RAe Dr. Juergen W. Goebel und Juergen Scheller Frankfurt am Main Datenschutzrechtliche Probleme bei der Einrichtung und dem Betrieb von X.500-Directories im Rahmen des Deutschen Forschungsnetzes Frankfurt am Main Februar 1993 Datenschutzrechtliche Probleme bei der Einrichtung und dem Betrieb von X.500-Directories im Rahmen des Deutschen Forschungsnetzes Uebersicht Seite 1. Einfuehrung 3 2. Problemstellung und Auftrag 5 3. Vorarbeiten und Gespraeche 7 4. Anzuwendende Vorschriften 9 5. Einzelne Problemfelder 12 5.1 Begriffliche Vorklaerungen 12 (1) Personenbezogene Daten 12 (2) Speichernde Stelle 13 (3) Abrufverfahren 16 5.2 Allgemeine Verarbeitungsvoraussetzungen 19 (1) Gesetzliche Regelungen 19 (2) Erforderlichkeit fuer die Vertragsabwicklung 19 (3) Einwilligung oder Widerspruchsloesung 23 5.3 Sonderregelungen 25 (1) Personalaktendatenrecht 25 (2) Forschungsprivileg 28 (3) Datenuebernahme aus Publikationen 29 5.4 Rechte des Betroffenen 30 (1) Auskunft/Berichtigung/Sperrung/Loeschung 30 (2) Behandlung weitergegebener Daten 34 5.5 Datentransfer ins Ausland 36 (1) Beeintraechtigung schutzwuerdiger Belange 36 (2) Uebermittlungssperren 38 (3) EG-Richtlinie zum Datenschutzrecht 39 5.6 Aufsicht 42 (1) Zustaendige Organe 42 (2) Meinungsstand 43 6. Zusammenfassung 44 Anhang: Materialien Vorschriften 47 1. Einfuehrung Weltweite Kommunikationssysteme sind heute zu einem wichtigen Instrument geworden, um Daten, Nachrichten und Meinungen effektiv und ohne Zeitverlust zwischen den beteiligten Stellen auszutauschen. Das gilt fuer den wirtschaftlichen und administrativen Bereich ebenso wie fuer die weltweite Kommunikation zwischen Wissenschaftlern der verschiedensten Fachgebiete. Erst durch diese Moeglichkeit des leichten Austauschs von Daten, Ideen und Meinungen wird die vielbeschworene scientific community realisiert, die erforderlich ist, um die komplexen wissenschaftlichen Herausforderungen der heutigen Zeit zu meistern. Damit jeder Teilnehmer in einem solchen Kommunikationssystem erreicht werden kann, bedarf es eines zentralen oder vieler dezentraler Verzeichnisse (=Directory- Dienst), die man sich wie ein erweitertes weltweite elektronisches Telefonbuch vorzustellen hat und in denen nach einzelnen Teilnehmern nach verschiedenen Kriterien recherchiert werden kann. Grundlage fuer einen solchen Directory-Dienst bilden Datensammlungen bei den einzelnen Directory-Betreibern, die nach dem weltweiten Standard X.500 aufgebaut und organisiert sind. Auch die Mitglieder des Deutschen Forschungsnetzes e.V. betreiben solche X.500-Directories selbst oder lassen die Daten ihrer Mitarbeiter und Kommunikationsteilnehmer in solchen Verzeichnissen bei entsprechenden Service-Anbietern speichern und verarbeiten. Soweit die Eintraege in den Directories sich dabei auf die Angaben zu den Institutionen (Universitaeten, Forschungsinstitute, Unternehmen etc.) beschraenken, die ueber das Kommunikationssystem erreicht werden koennen, ist die Verarbeitung der Teilnehmerdaten in den Directories rechtlich relativ unproblematisch. Sobald jedoch in die Directories auch Einzelangaben ueber natuerliche Personen aufgenommen werden, zwischen denen ja letztlich die gewuenschte Kommunikation stattfinden soll, ist durch die Speicherung und Weiterverarbeitung ihrer personenbezogenen Daten deren Recht auf informationelle Selbstbestimmung (Artikel 2 Absatz 1 in Verbindung mit Artikel 1 Absatz 1 Grundgesetz = GG) tangiert. Fuer den konkreten Verarbeitungsvorgang im Hinblick auf die Teilnehmerdaten, von der Speicherung bis hin zur Uebermittlung ins Ausland, ergibt sich damit die Notwendigkeit, das dafuer einschlaegige Datenschutzrecht zu beachten. Wie dies mit vertretbarem Aufwand realisiert werden kann, ist Gegenstand dieser Expertise. 2. Problemstellung und Auftrag Selbstverstaendlich war und ist den Betreibern von X.500- Directories in der Bundesrepublik Deutschland bewusst, dass e sich bei den zu verarbeitenden Teilnehmerangaben im wesentlichen um personenbezogene Daten im Sinne des geltenden Datenschutzrechts handelt. Man war daher von Anfang an bemueht, die einschlaegigen datenschutzrechtlichen Vorschriften zu beachten. Dabei ergeben sich jedoch zwei grundsaetzliche Probleme. Zum einen ist wegen der Vielgestaltigkeit der Directory-Betreiber nicht immer klar, welche Vorschriften im einzelnen auf die jeweiligen Verarbeitungsvorgaenge anzuwenden sind. Speichert etwa eine Hochschule diese Daten, erscheint das jeweilige Landesdatenschutzgesetz einschlaegig. Wird das Directory von einem privaten Unternehmen betrieben, duerfte demgegenueber der dritte Abschnitt des Bundesdatenschutzgesetzes (BDSG) anzuwenden sein. Wird das Directory von der betreffenden Stelle technisch nicht selbst, sondern etwa von einem Service-Betrieb unterhalten, liegt moeglicherweise eine Auftragsdatenverarbeitung vor. Zum anderen wurde zwar von den Directory-Betreibern von Beginn ihrer Taetigkeit an versucht, dem Buchstaben des Datenschutzrechts auch hinsichtlich seiner strengsten Anforderungen gerecht zu werden. So versuchte man etwa, den einzelnen Teilnehmer, dessen personenbezogene Daten im Directory gespeichert werden sollten, moeglichst umfassend ueber die moeglichen Verarbeitungsmodalitaeten fuer die Daten und die dafuer geltenden Datenschutzbestimmungen aufzuklaeren. Ausserdem war man bemueht, entsprechend einer Empfehlung aus dem sogenannten VERDI-Projekt, auf die weiter unten noch naeher einzugehen sein wird, jeden Teilnehmer vor der Verarbeitung seiner personenbezogenen Daten eine Einwilligungserklaerung unterschreiben zu lassen. Gerade letzteres erforderte jedoch einen recht hohen Verwaltungsaufwand und fuehrte dennoch nur zu einer geringen Ruecklaufquote bei den Einwilligungserklaerungen (nach Auskunft des Auftraggebers unter 10 %). Auch das Problem der Aktualisierung der Teilnehmerdaten konnte bisher nicht zufriedenstellend geloest werden. Dies veranlasste den DFN-Verein als Koordinator der deutschen Directory-Betreiber im DFN-Netz dazu, die vorliegende Expertise in Auftrag zu geben. Mit Wirkung vom 26. Oktober/09. November 1992 wurden die Verfasser beauftragt, eine Expertise zu datenschutzrechtlichen Problemen bei der Einrichtung und dem Betrieb von X.500-Directories im Rahmen des Deutschen Forschungsnetzes zu erstellen. Dabei sollen insbesondere folgende Themen behandelt werden: (1) Darstellung der datenschutzrechtlichen Fragen im Zusammenhang mit X.500-Directories im Ueberblick; (2) Auswertung der Datenschutzgesetze der Bundeslaender und des Bundes im Hinblick auf die zu beachtenden Regelungen; (3) Herstellung eines Meinungsbildes zu der zu erwartenden Kontrollpraxis der Aufsichtsorgane durch Befragung ausgewaehlter Stellen; (4) Behandlung des Sonderproblems: Uebermittlung personenbezogener Daten ins (europaeische) Ausland unter Beruecksichtigung der geplanten EG-Richtlinie zum Datenschutz; (5) Erarbeitung von Vorschlaegen fuer die datenschutzgemaesse Speicherungs- und Verarbeitungspraxis mit moeglichst geringem administrativem Aufwand. Als Ausgangspunkt fuer die zu erstellende Expertise wurden den Verfassern verschiedene Materialien zur Verfuegung gestellt, auf die noch naeher einzugehen sein wird. 3. Vorarbeiten und Gespraeche Wie schon erwaehnt, wurden vom Auftraggeber dieser Expertise bereits im Vorfeld der Einrichtung von X.500-Directories datenschutzrechtliche Ueberlegungen angestellt. Diese schlugen sich im wesentlichen in zwei Arbeitspapieren nieder, die auch den Verfassern zur Verfuegung standen. Es handelte sich dabei zum einen um die Studienarbeit von Ursula Meyer zu Natrup, Aspekte des Datenschutzes im X.500-Verzeichnisdienst, Maerz 1991. Darauf basierend wurde dann von Ursula Meyer zu Natrup und Sven Krause im Rahmen des VERDI/III-Projekts ein Papier mit dem Titel "DFN- Directory-Datenschutzhandbuch fuer den Pilotbetrieb", Juni 1991 erstellt, das der weiteren Praxis als Grundlage diente. In diesem Papier ist insbesondere das Informationsblatt und das Einwilligungsformular enthalten, das den DFN-Teilnehmern vor der Einspeicherung ihrer Daten in das X.500-Directory uebergeben wurde und von diesen unterschrieben an den Directory-Betreiber zurueckgegeben werden sollte. Auf diesen wertvollen Vorarbeiten konnten die Verfasser bei der Erstellung ihrer Expertise aufbauen. Neben dem Studium der einschlaegigen Gesetzestexte, Kommentare und Gerichtsentscheidungen oblag es den Verfassern aber auch, im direkten Kontakt mit Directory-Betreibern und den fuer den Bereich des Datenschutzrechts zustaendigen Kontrollinstitutionen einerseits die praktischen Probleme bei der Anwendung der datenschutzrechtlichen Grundsaetze zu ermitteln und andererseits die Meinung der Kontrollorgane zu eruieren. Dem erstgenannten Zweck dienten ein ausfuehrliches Gespraech mit Mitarbeitern des DFN-Vereins in Berlin sowie die Teilnahme an der Vortragsveranstaltung am Vorabend der 24. Mitgliederversammlung des DFN-Vereins am 07. Dezember 1992 in Bonn. Kontakte und Gespraeche bestanden bzw. wurden ferner zur Realisierung der zweiten Zweckbestimmung gefuehrt mit dem Landesdatenschutzbeauftragten von Berlin, dem Landesdatenschutzbeauftragten von Bayern und dem Bundesdatenschutzbeauftragten. Zum Teil legten die angesprochenen Stellen ihre Rechtsauffassung auch schriftlich nieder. Auf diese wird im einzelnen noch einzugehen sein. Die wichtigsten Dokumente dieser Art wurden auch in den Anhang der Expertise aufgenommen. 