen sich nicht als einander gleichgestellte Rechtssubjekte gegenüber. Zwar ist es dem EDÖB verwehrt, Verfügungen zu erlassen, doch sind private Personen unter Androhung der Busse verpflichtet, bei seinen Abklärungen mitzuwirken (Art. 34 Abs. 2 lit. b DSG). Zudem geht es gerade bei der Bestimmung von Art. 29 Abs. 1 lit. a DSG, auf die der EDÖB im vorliegenden Fall seine Empfehlung stützte, um Gefährdungen der Persönlichkeit, welche überindividuellen Charakter besitzen und damit öffentliche Interessen betreffen (vgl. Botschaft vom 23. März 1988 zum Bundesgesetz über den Datenschutz, BBl 1988 II 479 Ziff. 221.5; RENÉ HUBER, in: Basler Kommentar, Datenschutzgesetz, 2. Aufl. 2006, N. 7 zu Art. 29 DSG; DAVID ROSENTHAL, in: Handkommentar zum Datenschutzgesetz, 2008, N. 11 zu Art. 29 DSG). Der Entscheid des Bundesverwaltungsgerichts betrifft folglich eine Angelegenheit des öffentlichen Rechts, womit sich die Beschwerde in öffentlich-rechtlichen Angelegenheiten als das zutreffende Rechtsmittel erweist.
|
Die weiteren Sachurteilsvoraussetzungen geben zu keinen Bemerkungen Anlass. Auf die Beschwerde des EDÖB ist im Grundsatz einzutreten.
|
1.2 Das Bundesgericht legt seinem Urteil den von der Vorinstanz festgestellten Sachverhalt zugrunde (Art. 105 Abs. 1 BGG). Soweit die vorinstanzlichen Sachverhaltsfeststellungen beanstandet werden und eine mangelhafte Sachverhaltsfeststellung für den Ausgang des Verfahrens entscheidend ist, kann nur geltend gemacht werden, die Feststellungen seien offensichtlich unrichtig oder beruhten auf einer Rechtsverletzung im Sinne von Art. 95 BGG (Art. 97 Abs. 1 und Art. 105 Abs. 2 BGG). Eine entsprechende Rüge ist substanziiert vorzubringen (Art. 42 Abs. 2 BGG). Vorbehalten bleibt die Sachverhaltsberichtigung von Amtes wegen nach Art. 105 Abs. 2 BGG (BGE 135 III 127 E. 1.5 S. 129 f.; BGE 133 II 249 E. 1.4.3 S. 254 f.; je mit Hinweisen).
|
Sowohl der Beschwerdeführer als auch die Beschwerdegegnerin stellen den Sachverhalt aus ihrer Sicht dar, jedoch ohne die diesbezüglichen Feststellungen des Bundesverwaltungsgerichts im vorangehend beschriebenen Sinne als fehlerhaft zu rügen. Soweit ihre Ausführungen von der Sachverhaltsfeststellung im angefochtenen Entscheid abweichen, ist darauf nicht einzutreten.
|
Erwägung 2 |
2.2 Die Beschwerdegegnerin hält dem entgegen, bei den von ihr bearbeiteten IP-Adressen handle es sich nicht um Personendaten im Sinne von Art. 3 lit. a DSG. Die Vorschriften des Datenschutzgesetzes fänden deshalb gar keine Anwendung. Im Übrigen wäre eine allfällige Verletzung der Persönlichkeit angesichts der überwiegenden privaten und öffentlichen Interessen nicht widerrechtlich. Entgegen der Ansicht des Beschwerdeführers müssten die in Art. 13 DSG genannten Rechtfertigungsgründe in jedem Fall berücksichtigt werden.
|
Erwägung 3 |
Richtig ist, dass es sich bei den IP-Adressen um Adressierungselemente im Sinne der Fernmeldegesetzgebung handelt. Das Fernmeldegeheimnis gilt jedoch von vornherein nur für denjenigen, der mit fernmeldedienstlichen Aufgaben "betraut" ist (Art. 43 FMG; vgl. BGE 126 I 50 E. 6a S. 65 mit Hinweis). Dies trifft auf die Beschwerdegegnerin nicht zu. Das Fernmeldegesetz steht damit im vorliegenden Fall der Anwendbarkeit des Datenschutzgesetzes nicht entgegen.
