Jusletter IT

Die Verordnung¹ zur Europäischen Bürgerinitiative regelt deren Ablauf² . Nachstehend sind die wichtigsten Inhalte aufgelistet, die für die Organisatoren aus unserer Sicht³ von Bedeutung sind:

• Art. 2 (3): „ „Organisatoren“ natürliche Personen, die einen Bürgerausschuss bilden, der für die Vorbereitung einer Bürgerinitiative sowie ihre Einreichung bei der Kommission verantwortlich ist.“. Dies schließt offensichtlich jegliche juristische Person als Organisator aus.
• Art. 3 (2): „Die Organisatoren bilden einen Bürgerausschuss, dem mindestens sieben Personen angehören, die Einwohner von mindestens sieben verschiedenen Mitgliedstaaten sind. Die Organisatoren benennen einen Vertreter und einen Stellvertreter (nachstehend „Kontaktpersonen“ genannt)4, die während der gesamten Dauer des Verfahrens als Bindeglied zwischen dem Bürgerausschuss und den Organen der Union dienen und beauftragt werden, im Namen des Bürgerausschusses zu sprechen und zu handeln.“
• Art. 5 (1): „Die Organisatoren sind verantwortlich für die Sammlung der Unterstützungsbekundungen von Unterzeichnern einer geplanten Bürgerinitiative […]“
• Art. 12 (1): „Bei der Verarbeitung personenbezogener Daten in Anwendung dieser Verordnung haben die Organisatoren einer Bürgerinitiative und die zuständigen Behörden des Mitgliedstaats die Richtlinie 95/46/EG und die auf ihrer Grundlage erlassenen einzelstaatlichen Vorschriften einzuhalten.“
• Art. 12 (2): „Für die Zwecke der Verarbeitung personenbezogener Daten gelten die Organisatoren einer Bürgerinitiative und die gemäß Art. 15 Absatz 2 benannten zuständigen Behörden als für die Verarbeitung personenbezogener Daten Verantwortliche gemäß Art. 2 Buchstabe d der Richtlinie 95/46/EG.“
• Art. 13: „Die Organisatoren haften entsprechend dem geltenden einzelstaatlichen Recht für alle Schäden, die sie bei der Organisation einer Bürgerinitiative verursachen.“
• Art. 14 (1): „Die Mitgliedstaaten stellen sicher, dass gegen Organisatoren geeignete Sanktionen für Verstöße gegen diese Verordnung verhängt werden, insbesondere für: a) falsche Erklärungen der Organisatoren, b) Datenmissbrauch.“
• Art. 14 (2): „Die in Absatz 1 genannten Sanktionen müssen wirksam, verhältnismäßig und abschreckend sein.“

 

 

Die Verordnung enthält keinerlei Bestimmungen über das Verhältnis der Organisatoren zueinander oder eine Beschränkung ihrer Haftung. Daraus leiten wir folgende Fragenkomplexe ab:

1. Wie sieht die Haftung der Organisatoren5 aus?
2. Wie stellt sich das Verhältnis zwischen den Organisatoren und denjenigen dar, derer sie sich zur Sammlung von Unterstützungsbekundungen bedienen?
3. Was sind die Pflichten der Organisatoren gemäß Richtlinie 95/46/EG und was bedeutet das für den einzelnen Organisator?
    

 

 

Die Verordnung enthält keinerlei Regelungen zum Innenverhältnis der Mitglieder des „Bürgerausschusses“ (Art. 3 Abs. 3 der Verordnung) und eine einzige Regelung zur Vertretung nach außen. Diese Regelung hierzu ist die Bestimmung, die auf die Vertretung ggü. Organen der Europäischen Kommission Bezug hat. Die Träger von Rechten und Pflichten sind sonst stets die Organisatoren.

Es wird wohl von der Gegebenheit einer Solidarhaftung dieses Personenkreises auszugehen sein. Den Mitgliedstaaten scheint es dabei weitestgehend verwehrt zu sein, innerstaatliche Regelungen zu schaffen, die im Widerspruch zu dieser Maxime stehen oder die das Innenverhältnis näher regeln.