4. Anzuwendende Vorschriften Abgesehen von den einzelnen Problemfeldern, die im naechsten Abschnitt noch ausfuehrlich zu behandeln sein werden, ist in einer ersten Naeherung zu dem hier interessierenden Problemkomplex zu klaeren, welche datenschutzrechtlichen Vorschriften fuer die weitere Pruefung ueberhaupt in Erwaegung zu ziehen sind. Dabei beantwortet sich diese Frage zunaechst einmal durch die Rechtsnatur, d.h. die Rechtsform, in der das X.500-Directory jeweils betrieben wird. Anhand der rechtlichen Konstitution des Traegers des Directory und damit der "speichernden Stelle" im Sinne des Datenschutzrechts (vergleiche dazu weiter unten in Abschnitt 5.1) laesst sich eine Vorauswahl fuer die anzuwendenden Rechtsvorschriften treffen. Handelt es sich dabei um eine oeffentliche Stelle des Bundes (etwa eine Bundesbehoerde, ein Bundesinstitut oder eine Koerperschaft des oeffentlichen Rechts wie etwa eine Bundeswehrhochschule), so waere der zweite Abschnitt des Bundesdatenschutzgesetzes vom 20. Dezember 1990 (= Par.Par. 12 ff. BDSG) auf die Verarbeitung der personenbezogenen Daten im Directory anzuwenden. Ist Traeger des Directory und damit die speichernde Stelle eine private (oder wie das Datenschutzrecht formuliert: eine nicht- oeffentliche) Stelle, so greift in diesem Falle der dritt Abschnitt des BDSG (= Par.Par. 27 ff. BDSG) ein. Unuebersichtlicher wird jedoch die datenschutzrechtliche Lage, wenn der verantwortliche Traeger des X.500-Directory eine oeffentliche Stelle des Landes ist. In diesem Fall muss auf die jeweiligen Laenderdatenschutzgesetze rekurriert werden. Die Verfasser hatten sich daher im Rahmen ihrer Untersuchung mit folgenden Landesdatenschutzgesetzen zu befassen: ( 1) Baden-Wuerttembergisches Gesetz zum Schutz personenbezogener Daten vom 27. Mai 1991 (bawue. LDSG). ( 2) Bayerisches Gesetz zum Schutz vor Missbrauch personenbezogener Daten bei der Datenverarbeitung vom 28. April 1978 (BayDSG). ( 3) Gesetz ueber den Datenschutz in der Berliner Verwaltung vom 12. Juli 1978 (BlnDSG). ( 4) Gesetz zum Schutz personenbezogener Daten im Land Brandenburg vom 20. Januar 1992 (BbgDSG). ( 5) Bremisches Gesetz zum Schutz vor Missbrauch personenbezogener Daten bei der Datenverarbeitung vom 19. Dezember 1977 (BrDSG). ( 6) Hamburgisches Datenschutzgesetz vom 05. Juli 1990 (HmbDSG). ( 7) Hessisches Datenschutzgesetz vom 11. November 1986 (HDSG). ( 8) Niedersaechsisches Datenschutzgesetz vom 26. Mai 1978 (NDSG). ( 9) Gesetz zum Schutz personenbezogener Daten Nordrhein- Westfalen vom 15. Maerz 1988 (DSG NW). (10) Landesgesetz zum Schutz des Buergers bei der Verarbeitung personenbezogener Daten Rheinland-Pfalz vom 21. Dezember 1978 (LDatG RhPf.). (11) Saarlaendisches Gesetz zum Schutz vor Missbrauch personenbezogener Daten bei der Datenverarbeitung vom 17. Mai 1978 (SDSG). (12) Gesetz zum Schutz der informationellen Selbstbestimmung im Freistaat Sachsen vom 11. Dezember 1991 (SaechsDSG). (13) Gesetz zum Schutz personenbezogener Daten der Buerger Sachsen-Anhalt vom 12. Maerz 1992 (DSG-LSA). (14) Schleswig-Holsteinisches Gesetz zum Schutz personenbezogener Information (LDSG Schl.-H.). (15) Thueringer Datenschutzgesetz vom 29. Oktober 1991 (ThuerDSG). (16) Gesetz zum Schutz des Buergers beim Umgang mit seinen Daten Mecklenburg-Vorpommern vom 24. Juli 1992 (DSG MV). Selbstverstaendlich waren diese Landesdatenschutzgesetze jeweils in ihrer aktuellen Version in die Untersuchung einzubeziehen. Ergaenzend zu den "allgemeinen" Vorschriften des Bundes- und der Laenderdatenschutzgesetze waren aber noch weitere Spezialregelungen zu beachten, die sich entweder aus supranationalen Regelungen oder Kodifizierungen fuer den grenzueberschreitenden Verkehr mit personenbezogenen Daten ergeben oder in Gesetzen enthalten sind, die spezifische Bestimmungen fuer eine ganz bestimmte Art von Daten enthalten. Wie in Abschnitt 5.3 noch naeher darzulegen sein wird, sind das insbesondere Spezialbestimmungen aus dem Personaldaten- oder Arbeitsrecht, Regelungen, die sich auf die Verarbeitung von personenbezogenen Daten zu Forschungszwecken beziehen, oder die Datenuebernahme aus allgemein zugaenglichen oder bereits publizierten Quellen regeln. Diese Sonderregelungen koennen im Hinblick auf die Verarbeitung personenbezogener Daten liberalere aber auch restriktivere Regelungen enthalten als die allgemein gueltigen Bestimmungen des Bundes- und der Laenderdatenschutzgesetze. Inwieweit erstere hier ueberhaupt zum Zuge kommen, wird noch zu eroertern sein. 5. Einzelne Problemfelder 5.1 Begriffliche Vorklaerungen Der Beurteilung der datenschutzrechtlichen Zulaessigkeit des vorgesehenen Betriebs von X.500-Directories muss zunaechst die Verdeutlichung von Schluesselbegriffen des Datenschutzrechts vorausgehen. Dies ist schon deswegen erforderlich, weil von der Erfuellung dieser Begriffe zum einen die grundsaetzliche Anwendbarkeit datenschutzrechtlicher Regelungen abhaengen kann, zum anderen aber auch entschieden wird, ob Bundes- oder Landesrecht zum Tragen kommt. Hierzu soll aber nicht das Datenschutzrecht in seinen gesamten Grundzuegen dargestellt (zu diesem Zweck gibt es bereits unuebersehbare Literatur), sondern nur die fuer den in Rede stehenden Fall fuer besonders wichtig erachteten Begriffe erlaeutert werden. Soweit sich Regelungsunterschiede zwischen dem Bundesdatenschutzgesetz und Datenschutzgesetzen einzelner Laender ergeben, die Beachtung verdienen, wird auf diese jeweils eingegangen. (1) Personenbezogene Daten Gemaess der Definition des Par. 3 Abs. 1 BDSG sind personenbezogene Daten "Einzelangaben ueber persoenliche oder sachliche Verhaeltnisse einer bestimmten oder bestimmbaren natuerlichen Person (Betroffener)". Die Definitionen des Begriffs weichen in den landesrechtlichen Regelungen inhaltlich von Par. 3 Abs. 1 BDSG nicht ab. Was hierunter im einzelnen zu verstehen ist, soll im folgenden durch einige Beispiele kurz erlaeutert werden. Einzelangaben ueber persoenliche oder sachliche Verhaeltnisse sind bereits etwa Name, Vorname, Geburtsdatum, Adresse, aber auch Familienstand, Personalnummer, Verguetungsgruppe, Blutgruppe, Beurteilungen (Zeugnisse etc.). Der Gesetzgeber wollte naemlich auch elementare Angaben zu einer Person keineswegs aus dem Schutz des BDSG ausklammern[[Hierzu naeher Simitis/Dammann/Geiger/Mallmann/Walz, Kommentar zum Bundesdatenschutzgesetz, 4. Auflage, Baden-Baden 1992, Rn. 8 zu Par. 3.]]. Die Aufzaehlung verdeutlicht zudem, dass es fuer die Qualifikation als "personenbezogen" nicht darauf ankommt, wie sensibel die einzelne Angabe ist (so ist die schlichte Namensnennung sicher weniger geheimhaltungsbeduerftig als ein Zeugnis). Entscheidend ist vielmehr, ob eine Angabe von demjenigen, der die Daten verarbeitet, eindeutig einer bestimmten Person zugeordnet werden kann. Bestimmte Person ist jede natuerliche Person, die aus den Daten unmittelbar erkennbar ist, waehrend die bestimmbare Person erst durch Abfragen weiterer Daten ermittelt werden muss. Natuerliche Person ist beispielsweise ein Arbeitnehmer, ein Kunde, ein Lieferant etc.; die Definition des Par. 3 Abs. 1 BDSG stellt hiermit nur klar, dass die Daten juristischer Personen wie etwa einer Aktiengesellschaft, einer GmbH etc. nicht unter den Schutz des BDSG fallen. Keine personenbezogenen Daten sind somit statistische Daten, anonymisierte Daten und Firmendaten. Damit ist klar, dass es sich bei den fuer die X.500-Directories vorgesehenen Angaben, auch bei dem "Minimalset" aus Namen, Telefonnummer und E-Mail-Adresse, jedenfalls um "personenbezogene Daten" handelt. (2) Speichernde Stelle Par. 3 BDSG trifft auch fuer diesen Begriff eine Definition: "Speichernde Stelle ist jede Person oder Stelle, die personenbezogene Daten fuer sich selbst verarbeitet oder durch andere im Auftrag verarbeiten laesst" (Abs. 8). Kennzeichnendes Merkmal ist also die eigene Datenverarbeitung beziehungsweise die Verarbeitung im Auftrag. Wenn auch der Gesetzeswortlaut ausdruecklich von "speichern" ausgeht, so ist doch selbstverstaendlich vorausgesetzt, dass auch sonstige Verarbeitungsvorgaenge stattfinden koennen[[Vergleiche Simitis et al., aaO., Rn. 221 zu Par. 3.]]. Dies wird in den Landesdatenschutzgesetzen, die durchweg inhaltlich gleiche Kriterien anlegen wie das BDSG, zuweilen auch im Wortlaut schon deutlich, wo von "datenverarbeitender Stelle" die Rede ist[[ So etwa in Par. 3 Abs. 3 des Saechsischen Landesdatenschutzgesetzes.]]. Trotz des inhaltlich gleichen Massstabs eigener Verarbeitung oder der Verabeitung personenbezogener Daten im Auftrag besteht zwischen dem BDSG und den Datenschutzgesetzen der Laender jedoch ein grundlegender systematischer Unterschied: Waehrend die Datenschutzgesetze der Laender nur auf Behoerden oder sonstige oeffentliche Stellen, die als "speichernde Stelle" anzusehen sind, Anwendung finden, gilt das BDSG nicht nur fuer oeffentliche Stellen des Bundes, sondern auch fuer nicht-oeffentliche (=private) Stellen. Damit wird klar, dass der Beantwortung der Frage, wer im Rahmen der Erstellung und des Betriebs der X.500-Directories als "speichernde Stelle" anzusehen ist, eine regelrechte Schluesselrolle zukommt. Kaeme man etwa zu dem Ergebnis, nur eine nicht-oeffentliche Institution sei "speichernde Stelle ", so faende lediglich das BDSG Anwendung, nicht aber landesrechtliche Regelungen. Daneben knuepfen die vom Gesetz festgelegten Rechte und Pflichten an den Begriff an. Letztlich ist aber auch eine Uebermittlungsfeststellung nicht denkbar, wenn nicht zuvor geklaert ist, wer "speichernde Stelle" ist[[ So auch Simitis et al., aaO., Rn. 219 zu Par. 3.]]