OVG Hamburg Urteil vom 07.07.2005 - 1 Bf 172/03 - Kein Anodnungsrecht der Datenschutzbehörde gegenüber Privaten
 

E-Commerce- und Webshoprecht


 

Home  |   Verkehrslexikon  |   Datenschutz  |   Impressum  |      

 





 



OVG Hamburg v. 07.07.2005: Kein Anodnungsrecht der Datenschutzbehörde gegenüber Privaten


Das OVG Hamburg (Urteil vom 07.07.2005 - 1 Bf 172/03) hat entschieden:
§ 38 Abs 5 BDSG (BDSG 1990) erlaubt es dem Datenschutzbeauftragten in seiner Eigenschaft als Aufsichtsbehörde nicht, gegenüber Privaten Anordnungen mit dem Ziel zu treffen, die Rechtmäßigkeit einer Datenerhebung sicherzustellen, die nicht im Wege der automatisierten Datenverarbeitung erfolgt. Er kann einer Detektei keine Dokumentationspflicht auferlegen, um zu verhindern, dass deren Mitarbeiter fernmündlich über die Mitarbeiter der Sozialleistungsträger geschützte Sozialdaten ausspionieren.





Siehe auch Datenschutz


Tatbestand:

Die Klägerin betreibt ein Detektivbüro mit acht Ermittlern und zwei Schreibkräften. Sie wendet sich gegen eine Anordnung des Hamburgischen Datenschutzbeauftragten, mit dem dieser sie verpflichtete, Herkunft und Beschaffungsart personenbezogener Daten im Rahmen von Ermittlungen in oder aus Dateien lückenlos zu dokumentieren.

Nach einer Überprüfung durch den Hamburgischen Datenschutzbeauftragten im Jahr 1988 teilte die Klägerin ihren Kunden 1989 mit, dass sie aus Gründen des Datenschutzes künftig ihre Kundenanfragen und Ermittlungsberichte nach Auftragsabschluss vernichten werde. 1992 stellte der Beklagte anlässlich einer Überprüfung fest, dass die auf Personalcomputern geschriebenen Ermittlungsberichte überschrieben würden und nur nach den Namen der Auftraggeber automatisiert ausgewertet werden könnten. Die alphabetisch nach den Namen der Auftraggeber geordneten und in Ordnern abgelegten Berichtskopien stellten nach der damaligen Einschätzung der Beklagten keine nicht automatisierte Datei dar.

1997 wandte sich die Beklagte an die Staatsanwaltschaft bei dem Landgericht Hamburg, da ihr mehre Eingaben vorlagen, nach denen die Klägerin ihren Kunden u.a. die Stammnummern von Zielpersonen bei den Arbeitsämtern München, Krefeld und Oldenburg übermittelt haben soll. Ferner beschwerte sich die Landesversicherungsanstalt Rheinland-​Pfalz darüber, dass am 30. September 1997 von einem Telephonapparat der Klägerin aus versucht worden sei, Sozialdaten auszuspionieren und dabei die Anruferin fälschlich behauptet habe, sie sei Mitarbeiterin in einem Sozialamt. Das deswegen eingeleitete staatsanwaltliche Ermittlungsverfahren ist eingestellt worden. Es konnte nicht ermittelt werden, wer von den Mitarbeiterinnen der Klägerin den Anruf getätigt hatte.

Mit Bescheid vom 3. Dezember 1998 ordnete die Beklagte gemäß § 38 Abs. 5 Satz 1 BDSG i.V.m. Nr. 10 der Anlage zu § 9 Satz 1 BDSG an, die notwendigen Maßnahmen zu treffen, die die lückenlose Dokumentation der Herkunft und Beschaffungsart von personenbezogenen Daten im Rahmen von Ermittlungen in oder aus Dateien durch einen konkret benannten Mitarbeiter gewährleisten und die Dokumentationen für einen Zeitraum von einem Jahr nach Beendigung des Ermittlungsauftrages aufzubewahren. Aus der Dokumentation müsse ersichtlich sein, welche Mitarbeiter welche personenbezogenen Daten wann und von wem erhoben hätten und welchen Geschäftsvorgängen der Detektei diese Datenerhebungen zuzuordnen seien.

Die Klägerin legte Widerspruch ein. Sie habe zu den Vorwürfen nicht substantiiert Stellung nehmen können. Die gerügte Anordnung sei zu unbestimmt gefasst. Insbesondere sei nicht ersichtlich, was mit Ermittlungen in oder aus Dateien gemeint sei. In ihrer Branche sei es üblich, Rechercheure und Informationsquellen nicht zu dokumentieren. Darin liege kein organisatorischer Mangel. Auch lasse sich aus den möglicherweise vorliegenden Beschwerden betroffener Zielpersonen noch nicht auf einen Missbrauch durch ihre Mitarbeiter schließen. Hinsichtlich der Beschwerde der Landesversicherungsanstalt Rheinland-​Pfalz werde bezweifelt, dass die Telekom ihre – der Klägerin – Telephonnummer hätte mitteilen dürfen. Eine unrechtmäßige Erlangung der Verbindungsdaten führe zu einem Verwertungsverbot. § 9 BDSG rechtfertige die Anordnung nicht, da diese Vorschrift lediglich die Datenverarbeitung aber noch nicht die Datenerhebung regele. Auch sei die Anordnung nicht geeignet, die Rechtmäßigkeit der Datenerhebung sicherzustellen. Jedenfalls greife die Beklagte in ermessensfehlerhafter Weise zu tief in ihre Rechte ein. Bei einer Preisgestaltung von DM 65 je Auftrag könne sie die verlangte Dokumentation nicht leisten; auch sei sie darauf angewiesen, dass sich ihre Informanten vertrauensvoll an sie wenden könnten ohne befürchten zu müssen, dass ihre Daten noch ein Jahr lang in der Detektei vorgehalten würden. Es sei Sache der Rentenversicherungsträger, ihre Daten besser zu schützen. Schließlich verletze die Beklagte den Gleichbehandlungsgrundsatz, da sie an andere Detekteien keine derart strengen Anforderungen stelle.