Analytisch betrachtet muss jeder Organisator dreierlei Typen von Sanktionen gewärtigen, wenn er – immer mit Bezug auf einen bestimmten Mitgliedstaat – gegen die Verordnung verstößt. Klar ist dabei, dass – zumindest – die ersten beiden Typen von Sanktionen von Mitgliedstaat zu Mitgliedstaat höchst unterschiedlich ausgestaltet sein werden. Die möglichen Typen von Sanktionen sind

• Nicht-Tätigwerden einer Behörde;
• Strafsanktionen gegen Organisatoren;
• Zivilrechtliche Belangung von Organisatoren.

Nach dem geplanten österreichischen Bundesgesetz⁶ , mit dem die EBI in die österreichische Rechtsordnung implementiert wird, wird die zuständige Behörde bestimmte Rechtshandlungen verweigern, wenn bestimmte geforderte Handlungen getätigt oder unterlassen worden sind. Es ist dann Sache der Organisatoren, sich an den Verfassungsgerichtshof zu wenden und das Verhalten der Behörde zu bekämpfen. Unbefriedigend hierbei ist für die Organisatoren, dass für den Fall, dass sie Recht bekommen, in vielen Fällen alle Fristen für die rechtzeitige Einreichung der EBI bei der Kommission schon längst verstrichen sein werden und die Verordnung keine Bestimmungen enthält, wie in solchen Fällen verfahren werden soll. Hier kann es um den Erfolg der EBI gehen, z.B. um die Erreichung der Mindestunterstützung in einem von neun notwendigen Mitgliedstaaten.

Organisatoren werden in allen Mitgliedstaaten mit Strafsanktionen für Fehlverhalten bedroht. Die Verpflichtungen, die die Verordnung den Mitgliedstaaten mit Art. 14 hierzu auferlegt, müssen als extrem knapp bemessen betrachtet werden. Den Mitgliedstaaten bleibt es aber unbenommen, mehr Tatbestände unter Strafe zu stellen. Nach der Verordnung müssen Verstöße lediglich dann geahndet werden, wenn diesen falsche Erklärungen der Organisatoren oder ein Datenmissbrauch zugrunde liegt. Bemerkenswert ist hierbei, dass z.B. der Kauf von Unterstützungsbekundungen durch Organisatoren nicht notwendigerweise unter Strafe gestellt werden muss. Ebenso bemerkenswert ist, dass es völlig unklar ist, um welche Erklärungen es sich handelt, auf die in Art. 14 der Verordnung Bezug genommen wird, ist doch im gesamten Text der Verordnung an keiner Stelle sonst von „Erklärungen“ die Rede. In Österreich sollen jene falschen Angaben, die ein Organisator auf einem der im Anhang zur Verordnung wiedergegeben Formulare macht, mit einem so genannten Verwaltungsstraftatbestand geahndet werden, wenn keine gerichtlich strafbare Handlung (z.B. Täuschung) vorliegt. Damit ist klar gestellt, dass solche Verstöße nach österreichischem Recht nur dann sanktionierbar sind, wenn sie im Inland begangen werden. Bei außerhalb des Bundesgebietes begangenen Verstößen gegen die Verordnung erscheint eine Verfolgbarkeit im Bundesgebiet mehr als fraglich⁷ . Generell sollen in Österreich strafbare Handlungen im Zusammenhang mit der Europäischen Bürgerinitiative jenen strafbaren Handlungen gleichgestellt werden, die bei einem innerstaatlichen Volksbegehren begangen werden könnten. „Datenmissbrauch“ sollte in Österreich mit geltenden Strafnormen, insbesondere aufgrund des DSG 2000, geahndet werden.

„Die Organisatoren haften entsprechend dem geltenden einzelstaatlichen Recht für alle Schäden, die sie bei der Organisation einer Bürgerinitiative verursachen.“ – Art. 13 der Verordnung ist die einzige Rechtsgrundlage für zivilrechtliche Sanktionen bei Verstößen von Organisatoren gegen die Verordnung. Mitgliedstaaten werden gut beraten sein, Haftungen des Staates aufgrund von Sachverhalten im Zusammenhang mit der Sammlung von Online-Unterstützungsbekundungen auszuschließen. Sonst könnte die für den Organisator erfolgreiche Zertifizierung „seines“ Online-Sammelsystems möglicherweise eine Haftung des zertifizierenden Mitgliedstaates begründen. Mangels Judikatur auf EU-Ebene muss abgewartet werden, ob diese – an sich plausible – Rechtsansicht von den gegebenenfalls angerufenen Gerichten geteilt wird.