. Im folgenden soll daher auf einige denkbare Varianten eingegangen werden, wer als speichernde Stelle der Directories in Frage kommen koennte. Denkbar ist zunaechst, jede Institution, die sich im Rahmen des Deutschen Forschungsnetzes engagiert und deshalb die Daten ihrer Mitarbeiter in das Directory aufnimmt, als die speichernde Stelle anzusehen. Dies liegt nahe, weil der rein technische Speicherungsvorgang[[ Dieser ist nicht identisch mit der Festlegung der "speichernden Stelle", wie bereits die Einbeziehung der Verarbeitung im Auftrag in diesen Begriff zeigt.]] haeufig bei diesen Institutionen selbst bewerkstelligt werden wird. Nimmt man diesen Fall einmal als gegeben an, so hat diese Einordnung zur Folge, dass die hieraus resultierende Gesetzeslage ausserordentlich unueberschaubar wird. Man hat dann naemlich etwa auf eine oeffentliche Stelle des Bundes sowie auf nicht- oeffentliche Stellen das BDSG anzuwenden, auf oeffentlich Stellen eines Landes aber das jeweilige Landes-datenschutzgesetz. Dies aber ist sicher kein Grund, ein solches Ergebnis abzulehnen; vielmehr kaeme es sogar einer (unzulaessigen) Zweckargumentation zumindest nahe, dies mit der Begruendung der Kompliziertheit zu tun. Jedoch laesst die Betrachtungsweise "Jeder fuer sich" ausser acht, dass die Datenverarbeitungsvorgaenge nicht im Rahmen der ureigenen Aufgaben der jeweiligen Einzelinstitution, sondern vielmehr im Zusammenwirken innerhalb einer umspannenden Einrichtung stattfinden, die von einem gemeinsamen Interesse getragen wird. Dies gibt Anlass, die weitere Variante zu betrachten, ob etwa der DFN-Verein generell als "speichernde Stelle" anzusehen sein koennte. Dies hat seinen Grund darin, dass dem Kriterium der Datenverarbeitung letztlich ein gewisses finales Element zu eigen ist, das es nicht erlaubt, von der bloss faktisch-technischen Abwicklung auszugehen; sondern es ist in die Beurteilung mit einzubeziehen, wem letztlich die Verarbeitung der personenbezogenen Daten dient. Richtig ist gewiss, dass etwa eine Universitaet die fraglichen Daten bereitstellen wird, um in der wissenschaftlichen Kommunikation nicht hintanzustehen; jedoch erfolgt die konkrete Art und Weise, wie sie dies im Rahmen des Deutschen Forschungsnetzes durch vorgegebene Anforderungen der fraglichen Directories tut, nicht innerhalb ihres universitaeren Aufgabenbereichs, sondern in Erfuellung ihrer Mitwirkungspflichten, die ihr als Mitglied des DFN-Vereins obliegen. Das finale Element der Datenvararbeitung weist also eher auf den DFN-Verein in seiner Gesamtheit als auf die einzelne in ihm taetige Institution. Es erscheint vor diesem Hintergrund daher plausibler, den DFN-Verein selbst als "speichernde Stelle" anzusehen[[ Hiervon geht im uebrigen auch der Berliner Datenschutzbeauftragte aus, allerdings ohne ersichtliche Begruendung.]], wovon im folgenden ausgegangen wird. Dies zieht als positiven Effekt nach sich, dass Datenschutzgesetze der Laender nicht zur Anwendung gelangen. Auf die hier in Rede stehenden Vorgaenge beim DFN-Verein, ein eingetragener privatrechtlicher Verein, als einer Einrichtung ausserhalb des oeffentlichen Bereichs finden vielmehr nur die Vorschriften des dritten Abschnitts des BDSG Anwendung. (3) Abrufverfahren Im BDSG sowie in einigen Landesdatenschutzgesetzen[[ Sonderregelungen der hier besprochenen Art finden sich keineswegs in allen Landesdatenschutzgesetzen. Vielmehr trifft ein gutes Drittel hierzu keine explizite Regelung, was bedeutet, dass in diesen Laendern auch auf automatisierte Abrufverfahren lediglich die allgemeinen Vorschriften anzuwenden sind.]] sind Sonderregelungen fuer die Faelle getroffen worden, in denen ein Abrufen gespeicherter personenbezogener Daten ueber automatisierte Verfahren ermoeglicht wird. Diese Regelungen befassen sich zum Teil sowohl mit der Frage, wem die datenschutzrechtliche Verantwortung im Falle solcher Abrufe zukommt, als auch oftmals mit Ausnahmetatbestaenden. Gemaess Par. 10 Abs. 1 BDSG ist die Einrichtung automatisierter Abrufverfahren zur Uebermittlung personenbezogener Daten nur dann zulaessig, wenn sie nach Abwaegung der Interessen der Betroffenen gegenueber den Geschaeftszwecken und den Aufgaben der beteiligten Stellen "angemessen" ist. Dass damit noch nichts ueber die Zulaessigkeit des einzelnen tatsaechlich stattfindenden Abrufs ausgesagt ist, stellt Par. 10 Abs. 1 Satz 2 BDSG klar, indem er festlegt, dass "die Vorschriften ueber die Zulaessigkeit des einzelnen Abrufs" unberuehrt bleiben. Allerdings ist die Verantwortung fuer die Zulaessigkeit des einzelnen Abrufs gemaess Par. 10 Abs. 4 BDSG grundsaetzlich dem Empfaenger desselben uebertragen, wohingegen die speichernde Stelle nur bei bestehendem Anlass die Zulaessigkeit zu ueberpruefen hat. Indes hat sie ein Stichprobenverfahren zur Kontrolle des einzelnen Abrufs einzurichten. Weiter schreibt Par. 10 Abs. 2 BDSG Pflichten fest, die alle beteiligten Stellen, also auch die speichernde Stelle, zu beachten haben. Hierbei handelt es sich um Massnahmen, die eine Kontrolle der Zulaessigkeit des Abrufverfahrens ermoeglichen sollen, wobei im einzelnen der Anlass und der Zweck des Abrufverfahrens, die Datenempfaenger, die Art der uebermittelten Daten und bestimmte technische und organisatorische Massnahmen (zum Beispiel Datensicherungsmassnahmen) schriftlich festzulegen sind. Indes enthaelt Par. 10 Abs. 5 BDSG eine sehr wichtige Ausnahmeregelung: Abrufe "aus Datenbestaenden, die jedermann, sei es ohne oder nach besonderer Zulassung, zur Benutzung offenstehen", sollen nicht in den Anwendungsbereich des Par. 10 fallen. Gemeint sind hiermit quasi oeffentlich zugaengliche Datenbanken. Um solche handelt es sich bei den X.500-Directories deshalb nicht, weil schlicht nicht "jedermann" Mitglied im DFN- Verein werden kann. Voraussetzung fuer eine Mitgliedschaft is naemlich gemaess Par. 10 der Satzung des DFN-Vereins, dass es sich um juristische Personen des oeffentlichen oder privaten Rechts handelt. Die Ausnahmeregelung des Par. 10 Abs. 5 BDSG greift fuer den DFN- Verein als speichernde Stelle daher nicht ein. Damit haben als nach dem bisherigen Kenntnisstand der DFN-Verein und die am Abrufverfahren beteiligten Stellen auf die Einhaltung der obengenannten Pflichten zu achten. Jedoch ist in diesem Zusammenhang deutlich darauf hinzuweisen, dass Par. 10 BDSG ohnehin nur dann zur Anwendung kommt, wenn die Online-Anbindung dem Abruf von einem Dritten dient, also eine echte Uebermittlung im Sinne des Par. 3 Abs. 5 S. 2 Nr. 3 b BDSG vorliegt. Dies bedeutet umgekehrt, dass bei einem Online-Abruf in einem Datenverarbeitungsauftragsverhaeltnis, also zwischen Auftraggeber und -nehmer (und umgekehrt) lediglich Par. 11 BDSG, nicht aber die Spezialvorschrift des Par. 10 in Betracht kommt[[ Vgl. Simitis, aaO, Rn 16 zu Par. 11. Sobald aber ein Datentransfer ins Ausland vorliegt, so gilt wiederum Par. 11 BDSG nicht; in diesen Faellen liegt stets eine Uebermittlung vor, weil Par. 3 Abs. 9 BDSG jedweden Auftragnehmer im Ausland als "Dritten" definiert!]]. Hierauf wird unter Abschnitt 5.4 (2) noch einzugehen sein. 5.2 Allgemeine Verarbeitungsvoraussetzungen Entsprechend der hier vertretenen Auffassung, wonach wegen der Eigenschaft des DFN-Vereins als "speichernde Stelle" Landesdatenschutzgesetze nicht zur Anwendung kommen, soll im folgenden nur dargestellt werden, unter welchen Voraussetzungen die Verarbeitung personenbezogener Daten nach dem BDSG zulaessig ist. (1) Gesetzliche Regelungen Gemaess Par. 4 Abs. 1 BDSG ist die Verarbeitung und Nutzung personenbezogener Daten nicht nur bei Vorliegen einer Einwilligung des Betroffenen, Erlaubnis oder Anordnung durch das BDSG, sondern auch bei Erlaubnis oder Anordnung durch "eine andere Rechtsvorschrift" zulaessig. Hierdurch stellt das BDSG selbst auf vorrangige Spezialregelungen, beispielsweise in Regelungeszusammenhaengen des Personal- oder Fiskalrechts ab. Derartige vorrangige spezielle Regelungen sind im vorliegenden Fall zunaechst einmal nicht ersichtlich, weswegen im folgenden geprueft werden soll, ob das BDSG die im Rahmen des Deutschen Forschungsnetzes vorgesehenen Verarbeitungen in X.500-Directories zulaesst (zu einigen Sonderbereichen siehe aber noch unten Abschnitt 5.3). (2) Erforderlichkeit fuer die Vertragsabwicklung Wenn auch hier wegen der Eigenschaft des DFN-Vereins als nicht- oeffentliche Stelle nur auf die Regelungen des dritten Abschnitt des BDSG naeher eingegangen werden soll, so sei doch vorab der Hinweis nicht versaeumt, dass auch die Vorschriften ueber die Verarbeitung peronenbezogener Daten oeffentlicher Stellen Regelungen enthalten, die die Zulaessigkeit der Verarbeitung davon abhaengig machen, ob sie zur Erfuellung der Aufgaben der Stelle "erforderlich" ist[[Vgl. Par.Par. 13 ff BDSG. Die Datenschutzgesetze der Laender (die ja nur fuer oeffentliche Stellen gelten) treffen hier durchweg fast identische Regelungen, gehen also auch von einer "Erforderlichkeit" fuer die Aufgabenerfuellung aus. Darueberhinaus trifft aber der ueberwiegende Teil der Landesgesetze zusaetzlich die Festlegung, dass die Datenverarbeitung grundsaetzlich nur zu dem urspruenglich festgelgten Zweck erfolgen darf (siehe etwa Par. 12 Abs. 1 Nr. 2 des LDSG Baden-Wuerttemberg).]]