Datentransfer in Netzen und Übermittlung von E-Mails

Hier finden Sie Informationen zu wichtigen Rechtsfragen im Zusammenhang mit der Tätigkeit der Datenübermittlung durch die Rechenzentren. Der Schwerpunkt liegt hierbei auf den Problemen im Zusammenhang mit der Bereitstellung des Internetzugangs (Access-Provider) und dem Angebot der Übermittlung von E-Mails (Mail-Provider) für die Nutzer in Hochschulen und Forschungseinrichtungen. Entsprechend der nach den jeweiligen Tätigkeiten differenzierenden Darstellung werden die Rechtsfragen im Zusammenhang mit Inhalten auf eigenen Webseiten und der Zurverfügungstellung von Speicherplatz für fremde Angebote in den folgenden Kapiteln des Rechtsguides dargestellt.

Von im Internet oder per E-Mail übermittelten Inhalten können zahlreiche Rechtsverletzungen ausgehen. In Betracht kommen z. B. Verletzungen von Urheber- und Markenrechten und Verstöße gegen Strafgesetze. Das besondere Gefahrenpotential liegt darin, dass über das Internet jedermann inhaltlich kaum kontrollierbar Daten von Servern abrufen oder selbst übermitteln kann. Der Zugang zum Internet ermöglicht somit auch die Verbreitung und den Empfang von Informationen in rechtsverletzender Weise. Praktische Beispiele sind die Verbreitung urheberrechtlich geschützter Werke durch E-Mail, FTP-Server, Filesharing oder etwa die Einstellung rechtswidriger Inhalte in ein soziales Netzwerk. Der Netzzugang ist somit Ausgangspunkt für legale und illegale Kommunikation über das Internet durch die angeschlossenen Nutzer. Für die Rechenzentren stellt sich dabei die Frage, ob und inwieweit aufgrund des zur Verfügung gestellten Netzzugangs eine Mitverantwortlichkeit für durch Nutzer begangene und somit fremde Rechtsverletzungen bestehen kann.

1. Beschränkte Verantwortlichkeit

Für die Haftung des Diensteanbieters verweist § 7 Abs. 1 Digitale-Dienste-Gesetz (DDG) auf die Art. 4 bis 8 Digital Services Act (DSA)[1]. Der DSA unterscheidet in den Art. 4 bis 8 DSA zwischen „reiner Durchleitung“ (Art. 4 DSA), „Caching“ Art. 5 DSA und Hosting (Art. 6 DSA). Die Begriffe definiert der DSA in Art. 3 lit. g Ziffer i bis iii DSA. Die „reine Durchleitung“ besteht nach Art. 3 lit. g Ziffer i DSA in der Übermittlung vom Nutzer bereitgestellten Informationen in einem Kommunikationsnetz oder in der Vermittlung des Zugangs zu einem Kommunikationsnetz. „Caching“ ist nach Art. 3 lit. g Ziffer ii DSA als Leistung, die darin besteht, von einem Nutzer bereitgestellte Informationen in einem Kommunikationsnetz zu übermitteln, wobei eine automatische, zeitlich begrenzte Zwischenspeicherung dieser Informationen zu dem alleinigen Zweck erfolgt, die Übermittlung der Information an andere Nutzer auf deren Anfrage effizienter zu gestalten. Schließlich ist „Hosting“ definiert als Speichern der von einem Nutzer bereitgestellten Informationen in dessen Auftrag, Art. 3 lit. g Ziffer iii DSA.

Nach Art. 4 Abs. 1 DSA haftet der Diensteanbieter für die reine Durchleitung von Informationen nicht. Diese liegt vor, wenn der Diensteanbieter die Übermittlung der Informationen nicht veranlasst (lit. a), die Adressaten der übermittelten Informationen nicht auswählt (lit. b) und die übermittelten Informationen nicht auswählt oder verändert (lit. c). Nach Art. 4 Abs. 2 DSA gilt dies auch für den Fall einer zeitlich begrenzten Zwischenspeicherung, die lediglich einer Übermittlung der Informationen dient, wobei die Informationen nicht länger gespeichert werden dürfen, als es für die Übermittlung üblicherweise erforderlich ist. § 7 Abs. 3 S. 1 DSA stellt Diensteanbieter auch von Schadensersatz-, Beseitigungs- und Unterlassungsansprüchen des Nutzers frei, sofern der Diensteanbieter nicht nach Art. 4 DSA haftet. Das gilt auch hinsichtlich aller Kosten für die Geltendmachung und Dursetzung dieser Ansprüche.

Art. 5 Abs. 1 DSA bestimmt für das Caching, dass der Diensteanbieter nicht für die Informationen haftet, wenn er die Voraussetzungen des Art. 5 Abs. 1 DSA erfüllt:  Der Diensteanbieter darf die Informationen nicht verändern (lit. a), er muss die Bedingungen für den Zugang zu den Informationen beachten (lit. b), er hat die Regeln für die Aktualisierung der Informationen, die weithin in der Branche anerkannt und verwendet werden beachten (lit. c), darf die zulässige Anwendung von Technologien zur Sammlung von Daten über die Nutzung der Informationen, die weithin in der Branche anerkannt und verwendet werden nicht beeinträchtigen und er muss zügig handeln, um von ihm gespeicherte Informationen zu entfernen oder den Zugang zu ihnen zu sperren, sobald er tatsächliche Kenntnis davon erhält, dass die Informationen am ursprünglichen Ausgangsort der Übermittlung aus dem Netz entfernt wurden oder der Zugang zu ihnen gesperrt wurde oder eine Justiz- oder Verwaltungsbehörde die Entfernung oder Sperrung angeordnet hat (lit. e).

Für Hosting haftet ein Diensteanbieter nach Art. 6 Abs. 1 DSA ebenfalls nicht für die von einem Nutzer bereitgestellten Informationen, sofern er keine tatsächliche Kenntnis von einer rechtswidrigen Tätigkeit oder rechtswidrigen Inhalten hat und sich in Bezug auf Schadenersatzansprüche auch keiner Tatsachen oder Umstände bewusst ist, aus denen eine rechtswidrige Tätigkeit oder rechtswidrige Inhalte offensichtlich hervorgeht, (lit. a) oder sobald er diese Kenntnis oder dieses Bewusstsein erlangt, zügig tätig wird, um den Zugang zu den rechtswidrigen Inhalten zu sperren oder diese zu entfernen (lit. b).

Hochschulen und Forschungseinrichtungen, die ihren Angehörigen einen Netzzugang zur Verfügung stellen, sind von diesen Haftungserleichterungen umfasst. Nach Art. 8 DSA sind Anbieter von Vermittlungsdiensten nicht allgemein dazu verpflichtet die von ihnen übermittelten oder gespeicherten Informationen zu überwachen oder aktiv nach Umständen zu forschen, die auf eine rechtswidrige Tätigkeit hindeuten.

2. Anspruch auf Sperrung bei Rechtsverletzung

Nach § 8 Abs. 1 DDG hat der Inhaber eines Rechts am geistigen Eigentum einen Anspruch gegen den Diensteanbieter auf die Sperrung der Nutzung von Informationen, um die Wiederholung der Rechtsverletzung zu verhindern. Voraussetzung dafür ist, dass durch einen Nutzer ein Recht am geistigen Eigentum verletzt und dabei der digitale Dienst des Diensteanbieters zur Übermittlung in einem Kommunikationsnetz oder zur Vermittlung des Zugangs zu einem Kommunikationsnetz in Anspruch genommen wurde. Die Erstattung vor- und außergerichtlicher Kosten ist nach § 8 Abs. 3 DDG ausgeschlossen.