Mit Bescheid vom 7. Juni 1999 wies die Beklagte den Widerspruch zurück: Sie könne ihre Anordnung auf § 38 Abs. 5 Satz 1 BDSG stützen. Die Regelung sei gemäß § 27 Abs. 1 Nr. 1 BDSG anwendbar, da die Klägerin geschäftsmäßig personenbezogene Daten in oder aus Dateien nutze. Sie speichere die von ihren Mitarbeitern recherchierten Informationen automatisiert. An ihrer – der Beklagten - gegenteiligen Einschätzung aus dem Jahre 1992 halte sie angesichts des gegenwärtigen Entwicklungsstandes der automatisierten Datenverarbeitung nicht fest. Es genüge, dass bei Bürokommunikations- und Textverarbeitungssystemen die automatisiert verarbeiteten Berichtskopien mit geringem Aufwand einer zusätzlichen automatisierten Auswertung z.B. nach den Merkmalen Name und Sozialleistungen zugeführt werden könnten. Im übrigen seien die von der Klägerin ermittelten Sozialdaten offensichtlich automatisierten Dateien der Sozialleistungsträger entnommen. Bei der Klägerin lägen auch organisatorische Mängel vor. Sie begünstige rechtswidrige Vorgänge bei der Datenerhebung, weil sie betriebliche Maßnahmen unterlasse, mit deren Hilfe überprüft werden könne, wer welche Daten wann von wem ermittelt und in die Datenverarbeitungsanlagen eingegeben habe. Die Verarbeitung geschützter Sozialdaten in den Berichten lasse auf eine unzulässige Datenerhebung schließen. Es überzeuge nicht, wenn die Klägerin vortrage, ihre Ermittler könnten ihre Informationsquellen auch verdecken, wenn sie der Dokumentationspflicht unterlägen. Die angegriffene Anordnung sei auch hinreichend bestimmt gefasst. Da aus der Dokumentation ersichtlich sein müsse, welcher Mitarbeiter welche personenbezogenen Daten wann und von wem erhoben habe, sei klar, wie genau und differenziert die Dokumentation erfolgen müsse. Die Anordnung sei auch ermessensfehlerfrei. Sie sei für eine datenschutzgerechte Organisation geeignet und erforderlich. Die Dokumentation gewährleiste eine nachträgliche Aufklärung und wirke deshalb auch präventiv. Insoweit würde es nicht ausreichen, nur die Herkunft der Daten zu dokumentieren. Die Anordnung sei auch angemessen. Die Klägerin sei bereits nach § 1 Abs. 2 Nr. 4 und § 2 der Auskunftei- und Detekteiverordnung vom 23. Juni 1964 (GVBl. S. 150) verpflichtet, Aufzeichnungen über die Ergebnisse der Einzelermittlungen 5 Jahre aufzubewahren. Die strafrechtlich geschützten Interessen der Betroffenen am Schutz ihrer Persönlichkeitsrechte und der Einhaltung der gesetzlichen Vorschriften gebühre auch Vorrang vor den finanziellen Interessen der Klägerin. Dass die finanzielle Mehrbelastung die Klägerin in ihrer Existenz gefährden würde, sei nicht dargelegt. Auch sei der Gleichbehandlungsgrundsatz gewahrt. Sie – die Beklagte - könne erst tätig werden, wenn hinreichende Anhaltspunkte dafür vorlägen, dass Detekteien die datenschutzrechtlichen Vorschriften verletzten. Den gegen die Klägerin eingereichten Beschwerden habe sie nachgehen müssen. Da die Anordnung keine strafrechtliche Sanktion darstelle, komme es nicht darauf an, dass das staatsanwaltliche Ermittlungsverfahren eingestellt worden sei. Die angeordnete Dokumentation sei auch angemessen, um den von den Sozialleistungsträgern zu gewährleistenden Datenschutz zu ergänzen und den branchentypischen Risiken Rechnung zu tragen.

Nach der am 21. Juni 1999 erfolgten Zustellung des Widerspruchbescheides hat die Klägerin am 20. Juli 1999 Klage erhoben, mit der sie ihr Vorbringen vertieft hat. Ergänzend hat sie darauf hingewiesen, dass die Auskunftei- und Detekteiverordnung, auf deren Dokumentationspflicht sich die Beklagte berufe, bereits 1998 außer Kraft getreten sei und die Beklagte sie nicht ausreichend zu den gegen sie erhobenen Vorwürfen angehört habe.

Die Klägerin hat beantragt,
den Bescheid vom 3. Dezember 1998 und den Widerspruchbescheid vom 17. Juni 1999 aufzuheben.
Die Beklagte hat den Antrag gestellt,
die Klage abzuweisen.
Die Beklagte hat ihre Bescheide verteidigt.