|
3.2 Personendaten (bzw. "Daten" im Sinne des Datenschutzgesetzes) sind alle Angaben, die sich auf eine bestimmte oder bestimmbare Person beziehen (Art. 3 lit. a DSG). Bei den betreffenden Informationen kann es sich sowohl um Tatsachenfeststellungen als auch um Werturteile handeln. Unerheblich ist, in welcher Form die Informationen auftreten (etwa als Zeichen, Wort, Bild, Ton oder eine Kombination davon) und wie der Datenträger beschaffen ist. Entscheidend ist, dass sich die Angaben einer oder mehreren Personen zuordnen lassen (URS BELSER, in: Basler Kommentar, Datenschutzgesetz, 2. Aufl. 2006, N. 5 zu Art. 3 DSG).
|
Eine Person ist dann bestimmt, wenn sich aus der Information selbst ergibt, dass es sich genau um diese Person handelt. Bestimmbar ist die Person, wenn aufgrund zusätzlicher Informationen auf sie geschlossen werden kann. Für die Bestimmbarkeit genügt jedoch nicht jede theoretische Möglichkeit der Identifizierung. Ist der Aufwand derart gross, dass nach der allgemeinen Lebenserfahrung nicht damit gerechnet werden muss, dass ein Interessent diesen auf sich nehmen wird, liegt keine Bestimmbarkeit vor (BBl 1988 II 444 f. Ziff. 221.1). Die Frage ist abhängig vom konkreten Fall zu beantworten, wobei insbesondere auch die Möglichkeiten der Technik mitzuberücksichtigen sind, so zum Beispiel die im Internet verfügbaren Suchwerkzeuge. Von Bedeutung ist indessen nicht nur, welcher Aufwand objektiv erforderlich ist, um eine bestimmte Information einer Person zuordnen zu können, sondern auch, welches Interesse der Datenbearbeiter oder ein Dritter an der Identifizierung hat (BELSER, a.a.O., N. 6 zu Art. 3 DSG; ROSENTHAL, a.a.O., N. 24 f. zu Art. 3 DSG).
|
Wird einem Rechner eine IP-Adresse fest zugewiesen, spricht man von einer statischen IP-Adresse. Wählt sich ein Benutzer über einen Internet-Dienstanbieter (Provider) ins Internet ein, erhält er jedoch meist eine dynamische IP-Adresse, das heisst, seinem Computer wird bei jeder Verbindungsaufnahme neu irgendeine freie Adresse aus dem Pool des Providers zugewiesen. Die dynamische Adressierung wurde wegen der Knappheit der IP-Adressen entwickelt. Weil nach diesem System eine IP-Adresse nur für eine kurze Zeit einem Teilnehmer zugeteilt und nach dem Nutzungsvorgang wieder an einen anderen Teilnehmer vergeben wird, erfolgt die Identifikation des betreffenden Rechners durch diese IP-Adresse auch nur für die Zeit des einzelnen Nutzungsvorgangs. Aus diesem Grund ist die Identifikation des Inhabers der IP-Adresse bei der dynamischen Adressierung schwieriger als bei der statischen. Während statische IP-Adressen in zum Teil frei zugänglichen Verzeichnissen erfasst sind, ist der Inhaber einer dynamischen IP-Adresse in der Regel nur mit Hilfe des Providers, der die Adresse vergeben hat, eruierbar (WEBER/FERCSIK SCHNYDER, "Was für 'ne Sorte von Geschöpf ist euer Krokodil?" - zur datenschutzrechtlichen Qualifikation von IP-Adressen, sic! 9/2009 S. 579 f.).
|
3.5 Die Beschwerdegegnerin macht geltend, die Auftraggeber würden nur aufgrund des Tätigwerdens der Strafverfolgungsbehörden erfahren, wer die Inhaber der einzelnen IP-Adressen sind. Sie verkennt dabei, dass die Notwendigkeit des Tätigwerdens eines Dritten so lange unmassgeblich ist, als insgesamt der Aufwand des Auftraggebers für die Bestimmung der betroffenen Person nicht derart gross ist, dass nach der allgemeinen Lebenserfahrung nicht mehr damit gerechnet werden könnte, dieser werde ihn auf sich nehmen (vgl. E. 3.1 hiervor). Solches ist vor dem Hintergrund der konkreten Umstände des Einzelfalls zu beurteilen. Eine abstrakte Feststellung, ob es sich (insbesondere bei dynamischen) IP-Adressen um Personendaten handelt oder nicht, ist somit nicht möglich (vgl. zum deutschen Recht ULRICH DAMMANN, in: Bundesdatenschutzgesetz, 6. Aufl. 2006, N. 20 zu § 3 BDSG; kritisch MEYERDIERKS, a.a.O., S. 10 ff.; vgl. zur datenschutzrechtlichen Qualifizierung von IP-Adressen im schweizerischen Recht ROSENTHAL, a.a.O., N. 27 zu Art. 3 DSG; WEBER/FERCSIK SCHNYDER, a.a.O., S. 588).