Praktische Bedeutung erlangt diese Vorschrift dadurch, dass der eigentliche Verursacher oftmals nicht ermittelt werden kann und somit der Provider die einzig greifbare Möglichkeit ist, andauernde oder wiederholte Rechtsverletzungen zu unterbinden.

Aus zivilrechtlicher Sicht kommt eine Inanspruchnahme des Access-Providers insbesondere zur Unterbindung andauernder oder weiterer Verletzungen von absoluten, also gegenüber jedermann geltenden, Rechten in Betracht, zu denen beispielsweise Urheberrechte und Markenrechte zählen.[2] Wegen einer Verletzung der Persönlichkeitsrechte besteht gegenüber Access-Providern kein Anspruch.[3] Grundlage eines möglichen Anspruchs des Verletzten ist die sogenannte Störerhaftung, die im Wege einer analogen Anwendung des § 1004 Abs. 1 S. 2 Bürgerliches Gesetzbuch (BGB) einen Unterlassungsanspruch begründen kann. Dieser kann dann auf die Verhinderung beziehungsweise Erschwerung des Zugangs zu bestimmten Inhalten mithilfe von Netzsperren (z.B. DNS-, IP- oder URL-Sperren) gerichtet sein, wenn der Rechteinhaber zuvor angemessene Versuche unternommen hat, den unmittelbaren Verletzer des Rechts zu ermitteln, dies aber nicht gelungen ist. Zu diesen angemessenen Ermittlungsversuchen gehört nach der Rechtsprechung des Bundesgerichtshofs auch die Einschaltung der staatlichen Ermittlungsbehörden oder die Beauftragung eines Privatdetektivs.[4] Die erforderliche Eigenschaft als Störer kann ebenso demjenigen zukommen, der nur mittelbar an einer Rechtsverletzung beteiligt ist. Die mittelbare Beteiligung des Access-Providers besteht in der für die Verletzung mitursächlichen Bereitstellung des Internetzugangs. Um eine ausufernde Haftung der Provider zu vermeiden, fordert der BGH jedoch, dass der Dritte zumutbare Prüfpflichten verletzt haben muss. Dabei sind unter anderem die Größe des jeweiligen Zugangsanbieters und der erforderliche technische, administrative und personelle Aufwand zur Umsetzung von Netzsperren zu berücksichtigen.

Für anlassbezogene Prüfpflichten dagegen ist die entscheidende Frage stets, ob die begehrte Unterbindung weiterer Rechtsverletzungen zumutbar ist. Dies bedarf einer Abwägung bei der vorrangig die grundrechtlich geschützten Interessen der Beteiligten zu berücksichtigen sind. Dies sind in der Regel beim Access-Provider die unternehmerische Freiheit (Art. 16 GRCh, Art. 12 GG), und beim Rechteinhaber das geistige Eigentum (Art. 17 Abs. 2 GRCh, Art. 14 GG) und aufseiten des Dritten die Informationsfreiheit (Art. 11 Abs. 1 S. 2 GRCh, Art. 5 Abs. 1 S. 1 GG). In Bezug auf eine Sperrung des Internetzugangs sind im Hochschulbereich und in Forschungseinrichtungen bei Maßnahmen gegen Wissenschaftler oder Studierende zudem die Wissenschaftsfreiheit (Art. 13 S. 2 GRCh, Art. 5 Abs. 3 GG) und die Berufsfreiheit (Art. 15 GRCh, Art. 12 GG) in die Entscheidung über eine Sperrung einzubeziehen. Erleichtert werden können solche Entscheidungen durch eine ausdrückliche Regelung in der Benutzungsordnung, dass eine vorübergehende Sperrung bis zur Klärung der Rechtslage vorgenommen werden kann. Zu betonen ist, dass lediglich Unterlassungs- und Beseitigungsansprüche gegen mittelbar Verantwortliche geltend gemacht werden können, nicht jedoch Schadensersatzansprüche, da diesen die Haftungsprivilegierungen des Telemediengesetzes entgegenstehen. Daneben besteht für Access-Provider seit der Einführung des zivilrechtlichen Auskunftsanspruchs in § 101 UrhG eine Auskunftspflicht über die Identität eines Nutzers gegenüber Privaten, wie zum Beispiel Inhabern von Urheberrechten. Wird das Rechenzentrum auf Rechtsverletzungen (z. B. Urheberrecht) durch einen Nutzer hingewiesen und aufgefordert, dies durch Sperrung des Zugangs zu unterbinden, sollte der Vorgang so schnell wie möglich an das Justitiariat abgegeben werden. Wer haftet?

a) Zivilrechtliche Haftung
Soweit das Rechenzentrum für Rechtsverletzungen (mit-) verantwortlich ist, haftet grundsätzlich die Einrichtung/Hochschule beziehungsweise deren Rechtsträger als juristische Person. Dies gilt auch in Bezug auf Fachbereiche und Institute, die in der Regel keine eigene Rechtspersönlichkeit haben und somit als Diensteanbieter im Sinne von § 1 Abs. 4 Nr. 5 DDG nicht in Betracht kommen. Mitarbeiter haften in der Regel nicht persönlich, soweit eine Rechtsverletzung in Ausübung ihrer Diensttätigkeit geschieht. Bei Beamten folgt dies aus den Grundsätzen der Amtshaftung gemäß Art. 34 GG; Angestellte haben grundsätzlich einen Haftungsfreistellungsanspruch gegen den Arbeitgeber. Davon unberührt bleiben allerdings eventuelle Haftungsrückgriffe der Hochschule gegen den verantwortlichen Mitarbeiter aus dem Dienstverhältnis. Rückgriffe kommen in Betracht, wenn Dienstpflichten vorsätzlich oder in grobem Maß verletzt wurden und der Hochschule dadurch ein Schaden entstanden ist.

Soweit Aufgaben von Einrichtungen wahrgenommen werden, die keine organisatorischen Untergliederungen der Hochschulen sind, sondern selbständige juristische Personen des öffentlichen Rechts, sind diese selbst und nicht etwa die Hochschule als Diensteanbieter im Sinne des § 1 Abs. 4 Nr. 5 DDG anzusehen und können haftbar gemacht werden.

b) Strafrechtliche Verantwortlichkeit
Strafrechtlich können nur einzelne Personen persönlich verantwortlich sein, nicht die Hochschule als juristische Personen. Deshalb ist für jeden beteiligten Hochschulangehörigen individuell zu prüfen, ob er sämtliche Voraussetzungen eines Straftatbestandes selbst verwirklicht hat. Die Haftungsprivilegierungen des Telemediengesetzes finden aber auch hier Anwendung.

[1] Verordnung (EU) 2022/2065 des Europäischen Parlaments und des Rates vom 19. Oktober 2022 über einen Binnenmarkt für digitale Dienste und zur Änderung der Richtlinie 2000/31/EG (Gesetz über digitale Dienste), Abl. EU L 277 vom 27.10.2022, S. 1.[2] Schiff, in: Heldt/Legner, DDG, § 8 Rn. 7.[3] Schiff, in: Heldt/Legner, DDG, § 8 Rn. 8.[4] Schiff, in: Heldt/Legner, DDG, § 8 Rn. 12.