. Fuer den Bereich nicht-oeffentlicher Stellen sei aber das Erforderlichkeitskriterium nun im einzelnen dargestellt: Gemaess Par. 27 Abs. 1 Nr. 1 BDSG findet der dritte Abschnitt des BDSG auf nicht-oeffentliche Stellen Anwendung, "soweit (diese) personenbezogene Daten in oder aus Dateien geschaeftsmaessig oder fuer berufliche oder gewerbliche Zwecke" verarbeiten oder nutzen. Durch diese Formulierung hat der Gesetzgeber lediglich deutlich gemacht, dass dateimaessig gefuehrte personenbezogene Daten im rein privaten Bereich (beispielsweise eine auf PC gefuehrte Adressdatei eines Privathaushalts oder eine Mitgliederliste eines Sportvereins) nicht dem BDSG unterfallen sollen[[Das Fehlen einer derartigen Formulierung und das Festmachen der Anwendbarkeit des Bundesdatenschutzgesetzes massgeblich am Begriff der "Datei" im alten BDSG von 1977 hat in dieser Frage zu wiederholten Auslegungsstreitigkeiten gefuehrt.]]. Bereits unter Abschnitt 5.1 (1) wurde festgestellt, dass die im Rahmen der X.500-Directories aufgenommenen Daten "personenbezogene Daten" sind. Diese werden in der hier in Rede stehenden Konstellation auch als "Datei" verarbeitet, denn hierunter versteht das Gesetz "eine Sammlung personenbezogener Daten, die durch automatisierte Verfahren nach bestimmten Merkmalen ausgewertet werden kann (auotmatisierte Datei)", Par. 3 Abs. 2 Nr. 1 BDSG, sowie "jede sonstige Sammlung personenbezogener Daten, die gleichartig aufgebaut ist und nach bestimmten Merkmalen geordnet, umgeordnet und ausgewertet werden kann (nicht-automatisierte Datei)", Par. 3 Abs. 2 Nr. 2 BDSG. Ausgeschlossen sind lediglich "klassische" Akten und Aktensammlungen. Bei der Verarbeitung der fuer die X.500- Directories vorgesehenen Daten ist somit von eine automatisierten Datei auszugehen. Massgebliche Norm des dritten Abschnitts des BDSG fuer das Vorhaben des DFN-Vereins ist Par. 28, der die Datenspeicherung , -uebermittlung und -nutzung fuer eigene Zwecke regelt. Die Vorschrift enthaelt verschiedene Fallvarianten, unter denen die Zulaessigkeit von Datenverarbeitungsvorgaengen festgeschrieben wird. Par. 28 Abs. 1 Nr. 1 BDSG erklaert die Verarbeitung personenbezogener Daten fuer die Erfuellung eigener Geschaeftszwecke fuer zulaessig, soweit diese "im Rahmen der Zweckbestimmung eines Vertragsverhaeltnisses oder vertragsaehnlichen Vertrauensverhaeltnisses mit dem Betroffenen" stattfindet. Hierzu ist zu sagen, dass die Betroffenen, deren Daten hier gespeichert werden sollen, zwar in der Regel Vertraege oder vertragsaehnliche Beziehungen zu den Institutionen haben werden, die sich dem Deutschen Forschungsnetz angeschlossen haben, jedoch stehen sie selbst zum DFN-Verein als der verarbeitenden Stelle nicht in einer solchen Beziehung. Nach Dafuerhalten der Bearbeiter bietet sich eine Anwendung des Par. 28 Abs. 1 Nr. 1 BDSG daher nicht an. Vielmehr sehen die Autoren den Loesungsweg ueber die Regelung des Par. 28 Abs. 1 Nr. 2 BDSG, wonach es fuer die Zulaessigkeit der Datenverarbeitung ausreicht, dass sie "zur Wahrung berechtigter Interessen der speichernden Stelle erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwuerdige Interesse des Betroffenen an dem Ausschluss der Verarbeitung oder Nutzung ueberwiegt". Zielsetzung des DFN-Vereins ist es, die Kommunikation innerhalb wissenschaftlicher Kreise und Institutionen durch die Moeglichkeit eines gezielten Ansprechens einzelner wissenschaftlich taetiger Personen zu verbessern. Hierzu gehoert die namentliche Nennung dieser Personen ebenso unerlaesslich wie die Angabe der E-Mail-Adresse dieser Personen in eben diesem Medium, in dem sich ihre Namensangabe findet, da ansonsten zwar eine im Interesse eines wissenschaftlichen Diskurses anzusprechende Person hierueber gefunden, jedoch im Anschluss nur auf dem "klassischen" Postwege angesprochen werden koennte. Letzterer hat sich indes gerade als hinderlich in der wissenschaftlichen Zusammenarbeit erwiesen, da er das Risiko verspaeteter oder gar unzutreffender Zustellung in sich traegt. Gerade dieses Risiko soll mit einem derartigen Forschungsnetz ausgeschaltet oder wenigstens minimiert werden. Zur Erfuellung des Geschaeftszwecks des DFN-Vereins ist die Verarbeitung jedenfalls der Daten, die als "Minimalset" bezeichnet werden, daher unbedingt erforderlich. Zu pruefen ist nun jedoch, ob diesem legitimen Vereinsinteresse gegenlaeufige schutzwuerdige Interessen der Betroffenen entgegenstehen, die dieses moeglicherweise ueberwiegen. Die genannte Vorschrift des BDSG spricht hier von "kein Grund zu der Annahme besteht, das das schutzwuerdige Interesse ... ueberwiegt". Dies bedeutet, dass der Gesetzgeber hier nicht eine Interessenabwaegung im konkreten Einzelfall fuer notwendig erachtet hat, sondern es ausreichen lassen wollte, eine solche Interessenabwaegung pauschal vorab vorzunehmen. Sicher ist generell von einem schutzwuerdigen Interesse der Betroffenen dahingehend auszugehen, dass mit ihren personenbezogenen Daten nicht jedermann nach Belieben verfahren darf; dies resultiert schon aus dem allgemeinen Datenschutzgedanken. Jedoch wird man im vorliegenden Fall nicht sagen koennen, dass dieses schutzwuerdige Recht auf informationelle Selbstbestimmung die hier in Rede stehenden Geschaeftsinteressen des DFN-Vereins ueberwiegt. Es darf naemlich nicht ausser acht gelassen werden, dass jeder Betroffene, dessen Angaben sich in den Directories finden, nicht nur selbst Zugriff auf diese Angaben im Sinne eines Leserechts, sondern hinsichtlich der Angaben zu seiner eigenen Person auch ein Schreiberecht erhalten soll, das es ihm beispielsweise ermoeglicht zu bestimmen, ob seine Daten allgemein zugaenglich sein sollen oder nicht. Der einzelne Betroffene hat es damit selbst in der Hand, eine Abwaegung vorzunehmen zwischen der Gefaehrdung seiner informationellen Integritaet und den Interessen eines speditiveren wissenschaftlichen Dialogs. Somit besteht nach Auffassung der Autoren fuer den DFN-Verein im Sinne des Par. 28 Abs. 1 Nr. 2 kein Grund zur Annahme eines ueberwiegenden Interesses der Betroffenen, das der Datenverarbeitung entgegenstuende. Zusammenfassend zu diesem Abschnitt laesst sich daher festhalten, dass die Verarbeitung des "Minimalsets" gemaess Par. 28 Abs. 1 Nr. 2 BDSG fuer zulaessig erachtet werden kann. (3) Einwilligung oder Widerspruchsloesung Das Ergebnis des Unterabschnitts (2) beantwortet zugleich die Frage, die im Rahmen des DFN-Vorhabens bislang immer wieder gestellt wurde: Ist man genoetigt, bei der bisherigen Praxis zu bleiben und die Betroffenen um ihre schriftliche Einwilligung zur Einspeicherung wenigstens des "Minimalsets" zu bitten, oder reicht eine "Widerspruchsloesung" aus, die den Betroffenen angeboten wird? Die Anwort lautet: Eine Einwilligung ist nicht erforderlich. Folgendes sei aber um der Verdeutlichung willen ergaenzt: Klar ist, dass eine Einwilligung der Betroffenen die datenverarbeitende Stelle von der wohl oftmals schwer vorzunehmenden Interessenabwaegung befreit; liegt also eine Einwilligung vor, so kann die Stelle jedenfalls ein "ruhiges Gewissen" haben, weil sie die Einwilligung im Zweifel auch den Aufsichtsbehoerden vorweisen kann, waehrend sie bei der hier vertretenen Loesung darauf vertrauen muss, dass sich diese dem hier erzielten Ergebnis der Interessenabwaegung anschliessen werden[[Die Chancen hierfuer stehen, vorbehaltlich der technischen Realisierung der Verfuegungsrechte der Betroffenen ueber ihre eigenen Daten, angesichts der Stellungnahmen des bayerischen und des Berliner Datenschutzbeauftragten so schlecht allerdings nicht.]]. Jedoch besteht hinsichtlich der Einordnung der "Widerspruchsloesung" nach Dafuerhalten der Verfasser Anlass zu betonen, dass das Gesetz lediglich im Falle der Weitergabe personenbezogener Daten fuer Zwecke der Werbung oder der Markt- und Meinungsforschung eine echte Widerspruchsloesung kennt (Par. 28 Abs. 3 BDSG), die - bei Ausuebung des Widerspruchsrechts - zur Unzulaessigkeit der Nutzung oder Uebermittlung fuehrt. Im hier in Rede stehenden Umfeld kann die "Widerspruchsloesung" nur in dem unter 5.2. (2) entwickelten Sinne verstanden werden, wonach der Betroffene durch Aeusserung seines der Verarbeitung entgegenstehenden Willens die Gefaehrdung seiner schutzwuerdigen Interessen ausschliesst. Es handelt sich also nicht um eine echte Alternative zur Einwilligung, die die Zulaessigkeit der Datenverarbeitung selbstaendig begruenden wuerde, sondern um eine moegliche Willensaeusserung des Betroffenen, die die Interessenabwaegung im Rahmen der Pruefung allgemeiner Zulaessigkeitsvoraussetzungen beeinflusst. 5.3 Sonderregelungen Als speziellere Regelung im Hinblick auf die Verarbeitung personenbezogener Daten in den X.500-Directories gegenueber den allgemein gueltigen Bestimmungen des Bundesdatenschutzgesetzes und der Laenderdatenschutzgesetze soll nun eingegangen werden auf Vorschriften, die sich auf die Verarbeitung von Personalaktendaten, die Verarbeitung von personenbezogenen Daten zu Forschungszwecken sowie auf die Uebernahme solcher Daten aus Publikationen beziehen. (1) Personalaktendatenrecht Soweit die Kommunikationsteilnehmer, deren Nutzerdaten in X.500- Directories gespeichert werden sollen, in eine Arbeitsverhaeltnis (etwa zur Universitaet, zu einem privaten Forschungsinstitut etc.) stehen, bietet es sich an, die fuer den Directory-Eintrag erforderlichen Daten aus den Personalunterlagen des jeweiligen Nutzers zu entnehmen und in das Verzeichnis aufzunehmen. Eine solche Uebernahme erscheint aber deswegen problematisch, weil fuer die einschlaegigen Daten moeglicherweise der strengere Schutz von Vorschriften des Personalaktendatenrechts gilt, die in diesem Fall fuer dem oeffentlichen Dienstrecht unterliegende Arbeitsverhaeltnisse eine ausdrueckliche Einwilligung des Betroffenen voraussetzen. Fuer den Bereich von Bundesbehoerden ist dabei die am 01. Januar 1993 in Kraft getretene Vorschrift des Par. 90g des Bundesbeamtengesetzes (BBG) einschlaegig, nach der Personaldaten in Dateien nur fuer Zwecke der Personalverwaltung oder der Personalwirtschaft verarbeitet und genutzt werden duerfen. Ein automatischer Abruf dieser Daten ist unzulaessig, soweit durch eine besondere Rechtsvorschrift nichts anderes bestimmt ist (Par. 90g Abs. 1 S. 3 BBG). Danach waere der automatische Abruf von Nutzerdaten eines Kommunikationssystems, die gleichzeitig Personalaktendaten sind, nur zulaessig, wenn es dafuer eine spezielle gesetzliche Vorschrift gaebe, die aber zur Zeit nicht ersichtlich ist. Eine derart restriktive Regelung der Nutzung von Personalaktendaten durch entsprechende Laendergesetze ist derzeit noch nicht ersichtlich. Jedoch planen einige Laender vergleichbare Regelungen fuer die ihrer Hoheit unterfallenden Personalaktendaten (Beispiel: Bayern). Dies muss nun allerdings im Ergebnis nicht dazu fuehren, dass die Uebernahme von Personalaktendaten in die Verzeichnis-Datei des E- Mail-Systems mangels gesetzlicher Regelung grundsaetzlic unzulaessig ist oder nur nach ausdruecklicher Einwilligung des Betroffenen vorgenommen werden darf. Jedenfalls ergibt sich das aus der Stellungnahme des Bayerischen Landesbeauftragten fuer den Datenschutz vom 11. Januar 1993[[Siehe den vollen Wortlaut dieser Stellungnahme im Anhang zu dieser Expertise.]]. Diese Stellungnahme geht davon aus, dass es selbst nach dem Inkrafttreten eines Personalaktendatenrechts (jedenfalls in Bayern) zulaessig waere, Personalaktendaten, wie sie fuer das Mail-Directorys-System einer Universitaet verwendet werden sollen, aus den Personalakten bzw. -dateien "fuer Zwecke der Personalwirtschaft" zu entnehmen und an das fuer den Dienstbetrieb der betreffenden Behoerde zustaendige Sachgebiet weiterzuleiten. Bei diesem Sachgebiet, das dann das Directory betreibt, waeren die Daten nicht mehr dem strengen Personalaktendatenrecht unterworfen. Einschlaegig waeren dann wiederum die Vorschriften des "allgemeinen" Datenschutzrechts, also etwa des (bayerischen) Landesdatenschutzgesetzes. Dies gilt dann sowohl fuer die Verarbeitung im Directory als auch fuer die Zulaessigkeit der online-Datenuebermittlung aus dem Directory an Dritte. Werden nach dieser vom Landesbeauftragten geaeusserten Ansicht personenbezogene Daten in das Directory eingespeichert, die ueber die betreffenden Mitarbeiter bereits im Personalverzeichnis etwa der Universitaet veroeffentlicht wurden, so soll dann fuer die Einspeicherung und Weiterverarbeitung nach den Vorschriften des allgemeinen Datenschutzrechts das Erfordernis der vorherigen Einwilligung des Betroffenen wegfallen und lediglich ein Widerspruchsrecht fuer den Betroffenen Platz greifen (Stellungnahme vom 11. Januar 1993, Seite 2 unten). In keinem Fall darf nach dieser Ansicht allerdings das X.500-Directory Bestandteil der zentralen Personaldatei der jeweiligen Behoerde sein. Diese Bewertung wird in der erwaehnten Stellungnahme des Landesbeauftragten analog auch fuer die Einrichtung eines E-Mail- Systems fuer die Kommunikation von Wissenschaftlern vorgenommen Ob diese Analogie auch fuer die weltweite Kommunikation und Verfuegbarkeit der Teilnehmerdaten gelten sollen, wird allerdings nicht ausdruecklich ausgefuehrt (vergl. dazu noch unten Abschnitt 5.5). Bemerkenswert an dieser Argumentation erscheint den Verfassern zweierlei zu sein. Zum einen wird zunaechst der Bezug der hier interessierenden Teilnehmerdaten zum Bereich des geplanten Personalaktendatenrechts deutlich, nach dem die Verarbeitung dieser Daten nur unter erschwerten Bedingungen zulaessig waeren (auf der Grundlage einer spezialgesetzlichen Regelung oder nach ausdruecklicher Einwilligung des Betroffenen). Zum anderen wird aber auch ein Loesungsweg fuer diese Problematik aufgezeigt, indem vorgeschlagen wird, die betreffenden Personaldaten von der Personalabteilung an die Abteilung "Allgemeiner Dienstbetrieb" weiterzuleiten, bei dem dann das Directory angesiedelt ist. Dort finden dann nur noch die allgemeinen Datenschutzvorschriften Anwendung, die hier sogar Raum fuer das Widerspruchsmodell lassen, sofern die entsprechenden Daten sich mit den Eintraegen ueber die jeweiligen Personen aus dem publizierten Personalverzeichnis decken. Dieser Loesungsweg fuer die Einwilligungsproblematik ist sowohl gangbar, wenn die Abteilung "Allgemeiner Dienstbetrieb" das Directory selbst verantwortlich betreibt, als auch fuer den Fall, dass die entsprechende organisatorische Untereinheit (etwa einer Universitaet) die Verarbeitung im Auftrag des DFN-Vereins durchfuehrt. Sicherlich kann diese Argumentation nicht ohne weiteres auf die uebrigen Bundeslaender und den Bund uebertragen werden, da es dort zumeist noch an den entsprechenden Vorschriften zum Personalaktendatenschutz fehlt. Wenn diese Argumentation aber bereits fuer den Anwendungsbereich des (geplanten) strengen Personalaktendatenrechts gilt, so kann bei Beachtung der uebrigen Rahmenbedingungen das Widerspruchsmodell jedenfalls fuer den universitaeren Bereich generell als datenschutzrechtlich zulaessig propagiert werden. Bejaht man also (insbesondere fuer die Zukunft) die Anwendbarkeit des Personalaktendatenrechts (das zum Teil erst noch geschaffen werden wird), so kann bei der Einspeicherung von personenbezogenen Nutzerdaten aus Gruenden der Praktikabilitaet das Widerspruchsmodell mit einiger Aussicht auf rechtlichen Bestand Anwendung finden. (2) Forschungsprivileg Sowohl im Bundesdatenschutzgesetz (Par. 40 BDSG) als auch in verschiedenen Laenderdatenschutzgesetzen (etwa Par. 28 Bbg DSG, Par. 33 HDSG, Par. 27 DSG-LSA) sind Sondervorschriften fuer die Verarbeitung personenbezogener Daten im Forschungsbereich oder fuer wissenschaftliche Zwecke enthalten. Da auch die hier in den Directories zu speichernden personenbezogenen Daten sich im wesentlichen auf Mitarbeiter aus dem Forschungsbereich beziehen, ist die Einschlaegigkeit dieser Regelung zu pruefen. Schon der Wortlaut der genannten Bestimmungen, der Formulierungen wie etwa "Verarbeitung personenbezogener Daten fuer wissenschaftliche Zwecke" oder "fuer Zwecke der wissenschaftlichen Forschung erhobene oder gespeicherte personenbezogene Daten" enthaelt, macht jedoch deutlich, dass diese Vorschriften fuer unser Problem nicht einschlaegig sind. Denn diese finden nur dann Anwendung, wenn sich die personenbezogenen Daten auf die wissenschaftlichen Inhalte beziehen oder selbst Gegenstand der wissenschaftlichen Forschung sind. Das trifft etwa zu auf Krankendaten in medizinischen Forschungsvorhaben oder Angaben ueber natuerliche Personen im Rahmen eines sozialwissenschaftlichen Projekts. In keinem Fall sind damit jedoch die personenbezogenen Daten der Forscher selbst gemeint, jedenfalls soweit diese nicht selbst Gegenstand des wissenschaftlichen Vorhabens sind. Fuer die in das X.500-Directory einzutragenden Teilnehmerdaten gelten somit die Spezialvorschriften ueber die Verarbeitung personenbezogener Daten fuer wissenschaftliche Zwecke nicht. (3) Datenuebernahme aus Publikationen Ein weiterer Sonderfall der Verarbeitung personenbezogener Daten sei hier noch kurz erwaehnt, die Uebernahme von Angaben aus Publikationen oder anderen oeffentlich zugaenglichen Quellen. Geregelt ist dies etwa in Par. 14 Abs. 2 Nr. 5 und Par. 28 Abs. 1 Nr. 3 BDSG sowie in aehnlichen Vorschriften der Laenderdatenschutzgesetze (Beispiel: Par. 13 Abs. 2 Buchstabe f. Bbg DSG). Allerdings duerften diese Vorschriften nur dann Bedeutung erlangen, wenn die fuer das Directory zu speichernden Daten auch wirklich vollstaendig aus allgemein zugaenglichen Quellen entnommen werden koennen. Existiert eine solche Quelle, wie dies bei dem in Unterabschnitt 5.3 (1) erwaehnten Personalverzeichnis der Universitaeten meistens der Fall ist, so ist die Uebernahme der darin enthaltenen Nutzerangaben in das Directory unproblematisch. Groessere Probleme bereitet jedoch die Frage, wie die in der allgemein zugaenglichen Quelle enthaltenen Daten dorthin gelangt sind und wie dabei den einschlaegigen Datenschutzregelungen Genuege getan werden kann. Dazu sei auf die obigen Ausfuehrungen zum Personalaktendatenrecht verwiesen, die dafuer einen vertretbaren Weg aufzeigen. 5. 4 Rechte des Betroffenen Auch bei festgestellter Zulaessigkeit der Verarbeitung personenbezogener Daten in den Directories hat der Betroffene bestimmte unabdingbare Rechte. Welche dies im einzelnen sind und (vor allem) wem gegenueber der Betroffene sie ausueben kann, soll im folgenden aufgezeigt werden. (1) Auskunft/Berichtigung/Sperrung/Loeschung Die Rechte des Betroffenen auf Auskunft, Berichtigung, Sperrung oder Loeschung sind im einzelnen zwar - fuer nicht-oeffentliche Stellen - ebenfalls im dritten Abschnitt des BDSG geregelt, jedoch stellt bereits Par. 6 Abs. 1 BDSG klar, dass diese Rechte des Betroffenen "nicht durch Rechtsgeschaeft ausgeschlossen oder beschraenkt werden" koennen. Dahingehende Vereinbarungen vertraglicher Art sind somit nichtig. Desweiteren enthaelt Par. 6 Abs. 2 BDSG eine zur Durchsetzung dieser Rechte des Betroffenen ganz entscheidende Regelung. Diese stellt naemlich fest, dass sich der Betroffene in Faellen, in denen mehrere Stellen speicherungsberechtigt sind, zur Durchsetzung seiner Rechte an jede dieser Stellen wenden kann; diese ist dann jeweils verpflichtet, "das Vorbringen des Betroffenen an die speichernde Stelle weiterzuleiten" (Par. 6 Abs. 2 S. 2 BDSG) und den Betroffenen "ueber die Weiterleitung und die speichernde Stelle zu unterrichten" (Par. 6 Abs. 2 S. 3 BDSG). Es soll eben nicht zu Lasten des Betroffenen gehen, wenn er selbst nicht feststellen kann, wer nun konkret "Herr seiner Daten" ist. Da dieser Fall im Rahmen der Organisation der X.500-Directories im Deutschen Forschungsnetz durchaus auftreten kann, weil hier rein technisch letztlich eine Verbunddatei gefuehrt wird, deren Einzelbestandteile auf verschiedenen Rechnern verarbeitet werden koennen, sollte der DFN-Verein folgendes vorab sicherstellen: Mit den angeschlossenen Teilnehmern (Mitglieder des DFN-Vereins) sollten Absprachen getroffen werden, in welcher Weise die Weiterleitung des Vorbringens eines Betroffenen an die (technisch) speichernde Stelle erfolgen soll; die Information an den Betroffenen anhand eines festgelegten Standards, der die Inhalte dieser Information festlegt, muesste diesen Vorgang abrunden. Denkbar waere aber auch, jedem angeschlossenen Teilnehmer die Verpflichtung aufzuerlegen, als Mitglied des DFN- Vereins (der ja letztlich speichernde Stelle ist) desse Pflichten direkt wahrzunehmen und das Vorbringen des Betroffenen selbst zu behandeln, sofern hierzu technisch die Moeglichkeit besteht[[Die technische Frage wird etwa bei einem Sperrungs- oder Loeschungsbegehren eines ausgeschiedenen Mitarbeiters relevant, der ja selbst mangels Zugang nicht mehr ueber Schreib- und Leserechte verfuegt.]]