Das Verwaltungsgericht hat die Klage mit Urteil vom 21. November 2002 abgewiesen: Die Anordnung sei hinreichend bestimmt. Die Beklagte habe der Klägerin eine genaue Zielvorgabe gemacht. Es sei angemessen, dass die Beklagte der Klägerin einen Spielraum gelassen habe, wie diese das Ziel erreiche. Sowohl nach § 38 Abs. 5 Bundesdatenschutzgesetz – BDSG – in der zum Zeitpunkt der letzten behördlichen Entscheidung geltenden Fassung vom 20. Dezember 1990 (BGBl. I S. 2954) als auch in der zum Zeitpunkt der mündlichen Verhandlung zuletzt durch Gesetz vom 26. Juni 2001 (BGBl. I S. 1254) geänderten Fassung sei die Anordnung gerechtfertigt. Gemäß § 27 Abs. 1 Satz 1 BDSG a.F. fänden die Vorschriften des dritten Abschnittes (§§ 27 – 38 a BDSG) Anwendung, soweit personenbezogene Daten durch nicht-​öffentliche Stellen in oder aus Dateien geschäftsmäßig verarbeitet würden. Voraussetzung sei das Vorliegen einer automatisierten oder einer nicht automatisierten Datei. Die Beklagte sei zu Recht angesichts des Standes der technischen Entwicklung davon ausgegangen, dass die heute vorhandenen Schreibprogramme unmittelbar für eine Auswertung der Daten genutzt werden könnten und insoweit heute anders als es der früheren Ansicht der Beklagten entspreche § 38 BDSG Anwendung finde. Die Beklagte habe Anlass nach § 38 BDSG gehabt einzuschreiten. Ihr hätten mehrere Beschwerden und ein strafrechtliches Ermittlungsverfahren über mögliche Datenschutzverletzungen der Klägerin vorgelegen. Auch habe die Beklagte zutreffend bei der Klägerin organisatorische Mängel festgestellt. In ihrem Betrieb sei nicht überprüfbar, welche Informationen wann und wie von welchem Mitarbeiter ermittelt worden seien. Dies begründe die Gefahr, dass einzelne Mitarbeiter gegen die datenschutzrechtlichen Vorschriften verstießen. Auch habe die Beklagte die Beseitigung der Mängel ermessensfehlerfrei angeordnet ohne dabei gegen den Grundsatz der Verhältnismäßigkeit zu verstoßen. Die Beklagte sei erkennbar davon ausgegangen, dass ihre Anordnung auch ohne Berücksichtigung der durch Art. 4. Nr. 6 b des zweiten Gesetzes zur Änderung der Gewerbeordnung und sonstiger gewerberechtlicher Vorschriften vom 16. Juni 1998 (BGBl. I S. 1291) außer Kraft gesetzten Auskunftei- und Detekteiverordnung gerechtfertigt sei. Eine Beschränkung der Dokumentationspflicht auf bestimmte Daten bzw. Bereiche würde dem Datenschutz nicht in gleicher Weise dienen wie die gewählte Dokumentationspflicht. Es sei nicht zu erkennen, dass die Dokumentationspflicht die Klägerin finanziell in einer ihre Existenz gefährdenden Weise belaste. Auch sei nichts für die Annahme ersichtlich, dass die Beklagte in anderen gleichartigen Fällen nicht in gleicher Weise vorgehe. Auch nach der Neufassung des Bundesdatenschutzgesetzes lägen die Voraussetzungen für die Anordnung nach § 38 Abs. 5 BDSG vor. Nunmehr komme es zwar nicht mehr maßgeblich auf den Begriff der Datei an. § 38 Abs. 5 Satz 1 BDSG n.F. ermögliche Anordnungen zur Gewährleistung des Datenschutzes, soweit diese Vorschriften die automatisierte Verarbeitung personenbezogener Daten regelten. Dazu zähle nach § 3 Abs. 2 BDSG n.F. die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten unter Einsatz von Datenverarbeitungsanlagen ohne dass besondere Anforderungen an die technischen Möglichkeiten der Datenverarbeitungsanlagen gestellt würden. Auch liege ein Verstoß gegen die in Nr. 5 der Anlage zu § 9 BDSG geregelte Eingabekontrolle vor, durch die nachträglich festgestellt werden könne, welche personenbezogenen Daten zu welcher Zeit von wem in Datenverarbeitungssysteme eingegeben würden.

Zur Begründung ihrer durch Beschluss des Berufungsgerichts vom 20. Dezember 2004 zugelassenen Berufung trägt die Klägerin vor:

Gemäß den §§ 38 Abs. 5 Satz 1, 9 Satz 2 BDSG könne die Beklagte nur solche organisatorischen Maßnahmen verlangen, deren Aufwand in einem angemessenen Verhältnis zu der Wahrscheinlichkeit und der Intensität der Beeinträchtigung der Persönlichkeitsrechte der Betroffenen stehe. Derartige Beeinträchtigungen seien nur mit geringer Wahrscheinlichkeit zu erwarten. Gemessen an der Gesamtzahl der von der Klägerin durchgeführten Ermittlungen sei die Zahl der bekannt gewordenen Beschwerdefälle, die sich im übrigen nicht als stichhaltig erwiesen hätten, gering. Die von ihr verlangte umfassende Dokumentation ihrer Ermittlungstätigkeit führe bei ihr angesichts einer Preisstruktur von nur 30 Euro je Auftrag zu unzumutbaren finanziellen Belastungen. Auch verpflichte § 28 BDSG die für die Datenerhebung verantwortliche Stelle grundsätzlich nicht, Herkunft und Beschaffungsart von Daten zu dokumentieren. An die Bestimmtheit der Anordnung seien hohe Anforderungen zu stellen. Zumindest hätte die Beklagte beispielhaft verdeutlichen müssen, welche Maßnahmen sie – die Klägerin – ergreifen solle. Insbesondere sei unklar, ob lediglich die aktive Informationsbeschaffung zu dokumentieren sei oder auch die Aufnahme von Daten, die ohne eigene Aktivitäten erlangt worden seien und fehlten Angaben darüber, wie sie mit anonym zugespielten Informationen umzugehen habe. Auch habe das Verwaltungsgericht verkannt, dass der Hinweis auf die Dokumentationspflichten nach der außer Kraft getretenen Auskunftei- und Detekteiverordnung zu den tragenden Elementen der Ermessenserwägungen der Beklagten gehöre, die nicht nachgeschoben werden könnten. Auch gehe die Anordnung unverhältnismäßig weit. Der Erfolg ihrer Ermittlungen hänge – wie bei anderen Detekteien auch – häufig von der Nutzung anonymer Informationsquellen ab. Auch sei Anlass allein die vermeintlich rechtswidrige Ermittlung von Sozialdaten. Hingegen beziehe sich die angeordnete Dokumentationspflicht auf sämtliche Ermittlungstätigkeiten und alle Arten von Daten, sofern sie in oder aus Dateien erfolgten. Den Sozialdatenschutz müssten die Sozialbehörden gewährleisten.