Die Einrichtungen eines Rechenzentrums können zur Begehung verschiedener Straftaten missbraucht werden. In Betracht kommen z. B. Delikte wie das Ausspähen von Daten nach § 202a StGB, Computersabotage nach § 303b StGB, Computerbetrug nach § 263a StGB, die Verbreitung rechtswidriger Inhalte, die Beleidigung §§ 185 StGB oder die Verbreitung pornographischer Inhalte nach § 184 StGB. Besteht der Verdacht, dass ein Benutzer über die Einrichtungen des Rechenzentrums Straftaten begangen hat, so sollten keine Ermittlungen auf eigene Faust angestellt werden. Es sollten nur Beweise gesichert werden (Ausdruck und Speicherung der Dateien, Informierung anderer Mitarbeiter als Zeugen etc.), aber keine neuen Beweise eigenmächtig ermittelt werden. Stattdessen ist frühzeitig die Polizei oder Staatsanwaltschaft zu informieren, um gegebenenfalls Anzeige zu erstatten. Der weitere Verlauf des Ermittlungsverfahrens wird dann von der Staatsanwaltschaft bestimmt, die über die entsprechenden gesetzlichen Befugnisse für Ermittlungen verfügt.

1. Auskünfte an Strafverfolgungsbehörden

Es ist keine Seltenheit, dass Strafverfolgungsbehörden (hierzu zählen die Behörden der repressiven Strafverfolgung, wie z. B. die Staatsanwaltschaft und deren polizeilichen Hilfsbeamten; nicht umfasst sind die Polizeibehörden, sofern sie zur Gefahrenabwehr handeln) an Mitgliedsinstitutionen des DFN-Vereins herantreten, um von diesen Daten ihrer User aus der Online-Kommunikation zu erlangen. Die folgende Übersicht zeigt nur überblicksartig die Befugnisse der Strafverfolgungsbehörden und als Kehrseite die Auskunftsverpflichtung der Rechenzentren auf. Nach der Eingriffsintensität und den daran anknüpfenden formalen Voraussetzungen für ein Auskunftsersuchen der Strafverfolgungsbehörden ist zwischen Bestandsdaten, Verkehrsdaten und Inhalten der Kommunikation zu trennen.

a) Inhalte der Kommunikation
Inhalte der Kommunikation sind diejenigen Daten, die jedenfalls dem Fernmeldegeheimnis unterliegen. Dies sind im Bereich der Online-Kommunikation vor allem Inhalte von E-Mails oder von VoIP-Verbindungen. Wichtigste gesetzliche Grundlage für die Überwachung sind §§ 100a, 100b Strafprozessordnung (StPO). Neben hohen materiellen Anforderungen muss für die inhaltliche Telekommunikationsüberwachung in formeller Hinsicht eine gerichtliche Anordnung auf Antrag der Staatsanwaltschaft vorliegen. Nur bei Gefahr im Verzug kann die Anordnung auch direkt durch die Staatsanwaltschaft getroffen werden, wobei sie in diesem Fall innerhalb von drei Werktagen gerichtlich zu bestätigen ist. Die Anordnung bedarf in jedem Fall der Schriftform. Wird eine entsprechende schriftliche Anordnung vorgelegt, muss das Rechenzentrum die Überwachung ermöglichen und der Strafverfolgungsbehörde die erforderlichen Auskünfte unverzüglich erteilen.

b) Verkehrsdaten
Verkehrsdaten sind Daten, deren Erhebung, Verarbeitung oder Nutzung bei der Erbringung eines Telekommunikationsdienstes erforderlich sind, § 3 Nr. 70 TKG. Hier sind in erster Linie Beginn und Ende von Internetverbindungen, besuchte Webseiten oder dynamisch vergebene IP-Adressen zu nennen. Wollen Strafverfolgungsbehörden solche Verkehrsdaten einholen, stellt § 100g StPO die richtige Ermächtigungsgrundlage dar. Die Auskunft kann sich dabei auf in der Vergangenheit oder auch in der Zukunft liegende Kommunikationsvorgänge beziehen. Zu den materiellen Voraussetzungen einer Verkehrsdatenauskunft gehört unter anderem der Verdacht einer Straftat von auch im Einzelfall erheblicher Bedeutung oder der Verdacht, dass eine Straftat mittels Telekommunikation begangen worden ist. Die formellen Voraussetzungen sind weitgehend mit denen der Telekommunikationsüberwachung vergleichbar, sodass auch hier grundsätzlich ein Richtervorbehalt gilt. Unter bestimmten Voraussetzungen sind darüber hinaus auch Standortdaten von der Ermächtigungsnorm des § 100g StPO erfasst. Im Falle eines rechtmäßigen Ersuchens nach § 100g StPO ist das Rechenzentrum zur Auskunft verpflichtet. Eine Auskunft über Daten der Vergangenheit ist selbstverständlich nur dann möglich, wenn die entsprechenden Daten noch vorhanden sind und damit noch nicht aufgrund datenschutzrechtlicher Pflichten gelöscht wurden (vergleiche Abschnitt zu datenschutzrechtlichen Anforderungen). Eine grundsätzliche Verpflichtung zur Speicherung besteht dabei allerdings nicht und die Etablierung eines Löschkonzepts empfiehlt sich schon aus datenschutzrechtlichen Gründen. Bei einem auf zukünftige Kommunikationsvorgänge gerichteten Auskunftsersuchen müssen die betreffenden Daten entsprechend des richterlichen Beschlusses aufgezeichnet und an die Behörden weitergegeben werden.

c) Bestandsdaten
Bestandsdaten sind Daten eines Endnutzers, die erforderlich sind für die Begründung, inhaltliche Ausgestaltung, Änderung oder Beendigung eines Vertragsverhältnisses über Telekommunikationsdienste, § 3 Nr. 6 TKG. Dies sind regelmäßig Name, Anschrift des Users oder eine statische IP-Adresse. Für die Bestandsdatenauskunft gilt das sogenannte Doppeltürmodell, demzufolge einerseits die Ermittlungsbehörde eine gesetzliche Grundlage benötigt, die es ihr erlaubt, die jeweiligen Bestandsdaten abzufragen, und andererseits für den Telekommunikationsdiensteanbieter eine gesetzliche Erlaubnisnorm vorliegen muss, die ihm aus datenschutzrechtlicher Sicht die Übermittlung der Daten erlaubt. Letzteres ist § 174 Telekommunikationsgesetz (TKG). Nach § 174 Abs. 1 TKG darf jeder geschäftsmäßige Telekommunikationsdiensteanbieter unter den Voraussetzungen des Absatzes 2 Bestandsdaten an bestimmte Behörden zu Auskunftszwecken übermitteln. Zu den berechtigten Empfängern gehören eine Reihe von Ermittlungs-/Sicherheitsbehörden, die in § 174 Abs. 3 TKG benannt sind. Eine richterliche Anordnung ist nicht erforderlich, sondern es reicht ein Auskunftsverlangen in Textform, welches eine gesetzliche Bestimmung angibt, die der anfragenden Behörde eine Erhebung der Daten erlaubt. Bei Gefahr im Verzug darf das Verlangen auch in anderer Form gestellt werden, ist dann aber unverzüglich in Textform zu bestätigen. Die Auskunftserteilung darf insbesondere auch unter Verwendung dynamischer IP-Adressen erfolgen, was häufig erforderlich ist, wenn Auskunft darüber gegeben werden soll, wer zu einem bestimmten Zeitpunkt eine konkret benannte IP-Adresse genutzt hat. Sind die formellen Voraussetzungen erfüllt, ist der Telekommunikationsdiensteanbieter verpflichtet, dem Ersuchen unverzüglich nachzukommen. Die Verantwortung für die Zulässigkeit des Auskunftsverlangens trägt dabei die anfragende Stelle.

In allen Fällen der staatlichen Auskunftsverlangen muss der in Anspruch genommene Diensteanbieter in der Regel Stillschweigen gegenüber dem Betroffenen und Dritten wahren. Für eine etwaige Benachrichtigung des Betroffenen ist die Behörde zuständig, die die Daten anfragt.