. Vor diesem Hintergrund sollten die nachfolgend behandelten einzelnen Rechte des Betroffenen gesehen werden. Das Recht auf Auskunft regelt Par. 34 BDSG. Dessen Absatz 1[[14 Par. 34 Abs. 2 BDSG kommt nicht zur Anwendung, weil er sich auf Auskunfteien bezieht.]] legt fest, dass der Betroffene Auskunft "ueber die zu seiner Person gespeicherten Daten, auch soweit sie sich auf Herkunft und Empfaenger beziehen" verlangen kann, daneben aber auch ueber den Speicherungszweck und (bei automatisierter Verarbeitung) ueber Personen und Stellen, an die eine regelmaessige Uebermittlung seiner Daten erfolgt. Dass die Auskunft ueber Herkunft und Empfaenger der Daten nur erteilt werden muss, wenn auch diese Angaben mitgespeichert sind, ergibt sich aus der Systematik der genannten Formulierung. Soweit der DFN-Verein einzelne Abrufvorgaenge also nicht protokolliert, beschraenkt sich die Auskunft auf die personenbezogenen Daten des Betroffenen. Die Auskunft ist grundsaetzlich schriftlich zu erteilen (Par. 34 Abs. 3 BDSG) und in der Regel unentgeltlich (Par. 34 Abs. 5 BDSG). Gemaess Par. 34 Abs. 4 BDSG entfaellt die Auskunftspflicht in solchen Faellen, in denen gemaess Par. 33 Abs. 2 Nr. 2 bis 6 der Betroffene nicht zu benachrichtigen ist. Diese Faelle sind hier indes nicht einschlaegig[[Um die Ausarbeitung nicht unnoetig aufzublaehen, wird daher an dieser Stelle auf den Wortlaut der genannten Vorschrift verwiesen. Ergaenzt sei allerdings, daa auch einem miabraeuchlichen Auskunftsbegehren, z. B. einem taeglich neu gestellten, nicht Folge geleistet werden muss.]], so dass es bei der Auskunftspflicht des DFN-Vereins bleibt. Das Recht auf Berichtigung, Loeschung und Sperrung von Daten regelt Par. 35 BDSG. Dabei sind gemaess Par. 35 Abs. 1 BDSG unrichtige personenbezogene Daten stets zu berichtigen. Diese Funktion dient schon dem Eigeninteresse des Betreibers der Directories; er wird einem Begehren dieser Art daher sicher gerne und bereits von sich aus nachkommen. Im uebrigen ist daran zu denken, die Betroffenen selbst zu einer Mitwirkung an der Aktualisierung ihrer eigenen Daten anzuhalten. Bezueglich Loeschung und Sperrung geht das Gesetz davon aus, dass grundsaetzlich die Loeschung vorgehen sollte und die Sperrung personenbezogener Daten nur in Ausnahmefaellen vorgenommen wird. Deshalb stellt Par. 35 Abs. 2 fest, dass nicht mehr benoetigte personenbezogene Daten zu loeschen sind (Par. 35 Abs. 2 Nr. 3 und 4 BDSG), daneben aber auch solche, die unzulaessigerweise gespeichert werden (Nr. 1 der genannten Vorschrift) und solche sensibler Art[[Vgl. die Aufzaehlung in Par. 35 Abs. 2 Nr. 2 BDSG.]], deren Richtigkeit von der speichernden Stelle nicht bewiesen werden kann. Darueberhinaus kann jederzeit eine Loeschung erfolgen, soweit nicht Faelle des Par. 35 Abs. 3 Nr. und 2 BDSG vorliegen. Es sind dies Faelle, in denen eine Loeschung gegen gesetzliche oder anderweitige Aufbewahrungspflichten verstossen wuerde oder in denen eine Loeschung moeglicherweise die schutzwuerdigen Interessen des Betroffenen selbst beeintraechtigen koennte, weswegen fuer diese Fallvarianten an die Stelle der Loeschung eine Sperrung der Daten tritt. Ergaenzt wird diese Auflistung der Sperrungsfaelle durch eine Art "Erleichterungsnorm" fuer die speichernde Stelle in Par. 35 Abs. 3 Nr. 3 BDSG. Der speichernden Stelle wird hierdurch erlaubt, statt der Loeschung eine Sperrung vorzunehmen, wenn durch die Art der Speicherung eine Loeschung nur mit unverhaeltnismaessig grossem Aufwand moeglich waere. Dies wird mit zunehmender Datenspeicherung auf irreversiblen optischen Datentraegern wie CD-ROM wachsende Bedeutung gewinnen[[Der ferner in Par. 35 Abs. 4 BDSG geregelte Sperrungsfall der bestrittenen und unbewiesenen Richtigkeit der gespeicherten Daten duerfte angesichts der Datenart und der Organisation von Zugriffsrechten der Betroffenen irrelevant sein.]]. Fuer die Verarbeitungsvorgaenge beim DFN-Verein duerfte aber unproblematisch der Schluss zulaessig sein, dass etwa Daten von ausgeschiedenen Mitarbeitern generell aus den Directories zu loeschen sind. Nachzutragen bleibt, dass neben den bereits in der Ueberschrift dieses Abschnitts genannten Rechten auch die Benachrichtigungspflicht zum Tragen kommen kann, die im bereits in anderem Zusammenhang kurz erwaehnten Par. 33 BDSG geregelt ist. Dessen Absatz 1 Satz 1 ist fuer den DFN-Verein grundsaetzlich von Bedeutung, denn bei der erstmaligen Speicherung personenbezogener Daten fuer eigene Zwecke ist hiernach der Betroffene von der Speicherung und der Art der Daten zu unterrichten. Zu beachten ist indes auch Par. 33 Abs. 2 Nr. 1 BDSG, wonach diese Benachrichtigungspflicht nicht besteht, "wenn der Betroffene auf andere Weise von der Speicherung ... Kenntnis erlangt hat". Diese Ausnahmeregelung sollte nicht in der Art ueberdehnt werden, dass man sich seitens des DFN-Vereins auf den Standpunkt stellt, wer Wissenschaftler sei, wisse auch, dass seine Daten in den fraglichen Directories gespeichert wuerden. Vielmehr sollte die Benachrichtigungspflicht Anlass bieten, die Betroffenen, etwa in Merkblaettern, die bei der Einstellung von den beteiligten Institutionen verwendet werden koennten, auf den Umstand der Speicherung ebenso hinzuweisen wie auf die bestehenden Schreibrechte der Betroffenen in den Verzeichnissen. Schon vor dem Hintergrund der oben unter 5.2 (2) behandelten Interessenabwaegung ist diese den Betroffenen positv verschaffte Kenntnis wichtig. (2) Behandlung weitergegebener Daten Weiter ist die Frage zu beantworten, welche Vorschriften zu beachten sind, wenn Daten innerhalb des Forschungsnetzes und der darin gefuehrten Verzeichnisse abgerufen (und dabei eventuell sogar dupliziert), also an Nutzer weitergegeben werden. Hier koennte zunaechst daran gedacht werden, die Vorschriften ueber die Datenuebermittlung einer naeheren Betrachtung zu unterziehen. Schliesst man sich indes der hier vertretenen Auffassung an, dass die Verarbeitungsvorgaenge nicht der einzelnen Institution, sondern dem DFN-Verein zu dienen bestimmt sind, so muss man zu dem Ergebnis kommen, dass es sich bei den Abrufen nicht um Uebermittlungen an "Dritte", sondern vielmehr um Datenbewegungen innerhalb ein und derselben Organisation handelt, fuer die deren angeschlossene Mitglieder quasi nur helfend taetig werden. Es erscheint daher angebrachter, im Verhaeltnis zwischen dem DFN- Verein und dessen Mitgliedern die Vorschriften ueber di Datenverarbeitung im Auftrag, Par. 11 BDSG, heranzuziehen. Dieser stellt in Absatz 1 zunaechst fest, dass in Auftragsverhaeltnissen der Auftraggeber der Hauptverantwortliche fuer die Einhaltung datenschutzrechtlicher Vorschriften ist. Der Betroffene hat seine Rechte diesem Auftraggeber gegenueber geltend zu machen. Weiter bestimmt Par. 11 Abs. 2 BDSG, dass der Auftragnehmer vom Auftraggeber sorgfaeltig auszuwaehlen ist. Die Auftragserteilung hat schriftlich zu erfolgen, wobei die Datenverarbeitung und -nutzung und technische und organisatorische Massnahmen ebenso in diesem Vertrag festzuhalten sind wie etwa bestehende Unterauftragsverhaeltnisse. Der DFN-Verein sollte daher eine Art "Mustervereinbarung" mit seinen Mitgliedern treffen, in der die genannten Kriterien enthalten sind. Dabei ist darauf zu achten, dass auch ein gewisses Weisungsrecht des DFN-Vereins hinsichtlich der stattfindenden Verarbeitung der personenbezogenen Daten in den Verzeichnissen in dieser Mustervereinbarung deutlich zum Ausdruck kommt; diese Notwendigkeit resultiert aus den Erfordernissen des Par. 11 Abs. 3 BDSG. Wenn auch oben gesagt wurde, dass der DFN-Verein der Hauptverantwortliche in diesem Auftragverhaeltnis ist, so bedeutet dies doch nicht, dass die uebrigen an dem Vorgang beteiligten Stellen keine datenschutzrechtlichen Pflichten haben. Gemaess Par. 11 Abs. 4 BDSG haben diese Stellen naemlich ihre Mitarbeiter auf das Datengeheimnis zu verpflichten (Par. 5 BDSG), technische und organisatorische Massnahmen zu treffen, um den Datenschutz zu gewaehrleisten (Par. 9 BDSG), ihrer Meldepflicht gegenueber der zustaendigen Aufsichtsbehoerde nachzukommen (Par. 32 BDSG)[[Dies gilt aber in Auftragsverhaeltnissen nur bei geschaeftsmaessiger Verarbeitung als Dienstleistungsunternehmen.]] und ab fuenf regelmaessig mit der Datenverarbeitung befassten Mitarbeitern einen Datenschutzbeauftragten zu bestellen (Par. 36 BDSG). Die Aufsichtsbehoerde ueberwacht auch beim Auftragnehmer die Einhaltung datenschutzrechtlicher Vorschriften (Par. 38 BDSG). 5.5 Datentransfer ins Ausland Die Nutzer des DFN- und anderer Forschungsnetze wollen natuerlich nicht nur landesweit sondern moeglichst global miteinander kommunizieren. Dabei ist es erforderlich, dass die jeweiligen Daten des Kommunikationspartners, der erreicht werden soll, aber unter Umstaenden auch groessere Teile des jeweils betroffenen inlaendischen Directory ins Ausland verbracht werden. In diesem Fall liegt eine "Uebermittlung" im Sinne des Datenschutzrechts vor. Nach Par. 3 Abs. 5 Nr. 3 BDSG versteht das Gesetz unter "Uebermitteln" das Bekanntgeben der personenbezogenen Daten an einen Empfaenger in der Weise, dass die Daten durch die speichernde Stelle an den Empfaenger weitergegeben werden (hier wird die speichernde Stelle aktiv), oder der Empfaenger von der speichernden Stelle zur Einsicht oder zum Abruf bereitgehaltene Daten einsieht oder abruft (hier wird der Daten-Empfaenger aktiv). Fuer diese Vorgaenge ist zu pruefen, unter welchen Voraussetzungen eine solche Uebermittlung zulaessig ist, insbesondere ob sie vom Gesetz auch ohne Einwilligung des Betroffenen fuer zulaessig erachtet wird. Ausgeklammert aus der Betrachtung bleibt an dieser Stelle die Frage, ob eine Auftragsdatenverarbeitung (etwa im Sinne des Par. 11 BDSG) ueber Grenzen hinweg zulaessig ist. Diese Frage stellt sich, wenn man den DFN-Verein als "speichernde Stelle" betrachtet und die Mitglieder des Vereins die personenbezogenen Daten der Nutzer in den von ihnen betriebenen Directories lediglich im Auftrag des Vereins verarbeiten. Geschaehe dies durch ein Directory im Ausland, so laege nach den oben in Abschnitt 5.1 (2) genannten Gruenden keine nach dem Gesetz erlaubte Auftragsdatenverarbeitung sondern eine Uebermittlung vor. (1) Beeintraechtigung schutzwuerdiger Belange Dreh- und Angelpunkt der Diskussion um die Zulaessigkeit der Uebermittlung personenbezogener Daten ins Ausland ist die Frage, ob durch diese "schutzwuerdige Belange" des Betroffenen beeintraechtigt werden. Die einschlaegigen Rechtsvorschriften fuer die datenschutzrechtliche Beurteilung dieser Frage ergeben sich aus dem dritten Abschnitt des BDSG, da die speichernde Stelle nach unseren obigen Ausfuehrungen [Abschnitt 5.1 (2)] der DFN-Verein und damit eine nicht-oeffentliche Stelle ist. Es kann dabei dahingestellt bleiben, welche der dabei gesetzlich vorgesehenen Varianten der Uebermittlung hier einschlaegig ist (Par. 28 Abs. 1, Par. 28 Abs. 2, Par. 29 BDSG). In jedem Fall (bis auf die Uebermittlung im Rahmen der Zweckbestimmung eines Vertragsverhaeltnisses oder vertragsaehnlichen Vertrauensverhaeltnisses nach Par. 28 Abs. 1 Nr. 1 BDSG) duerfen die erwaehnten schutzwuerdigen Belange des Betroffenen durch die Uebermittlung nicht beeintraechtigt werden. Was nun im Einzelnen darunter zu verstehen ist, bedarf zwar prinzipiell einer eingehenden Konkretisierung. Dabei kann an den Schutz der "engeren persoenlichen Lebenssphaere" ebenso gedacht werden wie an das, was das Bundesverfassungsgericht im sogenannten Volkszaehlungsurteil als das Recht des Einzelnen auf die Wahrung seines "informationellen Selbstbestimmungsrecht" bezeichnet hat[[BVerfGE 65, 1.]]. Im hier einschlaegigen Fall der Uebermittlung personenbezogener Daten ausserhalb eines Vertragsverhaeltnisses oder vertragsaehnlichen Vertrauensverhaeltnisses mit dem Empfaenger kommt es nach allgemeiner Ansicht allein darauf an, ob im Empfaengerland die dorthin uebermittelten Daten dem gleichen oder einem aehnlichen Rechtsschutz unterliegen, wie dies in der Bundesrepublik der Fall ist[[Vergl. dazu Ordemann/Schomerus, Bundesdatenschutzgesetze, Par. 25 Anm. 5.]]. Sollen die Daten in ein Land uebermittelt werden, das ueber keine eigene oder mit den hiesigen Standards vergleichbare Datenschutzgesetzgebung verfuegt, laesst sich nicht ausschliessen, dass dadurch schutzwuerdige Belange des Betroffenen beeintraechtigt werden. Eine datenschutzrechtlich korrekte Uebermittlung in solche Laender ist nach dieser wohl als herrschend zu bezeichnenden Meinung dann nur zulaessig, wenn der Betroffene zuvor (entweder schon bei der Einspeicherung seiner Daten ins Directory, spaetestens jedoch vor der ersten Uebermittlung) in die Weitergabe in derartige Laender einwilligt. Zwar wurde zeitweilig die Meinung vertreten, dass es trotz fehlendem oder geringerem Schutz der personenbezogenen Daten im Empfaengerland auch ohne Einwilligung des Betroffenen zulaessig sei, dorthin zu uebermitteln, wenn der Empfaenger der Daten sich zuvor vertraglich verpflichtet, die Daten im Ausland ebenso zu schuetzen, wie dies im Inland der Fall waere[[Ordemann/Schomerus, aaO., am Ende.]]. Diese Meinung wird jedoch insbesondere von den datenschutzrechtlichen Kontrollinstitutionen nicht geteilt und muss daher als ueberholt gelten (vergleiche auch die Stellungnahmen des Berliner Datenschutzbeauftragten vom 18. Juli 1990 und vom 21. Januar 1993, die im Anhang zu dieser Studie abgedruckt sind). Es bleibt daher dabei, dass immer dann, wenn eine Datenuebermittlung ins Ausland intendiert ist, im Einzelfall konkret geprueft werden muss, ob im Empfaengerland fuer personenbezogene Daten ein dem deutschen Datenschutzrecht vergleichbarer Rechtsschutz besteht (eine fuer ein weltweit agierendes Kommunikationssystem kaum praktikable Anforderung). Ist das nicht zu bejahen, darf eine Uebermittlung personenbezogener Daten (auch aus einem hier angesiedelten X.500- Directory) prinzipiell nur vorgenommen werden, wenn de Betroffene voher ausdruecklich in die Uebermittlung eingewilligt hat. (2) Uebermittlungssperren Als praktische Konsequenz aus den vorstehenden Ausfuehrungen ist daher festzuhalten, dass eine weltweite Verfuegbarkeit der Directory-Daten nur zulaessig ist, wenn der Betroffene im Hinblick auf die grenzueberschreitende Uebermittlung seine Einwilligung erteilt hat. Allerdings muss diese unseres Erachtens nicht von vornherein oder in schriftlicher Form erteilt werden. Es duerfte auch ausreichen, wenn, nach der Einspeicherung der Teilnehmerdaten in das Directory, diese fuer die Uebermittlung ins Ausland zunaechst gesperrt werden. Dem Teilnehmer kann dann aber die Moeglichkeit gegeben werden, seine Daten im Hinblick auf die Uebermittlung in einzelne oder alle auslaendischen Laender zu entsperren. Dies kann er auch selbst technisch im Directory vornehmen. Zu Beweis-Zwecken sollte aber unseres Erachtens der Entsperrungsvorgang selbst und wer ihn veranlasst hat (der Teilnehmer selbst oder der Daten-Administrator), protokolliert werden. Die Verfasser halten es fuer eine uebersteigerte Sicherheitsanforderung, wenn der Berliner Datenschutzbeauftragte in seiner Stellungnahme vom 18. Juli 1990 (zu Frage 4) verlangt, dass eine solche "elektronische" Einwilligung durch ein digitales Unterschriftsverfahren gesichert sein muesse. Die Systemsicherung durch eine Nutzerkennung und ein Passwort, wie sie heute praktiziert wird, duerfte vielmehr fuer die Abgabe einer solchen elektronischen Einwilligung in die Datenuebermittlung voellig ausreichend sein. (3) EG-Richtlinie zum Datenschutzrecht Das vorstehend eroerterte in praktischer Hinsicht nicht ganz einfach zu erfuellende Ergebnis (Einwilligungserfordernis fuer die Datenuebermittlung ins Ausland bei nichtadaequater Datenschutzsituation im Empfaengerland) bedarf im Hinblick auf den Bereich der Laender der europaeischen Gemeinschaft (EG) noch der Relativierung. Auch die Stellungnahme des Berliner Datenschutzbeauftragten vom 21. Januar 1993 (siehe Anhang) geht davon aus, dass die Regelungen des BDSG bereits jetzt vor dem Hintergrund des geaenderten Vorschlags der EG-Kommission fuer eine Richtlinie des Rates zum Schutz natuerlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr vom 15. Oktober 1992 auszulegen sind[[Abgedruckt in RDV 1993, S. 37 ff.; vergl. dazu auch den ersten grundsaetzlichen Entwurf fuer eine solche Datenschutzrichtlinie im ABl. EG C 277/3 vom 05. November 1990.]]. Es ist damit zu rechnen, dass diese geplante Richtlinie im Laufe des Jahres 1993 verabschiedet und zu einer Modifikation des deutschen Datenschutzrechts bis zum Jahre 1994 fuehren wird. Schon heute kann daher der Entwurf dieser Richtlinie zur Auslegung des derzeit gueltigen Datenschutzrechts herangezogen werden[[Zum Datenexport in Drittstaaten vergl. jetzt den Beitrag von R. Ellger, Datenexport in Drittstaaten, CR 1993, S. 2 ff.]]