|
Für den vorliegenden Fall ist die Bestimmbarkeit der betroffenen Personen grundsätzlich zu bejahen. Auf ihr beruht ganz eigentlich das Geschäftsmodell der Beschwerdegegnerin. Diese zeichnet nach eigenen Angaben dynamische IP-Adressen möglicher Urheberrechtsverletzer sowie weitere Daten auf, welche sie den Rechteinhabern weitergibt. Die Rechteinhaber ihrerseits können durch Strafanzeige auf die Einleitung eines Strafverfahrens hinwirken, um in dessen Rahmen Akteneinsicht zu nehmen und so den P2P-Teilnehmer ausfindig zu machen, welcher das urheberrechtlich geschützte Werk unrechtmässig angeboten hat (vgl. Art. 67 ff. des Bundesgesetzes vom 9. Oktober 1992 über das Urheberrecht und verwandte Schutzrechte [URG; SR 231.1] sowie Art. 5 und 14 Abs. 4 des Bundesgesetzes vom 6. Oktober 2000 betreffend die Überwachung des Post- und Fernmeldeverkehrs [BÜPF; SR 780.1] i.V.m. Art. 43 FMG; BGE 126 I 50; STÉPHANE BONDALLAZ, La protection des personnes et de leurs données dans les télécommunications, 2007, Rz. 1086; PETER SCHAAR, Datenschutz im Internet, 2002, Rz. 175; vgl. auch ROSENTHAL, a.a.O., N. 27 zu Art. 3 DSG). Wohl ist davon auszugehen, dass in vielen Fällen der Urheberrechtsverletzer nicht ausfindig gemacht werden kann, so insbesondere dann, wenn verschiedene Personen zu einem Computer oder einem Netzwerk Zugang haben. Es ist jedoch ausreichend, dass die Bestimmbarkeit in Bezug auf einen Teil der von der Beschwerdegegnerin gespeicherten Informationen gegeben ist.
|
3.6 Diese Auslegung des Datenschutzgesetzes scheint im Übrigen in Einklang mit der Rechtslage in der Europäischen Union zu stehen. Mit dem Begriff der personenbezogenen Daten setzte sich dort die Gruppe für den Schutz von Personen bei der Verarbeitung personenbezogener Daten in ihrer Stellungnahme 4/2007 vom 20. Juni 2007 eingehend auseinander. Das unabhängige EU-Beratungsgremium für Datenschutzfragen stuft IP-Adressen als Daten ein, die sich auf eine bestimmbare Person beziehen. Internet-Zugangsanbieter und Verwalter von lokalen Netzwerken könnten ohne grossen Aufwand Internetnutzer identifizieren, denen sie IP-Adressen zugewiesen hätten, da sie in der Regel in Dateien systematisch Datum, Zeitpunkt, Dauer und die dem Internetnutzer zugeteilte dynamische IP-Adresse einfügen würden. Dasselbe lasse sich von den Internet-Dienstanbietern sagen, die in ihren HTTP-Servern Protokolle führen würden. In diesen Fällen bestehe kein Zweifel, dass man von personenbezogenen Daten im Sinne von Art. 2 lit. a der Richtlinie 95/46/EG reden könne (Stellungnahme S. 19 f.; http://ec.europa.eu/justice/policies/privacy/workinggroup/index_en.htm unter Documents adopted/2007 [besucht am 3. November 2010]).
|
Das Bundesverwaltungsgericht legte im angefochtenen Entscheid dar, die Beschwerdegegnerin sammle Daten über P2P-Netzwerkteilnehmer, die sie an ihre Auftraggeber weiterleite. Die Datenbeschaffung geschehe dabei im Regelfall ohne Wissen der betroffenen Personen und sei für diese auch nicht erkennbar. Das Vorgehen der Beschwerdegegnerin schliesse zudem aus, dass dem IP-Adressinhaber im Moment der Beschaffung mitgeteilt werde, wozu seine Daten gespeichert würden. Selbst wenn es zutreffe, dass vereinzelt darauf aufmerksam gemacht werde, dass "Anti-P2P-Firmen Daten loggen", könne keineswegs von einer Angabe des Datenbeschaffungszwecks durch die Bearbeiterin gesprochen werden. Sowohl der Grundsatz der Zweckbindung wie auch der Grundsatz der Erkennbarkeit würden damit regelmässig verletzt.