Die Klägerin beantragt,
unter Aufhebung des Urteils des Verwaltungsgerichts Hamburg vom 21. November 2002 den Bescheid des Hamburgischen Datenschutzbeauftragten vom 3. Dezember 1998 in Gestalt des Widerspruchbescheides vom 17. Juni 1999 aufzuheben.
Die Beklagte stellt den Antrag,
die Berufung zurückzuweisen.
Die Beklagte verteidigt das Urteil des Verwaltungsgerichts. Schon 1986 habe es Hinweise gegeben, dass Arbeitsämter, Landesversicherungsanstalten und weitere Sozialleistungsträger besonders geschützte personenbezogene Daten an Mitarbeiter der Klägerin herausgäben. Strafrechtliche Ermittlungen hätten nur deshalb nicht zum Erfolg geführt, weil wegen der fehlenden datenschutzrechtlichen Organisation der Klägerin nicht habe nachvollzogen werden können, wer wann welche Informationen von wem erhoben habe. Diesen Mangel habe sie - die Beklagte - mit ihrer Anordnung beheben müssen. Auch sei zu berücksichtigen, dass die verantwortlichen Stellen und damit auch Detekteien nach § 34 BDSG verpflichtet seien, Auskunft über Herkunft und Beschaffungsart von Daten zu erteilen. Sie habe die Umsetzung ihrer Anordnung der Klägerin überlassen um zu verhindern, dass überzogene Anforderungen zu einem unangemessenen Aufwand führten. Soweit die Klägerin argumentiere, Detekteien seien darauf angewiesen mit verdeckten Ermittlern und anonymen Informationsquellen zu arbeiten, gelte das nur in dem für Datenerhebungen zulässigen Umfang. Schon nach dem zum Zeitpunkt des Erlasses ihrer Anordnung maßgeblichen Recht hätten Daten gemäß § 28 Abs. 1 Satz 2 BDSG a.F. nur nach Treu und Glauben und auf rechtmäßige Weise erhoben werden dürfen. Danach habe sie verhindern müssen, dass die Klägerin besonders geschützte Sozialdaten unter Vorspiegelung falscher Tatsachen erschleicht. Nach dem jetzt geltenden Recht dürften personenbezogene Daten ohne Mitwirkung des Betroffenen nur erhoben werden, wenn der Geschäftszweck eine Erhebung bei anderen Personen erforderlich mache, wovon bei Detekteien in der Regel auszugehen sei und keine Anhaltspunkte dafür bestünden, dass überwiegende schutzwürdige Interessen der Betroffenen beeinträchtigt würden (§ 4 Abs. 2 Nr. 2 BDSG n.F.). Eine solche Beeinträchtigung liege aber vor, wenn Sozialdaten erschlichen würden.

Ergänzend wird wegen der Einzelheiten auf die Sachakte, die gewechselten Schriftsätze und die Niederschrift der mündlichen Verhandlung Bezug genommen.


Entscheidungsgründe:

Die zulässige Berufung hat Erfolg. Das Urteil des Verwaltungsgerichts vom 21. November 2002 hat keinen Bestand. Der Klage ist stattzugeben. Die angegriffenen Bescheide sind aufzuheben. Sie sind rechtswidrig und verletzen die Klägerin in ihren Rechten (§ 113 Abs. 1 VwGO).

Für die von dem Hamburgischen Datenschutzbeauftragten in seiner Eigenschaft als Aufsichtsbehörde auf § 38 Abs. 5 des Bundesdatenschutzgesetzes in der Fassung des Art. 1 des Gesetzes zur Fortentwicklung der Datenverarbeitung und des Datenschutzes vom 20. Dezember 1999 (BGBl. I S. 2954) – BDSG 1990 – gestützte Anordnung zur Beseitigung technischer und organisatorischer Mängel fehlt die rechtliche Grundlage (dazu unter 1). Die Anordnung kann auch nicht auf § 38 Abs. 5 BDSG in der durch das Gesetz zur Änderung des Bundesdatenschutzgesetzes und anderer Gesetze vom 18. Mai 2001 geänderten Fassung der Bekanntmachung vom 14. Januar 2003 (BGBl. I S.66) gestützt werden (dazu unter 2). Im übrigen greift sie jedenfalls in unverhältnismäßigem Umfang in das Recht der Klägerin auf freie Ausübung ihres Berufes ein (dazu unter 3).

1. Gemäß § 38 Abs. 5 Satz 1 des zum Zeitpunkt des Erlasses des Anordnungsbescheides vom 3. Dezember 1998 und des Widerspruchbescheides vom 17. Juni 1999 maßgeblichen BDSG 1990 kann die Aufsichtsbehörde zur Gewährleistung des Datenschutzes nach dem Bundesdatenschutzgesetz anordnen, dass im Rahmen der Anforderungen nach § 9 Maßnahmen zur Beseitigung festgestellter technischer oder organisatorischer Mängel getroffen werden. Diese Anordnungsbefugnis steht der Beklagten nach § 27 Abs. 1 Nr. 1 BDSG 1990, der u.a. den Anwendungsbereich des § 38 BDSG regelt, nur zu, soweit personenbezogene Daten in oder aus Dateien geschäftsmäßig oder für berufliche oder gewerbliche Zwecke durch nicht-​öffentliche Stellen verarbeitet oder genutzt werden. Diese Voraussetzungen sind nicht alle erfüllt.

Das Verwaltungsgericht hat zutreffend dargelegt, dass die Verarbeitung der von der Klägerin erhobenen personenbezogenen Daten, z.B. über Zielpersonen, auf Personalcomputern und den darauf installierten Textverarbeitungsprogrammen in Dateien im Sinne des § 3 Abs. 2 BDSG 1990 erfolgt und deshalb § 38 Abs. 5 Satz 1 BDSG 1990 Anwendung findet. Dies bedarf indessen keiner näheren Erörterung.

Denn die Anordnung der Beklagten ist jedenfalls deshalb rechtswidrig, weil sie nicht darauf zielt, technische oder organisatorische Mängel bei der Datenverarbeitung und der Datennutzung seitens der Klägerin abzustellen. Vielmehr geht es der Beklagten darum, sicherzustellen, dass die Klägerin ihre Daten in rechtmäßiger Weise erhebt. § 38 Abs. 5 Satz 1 BDSG 1990 gibt der Beklagten aber nicht das Recht, Anordnungen über die Datenerhebung zu erlassen. § 38 Abs. 5 Satz 1 BDSG 1990 verleiht der Aufsichtsbehörde nur eine Anordnungsbefugnis zur Gewährleistung des Datenschutzes nach diesem Gesetz und anderen Vorschriften über den Datenschutz, soweit diese die Verarbeitung oder Nutzung personenbezogener Daten in oder aus Dateien regeln.