. Der Richtlinienvorschlag sieht in seinem jetzigen Artikel 7 vor, dass die Datenverarbeitung (zu der auch die Uebermittlung innerhalb der EG zaehlt) unter anderem zulaessig ist, wenn entweder die betroffene Person dazu ihre Einwilligung gegeben hat oder die Verarbeitung erforderlich ist fuer die Erfuellung eines mit der betroffenen Person geschlossenen Vertrags oder fuer die Durchfuehrung vorvertraglicher Massnahmen, die auf Antrag der betroffenen Person erfolgen. Die Uebermittlung personenbezogener Daten in ein Drittland soll entsprechend dem deutschen Vorbild ohne Einwilligung des Betroffenen nur zulaessig sein, wenn das Drittland ein angemessenes Schutzniveau gewaehrleistet (Art. 26 des EG- Entwurfs). Ist das nicht der Fall, kann nach Art. 26 und 27 de EG-Entwurfs die Uebermittlung personenbezogener Daten ausnahmsweise genehmigt werden, wenn die datenverarbeitende Stelle ausreichende Nachweise erbringt, dass insbesondere die tatsaechliche Wahrnehmung der Rechte des Betroffenen im Empfaengerland gewaehrleistet ist. Solche Nachweise koennen etwa in der Vereinbarung entsprechender vertraglicher Regelungen zwischen speichernder Stelle (hier DFN-Verein) und Empfaenger (hier auslaendischer Directory-Betreiber) gesehen werden. Nach dieser Vorschrift des EG-Entwurfs reicht also in den Faellen der Uebermittlung personenbezogener Daten in ein datenschutzloses Drittland nicht einmal die Einwilligung der betroffenen Person aus. Es muss die erwaehnte Genehmigung des Datentransfers hinzukommen. Zusammenfassend koennen die Konsequenzen aus der geplanten EG- Datenschutzrichtlinie wie folgt dargestellt werden: - Die Uebermittlung personenbezogener Daten in datenschutzlose Drittlaender wird durch das Erfordernis der erwaehnten Genehmigung durch das fuer die speichernde Stelle massgebliche EG-Land noch verschaerft. Tritt die Richtlinie in ihrer jetzigen Version in Kraft, ist dann wohl stets die Einwilligung des Betroffenen und die erwaehnte Genehmigung notwendig. - Innerhalb der EG duerfte, ebenso wie jetzt in der Bundesrepublik, das "Widerspruchsmodell" zur Anwendung kommen. Der Betroffene hat also die Moeglichkeit, der Uebermittlung seiner personenbezogenen Directory-Daten in ein anderes EG-Land zu widersprechen. Diese sind dann fuer die Uebermittlung zu sperren. Einer ausdruecklichen vorherigen Einwilligung durch den Betroffenen in die Uebermittlung bedarf es aber wohl nicht. - Sofern sich die Datenuebermittlung auf die Minimalangaben im Directory beschraenkt (Name, Telefonnummer, Mail-Adresse), greift fuer diese in Nicht-EG-Laender mit adaequatem Datenschutzniveau (die es aber bis auf die USA und Kanada zur Zeit kaum geben duerfte) wohl ebenfalls das Widerspruchsmodell ein. Die Uebermittlung weitergehender Directory-Daten ueber den Nutzer erfordern jedoch stets dessen vorherige Einwilligung. 5.6 Aufsicht Abschliessend sei noch kurz auf die Frage eingegangen, welche datenschutzrechtliche Aufsichtsinstitution fuer die ordnungsgemaesse Verarbeitung der personenbezogenen Daten in den DFN-Directories zustaendig ist und welche Meinung von dieser im Hinblick auf die hier einschlaegige Problematik erwartet werden kann. (1) Zustaendige Organe Da nach den vorstehenden Ausfuehrungen "speichernde Stelle" im Sinne des Gesetzes der DFN-Verein und damit eine nicht- oeffentliche Stelle ist, wird die datenschutzrechtliche Kontroll durch die sogenannte Aufsichtsbehoerde durchgefuehrt. Fuer das Land Berlin, in dem der DFN-Verein seinen Sitz hat, ist das gemaess Par. 33 des Berliner Datenschutzgesetzes die fuer den Datenschutz zustaendige Senatsverwaltung fuer Inneres, nicht der Berliner Landesdatenschutzbeauftragte. Die Stellen, die dann im Auftrag des DFN-Vereins die Verarbeitung der personenbezogenen Daten im jeweiligen Directory tatsaechlich technisch vornehmen (also etwa die einzelnen Universitaeten), haben dabei die Vorschriften der Par.Par. 5 (Datengeheimnis), 9 (Technische und organisatorische Massnahmen), 43 (Strafvorschriften) und 44 (Bussgeldvorschriften) zu beachten. Die Einhaltung dieser Vorschriften hat dann wiederum das fuer die jeweilige Stelle zustaendige Aufsichtsorgan zu ueberwachen. Betreibt also eine Landesuniversitaet das Directory, hat der Landesdatenschutzbeauftragte die Einhaltung der genannten Vorschriften der Par.Par. 5, 9, 43 und 44 BDSG zu ueberwachen; bei einer Bundeswehrhochschule waere dies der Bundesdatenschutzbeauftragte; letzteres gilt auch fuer die GMD mbH, da sie eine nicht-oeffentliche Stelle ist, bei der der oeffentlichen Hand die Mehrheit der Anteile gehoert. In jedem Fall gilt aber fuer den Auftragnehmer im Auftragsverhaeltnis nicht das jeweilige Landesdatenschutzgesetz. Es ist lediglich durch die nach Landesrecht zustaendige Instanz die Einhaltung der genannten Vorschriften des BDSG zu ueberpruefen. (2) Meinungsstand Obwohl nach den bisherigen Eroerterungen primaer die Regelungen des dritten Abschnitts des BDSG auf die Verarbeitung personenbezogener Daten in den X.500-Directories anwendbar sind und obwohl sich die Kontrolle insbesondere der Laenderdatenschutzbeauftragten nach unserer Auffassung mehr oder weniger nur auf die Einhaltung der technisch-organisatorischen Vorgaben des BDSG beziehen kann, haben wir uns bemueht, auch bei der Diskussion der materiell-rechtlichen Fragen die Meinung der Datenschutzbeauftragten mit zu beruecksichtigen. Diese hat sich insbesondere in den Stellungnahmen niedergeschlagen, die im Anhang zu der Expertise abgedruckt sind. Wir gehen daher davon aus, dass die hier niedergelegten und begruendeten Standpunkte, jedenfalls im Grundsatz, auch von diesen Behoerden akzeptiert werden. Da es jedoch fuer diesen Bereich keine langjaehrige einigermassen gleichmaessige Kontrollpraxis gibt, wird man letztlich nicht voellig vor "ueberraschenden" Argumenten des einen oder anderen Datenschutzbeauftragten sicher sein koennen. Dazu ist die Meinungsbildung und Rechtsentwicklung gerade beim Datenschutz noch zu sehr im Fluss. Dennoch meinen wir, dass die von uns erarbeiteten Ergebnisse zumindest als vorlaeufige rechtliche Grundlage fuer die Speicherung personenbezogener Daten in X.500-Directories tragfaehig sind. 6. Zusammenfassung Die wesentlichen Ergebnisse der vorliegenden Expertise koennen somit wie folgt zusammengefasst werden: (1) Die Einspeicherung und weitere Verarbeitung von Einzelangaben ueber natuerliche Personen in X.500-Directories ist ein datenschutzrechtlich relevanter Vorgang. (2) Auch ein in diesem Zusammenhang verwendetes "Minimalset" an Daten, das aus dem Namen, der Telefonnummer und der E-Mail- Adresse des Betroffenen besteht, erfuellt das Kriterium de "personenbezogenen Daten". (3) Als "speichernde Stelle" im Sinne des Par. 3 Abs. 8 BDSG ist innerhalb des Deutschen Forschungsnetzes der DFN-Verein anzusehen. Daher finden nur die Vorschriften des BDSG, nicht aber die Datenschutzgesetze der Bundeslaender Anwendung. (4) Die Sonderregelung des Par. 10 BDSG ueber automatisierte Abrufverfahren greift bezueglich der hier geplanten Datenverarbeitungsvorgaenge deshalb nicht ein, weil zwischen den an den Directories beteiligten inlaendischen Stellen keine echte "Uebermittlung" von Daten stattfindet, sondern vielmehr zwischen diesen eher ein Verhaeltnis besteht, auf das die Vorschriften ueber die Auftragsdatenverarbeitung anzuwenden sind. Dies gilt nicht fuer im Ausland gelegene Directories. (5) Die Verarbeitung der "Minimalsets" an Daten ist zur Erfuellung des Vereinszwecks des DFN-Vereins erforderlich. Ein ueberwiegendes entgegenstehendes Interesse der Betroffenen kann demgegenueber nicht angenommen werden. Eine Einwilligung der Betroffenen in die Verarbeitung der "Minimalsets" ist daher nicht erforderlich; vielmehr ist eine "Widerspruchsloesung" zur angemessenen Beruecksichtigung der Interessen der Betroffenen ausreichend. (6) Im Bereich der Personalaktendaten (zum Teil wird dieser Bereich erst in Zukunft gesetzlich geregelt) bestehende oder geplante Sonderregelungen lassen gleichfalls eine Loesung ueber die Widerspruchsmoeglichkeit der Betroffenen zu. Allerdings kann die zu diesem Ergebnis fuehrende Argumentation nicht als voellig gesichert gelten. (7) Das sogenannte Forschungsprivileg des Par. 40 BDSG greift im Falle des DFN-Vereins bzw. der Teilnehmerdaten in den Directories nicht ein. (8) Die Uebernahme personenbezogener Daten aus Publikationen wie etwa einem Personalverzeichnis einer Universitaet ist nur dann ohne weiteres zulaessig, wenn die einzuspeichernden Daten vollstaendig bereits in dieser Publikation enthalten sind. Dann koennen der Aufnahme dieser Angaben in das Directory kaum schutzwuerdige Belange des Betroffenen entgegenstehen. (9) Den Betroffenen stehen die Rechte auf Auskunft ueber die zu ihrer Person gespeicherten Daten, auf Berichtigung unrichtiger Daten, auf Loeschung nicht mehr benoetigter oder unzulaessig gespeicherter Daten und - wo letzteres nicht moeglich ist - auf Datensperrung zu. Daneben ist der Betroffene ueber die Tatsache der erstmaligen Einspeicherung seiner Daten zu unterrichten. Der DFN-Verein als speichernde Stelle ist Adressat dieser Ansprueche der Betroffenen. (10) Die bei den einzelnen DFN-Mitgliedern vorgenommenen Datenspeicherungen in den X.500-Directories sowie die Abrufe hieraus dienen letztlich dem Vereinszweck des DFN-Vereins. Im Verhaeltnis zwischen dem DFN-Verein und seinen Mitgliedern stellt die Weitergabe personenbezogener Daten daher keine "Uebermittlung" dar. Vielmehr sind die Vorschriften ueber die Auftragsdatenverarbeitung anzuwenden. Notwendig ist fuer dieses Verhaeltnis allerdings eine schriftliche Vereinbarung zwischen dem DFN-Verein und dem Directory-Betreiber, die die Datenverarbeitung und -nutzung festlegt und das hinsichtlich der Speicherung der fraglichen Daten in den X.500-Directories bestehende Weisungsrecht des DFN-Vereins gegenueber seinen Mitgliedern verdeutlicht. (11) Findet ein Datentransfer ins Ausland statt, so liegt stets eine Uebermittlung im Sinne des BDSG vor. Ob diese zulaessig ist, ist im Einzelfall zu pruefen. Kennt das betreffende Ausland keinen dem deutschen Datenschutzrecht vergleichbaren Rechtsschutz, so ist vor der Uebermittlung prinzipiell die Einwilligung des Betroffenen einzuholen. Die Verfasser halten eine Einwilligung in elektronischer Form fuer ausreichend. (12) Im Bereich der EG kann aber wohl schon jetzt eine Uebermittlung von Nutzerdaten als ohne Einwilligung fuer zulaessig erachtet werden, wenn sich diese auf den Minimalset beschraenkt. Eine weitergehende Uebermittlung oder eine Uebermittlung in Laender ohne adaequates Datenschutzrecht bedarf jedoch der ausdruecklichen Einwilligung des Betroffenen.