Bei Anfragen von Strafverfolgungsbehörden sollte nicht in Hektik verfallen werden. Vor der Übermittlung sollte immer das Justitiariat über das Ersuchen informiert und die weitere Vorgehensweise abgesprochen werden. Wie gezeigt wurde, sind die Strafverfolgungsbehörden im Rahmen ihrer Ermittlungen an bestimmte gesetzliche Vorgaben gebunden. Dies bedeutet vor allem, dass im Falle von Telekommunikationsüberwachungsmaßnahmen, die Inhalte oder Verkehrsdaten betreffen, nach der StPO eine schriftliche richterliche Anordnung oder ausnahmsweise eine Anordnung der Staatsanwaltschaft vorgelegt werden muss. Für die Bestandsdatenauskunft gelten dagegen niedrigere Hürden. Es empfiehlt sich – bei aller Kooperationsbereitschaft mit den Sicherheitsbehörden – auch in den anderen Fällen nach Möglichkeit zu versuchen, eine schriftliche Bestätigung für die Auskunftserteilung einzuholen. Dies dient in erster Linie dazu, im Nachhinein Vorwürfe über datenschutzrechtliche Verstöße von Seiten der Nutzer auszuräumen. Die Verpflichtung zur Herausgabe erfasst sämtliche vorliegenden Daten, auch wenn diese datenschutzrechtswidrig noch nicht gelöscht wurden. Die Etablierung eines Löschkonzepts empfiehlt sich daher auch vor diesem Hintergrund.

2. Auskünfte an Polizeibehörden

Seltener ist es, dass die für die Gefahrenabwehr zuständigen Behörden die Herausgabe von User-Daten aus der Online-Kommunikation ersuchen. Hierfür sind jedoch die Landespolizei- beziehungsweise Gefahrenabwehrgesetze der jeweiligen Bundesländer einschlägig. Die Polizei- und Ordnungsbehörden werden in einem solchen Fall nicht repressiv als Strafverfolgungsbehörde tätig, sondern vielmehr präventiv um eine Gefahr für die öffentliche Sicherheit und/oder Ordnung (beispielsweise einen Verstoß gegen die Rechtsordnung) abzuwehren. Als Faustformel kann gelten, dass für ein rechtmäßiges Ersuchen der Behörde auf Herausgabe von Inhalts- und Verbindungsdaten eine spezielle Ermächtigungsgrundlage erforderlich ist. Der Verweis auf eine allgemeine ordnungsbehördliche Generalklausel oder die Amtshilfe ist in diesen Fällen regelmäßig nicht ausreichend. Im Hinblick auf Bestandsdaten gilt wiederum § 174 TKG, der voraussetzt, dass sich die für die Gefahrenabwehr zuständige Behörde auf eine spezielle Ermächtigungsnorm stützen kann, die zur Abfrage von Bestandsdaten ermächtigt (z. B. § 20a Abs. 1 S. 1 Nr. 1 Polizeigesetz NRW). Sofern es möglich ist, sollte immer ein Schriftstück mit Angabe der jeweils einschlägigen Befugnisnorm von der anfordernden Behörde verlangt werden.

3. Einbindung in Ermittlungsverfahren und Prävention

Ferner können die Mitarbeiter in Rechenzentren in behördliche Maßnahmen dergestalt eingebunden werden, dass sie zum Beispiel Beobachtungen des Nutzerverhaltens an die Staatsanwaltschaft oder Polizei zukünftig weitergeben. Bei einer weitergehenden Zusammenarbeit sollte eine Anordnung von der Staatsanwaltschaft beziehungsweise dem Behördenleiter eingeholt werden. Auf jeden Fall sollte bei Verdacht begangener oder bevorstehender Straftaten zunächst die zuständige Stelle informiert und die weitere Vorgehensweise abgestimmt werden.

Bei missbräuchlicher oder rechtswidriger Nutzung des Internetzugangs stellt sich die Frage, unter welchen Voraussetzungen ein Nutzer von der weiteren Nutzung der Dienste des Rechenzentrums ausgeschlossen werden kann. Dies wird vor allem bei besonders schwerwiegenden oder wiederholten Verstößen gegen die Benutzungsordnung oder bei strafbarer Nutzung der Online-Ressourcen relevant. Dementsprechend enthalten die meisten Benutzungsordnungen der DFN-Mitgliedsinstitutionen entsprechende Ausschlusstatbestände, nach denen Nutzer vorübergehend oder dauerhaft in der Nutzung eingeschränkt oder vollständig von der weiteren Internetnutzung ausgeschlossen werden können. Allerdings kann der Ausschluss oder die Beschränkung des Internetzugangs eines Nutzers, z. B. eines Studierenden an einer Hochschule, unter Umständen erhebliche Auswirkungen für den Betroffenen haben, wenn nämlich der Student auf die Informationsrecherche im Internet angewiesen ist. Hier können unter anderem die Wissenschaftsfreiheit (Art. 5 Abs. 3 S. 1 GG), die Berufsfreiheit (Art. 12 GG) oder die Informationsfreiheit (Art. 5 Abs. 1 S. 1 GG) betroffen sein. Aus diesem Grund kommt ein dauerhafter und vollständiger Ausschluss eines Studierenden grundsätzlich nur bei besonders schwerwiegenden oder wiederholten Missbräuchen in Betracht. Als Ausprägung des Verhältnismäßigkeitsgrundsatzes ist für jeden Einzelfall zu prüfen, ob nicht weniger einschneidende Maßnahmen, wie die vorübergehende Beschränkung einzelner Internet-Dienste (z. B. nur WWW oder nur E-Mail), möglich sind. Insbesondere bei weniger schwerwiegenden Missbräuchen dürfte zudem eine vorherige Abmahnung und Anhörung des Betroffenen geboten sein. In der Benutzungsordnung sollte ein entsprechendes formelles Ausschlussverfahren mit hinreichend konkreten Ausschlussgründen vorgesehen sein. Allerdings bleibt es grundsätzlich eine Frage des Einzelfalls und der konkreten Umstände, ob und in welchem Umfang ein missbräuchliches Verhalten beziehungsweise die rechtswidrige Nutzung des Internetzugangs durch einen Nutzungsausschluss „sanktioniert“ werden kann.

Soweit Rechenzentren durch den Netzzugang und den E-Mail-Dienst geschäftsmäßig Telekommunikationsdienste (TK-Dienste) erbringen, sind – neben den allgemeinen Datenschutzvorschriften – besondere Datenschutzvorschriften im Bereich der Telekommunikation zu beachten. Diese Vorschriften stehen gebündelt im Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG).

1. Situation bei ausgeschlossener Privatnutzung

Ist die Nutzung der TK-Dienste ausdrücklich nur zu dienstlichen Zwecken erlaubt (vollständiges Verbot der Privatnutzung für Beschäftige), werden die telekommunikationsrechtlichen Vorschriften zum Datenschutz und dem Schutz der Privatsphäre nach §§ 3 ff. TDDDG nicht angewendet.

Für ein geschäftsmäßiges Erbringen von Telekommunikationsdiensten nach § 3 Abs. 2 S. 1 Nr. 2 TDDDG braucht es ein nachhaltiges Angebot von Telekommunikation für Dritte mit oder ohne Gewinnerzielungsabsicht. Die Hochschule wäre insofern nicht als TK-Diensteanbieter zu qualifizieren, weil es sich bei einer rein dienstlichen Nutzung um eine ausschließlich interne Erbringung des Dienstes der Hochschule handelt. Die Mitarbeitenden gelten in dem Fall nicht als außenstehende Dritte. Ein Ausschluss der Privatnutzung führt dazu, dass das Fernmeldegeheimnis nach § 3 TDDDG und die telekommunikationsspezifischen Datenschutzanforderungen des TDDDG keine Anwendung finden. Das Verbot der Privatnutzung muss in der Benutzungsordnung oder Dienstvereinbarung ausdrücklich und unmissverständlich erfolgen.