|
Die Beschwerdegegnerin geht auf die überzeugenden Ausführungen des Bundesverwaltungsgerichts nicht ein und beschränkt sich darauf, diese pauschal zu bestreiten. Auf ihre diesbezüglichen Vorbringen ist deshalb nicht einzutreten (vgl. Art. 42 Abs. 2 BGG).
|
Erwägung 5 |
Art. 12 Persönlichkeitsverletzungen
|
1Wer Personendaten bearbeitet, darf dabei die Persönlichkeit der betroffenen Personen nicht widerrechtlich verletzen.
|
2Er darf insbesondere nicht:
|
a. Personendaten entgegen den Grundsätzen der Artikel 4, 5 Absatz 1 und 7 Absatz 1 bearbeiten;
|
b. ohne Rechtfertigungsgrund Daten einer Person gegen deren ausdrücklichen Willen bearbeiten;
|
c. ohne Rechtfertigungsgrund besonders schützenswerte Personendaten oder Persönlichkeitsprofile Dritten bekanntgeben.
|
3In der Regel liegt keine Persönlichkeitsverletzung vor, wenn die betroffene Person die Daten allgemein zugänglich gemacht und eine Bearbeitung nicht ausdrücklich untersagt hat.
|
Art. 13 Rechtfertigungsgründe
|
1Eine Verletzung der Persönlichkeit ist widerrechtlich, wenn sie nicht durch Einwilligung des Verletzten, durch ein überwiegendes privates oder öffentliches Interesse oder durch Gesetz gerechtfertigt ist.
|
2Ein überwiegendes Interesse der bearbeitenden Person fällt insbesondere in Betracht, wenn diese:
|
b. mit einer anderen Person in wirtschaftlichem Wettbewerb steht oder treten will und zu diesem Zweck Personendaten bearbeitet, ohne diese Dritten bekannt zu geben;
|
c. zur Prüfung der Kreditwürdigkeit einer anderen Person weder besonders schützenswerte Personendaten noch Persönlichkeitsprofile bearbeitet und Dritten nur Daten bekannt gibt, die sie für den Abschluss oder die Abwicklung eines Vertrages mit der betroffenen Person benötigen;
|
d. beruflich Personendaten ausschliesslich für die Veröffentlichung im redaktionellen Teil eines periodisch erscheinenden Mediums bearbeitet;
|
e. Personendaten zu nicht personenbezogenen Zwecken insbesondere in der Forschung, Planung und Statistik bearbeitet und die Ergebnisse so veröffentlicht, dass die betroffenen Personen nicht bestimmbar sind;
|
f. Daten über eine Person des öffentlichen Lebens sammelt, sofern sich die Daten auf das Wirken dieser Person in der Öffentlichkeit beziehen.
|
Während auf die Rechtfertigungsgründe von Art. 13 DSG in Art. 12 Abs. 2 lit. b und c DSG ausdrücklich verwiesen wird, fehlt ein entsprechender Vorbehalt in der aktuellen Fassung von lit. a der letztgenannten Bestimmung. Der Beschwerdeführer schliesst daraus, dass eine Verletzung der Grundsätze der Datenbearbeitung im Sinne von Art. 4 DSG, wozu auch die Grundsätze der Zweckbindung und der Erkennbarkeit gehören, nicht gerechtfertigt werden kann.
|
Erwägung 5.2 |
5.2.2 Die Materialien bringen keine ausreichende Klarheit. Die Streichung des Vorbehalts geht auf einen Vorschlag der vorberatenden Kommission des Nationalrats zurück und war im Entwurf des Bundesrats noch nicht vorgesehen. Der Nationalrat genehmigte die Änderung diskussionslos (AB 2005 N 1450). Im Ständerat wurde sie vom Berichterstatter der Kommission in ausführlicher, jedoch auch widersprüchlicher Weise erläutert. Seine Äusserung, es ginge nicht an, dass man unrechtmässig beschaffte Daten bei Vorliegen eines Rechtfertigungsgrunds bekannt geben dürfe, könnte in der Tat darauf schliessen lassen, dass Rechtfertigungsgründe im Rahmen von Art. 12 Abs. 2 lit. a DSG generell ausgeschlossen sind. Der Berichterstatter erklärte indessen auch, dass es bei der vom Nationalrat beschlossenen Fassung im Grunde genommen nur um eine Klarstellung dessen gehe, was an sich heute schon bestehe, in der Praxis aber offenbar zu Problemen geführt habe. Wenn man diesen Rechtfertigungsumstand weglasse, so beschliesse man keineswegs etwas völlig Neues, sondern übernehme im Prinzip das, was schon heute in der Rechtsprechung gelte (AB 2005 S 1159; vgl. dazu VPB 69/ 2005 Nr. 106 E. 5.2 und 5.8).
|
5.2.4 Würde man die Bearbeitung unrechtmässig beschaffter Daten (Art. 4 Abs. 1 DSG) generell ausschliessen, so wäre es beispielsweise einem Arbeitgeber, der von einem Mitarbeiter unrechtmässig gespeicherte Personendaten entdeckt, nicht erlaubt, diese den Behörden zu übergeben. Auch wäre eine Verletzung der Grundsätze der Datenbearbeitung selbst bei Einwilligung des Verletzten widerrechtlich (Art. 13 Abs. 1 DSG; ROSENTHAL, a.a.O., N. 19 zu Art. 12 DSG). Dies kann jedoch nicht der Sinn des Gesetzes sein. Eine strikt systematische Auslegung, wonach lediglich bei lit. b und c, nicht aber bei lit. a von Art. 12 Abs. 2 DSG das Geltendmachen eines Rechtfertigungsgrunds zulässig sein soll, erweist sich als verfehlt, zumal in der aktuellen Fassung von lit. a Rechtfertigungsgründe zwar nicht mehr erwähnt, jedoch auch nicht ausdrücklich ausgeschlossen werden. Die Bestimmung ist daher so auszulegen, dass eine Rechtfertigung der Bearbeitung von Personendaten entgegen der Grundsätze von Art. 4, Art. 5 Abs. 1 und Art. 7 Abs. 1 DSG zwar nicht generell ausgeschlossen ist, dass Rechtfertigungsgründe im konkreten Fall aber nur mit grosser Zurückhaltung bejaht werden können.
|
Erwägung 6 |
Erwägung 6.3 |
Das Vorgehen der Beschwerdegegnerin stellt eine Persönlichkeitsverletzung dar. Es verstösst gegen die Grundsätze der Zweckbindung und der Erkennbarkeit, mithin gegen Grundsätze, die für den Datenschutz von grosser Wichtigkeit sind (Art. 4 Abs. 3 und 4 DSG). Im Folgenden ist zu prüfen, ob die Persönlichkeitsverletzung gerechtfertigt werden kann. Dabei kommt von vornherein nur ein überwiegendes privates oder öffentliches Interesse in Betracht; eine Einwilligung der Verletzten oder die Rechtfertigung durch Gesetz ist offensichtlich zu verneinen (Art. 13 Abs. 1 DSG). Wie bereits erwähnt, dürfen zudem Rechtfertigungsgründe beim Verstoss gegen die Grundsätze von Art. 4 DSG nur mit grosser Zurückhaltung bejaht werden (E. 5.2.4 hiervor).