a) Verarbeiten ist gemäß der Begriffsdefinition des § 3 Abs. 5 BDSG 1990 das Speichern, Verändern, Übermitteln, Sperren und Löschen personenbezogener Daten ungeachtet der dabei angewendeten Verfahren. Nutzen definiert § 3 Abs. 6 BDSG 1990 im Sinne jeder Verwendung personenbezogener Daten, soweit es sich nicht um Verarbeitung handelt. Auf die Verarbeitung und Nutzung personenbezogener Daten zielt die Beklagte mit ihrer Anordnung nicht. Vielmehr will die Beklagte sicherstellen, dass die Klägerin bei ihren Recherchen Daten nur rechtmäßig erhebt. Sie verlangt, dass die Klägerin die Herkunft und Beschaffungsart von personenbezogenen Daten im Rahmen von Ermittlungen in oder aus Dateien lückenlos dokumentiert. Insbesondere mit der Verpflichtung zu dokumentieren, welcher Mitarbeiter welche personenbezogenen Daten wann und von wem erhoben hat, will sie eine nachträgliche Aufklärung der Erhebung der Daten sicherstellen und eine Grundlage für eine zuverlässige Überprüfung durch die Aufsichtsbehörde legen. Dass es ihr dabei nicht um die Art und Weise der Verarbeitung der von der Klägerin ermittelten Daten geht, bestätigt der Anlass für ihr Einschreiten. Anlass war die Beschwerde der Landesversicherungsanstalt Rheinland-​Pfalz über Ausspähversuche, die von einem Telephonapparat der Klägerin ausgingen. Diese Ausspähversuche sind der Phase der Datenerhebung zuzuordnen. Erheben ist gemäß § 3 Abs. 4 BDSG 1990 das Beschaffen von Daten über Betroffene. Die Erhebung von Daten geht deren Verarbeitung, nämlich dem Speichern, Verändern, Übermitteln, Sperren und Löschen personenbezogener Daten (§ 3 Abs. 5 BDSG 1990) und deren Nutzung (§ 3 Abs. 6 BDSG 1990) voraus. Sie ist von den Phasen der Datenverarbeitung und des Nutzens von Daten zu unterscheiden.

b) § 38 Abs. 5 BDSG 1990 erlaubt es der Aufsichtsbehörde nicht, wie hier geschehen Anordnungen mit dem Ziel der Sicherstellung der Rechtmäßigkeit der Datenerhebung zu erlassen. Gemäß § 38 Abs. 5 Satz 1 BDSG 1990 darf die Aufsichtsbehörde nur Anordnungen zur Gewährleistung des Datenschutzes nach diesem Gesetz und anderen Vorschriften über den Datenschutz erlassen, „soweit diese die Verarbeitung oder Nutzung personenbezogener Daten in oder aus Dateien regeln“.

b.a. Sprachlich liegt es näher, diese Einschränkung auf die Phasen der Datenverarbeitung und Datennutzung sowohl auf den Datenschutz nach den Vorschriften des Bundesdatenschutzgesetzes als auch den nach anderen Vorschriften zu beziehen. Der Plural des Wortes „diese“ ist nicht nur auf den Plural des Ausdruckes „anderen Vorschriften“ zu beziehen, vielmehr sind Bezugspunkt der Einschränkung beide Vorschriftenbereiche, nämlich die des Bundesdatenschutzgesetzes und die datenschutzrechtlichen Regelungen außerhalb dieses Gesetzes.

b.b. Diese Sichtweise bestätigt ein Blick in die Gesetzesgeschichte: In der Begründung des Innenausschusses (4. Ausschuss) zu der zusammenfassenden Beschlussempfehlung an das Plenum des Bundestages (BT-​Drs. 11/7235 S. 101) heißt es:
„Im öffentlichen Bereich soll das Gesetz nicht nur für die Verarbeitung und Nutzung personenbezogener Daten gelten, sondern auch für ihre Erhebung. ... Im nicht-​öffentlichen Bereich bleibt es dabei, dass nur die Verarbeitung und Nutzung, nicht die Erhebung geregelt wird...“.
Das Vorläufergesetz, nämlich das Bundesdatenschutzgesetz vom 27. Januar 1977 (BGBl. I S. 201), hatte die Datenerhebung überhaupt noch nicht in seinen Anwendungsbereich (vgl. §§ 12, 2 BDSG 1977) einbezogen; es sollte auch im Bereich öffentlicher Stellen nur die Datenverarbeitung einschließlich der Datenspeicherung schützen (vgl. Simitis/Dammann, Komm. z. BDSG, 3. Aufl. § 2 Rdnr. 79). Das Bundesdatenschutzgesetz 1990 hat seinen Anwendungsbereich im wesentlichen nur im öffentlichen Bereich auf die Phase der Datenerhebung ausgeweitet. Dies verdeutlicht, dass die Einschränkung der Anordnungsbefugnis der Aufsichtsbehörde auf die Gewährleistung des Datenschutzes durch nicht-​öffentliche Stellen in den Phasen der Datenverarbeitung und Datennutzung in § 38 Abs. 5 Satz 1 BDSG 1990 auch für die Gewährleistung des Datenschutzes nach dem Bundesdatenschutzgesetz gilt und nicht nur für den Datenschutz nach anderen Vorschriften.

b.c. Demgegenüber überzeugt der Einwand nicht, dass in § 28 Abs. 1 Satz 2 BDSG 1990 auch Anforderungen an die Datenerhebung durch nicht-​öffentliche Stellen gestellt werden und es deshalb konsequent erscheine, der Aufsichtsbehörde auch insoweit eine Anordnungsbefugnis einzuräumen. Dort heißt es lediglich lapidar: „Die Daten müssen nach Treu und Glauben und auf rechtmäßige Weise erhoben werden.“ Diese Regelung war in dem Regierungsentwurf noch nicht enthalten (BT-​Drs. 11/4306 S. 14 § 26). Sie ist erst auf Vorschlag des Vermittlungsausschusses aufgenommen worden (BT-​Drs 11/7843 S. 3). Dass mit dieser singulären Regelung der Datenerhebung durch nicht-​öffentliche Stellen die Eingriffsbefugnisse der Aufsichtsbehörde nach § 38 Abs. 5 BDSG 1990 auf die Phase der Datenerhebung ausgedehnt werden sollten, ist nicht anzunehmen. So regelt § 28 Abs. 1 Satz 2 BDSG 1990 schon nicht die Zulässigkeit des Erhebens, wie dies § 13 Abs. 1 BDSG 1990 für die Datenerhebung durch die öffentlichen Stellen des Bundes vorsieht. Vielmehr bestimmt § 28 Abs. 1 Satz 2 BDSG 1990 lediglich, wann eine Datenerhebung nicht zulässig ist. Damit bringt § 28 Abs. 1 Satz 2 BDSG 1990 nichts im Vergleich zum Bundesdatenschutzgesetz 1977 neues zum Ausdruck. § 28 Abs. 1 Satz 2 BDSG 1990 verdeutlicht nur die ohnehin im Privatrecht geltenden Grundsätze von Treu und Glauben und die Notwendigkeit rechtmäßigen Vorgehens (vgl. Auernhammer, BDSG, 3. Aufl. § 28 Rdnr. 32 m.w.Nachw.).