Aus dem Ausschluss der Privatnutzung folgt jedoch keine unbegrenzte Zugriffsmöglichkeit auf die Kommunikationsinhalte der Mitarbeitenden. Die Kenntnisnahme und Verwendung von TK-Inhalten gehen regelmäßig auch mit der Verarbeitung personenbezogener Daten einher. So sind die Vorschriften zum Schutz personenbezogener Daten der DSGVO, des BDSG und der Landesdatenschutzgesetze einzuhalten. Für die Verarbeitung personenbezogener Daten der Beschäftigten durch den Arbeitgeber braucht es demnach eine rechtliche Grundlage. Zusätzlich sind die Informationspflichten nach Art. 13 und 14 DSGVO sowie das Auskunftsrecht nach Art. 15 DSGVO einzuhalten. Die Daten müssen stets sicher hinterlegt und die damit in Kontakt kommenden Personen entsprechend geschult sein. Nutzende können also selbst bei einem Ausschluss der Privatnutzung nur über Stichproben hinaus überwacht werden, wenn konkrete Anhaltspunkte für Verstöße oder eine missbräuchliche Nutzung vorliegen.

Ein nationales Beschäftigtendatengesetz, das weitere Regelungen treffen könnte, ist in Planung, aber befindet sich bislang noch im Entwurfsstadium (https://www.itm.nrw/wp-content/uploads/2024/10/bdsg-beschdg.pdf).

2. Situation bei erlaubter Privatnutzung

Bei erlaubter oder geduldeter Privatnutzung werden die TK-Dienste von Hochschulen und Forschungseinrichtungen auf Dauer, also nachhaltig, auch Dritten angeboten. Die Beschäftigten sind in diesem Fall nicht mehr der Sphäre des Arbeitgebers zuzuordnen und eine Außenwirkung liegt vor. Eine Gewinnerzielungsabsicht des TK-Dienstes ist nicht erforderlich. Rechenzentren sind als Anbieter von geschäftsmäßig angebotenen TK-Diensten somit vom Kreis der Verpflichteten nach § 3 Abs. 2 S. 1 Nr. 2 TDDDG umfasst. Die telekommunikationsspezifischen Datenschutzvorschriften des TDDDG sind zu beachten. Relevant sind insbesondere Vorgaben zum Schutz der Privatsphäre nach den §§ 3 ff. TDDDG und dem Datenschutz nach den §§ 9 ff. TDDDG. Zusätzlich müssen sie als Erbringer von TK-Diensten technische und organisatorische Schutzmaßnahmen treffen, die sich aus dem TKG ergeben (§ 165 Abs. 1, Abs. 6 TKG).

a) Fernmeldegeheimnis
Das Fernmeldegeheimnis ist ein Grundrecht und in Art. 10 GG verankert. Alle TK-Diensteanbieter, die die TK-Dienste ganz oder teilweise geschäftsmäßig anbieten, sind nach § 3 Abs. 2 S. Nr. 2 TDDDG zur Wahrung des Fernmeldegeheimnisses verpflichtet. Dazu gehören auch konkrete Verhaltenspflichten nach § 3 Abs. 3 TDDDG. Demnach ist es verboten, vom Inhalt oder den näheren Umständen der Telekommunikation Kenntnis zu nehmen, sofern dies nicht zur Erbringung des TK-Dienstes oder den Betrieb des TK-Netzes einschließlich des Schutzes eines technischen Systems erforderlich ist. Hochschulrechenzentren sind von dieser Pflicht umfasst, sofern eine Privatnutzung der Dienste erlaubt bzw. geduldet ist. Die Einsichtnahme in E-Mail-Postfächer einzelner Nutzenden oder die Überwachung des Mail-Verkehrs durch die Systemadministration sind ohne Einwilligung der Betroffenen grundsätzlich unzulässig. Dieser allgemeine Schutz des Fernmeldegeheimnisses wird durch die Vorgaben zum Datenschutz und zur Datensicherheit ergänzt und konkretisiert.

b) Datenschutzrechtliche Vorgaben
Hochschulen und Forschungseinrichtungen haben bei erlaubter Privatnutzung die telekommunikationsspezifischen Datenschutzvorschriften zu beachten. Durchgängiger Grundsatz des Datenschutzrechts ist es, dass die Verarbeitung personenbezogener Daten nur erlaubt ist, wenn eine gesetzliche Erlaubnisnorm dies vorsieht oder eine Einwilligung der betroffenen Person vorliegt. Grundsätzlich wird hier zwischen Bestands-, Verkehrs- und Steuerdaten unterschieden.

(1)  Bestandsdaten
Bestandsdaten sind Daten von Nutzenden, deren Verarbeitung für die Begründung, inhaltliche Ausgestaltung oder Änderung eines Vertrags über die Dienstnutzung erforderlich sind. Dies sind beispielsweise Name, Anschrift des Users oder eine fest vergebene IP-Adresse. Sie betreffen keine konkreten Telekommunikationsvorgänge und sind nicht vom Fernmeldegeheimnis umfasst. Das TDDDG enthält in dem datenschutzrechtlich relevanten Teil 2 keine speziellen Regelungen zu Bestandsdaten, sodass sich eine Verarbeitung nach der DSGVO (allen voran Art. 6 Abs. 1 lit. b DSGVO) richtet.

(2)  Verkehrsdaten
Verkehrsdaten sind Daten, die bei der Erbringung von TK-Diensten erhoben, verarbeitet oder genutzt werden (§ 3 Nr. 70 TKG). Darunter sind der Beginn und das Ende von Internetverbindungen, übermittelte Datenmengen, besuchte Webseiten oder dynamisch vergebene IP-Adressen zu verstehen. Im Unterschied zu den Bestandsdaten, fallen Verkehrsdaten regelmäßig und weitgehend automatisch bei einem tatsächlichen Telekommunikationsvorgang an. Da sie Aufschlüsse über die näheren Umstände der Kommunikation liefern können, werden sie insoweit vom Fernmeldegeheimnis erfasst und genießen zusätzlichen Schutz.

§§ 9-12 TDDDG enthalten spezielle Vorgaben zur Verarbeitung von Verkehrsdaten. Die Rechtslage ist entsprechend komplexer, wobei auch hier der allgemeine Grundsatz gilt, dass entweder eine gesetzliche Erlaubnis oder eine Einwilligung für die Verarbeitung der Daten bestehen muss.

§ 9 TDDDG führt verschiedene Erlaubnistatbestände für die Verarbeitung von Verkehrsdaten auf. Nach § 9 Abs. 1 S. 1 TDDDG dürfen die zum Aufbau und zur Aufrechterhaltung der Telekommunikation, zur Entgeltabrechnung oder zum Aufbau weiterer Verbindungen erforderlichen Daten verarbeitet werden. Die konkret umfassten Verkehrsdaten werden in § 9 Abs. 1 S. 1 Nr. 1-5 TDDDG aufgeführt. Die Befugnisse enthalten damit alle betrieblich notwendigen Daten für die Erbringung der Kommunikationsleistung. Nach dem Ende der jeweiligen Verbindung sind die Verkehrsdaten unverzüglich zu löschen, § 9 Abs. 1 S. 2 TDDDG. Eine Löschung umfasst nicht nur die Vernichtung der Daten, sondern kann auch eine technisch korrekt ausgeführte Anonymisierung bedeuten. Die Löschung ist auch für die weitere Speicherung der Daten von Bedeutung. Besteht keine Befugnis zur Verwendung der Daten (mehr), müssen diese nach Beendigung der Verbindung gelöscht werden.  Werden Verkehrsdaten zu anderen Zwecken verarbeitet, ist dies gem. § 9 Abs. 1 S. 3 TDDDG unzulässig, es sei denn, andere rechtliche Vorschriften sehen eine Verarbeitung von Verkehrsdaten vor, § 9 Abs. 1 S. 4 TDDDG.

Im TDDDG bestehen folgende Befugnisse zur Verarbeitung von Verkehrsdaten, die für Hochschulen und Forschungseinrichtungen von Bedeutung sein können:

Eine (allein) theoretische Bedeutung hat die Erlaubnis nach § 10 TDDDG, demzufolge Verkehrsdaten nach Beendigung der Verbindung gespeichert und verwendet werden dürfen, soweit sie zur Ermittlung oder Abrechnung von Entgelten benötigt werden. In aller Regel ist die Internetnutzung für Studierende und Mitarbeitende an Hochschulen jedoch kostenlos und es gibt keinerlei Abrechnung der in Anspruch genommenen Dienste. Sollte dies ausnahmsweise anders sein, ist zu beachten, dass die Daten zu diesem Zweck erforderlich sein müssen. Sofern keine interne Abrechnung stattfindet, ist die Befugnis für die Einrichtung bedeutungslos. Zu Abrechnungszwecken gespeicherte Daten dürfen ohne gesonderte Erlaubnis oder Einwilligung nicht zu anderen Zwecken verwendet werden. Die Daten dürfen im Regelfall höchstens für 6 Monate ab dem Zeitpunkt der Versendung der Rechnung gespeichert werden. Auch eine mögliche Mitteilung von Einzelverbindungsnachweisen nach § 11 TDDDG ist an die Entgeltlichkeit der TK-Dienste gebunden.

Von großer praktischer Relevanz ist allerdings die Erlaubnisnorm des § 12 TDDDG. Dieser erlaubt eine Verarbeitung von Verkehrsdaten, um Störungen von TK-Anlagen und dem Missbrauch von TK-Diensten zu begegnen. So darf der Diensteanbieter nach § 12 Abs. 1 S. 1 TDDDG zum Erkennen, Eingrenzen oder Beseitigen von Störungen oder Fehlern an TK-Anlagen Verkehrsdaten verarbeiten. Nach § 12 Abs. 1 S. 2 TDDDG gilt dies auch für Störungen, die zu einer Einschränkung der Verfügbarkeit von Informations- und TK-Diensten oder zu einem unerlaubten Zugriff auf Telekommunikations- und Datenverarbeitungssysteme der Nutzenden führen können. Dabei ist stets zu prüfen, ob die Datenverarbeitung geeignet, erforderlich und im engeren Sinn verhältnismäßig ist, um abstrakten Gefahren für die Funktionstüchtigkeit des Telekommunikationsbetriebs entgegenzuwirken.

Für das „Erkennen“ von Störungen und Fehlern muss noch kein konkreter Verdacht bestehen, denn in der Regel findet das Erkennen in einem Stadium statt, in dem Anhaltspunkte für die Störungen und Fehler erst gewonnen werden müssen (BGH, Urteil vom 13.1.2011 – Az.: III ZR 146/10). Allerdings darf die Befugnis nicht dahingehend missverstanden werden, dass Verkehrsdaten zu Zwecken der Fehlererkennung unbegrenzt vorgehalten werden dürfen. Auch in Bezug auf diese Befugnis kommt es maßgeblich auf die Erforderlichkeit der Daten zu diesem Zweck an. Sobald erkennbar ist, dass die Daten für die Erkennung, Eingrenzung oder Beseitigung einer Störung nicht oder nicht mehr benötigt werden, sind diese gem. § 12 Abs. 2 TDDDG zu löschen, sofern keine anderweitige Befugnis (z. B. Abrechnungszwecke) besteht. Das Gleiche gilt für solche Daten, die bei Vorliegen einer Störung nicht zu deren Eingrenzung oder Beseitigung benötigt werden. Die Rechtsprechung akzeptiert derzeit eine Speicherung für einen Zeitraum von bis zu sieben Tagen, wenn diese Daten zum Erkennen und Beseitigen technischer Störungen benötigt werden (BGH, Urteil vom 3.7.2014 – Az. III ZR 391/13; BGH, Urteil vom 13.1.2011 – Az. III ZR 146/10; siehe auch: Leitfaden des BfDI für eine datenschutzgerechte Speicherung von Verkehrsdaten, 30.9.2022,  https://www.bfdi.bund.de/SharedDocs/Downloads/DE/Themen/Telekommunikation/LeitfadenZumSpeichernVonVerkehrsdaten.pdf?__blob=publicationFile&v=4; Kritisch Braun, in: Geppert/Schütz, Beck’scher TKG-Kommentar, 5. Aufl. 2023, TTDSG § 12 Rn. 14). Nach sieben Tagen sind sie jedoch zu löschen, soweit keine anderen gesetzlichen Ermächtigungen vorliegen.

Im Fall einer nicht automatisierten Erhebung und Verwendung der Daten ist der Datenschutzbeauftragte des Diensteanbieters gem. § 12 Abs. 1 S. 4 TDDDG unverzüglich zu informieren.

Nach § 12 Abs. 4 TDDDG kann der Diensteanbieter bei Vorliegen tatsächlicher Anhaltspunkte auch Verkehrsdaten (gegebenenfalls sogar länger als sieben Tage) verarbeiten, die zum Aufdecken sowie Unterbinden einer rechtswidrigen Inanspruchnahme der TK-Netze und -dienste, wie z.B. einer Leistungserschleichung, erforderlich sind. Die Voraussetzungen sind deutlich schärfer: es bedarf konkret vorliegender Anhaltspunkte für einen Missbrauch, die zudem dokumentiert werden müssen, und die Datenverarbeitung muss der Sicherung des Entgeltanspruchs dienen. Für die weiteren Einzelheiten wird auf § 12 Abs. 4 TDDDG verwiesen. Eine allgemeine, möglicherweise latent vorhandene Missbrauchsgefahr der Netzdienste kann eine präventive Protokollierung aller Verkehrsdaten daher grundsätzlich nicht rechtfertigen. Insgesamt dürfte die praktische Relevanz von § 12 Abs. 4 TDDDG für Hochschulen und Forschungseinrichtungen wegen der unentgeltlichen Zurverfügungstellung der Dienste eher gering sein.

Eine sonstige Verarbeitung von Verkehrsdaten außerhalb der gesetzlich eingeräumten Befugnisse bedarf der Einwilligung durch den Betroffenen. Diese Einwilligung muss den Voraussetzungen des Art. 4 Nr. 11, Art. 7 DSGVO genügen. Erforderlich ist eine eindeutig bestätigende Handlung, die das Einverständnis der betroffenen Person mit der Datenverarbeitung unmissverständlich zum Ausdruck bringt. Einer besonderen Form bedarf es nicht. Die bestätigende Handlung kann auch elektronisch zB durch „Anklicken“ eines Feldes im Internet oder auch mündlich erfolgen, sofern der Verantwortliche die Erteilung der Einwilligung nachweisen kann (vgl. Erwägungsgrund 32 der DSGVO).