|
6.3.2 Das Datenschutzgesetz bezweckt den Schutz der Persönlichkeit und der Grundrechte von Personen, über die Daten bearbeitet werden (Art. 1 DSG). Das Gesetz ergänzt und konkretisiert damit den bereits durch das Zivilgesetzbuch gewährleisteten Schutz (BGE 127 III 481 E. 3 a/bb S. 492 f. mit Hinweis). Art. 13 Abs. 1 DSG übernimmt in diesem Sinne den in Art. 28 Abs. 2 ZGB verankerten Grundsatz, wonach eine Persönlichkeitsverletzung widerrechtlich ist, wenn sie nicht durch Einwilligung des Verletzten, durch ein überwiegendes privates oder öffentliches Interesse oder durch Gesetz gerechtfertigt ist (BBl 1988 II 459 Ziff. 221.3). Trotz der identischen Formulierung der beiden Bestimmungen besteht in Bezug auf das Verfahren ein Unterschied. Während sich im Zivilprozess grundsätzlich zwei Parteien gegenüberstehen (der mutmasslich in seiner Persönlichkeit Verletzte und der mutmassliche Verletzer), geht es vorliegend darum zu prüfen, ob die Empfehlung des EDÖB, wonach die Beschwerdegegnerin ihre Datenbearbeitung unverzüglich einstellen solle, begründet ist (Art. 29 Abs. 3 DSG). Der EDÖB handelt dabei in einem Rahmen, welcher über das reine Zweiparteienverhältnis hinausgeht. Seine Empfehlung an die Adresse der Beschwerdegegnerin stützt sich auf Art. 29 Abs. 1 lit. a DSG. Danach klärt der Beauftragte den Sachverhalt näher ab, wenn Bearbeitungsmethoden geeignet sind, die Persönlichkeit einer grösseren Anzahl von Personen zu verletzen (Systemfehler). Seine Intervention bezweckt somit die Verteidigung einer Vielzahl von Personen und liegt damit letztlich im öffentlichen Interesse. Diese Bedeutung der Empfehlung des EDÖB ist bei der Interessenabwägung nach Art. 13 Abs. 1 DSG zu berücksichtigen. Im Übrigen zeitigt eine derartige (gegebenenfalls richterlich bestätigte) Empfehlung eine indirekte Wirkung für all jene Personen, die nach einer ähnlichen Methode vorgehen wie die Beschwerdeführerin, was zusätzlich Licht auf die Tragweite des vorliegenden Falls wirft (vgl. HUBER, Basler Kommentar, a.a.O., N. 37 zu Art. 29 DSG).
|
Die Beschwerdegegnerin selbst verfolgt ein wirtschaftliches Interesse. Sie strebt eine Vergütung für ihre Tätigkeit an. Diese Tätigkeit besteht darin, mit Hilfe einer eigens dafür entwickelten Software in P2P-Netzwerken nach urheberrechtlich geschützten Werken zu suchen und von deren Anbietern Daten zu speichern. Eine solche Methode führt allgemein - über den konkreten Fall hinaus - wegen fehlender gesetzlicher Reglementierung in diesem Bereich zu einer Unsicherheit in Bezug auf die im Internet angewendeten Methoden wie auch in Bezug auf Art und Umfang der gesammelten Daten und deren Bearbeitung. Insbesondere sind die Speicherung und die mögliche Verwendung der Daten ausserhalb eines ordentlichen Gerichtsverfahrens nicht klar bestimmt.
|
An dieser Einschätzung ändert auch das Interesse der Auftraggeber der Beschwerdegegnerin, welches in der Verwertung der Urheberrechte liegt, nichts (vgl. dazu REHBINDER/VIGANĂ’, URG, 3. Aufl. 2008, N. 3 f. zu Art. 1 URG). Mithin vermag auch das Interesse an der wirksamen Bekämpfung von Urheberrechtsverletzungen die Tragweite der Persönlichkeitsverletzung und der mit der umstrittenen Vorgehensweise einhergehenden Unsicherheiten über die Datenbearbeitung im Internet nicht aufzuwiegen. Ein überwiegendes privates oder öffentliches Interesse ist umso mehr zu verneinen, als dieses nur zurückhaltend bejaht werden darf.
|
Die Rüge des Beschwerdeführers erweist sich somit als begründet, was zur Gutheissung der Beschwerde führt. Unter diesen Umständen kann offengelassen werden, ob und inwiefern das Bundesgesetz über die verdeckte Ermittlung anwendbar ist, und insbesondere, ob die Strafverfolgungsbehörden die von der Beschwerdeführerin erlangten Daten verwenden dürften (vgl. dazu BGE 134 IV 266 und Urteil 6B_211/2009 vom 22. Juni 2009). Offengelassen werden kann zudem, ob auch das Verhältnismässigkeitsprinzip für die Unterlassung der Datenbearbeitung spricht, zumal sich die Eruierung des Urheberrechtsverletzers in vielen Fällen als schwierig oder unmöglich erweisen würde, etwa wenn ein Drahtlosnetzwerk verwendet wird oder ein Computer mehreren Personen zur Verfügung steht.
|
6.4 Anzumerken ist, dass Gegenstand des vorliegenden Falls einzig die Datenbearbeitung durch die Beschwerdegegnerin ist und es nicht darum geht, dem Datenschutz generell den Vorrang gegenüber dem Schutz des Urheberrechts einzuräumen. Es ist Sache des Gesetzgebers und nicht des Richters, die allenfalls notwendigen Massnahmen zu treffen, um einen den neuen Technologien entsprechenden Urheberrechtsschutz zu gewährleisten.
|