b.d. Hinzu kommt: § 38 Abs. 5 Satz 1 BDSG 1990 ermächtigt die Beklagte nur anzuordnen, „dass im Rahmen der Anforderungen nach § 9 Maßnahmen zur Beseitigung festgestellter technischer oder organisatorischer Mängel getroffen werden“. Voraussetzung für die angegriffene Dokumentationspflicht ist mithin die Feststellung technischer oder organisatorischer Mängel. Der Hinweis auf die Anforderungen nach § 9 BDSG 1990 zeigt, dass die Beklagte Anordnungen nur zur Beseitigung solcher organisatorischer Mängel erlassen darf, die in den Anwendungsbereich des § 9 BDSG 1990 fallen. Die Regelung technischer und organisatorischer Maßnahmen in § 9 BDSG 1990 lautet:

„Öffentliche und nicht-​öffentliche Stellen, die selbst ...personenbezogene Daten verarbeiten, haben die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die Ausführung der Vorschriften dieses Gesetzes, insbesondere die in der Anlage zu diesem Gesetz genannten Anforderungen, zu gewährleisten. Erforderlich sind Maßnahmen nur, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht.“
Die Anlage zu § 9 benennt in ihren Nummern 1 bis 9 eher technisch ausgerichtete Maßnahmen, die zu treffen sind, wenn personenbezogene Daten automatisiert verarbeitet werden. Die Beklagte stützt sich auf die Nr. 10 der Anlage. Dort heißt es:
„Werden personenbezogene Daten automatisiert verarbeitet, sind Maßnahmen zu treffen, die je nach der Art der zu schützenden personenbezogenen Daten geeignet sind, die innerbehördliche oder innerbetriebliche Organisation so zu gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird (Organisationskontrolle).“
Auch diese Regelung zielt nach ihrem klaren Wortlaut nur auf die Phase der Datenverarbeitung und noch nicht auf die hiervon zu unterscheidende vorangehende Phase der Datenerhebung (vgl. Ernestus/Geiger in Simitis, Komm. z. BDSG, 5. Aufl. § 9 Rdnr. 9).

2. Diese Rechtslage hat sich mit dem Gesetz zur Änderung des Bundesdatenschutzgesetzes und anderer Gesetze vom 18. Mai 2001 (BGBl. I S.904) - BDSG 2001 - nur zum Teil zu Gunsten der Beklagten geändert. Auch nach der geänderten Rechtslage rechtfertigt § 38 Abs. 5 Satz 1 BDSG 2001 die angegriffene Anordnung nicht.

Gemäß § 1 Abs. 2 Nr.3 BDSG in der Fassung der Bekanntmachung vom 14. Januar 2003 (BGBl. I S. 66) – BDSG 2001 - gilt das Bundesdatenschutzgesetz nunmehr auch für die Erhebung personenbezogener Daten durch nicht-​öffentliche Stellen, soweit sie die Daten unter Einsatz von Datenverarbeitungsanlagen verarbeiten, nutzen oder dafür erheben oder die Daten in oder aus nicht automatisierten Dateien verarbeiten, nutzen oder dafür erheben. In gleicher Weise erweitert § 27 Abs. 1 BDSG 2001 für die Datenverarbeitung nicht-​öffentlicher Stellen den Anwendungsbereich des Dritten Abschnittes, der u.a. in § 38 BDSG 2001 die Anordnungsbefugnisse der Aufsichtsbehörde gegenüber nicht–öffentlichen Stellen regelt. § 38 Abs 5 BDSG 2001 lautet jetzt:

„Zur Gewährleistung des Datenschutzes nach diesem Gesetz und anderen Vorschriften über den Datenschutz, soweit diese die automatisierte Verarbeitung personenbezogener Daten oder die Verarbeitung personenbezogener Daten in oder aus nicht automatisierten Dateien regeln, kann die Aufsichtsbehörde anordnen, dass im Rahmen der Anforderungen nach § 9 Maßnahmen zur Beseitigung festgestellter technischer oder organisatorischer Mängel getroffen werden.“
Eine automatisierte Verarbeitung umfasst nach der Begriffsbestimmung des § 3 Abs. 2 Satz 1 BDSG 2001 die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten unter Einsatz von Datenverarbeitungsanlagen. Mithin kann die Aufsichtsbehörde nunmehr auch Anordnungen zur Behebung technischer und organisatorischer Mängel im Bereich der Datenerhebung treffen (vgl. Gola/Schomerus, BDSG, 7. Aufl. § 38 Rdnr.6 ). Voraussetzung ist aber dafür, dass die Datenerhebung unter dem Einsatz von Datenverarbeitungsanlagen geschieht. Außerhalb des Bereiches der automatisierten Datenverarbeitung nimmt § 1 Abs. 2 Nr. 3 BDSG 2001 die Phase der Datenerhebung durch nicht-​öffentliche Stellen weiterhin von der Anwendung des Bundesdatenschutzgesetzes aus (vgl. Ernestus/Geiger in Simitis, Komm. Z. BDSG, 5. Aufl. § 1 Rdnr. 137, § 9 Rdnr. 8.). Werden personenbezogene Daten nicht unter Einsatz von Datenverarbeitungsanlagen erhoben, so differenziert das Bundesdatenschutzgesetz 2001 weiter zwischen den Phasen der Datenerhebung und der Datenverarbeitung. § 3 Abs. 3 BDSG 2001 hält an der Unterscheidung zwischen dem Erheben von Daten im Sinne des Beschaffens von Daten über den Betroffenen und der Verarbeitung von Daten fest, zu der nach der Definition des § 3 Abs. 4 BDSG 2001 das Speichern, Verändern, Übermitteln, Sperren und Löschen personenbezogener Daten gehört aber nicht die Datenerhebung.