(3)  Steuerdaten
Die Bestimmungen zur Datenverarbeitung nach § 12 Abs. 1, Abs. 2 TDDDG gelten auch für Steuerdaten eines informationstechnischen Protokolls zur Datenübertragung. Dies sind in der Regel Informationen zu technischen Übertragungsprotokollen, die unabhängig von den Kommunikationsinhalten übertragen werden und Aufschlüsse zu Schadprogrammen oder Malware geben können.

c) Technische Schutzmaßnahmen zur Datensicherheit

Nach § 165 Abs. 1 TKG haben TK-Diensteanbieter erforderliche technische Vorkehrungen und sonstige Maßnahmen zum Schutz des Fernmeldegeheimnisses und gegen die Verletzung des Schutzes personenbezogener Daten zu treffen, wobei der Stand der Technik zu berücksichtigen ist.

Diese Verpflichtung zur Ergreifung bestimmter technischer Schutzmaßnahmen trifft auch die Rechenzentren der Hochschulen und Forschungseinrichtungen als TK-Diensteanbieter und Betreiber von Netz-Servern und Routern. Im Hinblick auf das Fernmeldegeheimnis muss jeder Diensteanbieter verhindern, dass Eingriffe in das Fernmeldegeheimnis vorgenommen werden, die nicht von gesetzlichen Erlaubnistatbeständen gedeckt sind. Zusätzlich dürfen keine unberechtigten Zugriffe erfolgen können. Dies beinhaltet die Verpflichtung, Daten nicht nur vor äußeren Einflussnahmen wie z. B. durch „Hacker“ zu schützen, sondern auch vor eigenmächtigen Einflussnahmen der eigenen Mitarbeitenden. Hierbei ist neben technischen Schutzvorkehrungen vor allem an Zugangskontrollen für sensible Bereiche, Zugriffsbeschränkungen auf Datenbestände und an die Schulung der Mitarbeitenden in Bezug auf den Umgang mit personenbezogenen Daten zu denken.

Unter der „Verletzung des Schutzes personenbezogener Daten“ wird nach der Legaldefinition des § 3 Nr. 71 TKG eine Verletzung der Datensicherheit verstanden, die zum Verlust, zur unrechtmäßigen Löschung, Veränderung, Speicherung, Weitergabe oder sonstigen unrechtmäßigen Verwendung personenbezogener Daten führt, sowie der unrechtmäßige Zugang zu diesen.

Verlangt werden angemessene technische Schutzmaßnahmen nach § 165 Abs. 6 TKG, wobei im Sinne eines hohen Schutzniveaus ein strenger Maßstab anzulegen ist. Dennoch muss als Ausfluss des Verhältnismäßigkeitsgrundsatzes der wirtschaftliche Aufwand noch im Verhältnis zu der Bedeutung des zu schützenden Rechtsguts stehen, sodass hier eine Angemessenheitsbewertung vorgenommen werden muss. Da außerdem der Stand der Technik zu berücksichtigen ist, handelt es sich bei § 165 Abs. 1 TKG um eine dynamische Verpflichtung, die eine fortwährende Anpassung an die neuen technischen Entwicklungen und Risiken erfordert.

Unabhängig von der Eigenschaft als Diensteanbieter besteht überdies, nach der allgemeinen Regelung in Art. 32 DSGVO zum Schutz der personenbezogenen Daten, die Verpflichtung zu angemessenen Maßnahmen zur Datensicherheit in datenverarbeitenden Stellen. Hochschulen und Forschungseinrichtungen haben daher, unabhängig von ihrer Eigenschaft als Anbieter von TK-Diensten, Datenbestände gegen unerlaubte Zugriffe von innen wie außen durch angemessene Maßnahmen zu schützen. Art. 32 Abs. 1 lit. a bis lit. d DSGVO nennt Maßnahmen, die in jedem Fall in Betracht gezogen werden müssen. Die Liste ist allerdings nicht abschließend. Wichtige Beispiele von Maßnahmen sind auch hier ein wirksamer Passwortschutz, regelmäßige Updates, Schulungen der Mitarbeitenden und Maßnahmen zum Schutz der Informationsinfrastruktur vor Viren.

Aufgrund der Komplexität werden im Folgenden die praktischen Konsequenzen für die Rechenzentren durch die zu beachtenden datenschutzrechtlichen Vorgaben beispielhaft dargestellt:

1. Protokollierung von Einwahlvorgängen

Eine vollständige, nutzerbezogene Speicherung und Auswertung aller Verbindungs-/ Nutzungsdaten, die beim Netzzugang über Einwahlpunkte oder sonstige Dialog-Server anfallen, ist unzulässig. Es dürfen lediglich die Daten erhoben und gespeichert werden, die für die jeweilige Verbindung zwingend erforderlich sind. Beispielhaft sind derzeit folgende Daten zu nennen:

Zur Identifikation und Zugangskontrolle müssen zu Beginn der Sitzung der Nutzername, das Passwort oder die Rufnummer (bei aktivierter Rufnummernübermittlung) erhoben werden.

Die dynamische IP-Adresse muss aus technischen Gründen (korrektes Routing) während der konkreten Verbindung gespeichert werden. Jedoch besteht nach Beendigung der jeweiligen Sitzung kein betriebstechnisches Bedürfnis mehr für eine weitere Speicherung.

Insbesondere die Dauer, der Umfang der jeweiligen Nutzung (z.B. übertragene Datenmenge) und die näheren Umstände der Telekommunikation (z.B. Mail-Protokolle, aufgerufene Seiten, kontaktierte Server) dürfen ohne Einwilligung des Nutzers über das Ende der Verbindung nur gespeichert werden, soweit dies zu Abrechnungszwecken, zur Störungsbeseitigung oder zur Missbrauchsaufklärung erforderlich ist. Die Erforderlichkeit zu Abrechnungszwecken hat mittlerweile allerdings stark an Relevanz verloren. Zur Störungserkennung und -beseitigung dürfen die erforderlichen Daten bis zu sieben Tage lang gespeichert werden, aber nur soweit dies auch tatsächlich zu diesen Zwecken erforderlich ist (siehe oben II. 4. lit. b) Die Aufklärung einer – äußerlich unverdächtigen – Nutzung der eigenen Systeme zum unbefugten Eindringen in externe Systeme setzt allerdings tatsächliche Anhaltspunkte für einen Missbrauch voraus. Eine „verdachtsunabhängige“, präventive Protokollierung zum Schutz fremder Systeme ist grundsätzlich unzulässig. Aus Datenbeständen, die aus anderen Gründen erhoben werden dürfen (z.B. für Abrechnungszwecke), können allerdings unter Umständen nachträglich die Daten ermittelt werden, die konkrete Indizien für einen Missbrauch enthalten.

Zur Aufklärung von Hacker-Attacken oder sonstigen unberechtigten Zugriffen oder Zugriffsversuchen auf personenbezogene Daten innerhalb des eigenen Systems können daten- beziehungsweise ereignisbezogene Protokolldateien ausgewertet werden (z.B. Zugriffsversuche auf Passwort-Listen etc.).

2. Konsequenzen für Spam- und Virenfilterung in Einrichtungen

Die rechtlichen Vorgaben durch das Fernmeldegeheimnis und den Datenschutz sind auch bei der einrichtungsinternen Ausfilterung von Spam- und Virenmails zu beachten. Für die rechtliche Beurteilung ist zunächst entscheidend, ob in der jeweiligen Einrichtung die private Nutzung des E-Mail-Dienstes durch Mitarbeiter und/oder Studierende zugelassen ist. In diesem Zusammenhang ist darauf hinzuweisen, dass unter Umständen auch bei einer fehlenden ausdrücklichen Regelung eine Erlaubnis zur Privatnutzung anzunehmen ist, wenn sich dies aus einer dauerhaften Übung in der Einrichtung ergibt.