Wie schon erwähnt, enthält Art. 13 der Verordnung keine Regelung hinsichtlich des zivilrechtlichen Zugriffs auf einen bestimmten Organisator. Dies kann in jeglicher Richtung problematisch sein. Geht man – mit der gegebenen Rechtsgrundlage wohl unwiderlegbar – von einer Solidarhaftung aus, so könnte einerseits ein Organisator belangt werden, obwohl er mit dem entstandenen Schaden nicht in kausalem Zusammenhang steht, andererseits könnte sich ein Organisator mangels Zugriffsmöglichkeit (z.B. weil er weder im Inland, noch sonst wo in der EU einen Wohnsitz hat) einer zivilrechtlichen Verantwortung entziehen. Daran ändert auch die Existenz der Verordnung (EG) Nr. 44/2001 nichts, wird doch ohne Wohnsitz oder zivilrechtlichem Anknüpfungspunkt innerhalb der Union eine Klage gegen einer Person in der Praxis oft ins Leere gehen. Man muss sich auch im Klaren sein, dass sich im Fall einer zivilrechtlichen Klage z.B. wegen eines Datendiebstahls durch einen „Hack“ (also ohne dem erwiesenen Vorliegen eines vorsätzlich begangenen Datenmissbrauchs) Schadenersatzansprüche in nennenswerter Höhe entstehen könnten. Dies bedeutet, dass ein Organisator mit seiner Mitwirkung an einer EBI ein nicht unbeträchtliches Risiko eingeht, vor allem deshalb, weil ein zivilrechtlicher Zugriff auf ihn möglich erscheint, auch wenn er mit der – dem Datendiebstahl allenfalls zugrundeliegenden – fahrlässigen Handlung nicht im Zusammenhang steht.

Für die aufgrund der Verordnung vorgesehene Evaluierung scheint eine Präzisierung der Haftungsfrage in Art. 13 u.U. angezeigt. Diese könnte so ausgestaltet sein, dass entweder in verstärktem Maß auf die „Kontaktperson“ abgestellt wird, oder – wahrscheinlich zweckmäßiger – die Haftung auf jenen Organisator eingeschränkt, dem eine gewisse Handlung zugerechnet werden kann. Auch der Ausschluss einer zivilrechtlichen Haftung für Datenmissbrauch – außer bei Vorliegen grober Fahrlässigkeit – könnte angedacht werden. Ein solcher Ausschluss, der möglicherweise einer Änderung der Datenschutzrichtlinie bedarf, könnte damit gerechtfertigt bzw. begründet werden, dass ein Unterstützungswilliger gegebenenfalls zu Kenntnis zu nehmen hat, dass für Schäden, die ihm durch die missbräuchliche Verwendung seiner Daten erwachsen, der Organisator – außer bei grober Fahrlässigkeit – nicht haften muss.

Nicht geregelt und – auf einfache Weise – auch nicht regelbar ist der Umstand, dass in Österreich Organisatoren tätig werden können, die mangels Vollendung des 18. Lebensjahres zivilrechtlich nicht voll geschäftsfähig sind. Der Wortlaut der Verordnung hätte es nicht zugelassen, dass man in Österreich zwar mit Vollendung des 16. Lebensjahres eine Europäische Bürgerinitiative unterstützen darf, nicht jedoch als Organisator tätig werden darf. Somit hätte Österreich allenfalls das Zivilrecht dahingehend anpassen müssen, dass ein Organisator gegebenenfalls in Angelegenheiten von Europäischen Bürgerinitiativen schon im Alter von 16 Jahren voll geschäftsfähig ist. Eine solche Lösung hätte aber einen einzigartigen Präzedenzfall im Zivilrecht dargestellt, dass der Gesetzgeber diese Regelungslücke mit Blick auf die geringe Wahrscheinlichkeit, dass ein solcher Fall sich tatsächlich zuträgt, wohl bewusst in Kauf genommen hat.