Die Anordnungsbefugnis hängt also nunmehr davon ab, ob die Aufsichtsbehörde von ihr mit dem Ziel Gebrauch macht, den Datenschutz nach solchen Vorschriften zu gewährleisten, die die automatisierte Verarbeitung personenbezogener Daten regeln. Diese Frage ist im vorliegenden Falle zu Lasten der Beklagten zu entscheiden.

a) Allerdings will die Beklagte sicherstellen, dass die Klägerin nicht in rechtswidriger Weise personenbezogene Daten erhebt, die in den automatisierten Datenverarbeitungsanlagen der Landesversicherungsanstalten und anderer Sozialleistungsträger gespeichert sind und dem Sozialdatenschutz unterfallen. Jedoch erhebt die Klägerin die Daten über ihre Zielpersonen insoweit nicht unter Einsatz von Datenverarbeitungsanlagen. Die Klägerin erhebt unmittelbar keine Daten aus den Datenverarbeitungsanlagen der Landesversicherungsanstalten etc.. Es ist nichts für die Annahme ersichtlich, die Klägerin könnte sich etwa wie ein „Hacker“ verhalten und sich einen technischen Zugang über das Internet oder andere Wege zu den genannten Datenverarbeitungsanlagen verschaffen. In Rede steht nur der Verdacht, Mitarbeiter der Klägerin könnten Bedienstete der Landesversicherungsanstalten oder der Bundesagentur für Arbeit etc. fernmündlich unter Vortäuschung falscher Identitäten etc. dazu veranlassen, ihnen in den dortigen Dateien gespeicherte, geschützte personenbezogene Daten zu übermitteln.

b) Die Beklagte verweist demgegenüber darauf, dass nach § 27 Abs. 2 BDSG 2001 die Vorschriften dieses Abschnittes für die Datenverarbeitung nicht-​öffentlicher Stellen zwar nicht für die Verarbeitung und Nutzung personenbezogener Daten außerhalb von nicht automatisierten Dateien gelten, diese – für Papierakten wichtige - Einschränkung aber nur greift, „soweit es sich nicht um personenbezogene Daten handelt, die offensichtlich einer automatisierten Verarbeitung entnommen worden sind“. Dass die in den Ermittlungsberichten der Klägerin aufgetauchten Rentenversicherungsnummern etc. offensichtlich aus einer automatisierten Verarbeitung bei den Sozialleistungsträgern entnommen sind, ist nicht zu bezweifeln.

Dieser Hinweis rechtfertigt es aber nicht, die Anordnungsbefugnis der Aufsichtsbehörde im Bereich der Datenerhebung auszudehnen. Sinn und Zweck des § 27 Abs. 3 BDSG 2001 ist es lediglich, den Anwendungsbereich des Abschnittes über die Datenverarbeitung nicht-​öffentlicher Stellen zu erweitern und zu verhindern, dass personenbezogene Daten, die außerhalb von nicht automatisierten Dateien, wie z.B. in bestimmten Akten, verarbeitet und genutzt werden, auch dann aus dem Schutzbereich der Regelungen über die Datenverarbeitung nicht-​öffentlicher Stellen herausfallen, wenn sie zuvor offensichtlich aus einer automatisierten Verarbeitung entnommen worden sind. Um den Anwendungsbereich dieser Regelungen, insbesondere der Regelung des § 28 BDSG 2001 über die Zulässigkeit der Datenerhebung durch nicht-​öffentliche Stellen geht es hier aber nicht. Maßgeblich ist vielmehr: Die Differenzierungen, die § 38 Abs. 5 Satz 1 BDSG 2001 zwischen der Datenerhebung unter dem Einsatz von Datenverarbeitungsanlagen einerseits trifft und der – nicht die Datenerhebung umfassenden – Datenverarbeitung in oder aus nicht-​automatisierten Dateien andererseits können nicht deshalb beiseite geschoben werden, weil die Daten zuvor von der übermittelnden Stelle und nicht der die Daten erhebenden Stelle offensichtlich einer automatisierten Datenverarbeitung entnommen sind. Entsprechend dem Wortlaut des § 38 Abs. 5 Satz 1 BDSG 2001 bleibt es dabei, dass die Aufsichtsbehörde hinsichtlich der Phase der Datenerhebung nur die Ausführung datenschutzrechtlicher Vorschriften sicherstellt, soweit diese die automatisierte Verarbeitung personenbezogener Daten regeln. Dass danach außerhalb des Bereiches automatisierter Datenverarbeitung die Phase der Datenerhebung von der Anordnungsbefugnis ausgenommen bleibt, macht Sinn. Denn das Gesetz begegnet mit der Ausdehnung der Anordnungsbefugnis auf die Phase der Datenerhebung unter dem Einsatz von Datenverarbeitungsanlagen gerade den mit derartigen Anlagen verbundenen spezifischen Gefahren für den Datenschutz.

c) Für die Eingrenzung der Anordnungsbefugnis spricht auch der Blick auf die weiteren Beschränkungen, mit denen § 38 Abs. 5 Satz 1 BDSG 2001 die Anordnungsbefugnis der Aufsichtsbehörde begrenzt. Diese bestehen darin, dass die Aufsichtsbehörde nur im Rahmen der Anforderungen nach § 9 BDSG 2001 Maßnahmen zur Beseitigung festgestellter technischer oder organisatorischer Mängel anordnen darf. Gemäß § 9 Satz 1 BDSG 2001 haben nicht-​öffentliche Stellen, die – wie die Klägerin – selbst oder im Auftrag personenbezogene Daten erheben, verarbeiten oder nutzen, die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die Ausführung der Vorschriften dieses Gesetzes, insbesondere die in der Anlage zu diesem Gesetz genannten Anforderungen, zu gewährleisten. Nach der genannten Anlage ist die innerbetriebliche Organisation so zu gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird, wenn personenbezogene Daten automatisiert verarbeitet oder genutzt werden. Damit knüpfen auch die Anforderungen dieser Anlage gerade an den Vorgang der automatisierten Datenverarbeitung und damit der Erhebung unter dem Einsatz von Datenverarbeitungsanlagen an. Dass gerade das mit dem Einsatz von Datenverarbeitungssystemen verbundene erhöhte Risikopotential im Blickpunkt der Regelung steht, zeigt sich auch an den in Satz 2 der genannten Anlage aufgeführten Beispielen für technische und organisatorische Maßnahmen des Datenschutzes. Dort sind nur geeignete Maßnahmen der Zutrittskontrolle zu Datenverarbeitungsanlagen, der Zugangskontrolle, der Zugriffskontrolle, der Weitergabekontrolle, der Eingabekontrolle, der Auftragskontrolle und der Verfügbarkeitskontrolle sowie der Option getrennter Verarbeitung zu unterschiedlichen Zwecken erhobener Daten aufgeführt.