Ist eine Erlaubnis zur privaten Nutzung des einrichtungsinternen E-Mail-Dienstes anzunehmen, stellen sich in Bezug auf zentrale Filtermaßnahmen zur Spam- oder Virenbekämpfung teils schwierige Rechtsfragen, da die Einrichtung dann als Telekommunikationsdiensteanbieter zu qualifizieren ist. In diesem Fall sind die telekommunikationsspezifischen Datenschutzvorschriften in § 9 ff. TDDDG und das Fernmeldegeheimnis aus § 3 TDDDG zu beachten. Durch die kaum trennbare Vermischung privater und dienstlicher Inhalte ist in der Regel eine differenzierte Behandlung nicht möglich. Anknüpfend an das Fernmeldegeheimnis stellt die Strafnorm des § 206 Abs. 2 Nr. 2 Strafgesetzbuch (StGB) die unbefugte Unterdrückung einer einem Post- oder Telekommunikationsunternehmen anvertrauten Sendung unter Strafe. Dass auch Hochschulen bei einem Eingriff in die Zustellung von E-Mails unter den Begriff des Unternehmens im Sinne dieser Strafnorm fallen können, ergibt sich aus einer Entscheidung des OLG Karlsruhe (Beschluss vom 10.1.2005 – 1 Ws 152/04 = MMR 2005, S. 181 ff.). Allerdings stand diese Entscheidung nicht im Zusammenhang mit einer Spam- oder Virenfilterung durch die beteiligte Hochschule, so dass die Rechtslage diesbezüglich nicht geklärt ist. Daneben kann bei Abwehrmaßnahmen, bei denen E-Mails gelöscht oder inhaltlich verändert werden, die Gefahr einer strafbaren Datenveränderung nach § 303a StGB in Betracht gezogen werden.

a) Virenfilterung
Erfolgt die Virenfilterung aufgrund eines positiven Prüfergebnisses des Virenscanners, besteht in der Regel eine konkrete Gefahr für die Datensicherheit in der betroffenen Einrichtung. Aus § 165 Abs. 1 TKG und der allgemeinen Verpflichtung datenverarbeitender Stellen zur Gewährleistung der Datensicherheit aus den Datenschutzgesetzen (Art. 5 Abs. 1 lit. f DSGVO) ergibt sich die Pflicht, technische und organisatorische Schutzmaßnahmen zur Gewährleistung der Datensicherheit zu ergreifen. Vor diesem Hintergrund ist im Regelfall selbst die Löschung positiv gescannter E-Mails gerechtfertigt. Somit ist die Maßnahme selbst dann, wenn einer der genannten Straftatbestände eingreift, durch die in der Regel gegebene Rechtfertigung nicht strafbar.

Allerdings ist bei einer Löschung oder sonstigen Vereitelung des Zugangs aus Gründen der Verhältnismäßigkeit die Benachrichtigung der Beteiligten geboten, damit Absender und Empfänger wenigstens Kenntnis davon erlangen können, dass die Übermittlung fehlgeschlagen ist und auf welchem Grund das Scheitern beruht.

Wird die Löschung erwogen, ist zudem zu berücksichtigen, dass dadurch der Einrichtung zeitkritische Informationen verloren gehen können. Als Alternative bietet sich diesbezüglich eine Quarantänelösung an, bei der ein Abruf der verseuchten E-Mails über ein gesichertes Web-Interface zumindest theoretisch möglich bleibt.

b) Spamfilterung
Schwieriger gestaltet sich die Situation bei der Filterung unerwünschter Werbe-Mails, dem sogenannten Spam. Die Probleme beginnen hier anders als bei der Virenfilterung bereits bei der zuverlässigen Erkennung von Spam-Mails. Die Optimierung inhaltsbezogener Filterprogramme wird laufend durch entsprechende Gegenmaßnahmen der Versender von Spam unterlaufen. Damit scheidet eine auch nur annähernd eindeutige Erkennung von Spam bislang noch aus.

Zuverlässiger bei der Erkennung von Spam sind Verfahren, die an die Herkunft einer E-Mail von einem möglicherweise unsicheren Server anknüpfen. Oftmals werden nicht zureichend gesicherte Mailserver zur Verteilung von Spam-Mails missbraucht. Ergeben sich Hinweise auf Sicherheitsprobleme, wird der entsprechende Server gelistet. Die Folge ist, dass alle E-Mails mit Herkunft von diesem Server von Einrichtungen nicht mehr angenommen werden, die sich der entsprechenden Liste zur Spamerkennung bedienen. Angesichts der Tatsache, dass nicht selten auch Mailserver von Wissenschafts- und Bildungseinrichtungen trotz nachweisbar fehlender für den Spamversand geeigneter Sicherheitslücken gelistet werden, erscheint die Transparenz und Zuverlässigkeit dieser Methode äußerst fraglich. Nicht zu vergessen ist, dass E-Mails von solchen Servern ohne weitere Differenzierung abgewiesen werden, so dass mit dem Höchstmaß der Erkennung ein Höchstmaß an Fehlerhaftigkeit einhergeht. Aus diesem Grund ist es unbedingt erforderlich, dass im Falle der Nutzung eines solchen „Blacklisting“-Dienstes ein sorgfältiger und zuverlässiger Anbieter mit einem transparenten Verfahren ausgewählt wird. Nur so kann nachvollzogen werden, wann und warum ein Server gelistet wird und es ist möglich, einen fehlerhaft gelisteten Server wieder zu entfernen.

Neben dem Problem der möglichst sicheren Erkennung von Spam stellt sich die Frage der weitergehenden Vorgehensweise gegen Spam. In Betracht gezogen wird hierbei zumeist die Nichtannahme, die Markierung oder die Löschung spamverdächtiger E-Mails. Bei Maßnahmen, die zu einer Vereitelung der Zustellung von E-Mails führen, ist zu beachten, dass hierdurch bei einer erlaubten Privatnutzung möglicherweise in geschützte Kommunikationsvorgänge eingegriffen wird. Dies betrifft nicht nur den Fall von falsch erkannten Spam-Mails, sondern auch das in Betracht zu ziehende private Interesse am Empfang von Werbemails. Solange die E-Mail durch das Rechenzentrum noch nicht zum Empfang angenommen wurde (Header oder zumindest Body also noch nicht auf dem Empfänger-Server liegen), ist eine Nichtannahme der Mail jedoch strafrechtlich nicht relevant. Die rechtlich sicherste Lösung ist in jedem Fall die Markierung der E-Mails mit dem ermittelten Spam-Wert, die zusammen mit einem entsprechenden Mailprogramm die eigenständige Ausfilterung durch den Nutzer ermöglicht. Bei der Markierung von E-Mails ist aus rechtlichen Gründen unbedingt darauf zu achten, dass die Markierung im Header und nicht im Subject (Betreff) der E-Mail erfolgt.

Ist die Nutzung des einrichtungsinternen E-Mail-Dienstes nur zu Dienstzwecken erlaubt, kommt die Anwendung der telekommunikationspezifischen Datenschutzvorschriften in §§ 9 ff. TDDDG nicht in Betracht. Auch das in § 3 TDDDG geregelte Fernmeldegeheimnis findet in diesem Fall keine Anwendung. Die auf das Fernmeldegeheimnis Bezug nehmende Strafnorm in § 206 Abs. 2 Nr. 2 StGB ist somit ebenfalls nicht einschlägig. Zu beachten ist, dass der Ausschluss der Privatnutzung ausdrücklich und unmissverständlich gegenüber den Nutzern erfolgen sollte, damit keine Grauzonen entstehen können.

Wenn dies beachtet wird, stellen sich ansonsten in Bezug auf die Spam- und Virenfilterung durch die Einrichtung keine spezifischen Rechtsprobleme.