Die Datenschutzrichtlinie ist im Gegensatz zur Verordnung über die Bürgerinitiative eine Richtlinie, d.h. sie bedurfte der innerstaatlichen Umsetzung⁸ . Da eine detaillierte Analyse der 27 Umsetzungen durch die Mitgliedstaaten den Rahmen dieses Beitrages sprengen würde, konzentrieren wir uns hier auf die wesentlichen Aspekte und Rechtsfragen.

Zuerst stellt sich die Frage, wer denn nur verantwortlich im Sinne der Richtlinie ist. Der in der Verordnung über die Europäische Bürgerinitiative referenzierte Art. 2 (d) der Richtlinie lautet im Original „„für die Verarbeitung Verantwortlicher“ die natürliche oder juristische Person, Behörde, Einrichtung oder jede andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Sind die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten in einzelstaatlichen oder gemeinschaftlichen Rechts- und Verwaltungsvorschriften festgelegt, so können der für die Verarbeitung Verantwortliche bzw. die spezifischen Kriterien für seine Benennung durch einzelstaatliche oder gemeinschaftliche Rechtsvorschriften bestimmt werden;“ (unsere Hervorhebung).

Dies bedeutet, dass wir für die weitere Betrachtung der Bestimmungen der Datenschutzrichtlinie in der österreichischen Rechtsterminologie eine unbeschränkte und solidarische Haftung aller Organisatoren annehmen.

Besonderes ergibt sich u.E. aus dem Art. 12, dem Auskunftsrecht jeder betroffenen Person. Diese Bestimmung ist so zu interpretieren, dass

• jeder EU-Bürger, der eine EBI unterstützen könnte, frei und ungehindert
• ohne unzumutbare Verzögerung
• ohne übermäßige Kosten (in einigen Mitgliedstaaten gratis)9
• eine Mitteilung in verständlicher Form darüber erhält, ob und was die Organisatoren und die prüfenden Behörden über ihn / sie gespeichert haben und verarbeiten.

 

 

Eine derartige Bestimmung macht zwar an sich Sinn, bei der Organisation einer EBI mit über 500 Millionen potenzieller betroffener Personen ist es jedenfalls mit einem erheblichen Aufwand verbunden, dieses Recht zu gewährleisten. Bemerkenswert ist in diesem Zusammenhang die im Anhang III A bzw. B der EBI-Verordnung bereits auf den Unterstützungsbekundungs-Formularen enthaltene Formulierung „Die betroffenen Personen haben das Recht auf Zugang zu ihren personenbezogenen Daten.“. Hierbei ist zu beachten, dass sich das Auskunftsrecht nicht nur auf die online gesammelten Datenbestände, sondern auch auf die in Papierform gesammelten Bestände¹⁰ erstreckt. Auch der 27. Erwägungsgrund der Richtlinie formuliert hier sehr eindeutig: „Datenschutz muß sowohl für automatisierte als auch für nicht automatisierte Verarbeitungen gelten. In der Tat darf der Schutz nicht von den verwendeten Techniken abhängen, da andernfalls ernsthafte Risiken der Umgehung entstehen würden.“.

Den sich aus Art. 12, Ziffer B ergebenden Aufwand für eine Löschung bzw. Berichtigung der Daten, wenn der Beschwerdeführer behauptet, die ggstdl. EBI nicht unterstützt zu haben, müssen ebenfalls die Organisatoren leisten. Aus Sicht der Organisatoren ist es jedenfalls unmöglich, die Behauptung des Betroffenen, er hätte die EBI gar nicht unterstützt, zu widerlegen. Je nach Unterstützungsmedium sind folgende Fälle zu unterscheiden:

1. Unterstützung in Papierform: Der Beweis, dass eine Unterschrift auf einer Unterstützungsbekundung vom Betroffenen stammt (der dies bestreitet) ist teuer und aufwändig11, faktisch jedenfalls nur im Einzelfall zu leisten.
2. Unterstützung in elektronischer Form ohne fortgeschrittene elektronische Signatur: Hier ist der Beweis12, dass der Betroffene doch eine Unterstützungserklärung abgegeben hat, faktisch nicht führbar.
3. Unterstützung in elektronischer Form mit fortgeschrittener elektronischer Signatur: Dies ist faktisch der einzige Weg, auf dem der Organisator einer EBI tatsächlich zu vertretbaren Kosten die Behauptung des Betroffenen, die EBI gar nicht unterstützt zu haben, widerlegen kann. Infolge der vernachlässigbar geringen Verbreitung13 der fortgeschrittenen elektronischen Signatur ist dieser Unterstützungsweg vermutlich in der Praxis der EBI irrelevant.

 

 

Faktisch bedeutet das für die Organisatoren, dass jeder Unterstützer im Wege der Behauptung, er habe das EBI gar nicht unterstützt, die Möglichkeit hat, seine Unterstützung¹⁴ zurückzuziehen. Zieht man in Betracht, dass die Person einen Nachweis der Nämlichkeit erbringen sollte etc. so bedeutet das bei auch einer vergleichbar geringen Zahl von Anfragen einen administrativen Aufwand, der für eine „echte Bürgerinitiative“ ohne stehende Organisation nicht leistbar erscheint. Diese Auskunfts- und Berichtigungsrechte stehen notabene jedem EU-Bürger aus jedem der 27 Mitgliedstaaten und in 23 Sprachen zu, unabhängig davon, ob die EBI im jeweiligen Land / Sprachraum überhaupt aktiv gesammelt hat – er könnte ja in einem anderen Mitgliedstaat unterstützt haben.

 

Art. 18 f. regelt die Verpflichtungen der Organisatoren, die Verarbeitung bei den Kontrollstellen nach Art. 28 zu melden. Die Kontrollstellen sind für die Umsetzung der Richtlinie innerhalb des Hoheitsgebietes des jeweiligen Mitgliedstaates verantwortlich. Die Zusammenarbeit, das Zusammenwirken der Kontrollstellen ist im Art. 28 (6) vergleichsweise wenig konkret geregelt. Aus Sicht der Organisatoren sind folgende Fragestellungen in diesem Zusammenhang von Interesse:

1. Welche Kontrollstelle (i.e. Mitgliedstaat) ist für die Meldung der richtige Adressat?
2. Befreit die Meldung bei z.B. der Kontrollstelle von Belgien (System in Belgien zertifiziert) von allen weiteren Meldepflichten ggü. den 26 anderen Kontrollstellen?
3. Bedeutet dies eine automatische alleinige Zuständigkeit der belgischen Kontrollstelle für die gesamte EBI?

Vorbehaltlich einer tiefergehenden Prüfung halten wir fest, dass die Datenschutzrichtlinie aus dem Jahr 1995 stammt und ihre letzte Änderung aus dem Jahr 2003. Dass dies die Realität verteilter Verarbeitungen in einer webbasierten Umgebung nicht perfekt abbildet, ist naheliegend. Der 18. Erwägungsgrund der Richtlinie lautet im Original „Um zu vermeiden, dass einer Person der gemäß dieser Richtlinie gewährleistete Schutz vorenthalten wird, müssen auf jede in der Gemeinschaft erfolgte Verarbeitung personenbezogener Daten die Rechtsvorschriften eines Mitgliedstaats angewandt werden. Es ist angebracht, auf die Verarbeitung, die von einer Person, die dem in dem Mitgliedstaat niedergelassenen für die Verarbeitung Verantwortlichen unterstellt ist, vorgenommen werden, die Rechtsvorschriften dieses Staates anzuwenden.“.

Dies spiegelt eine IT-Sicht wieder, die im Jahr 1995 gang und gäbe war. Eine Transaktion über das Internet, bei der im konkreten, aber erfundenen Fall der Server für www.ebi-gegen-sommerzeit.eu in Malta steht, Load Balancing Server in Belgien und Dänemark, die Datenbank in Irland und die Sicherung in Zypern, einer solchen Realität wird diese Richtlinie nicht gerecht. Das wäre an sich nicht das Problem, wie der 19. Erwägungsgrund vorsähe, der lautet „Wenn der Verantwortliche im Hoheitsgebiet mehrerer Mitgliedstaaten niedergelassen ist, insbesondere mit einer Filiale, muß er vor allem zu Vermeidung von Umgehungen sicherstellen, daß jede dieser Niederlassungen die Verpflichtungen einhält, die im jeweiligen einzelstaatlichen Recht vorgesehen sind, das auf ihre jeweiligen Tätigkeiten anwendbar ist.“. Das Problem ist nur, dass in unseren Tagen – Stichwort Cloud Computing – im Einzelfall nur mühsam festgestellt werden kann, welche „Hoheitsgebiete“ vom Daten- und Transaktionsstrom im Einzelfall gerade berührt bzw. durchquert wurden.

Art. 23 regelt die Haftung der für die Verarbeitung Verantwortlichen – in diesem Fall der Organisatoren. Art. 23 (1) lautet „Die Mitgliedstaaten sehen vor, daß jede Person, der wegen einer rechtswidrigen Verarbeitung oder jeder anderen mit den einzelstaatlichen Vorschriften zur Umsetzung dieser Richtlinie nicht zu vereinbarenden Handlung ein Schaden entsteht, das Recht hat, von dem für die Verarbeitung Verantwortlichen Schadenersatz zu verlangen.“. Art. 23 (2) statuiert eine Beweislastumkehr durch „Der für die Verarbeitung Verantwortliche kann teilweise oder vollständig von seiner Haftung befreit werden, wenn er nachweist, dass der Umstand, durch den der Schaden eingetreten ist, ihm nicht zur Last gelegt werden kann.“.

Das heißt, dass Schadenersatzansprüche vor den Gerichten von bis zu 27 Mitgliedstaaten geltend gemacht werden können. Dies stellt aus unserer Sicht ein nicht unerhebliches Risiko für die Organisatoren dar, bei denen es sich um natürliche Personen mit im Vergleich zu z.B. Parteien, Firmen etc. meist geringerem Vermögen handelt. In diesem Lichte kann Organisatoren nur empfohlen werden, für sich aus der Datenschutzrichtlinie ergebende Rechtsstreitigkeiten in bis zu 27 Staaten gerüstet zu sein, sei es durch eine entsprechende Organisation eigener Rechtsexperten oder durch entsprechende Versicherungen¹⁵ bzw. eine entsprechende Organisation¹⁶ im Zugriff.

Die Regelung des Art. 13 der Verordnung zieht nach sich, dass das Risiko für einen Organisator als sehr hoch zu bewerten ist, mit Organisatoren aus anderen Mitgliedstaaten eine Europäische Bürgerinitiative voranzutreiben. Auf der anderen Seite stellt es ein hohes Risiko dar, sich auf eine Zusammenarbeit mit Organisatoren aus anderen Mitgliedstaaten einzulassen, wenn diesen nicht zu hundert Prozent vertraut werden kann. Daraus resultiert schon wieder die nächste Frage, nämlich, ob es zulässig ist und ob es nicht für Organisatoren ein Muss ist, das „Innenverhältnis“ vertraglich abzusichern, allenfalls – so sich eine einschlägige Anstalt findet – auch mit einer auf Art. 13 der Verordnung zugeschnittenen Haftpflicht-Versicherung. Zusammenfassend kann gesagt werden, dass

1. Die Beziehung der Organisatoren untereinander und im Außenverhältnis durch die Verordnung und die vorliegende Umsetzungsgesetzgebung im deutschsprachigen Raum nicht bestimmt ist und durch die Rechtsprechung ggf. zu präzisieren sein wird;
2. Die sich bei der Organisation einer EBI ergebenden Risiken durch das Zusammenwirken von 27 verschiedenen Rechtsordnungen und 23 Sprachen hoch sind und durch die Verordnung nicht reduziert wurden, sondern im Gegenteil hier die Risiken erhöht werden;
3. Das Auskunftsrecht nach Art. 12 Datenschutzrichtlinie stellt erhebliche organisatorisch-logistische Anforderungen an die Organisatoren und gibt faktisch jedem die Möglichkeit, eine bereits geleistete Unterstützungsbekundung wirksam zurückzuziehen. Zudem eröffnet es effektive Möglichkeiten der Obstruktion gegen Organisatoren und Behörden;
4. Viele für potenzielle Organisatoren unmittelbar relevante Fragen durch die vorliegenden Rechtsnormen nicht geklärt sind.

Es ist zu hoffen, dass die gem. Art. 3 einzurichtende Kontaktstelle der Europäischen Kommission hier, wie in Art. 3 vorgesehen, „Informationen und Hilfe“ anbietet.