d) Auf die Eindämmung derartiger spezifisch mit der automatisierten Datenverarbeitung verbundener Risiken zielt die Anordnung der Beklagten nicht. Denn die Beklagte will nicht regeln, in welcher Weise die Klägerin im Wege automatisierter Datenverarbeitung personenbezogene Daten erhebt. Ihr geht es darum, zu verhindern, dass die Mitarbeiter der Klägerin fernmündlich geschützte personenbezogene Sozialdaten über die Mitarbeiter der Sozialleistungsträger ausspionieren.

Adressat der in der Anlage zu § 9 BDSG 2001 aufgeführten Schutzmaßnahmen ist die für die Datenverarbeitungsanlage verantwortliche Stelle. Dies sind hier die Sozialleistungsträger, aus deren Datenverarbeitungsanlagen die von der Klägerin ermittelten personenbezogenen Daten ihrer Zielpersonen stammen. Hingegen beschränkt sich die Beklagte nicht darauf, von der Klägerin Maßnahmen zum Schutz der Daten in ihren eigenen Datenverarbeitungsanlagen zu treffen. Insbesondere geht es der Beklagten nicht, wie das Verwaltungsgericht zu meinen scheint, darum, eine Eingabekontrolle für die Personalcomputer der Klägerin nach der Nr. 5 der genannten Anlage vorzuschreiben. Nach dieser Regelung sind insbesondere geeignete Maßnahmen zu treffen, die geeignet sind, zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind. Auf diese Eingabekontrolle zielt die Anordnung der Beklagten nicht, lückenlos die Herkunft und Beschaffungsart von personenbezogenen Daten im Rahmen von Ermittlungen in oder aus Dateien durch einen konkret benannten Mitarbeiter zu dokumentieren.

3. Die Berufung hätte auch dann Erfolg, wenn man einmal unterstellt, die Beklagte dürfe auch Anordnungen gegenüber der Klägerin mit den Ziel treffen, zu verhindern, dass die Mitarbeiter der Klägerin personenbezogene Daten ohne den Einsatz von Datenverarbeitungsanlagen rechtswidrig erheben und ferner zu Gunsten der Beklagten angenommen wird, dass bei der Klägerin organisatorische oder technische Mängel bei der Datenerhebung und Datenverarbeitung festgestellt sind. Denn die von der Beklagten erlassene Anordnung beeinträchtigt in unverhältnismäßigem Umfang die Berufsausübung der Klägerin.

Gemäß § 9 Satz 2 BDSG in alter und neuer Fassung sind technische und organisatorische Maßnahmen zur Gewährleistung der Ausführung des Bundesdatenschutzgesetzes nur erforderlich, „wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht“. Zwar ist der Beklagten zuzugeben, dass der Schutz der Sozialdaten ein hochrangiges gesetzliches Ziel ist und ein öffentliches Interesse daran besteht, Ausspähversuchen von Detekteien im Bereich der Sozialleistungsträger einen Riegel vorzuschieben. Jedoch geht die von der Klägerin verlangte lückenlose Dokumentation der Herkunft und Beschaffungsart von personenbezogenen Daten im Rahmen von Ermittlungen in oder aus Dateien durch einen konkret benannten Mitarbeiter über das Maß des angemessenen Aufwandes hinaus. Die Beklagte erschwert den Geschäftsbetrieb der Klägerin in unzumutbarer Weise, wenn jede Ermittlung beispielsweise einer Adresse unter Angabe der Datei, der die Adresse entnommen ist, des Zeitpunktes und des Namens des recherchierenden Mitarbeiters dokumentiert werden muss. Derartige Dokumentationen kosten Zeit und damit Geld in einer Größenordnung, die bei einer Preisstruktur der Klägerin von ca. 30 Euro je Auftrag ins Gewicht fällt. Insbesondere liegt auf der Hand, dass es die Recherchearbeit einer Detektei wesentlich beeinträchtigt, wenn – wie die Beklagte auf S. 11 des Widerspruchbescheides betont – die Mitarbeiter der Klägerin auch dokumentieren müssen, von wem und wann sie welche personenbezogenen Daten erhoben haben. Eine allgemeine Verpflichtung, Daten über die Herkunft personenbezogener Daten zu speichern und zur Auskunft bereit zu halten, besteht nicht. Sie lässt sich auch nicht aus dem Recht des Betroffenen aus § 34 Abs. 1 BDSG 2001 herleiten, Auskunft über die zu seiner Person gespeicherten Daten und ihre Herkunft zu verlangen (vgl. Mallmann in Simitis, a.a.O. § 34 Rdnr. 18.; Gola/Schomerus a.a.O. § 34 Rdnr. 10). Die Wettbewerbsfähigkeit einer Detektei leidet erheblich, die anders als ihre Konkurrenten ihre Tätigkeit derartig umfassend dokumentieren und insbesondere die Identität ihrer Informanten und die von diesen gegebenen Informationen ständig im einzelnen offen legen muss. Die Auffassung des Verwaltungsgerichts, es sei nicht nachvollziehbar, dass die geforderte Dokumentationspflicht Kosten verursacht, die die Klägerin in ihrer Existenz gefährden könnten, greift zu kurz. Der Aufwand für den Datenschutz ist nicht erst dann unangemessen, wenn er zu einer Existenzgefährdung führt.

Die Beklagte, die durch ihre Aufsichtsbehörde, den Hamburgischen Datenschutzbeauftragten vertreten wird, trägt gemäß § 154 Abs. 1 VwGO als Unterlegene die Kosten des gesamten Verfahrens. Die Entscheidung über die vorläufige Vollstreckbarkeit folgt aus § 167 VwGO i.V.m. §§ 708 Nr. 10 und 11, 711 ZPO. Die Festsetzung des Streitwerts folgt aus § 13 Abs. 1 Satz 2 GKG a.F.







 Google-Anzeigen: