Einen bemerkenswerten Beschluss hat am 14.11.2011 das OLG Düsseldorf gefällt (OLG Düsseldorf, Beschl. v. 14.11.2011 – I-20 W 132/11, Volltext hier).

In dem Beschluss ging es um den Antrag auf Prozesskostenhilfe eines wegen Filesharings Abgemahnten, der auf Ersatz von Abmahnkosten in Anspruch genommen worden war. Das OLG Düsseldorf hat die Prozesskostenhilfe zugestanden.

1. Sekundäre Darlegungslast und IP-Adresse

Spannend ist zunächst, dass die Beklagte die Zuordnung von IP-Adresse und Anschluss mit Nichtwissen bestreiten durfte. In falscher Auslegung des BGH-Urteils “Sommer unseres Lebens” gehen einige Gerichte (fast) von einer Beweislastumkehr aus (s. nur zuletzt AG München, Urteil vom 23. November 2011 – 142 C 2564/11):

Die Beklagte ist nicht gehindert, die Aktivlegitimation der Klägerinnen, das Anbieten der streitgegenständlichen Musikdateien über die IP-Adresse … und die Zuordnung dieser IP-Adresse zu ihrem Anschluss mit Nichtwissen zu bestreiten. Die Beklagte hat keinen Einblick in den Geschäftsbetrieb der Klägerinnen, des “Onlineermittlers” und des Internetproviders. Die weitere Substantiierung des Klägervortrags ist für die Zulässigkeit des Bestreitens mit Nichtwissen irrelevant.

2. Substantiierungslast des Abmahnenden

Der bei Filesharing Abmahnende muss nach zutreffender Ansicht des OLG Düsseldorf ganz konkret diejenigen Werke bezeichnen, für die er Rechte zu haben behauptet. Wenn er an

Wie der Standard aus Österreich berichtet, sind Router, die WPS (Wi-Fi Protected  Setup) anbieten, durch Brute Force-Attacken gefährdet. Dabei benötigt man zum Einbrechen in ein WLAN ca. 90 Minuten:

Ein Authentifizierungsvorgang dauerte je nach Router zwischen 0,5 und drei Sekunden. Damit würde es 90 Minuten bis zehn Stunden dauern, bis man Zugang zu den Routern erhält. Im Durchschnitt benötigte das Programm 5.500 Sekunden.

Entdeckt wurde die Sicherheitslücke von Stefan Viehböck. Auf seiner Webseite beschreibt er die Lücke in einem Paper ausführlich. Darin heißt es u.a.:

An attacker can derive information about the correctness of parts the PIN from the AP´s responses.

• If the attacker receives an EAP-NACK message after sending M4, he knows that the 1st half of the PIN was incorrect.
• If the attacker receives an EAP-NACK message after sending M6, he knows that the 2nd half of the PIN was incorrect.

This form of authentication dramatically decreases the maximum possible authentication attempts needed from 10^8 (=100.000.000) to 10^4 + 10^4 (=20.000).

As the 8th digit of the PIN is always a checksum of digit one to digit seven, there are at most 10^4 + 10^3 (=11.000) attempts needed to find the correct PIN.

Das US-CERT hat auf Meldung von Stefan Viehböck hin eine Warnung veröffentlicht.

Es ist daher insgesamt zu raten, am WLAN-Router WPS zu deaktivieren.

Die Lücke zeigt erneut, dass WLAN-Router auch mit eingesetzter Verschlüsselung nicht als sicher zu bezeichnen sind.

(via @Muschelschloss)

Schnabel kommentiert die Entscheidung des LG Köln, das die Störerhaftung eines Internetzugangsanbieters abgelehnt hatte. Das LG Köln hatte dazu u.a. ausgeführt (teilweise unter Bezug auf OLG Hamburg, Urteil vom 22.12.2010 – 5 U 36/09):

b) Nach den vorstehend skizzierten Grundsätzen der Störerhaftung, wie sie in der Rspr. anerkannt sind, folgt die Störerhaftung jedoch nicht allein aus einem adäquat kausalen Handeln des in Anspruch Genommenen. Es bedarf vielmehr einer wertenden Betrachtung, inwieweit die Bekl. unter Berücksichtigung der Eigenverantwortlichkeit ihrer Kunden eine Störerverantwortlichkeit treffen kann. Dabei ist zu berücksichtigen, dass die Bekl. eine bloße technische Dienstleistung erbringt („reines Durchleiten”), die Voraussetzung für die Nutzung des Internet ist. Wollte man die Bekl. für sämtliches rechtswidriges Verhalten Dritter bzw. die von ihnen angebotenen oder abgerufenen Dienstleistungen verantwortlich machen, hätte dies eine Überdehnung der Grundsätze der Störerhaftung zur Folge, die nach den Grundsätzen der Rspr. des BGH in Bezug auf Dritte gerade nicht gerechtfertigt ist (vgl. auch OLG Hamburg, a.a.O.). Im Vordergrund steht dabei die Frage, ob die Bekl. verpflichtet ist, zukünftig dafür Vorsorge zu treffen, dass es möglichst zu keinen weiteren gleichartigen Rechtsverletzungen kommt, sodass ein Verstoß gegen entsprechende Vorkehrungen einen Verstoß gegen die Prüfpflichten der Bekl. begründen würde (BGH, a.a.O. – Internetversteigerung II).

c) Nach der Auffassung der Kammer ist die Bekl. zu solchen Vorsorgemaßnahmen nicht verpflichtet. Zwar ist der Klageantrag nicht auf eine bestimmte Maßnahme, sondern auf die Unterlassung der konkreten vermeintlichen Rechtsverletzung bezogen. I.R.d. rechtlichen Bewertung der Störereigenschaft ist jedoch zu berücksichtigen, welche Maßnahmen die Bekl. ergreifen müsste, um ihre Vorsorgepflichten zu erfüllen, um nicht als Störer auf Unterlassung in Anspruch genommen werden zu können. Die Kl. verlangen von der Bekl. i.E. zur Erreichung des verfolgten Zwecks die Errichtung von DNS- und IP-Sperren, mit denen die Abrufbarkeit von Internetlinks zu Internettauschbörsen auf der Internetseite „anonym1.” verhindert werden soll, wenn unter diesen Internetadressen Musiktitel zum kostenlosen öffentlichen Download angeboten werden, an denen die Kl. Inhaber ausschließlicher Nutzungsrechte in Bezug auf das Recht zur öffentlichen Zugänglichmachung (§ 19a UrhG) sind.

Die Umsetzung solcher Vorsorgemaßnahmen hätte zur Folge, dass die Bekl. die Datenkommunikation zwischen ihren Kunden auf Begehung von gerügten Verletzungshandlungen kontrollieren müsste, wodurch sie Kenntnis von den Umständen der Telekommunikation einschließlich ihres Inhalts erhielte (vgl. LG Hamburg MMR 2010, 488, 490; OLG Hamburg, a.a.O.). Die Errichtung solcher Filter- und Sperrmaßnahmen durch den Internetzugangsanbieter als zentrale Schnittstelle für die Datenkommunikation ist ohne gesetzliche Grundlage mit dem durch Art.?10 Abs.?1, Abs.?2 GG geschützten Fernmeldegeheimnis, dessen Wertungen auch bei der Auslegung zivilrechtlicher Norm Geltung beanspruchen (vgl. BVerfG NJW 2003, 2815; BGH NJW 1999, 1326, jew. m.w.Nw. der Rspr.), nicht zu vereinbaren. Der Schutzbereich des Art.?GG Artikel 10 GG erfasst jegliche Art und Form von Telekommunikation und erstreckt sich auch auf Kommunikationsdienste des Internet, sodass es für entsprechende Filter- und Sperrmaßnahmen der Bekl. einer gesetzlichen Grundlage bedürfte, die in der allgemeinen Störerhaftung des Zivilrechts nicht gesehen werden kann (vgl. LG Hamburg MMR 2010, 488, 489; OLG Hamburg, a.a.O.).

Schnabel zieht – trotz teilweise vorgebrachter Kritik – folgendes richtiges Fazit:

Die Entscheidung des LG Köln verdient Lob. Auf einer Linie mit der bisherigen Rspr. belastet das Gericht die Access-Provider nicht mit einer Verantwortung für das Verhalten ihrer Kunden und es schützt auch weiterhin die Vertraulichkeit der Datenkommunikation. Die Rspr. hat seit der Compuserve-Entscheidung (AG München MMR 1998, 429?ff. m. Anm. Sieber) erheblich dazugelernt und setzt dieses Wissen auch ein, was immer häufiger zu gut begründeten und realitätsnahen Entscheidungen führt (ausf. und differenziert: OLG Hamburg, a.a.O.).

1. Einleitung

Der EuGH hat kürzlich im Rahmen der Beantwortung einer Vorlagefrage Stellung zu der Frage genommen, ob ein Gericht einem Access Provider auferlegen kann, zur Verhinderung von Urheberrechtsverletzungen seiner Kunden bei Nutzung von Filesharing-Netzwerken ein Filtersystem einzurichten (EuGH, Urteil v. 24.11.2011, Az. C?70/10, Volltext hier). Ich hatte kurz über die Vorlage berichtet (s. hier).

Die Vorlagefrage Nr. 1 lautete dabei:

Können die Mitgliedstaaten aufgrund der Richtlinien 2001/29 und 2004/48 in Verbindung mit den Richtlinien 95/46, 2000/31 und 2002/58, ausgelegt im Licht der Art. 8 und 10 der Europäischen Konvention zum Schutz der Menschenrechte und Grundfreiheiten, dem nationalen Richter erlauben, in einem Verfahren zur Hauptsache allein aufgrund der Vorschrift, dass „[s]ie [die nationalen Gerichte] … ebenfalls eine Unterlassungsanordnung gegen Vermittler erlassen [können], deren Dienste von einem Dritten zur Verletzung eines Urheberrechts oder verwandter Rechte genutzt werden“, gegen einen Anbieter von Internetzugangsdiensten die Anordnung zu erlassen, auf eigene Kosten zeitlich unbegrenzt für sämtliche Kunden generell und präventiv ein Filtersystem für alle eingehenden und ausgehenden elektronischen Kommunikationen, die mittels seiner Dienste insbesondere unter Verwendung von „Peer-to-Peer“-Programmen durchgeleitet werden, einzurichten, um in seinem Netz den Austausch von Dateien zu identifizieren, die ein Werk der Musik, ein Filmwerk oder audiovisuelles Werk enthalten, an denen der Kläger Rechte zu haben behauptet, und dann die Übertragung dieser Werke entweder auf der Ebene des Abrufs oder bei der Übermittlung zu sperren?

Das Urteil ist im Hinblick auf die Praxis deutscher Gerichte, die im Rahmen der Störerhaftung Pflichten zur Verhinderung von Verletzungen aufzuerlegen, sehr aufschlussreich und gibt – wenn auch in relativ engem Rahmen – dieser Rechtsprechung Grenzen auf.

2. Rechtsrahmen

Zunächst ist zu bemerken, dass der EuGH für das Urteil die einschlägigen europäischen Richtlinien in Bezug nimmt:

• E-Commerce-RL 2000/31/EG
• Urheberrechts-RL 2001/29/EG
• Enforcement-RL 2004/48/EG
• Datenschutz-RL 95/46/EG
• Datenschutz-RL für elektronische Kommunikation 2002/58/EG

3. Entscheidung

Nachfolgend die hervorzuhebenden Ausführungen des EuGH als Zitat:

Folglich müssen diese Regelungen u. a. Art. 15 Abs. 1 der Richtlinie 2000/31 beachten, wonach es nationalen Stellen untersagt ist, Maßnahmen zu erlassen, die einen Diensteanbieter verpflichten würden, die von ihm in seinem Netz übermittelten Informationen allgemein zu überwachen.

Insoweit hat der Gerichtshof bereits entschieden, dass ein solches Verbot sich u. a. auf innerstaatliche Maßnahmen erstreckt, die einen vermittelnden Dienstleister wie einen Provider verpflichten würden, sämtliche Daten jedes Einzelnen seiner Kunden aktiv zu überwachen, um jeder künftigen Verletzung von Rechten des geistigen Eigentums vorzubeugen. Im Übrigen wäre eine solche allgemeine Überwachungspflicht nicht mit Art. 3 der Richtlinie 2004/48 zu vereinbaren, wonach die Maßnahmen im Sinne dieser Richtlinie gerecht und verhältnismäßig sein müssen und nicht übermäßig kostspielig sein dürfen (vgl. Urteil L’Oréal u. a., Randnr. 139).

…

Somit würde eine solche präventive Überwachung eine aktive Beobachtung sämtlicher elektronischen Kommunikationen im Netz des betreffenden Providers erfordern und mithin jede zu übermittelnde Information und jeden dieses Netz nutzenden Kunden erfassen.

Angesichts des Vorstehenden ist festzustellen, dass die dem betroffenen Provider auferlegte Anordnung, das streitige Filtersystem einzurichten, ihn verpflichten würde, eine aktive Überwachung sämtlicher Daten, die alle seine Kunden betreffen, vorzunehmen, um jeder künftigen Verletzung von Rechten des geistigen Eigentums vorzubeugen. Daraus folgt, dass diese Anordnung den Provider zu einer allgemeinen Überwachung verpflichten würde, die nach Art. 15 Abs. 1 der Richtlinie 2000/31 verboten ist.

…

Deshalb würde eine solche Anordnung zu einer qualifizierten Beeinträchtigung der unternehmerischen Freiheit des Providers führen, da sie ihn verpflichten würde, ein kompliziertes, kostspieliges, auf Dauer angelegtes und allein auf seine Kosten betriebenes Informatiksystem einzurichten, was im Übrigen gegen die Voraussetzungen nach Art. 3 Abs. 1 der Richtlinie 2004/48 verstieße, wonach die Maßnahmen zur Durchsetzung der Rechte des geistigen Eigentums nicht unnötig kompliziert oder kostspielig sein dürfen.

Darüber hinaus würden sich die Wirkungen dieser Anordnung nicht auf den betroffenen Provider beschränken, weil das Filtersystem auch Grundrechte der Kunden dieses Providers beeinträchtigen kann, nämlich ihre durch die Art. 8 und 11 der Charta geschützten Rechte auf den Schutz personenbezogener Daten und auf freien Empfang oder freie Sendung von Informationen.

Zum einen steht nämlich fest, dass die Anordnung, das streitige Filtersystem einzurichten, eine systematische Prüfung aller Inhalte sowie die Sammlung und Identifizierung der IP-Adressen der Nutzer bedeuten würde, die die Sendung unzulässiger Inhalte in diesem Netz veranlasst haben, wobei es sich bei diesen Adressen um personenbezogene Daten handelt, da sie die genaue Identifizierung der Nutzer ermöglichen.

…

Denn es ist unbestritten, dass die Antwort auf die Frage der Zulässigkeit einer Übertragung auch von der Anwendung gesetzlicher Ausnahmen vom Urheberrecht abhängt, die von Mitgliedstaat zu Mitgliedstaat variieren. Ferner können bestimmte Werke in bestimmten Mitgliedstaaten gemeinfrei sein oder von den fraglichen Urhebern kostenlos ins Internet eingestellt worden sein.

4. Bewertung

Was lässt sich aus dem Urteil des EuGH ableiten – und wie wirkt sich dies für die Betreiber offener Netze aus?

a. Grundsätzliches

Man sollte bei der Lektüre des Urteils jeweils im Hinterkopf behalten, dass der EuGH allein auf die Vorlagefrage geantwortet hat. Die Vorlagefrage ist durch das vorlegende Gericht sehr eng formuliert worden, was sich insbesondere daran zeigt, dass die einzelnen Komponenten der Vorlagefrage durch ein “und” verknüpft sind:

ein System der Filterung

– aller seine Dienste durchlaufenden elektronischen Kommunikationen insbesondere durch die Verwendung von „Peer-to-Peer“-Programmen,

– das unterschiedslos auf alle seine Kunden anwendbar ist,

– präventiv,

– auf ausschließlich seine eigenen Kosten und

– zeitlich unbegrenzt

Bricht man eine der Voraussetzungen aus der Vorlagefrage heraus (z.B. die Kostentragung des Access Providers), ist die Antwort (zumindest formell) wieder offen.

b. Abwägungsfragen

Trotz dieses engen Fokus zeigt das Urteil des EuGH doch deutlich, dass das Gericht aus unterschiedlichen Richtungen zu seinem Ergebnis gelangt ist. Zunächst sieht es Filterpflichten als Verstoß gegen das Verbot der allgemeinen Überwachungsplicht in Art. 15 E-Commerce-RL. Es weist dann darauf hin, dass der Schutz geistigen Eigentums nicht schrankenlos gewährleistet sei und daher mit gewissen Grenzen gewährt wird. Erst dann kommt die Erwägung, dass ein Filtersystem aufwändig und kostspielig sei und daher auch massiv in die Rechte der Access Provider eingreifen würde.

Zum anderen spielen nach der Auffassung des Gerichts die Grundrechte der betroffenen Kunden eine relevante Rolle.

Und letztlich bezieht das Gericht die Informationsfreiheit ein.

Nach Ansicht des Gerichts ist im Rahmen einer Abwägung dieser betrachteten Rechtspositionen eine Filterpflicht ein Verstoß gegen das “angemessene Gleichgewicht”.

c. Schlussfolgerungen

Die obige Aufzählung sollte vor allem verdeutlichen, dass es sich um eine relativ komplexe Abwägung handelt. Das Gericht geht  nicht im Einzelnen auf die Gewichtung der jeweiligen Rechtspositionen ein, sondern bleibt knapp und eher oberflächlich. Daraus kann man den Schluss ziehen, dass die (konkret gestellte) Frage für das Gericht sehr eindeutig und leicht zu beantworten war. Denn hätte das Gericht dem Schutz der Rechtsinhaber trotz Schranken einen höheren Stellenwert eingeräumt, wäre es auf das Verhältnis der einzelnen Rechtspositionen zueinander vermutlich viel näher eingegangen und hätte eine umfassende (Einzel-)Abwägung vorgenommen. Zählt man die Pro- und Contra-Punkte (wie oben dargestellt) durch, würde es 3:1 für ein Verbot von Filterpflichten stehen.

Für die Frage, ob ein sogenanntes Quick-Freeze (dazu s. LG München, Beschl. v. 20.8.2011 – 21 O 7841/11 und hier) zulässig wäre, hilft das Urteil aufgrund des engen Rahmens nicht unbedingt weiter. Die für eine solche Vorlagefrage abzuwägenden Rechte hat das Gericht allerdings klar herausgearbeitet.

d. Offene Netze

Das Gericht hatte vorliegend über einen “klassischen” Access Provider zu entscheiden. Das Konzept der offenen Netze hatte es vermutlich nicht vor Augen. Es dürfte allerdings kaum mehr in Frage gestellt werden, dass es sich beim Betreiber eines offenen Netzes um einen Access Provider handelt (Mantz, Rechtsfragen offener Netze, 2008, S. 49 mwN). Damit ist das Urteil des EuGH vollständig auf offene Netze anzuwenden.

Der Betreiber eines offenen Netzes kann schließlich auch all die vom Gericht angeführten Rechtspositionen für sich verbuchen, insbesondere Informationsfreiheit, Rechte seiner Kunden und last but not least die Kostenlast, die bei Mini-Netzwerken natürlich einen besonders starken Eingriff bedeuten würde. Diesen Grundsatz stellt schließlich auch die TKÜV auf, die Access Provider mit weniger als 10.000 Nutzern freistellt (s. zur alten Fassung der TKÜV Mantz, Rechtsfragen offener Netze, 2008, S. 61 f.).

Die Klarheit der Abwägung spricht letztlich auch dafür, dass bereits weniger stark eingreifende Pflichten zumindest bei kleinen Providern eher als unzulässig einzustufen sein können.

Für die Betreiber von offenen Netzwerken ist damit zumindest soweit die Vorlagefrage reicht, Rechtsklarheit geschaffen worden.

5. Exkurs: Personenbezug von IP-Adressen

Für einige Diskussion hat die Frage gesorgt, ob der EuGH im Urteil en passant die Frage beantwortet hat, ob IP-Adressen Personenbezug aufweisen.

a. Relativ oder absolut?

Zur Erinnerung: Nach § 3 Abs. 1 BDSG sind personenbezogene Daten “Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person”.

Dabei ist in Rechtsprechung und Literatur umstritten, ob IP-Adressen “per se” als personenbezogen zu betrachten sind (sogenannter “absoluter Personenbezug”) oder nur für denjenigen, der aufgrund des Zugriffs auf andere Daten, z.B. die Kundendatenbank eine Identifizierung vornehmen kann (sogenannter “relativer Personenbezug”), was zur Folge hätte, dass IP-Adressen für den Access Provider personenbezogen sind, für einen Dritten aber nicht. Die Diskussion hat vor allem in Deutschland aber teilweise keine so große Relevanz als über die Auskunftsansprüche der Enforcement-RL der Zugriff auf die zur Identifizierung nötigen Daten beim Access Provider unter geringen Voraussetzungen möglich ist, was die hunderttausendfach erteilten Auskunftsersuchen belegen.

b. Die Ausführungen des Gerichts

Im Urteil des EuGH spricht für einen absoluten Personenbezug (zunächst) der folgende Satz:

Zum einen steht nämlich fest, dass die Anordnung, das streitige Filtersystem einzurichten, eine systematische Prüfung aller Inhalte sowie die Sammlung und Identifizierung der IP-Adressen der Nutzer bedeuten würde, die die Sendung unzulässiger Inhalte in diesem Netz veranlasst haben, wobei es sich bei diesen Adressen um personenbezogene Daten handelt, da sie die genaue Identifizierung der Nutzer ermöglichen.

Die Diskussion mit Bezug auf das Urteil des EuGH (s. z.B. bei Rechtsanwalt Michael Seidlitz hier) stellt die Äußerung des EuGH in einen größeren Kontext und gestattet die Frage, ob der EuGH den Satz eventuell nur auf Nutzer des Access Providers Scarlet bezogen wissen wollte. Denn für diesen sind die Daten ohnehin (relativ) personenbezogen.

Der Generalanwalt des EuGH hatte diesbezüglich in seinem Schlussantrag formuliert (s. http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:62010C0070:DE:NOT):

75. Eine zweite Schwierigkeit besteht darin, zu bestimmen, ob es sich bei IP-Adressen um personenbezogene Daten handelt. Der Gerichtshof hatte sich bisher nur mit Fällen zu befassen, bei denen es um Daten ging, die mit IP-Adressen verbundene namentlich genannte Personen betrafen(56) . Er hatte hingegen noch nicht die Gelegenheit, zu prüfen, ob IP-Adressen als solche als personenbezogene Daten eingestuft werden können(57).

78. Somit können IP-Adressen als personenbezogene Daten eingestuft werden, soweit sich anhand ihrer eine Person identifizieren lässt, durch Verweis auf eine Kennung oder irgendein anderes Merkmal, das die Person kennzeichnet(63).

Vor diesem Hintergrund kann man zumindest davon ausgehen, dass der EuGH sich des Streits um den Personenbezug bewusst war, als er die Gründe formulierte.

Es stellt sich zunächst die Frage, welchen Bezugspunkt der EuGH hier verwendet hat. Er spricht von der Identifizierung derjenigen Nutzer, “die die Sendung unzulässiger Inhalte in diesem Netz veranlasst haben”. “In diesem Netz”, das ist das Netz des Access Providers Scarlet. In einem Filesharing-Netzwerk gibt es eine Vielzahl von Personen, die an der Übertragung teilnehmen. Beschränkt man dies gedanklich auf Quelle und Senke, sind beides Nutzer, die die Sendung “veranlasst haben”, unabhängig davon, welcher von beiden im Netz des Betreibers ist. Es könnte allerdings mehr dafür sprechen, dass der EuGH den Nutzer im Netz von Scarlet meinte, denn nur er kann dafür sorgen, dass der Filesharing-Verkehr tatsächlich im Netz von Scarlet landet – er wäre daher der “Veranlasser”.

Allerdings hätte der EuGH vor diesem Hintergrund zum Personenbezug im Grunde keinen Ton verlieren müssen. Denn dass Scarlet seine Nutzer zu jedem Zeitpunkt identifizieren kann, stand und steht außer Frage. Dafür werden nicht einmal die IP-Adressen benötigt. Im System von Scarlet erfolgt eine solche Identifizierung vermutlich viel eher über die Anschlussnummer oder sogar eine weiter Identifikationsnummer. Insofern könnte es sich auch eine gewollte Klarstellung durch den EuGH in Richtung eines absoluten Personenbezugs handeln.

Man sollte weiter nicht übersehen, dass der EuGH seine Ausführungen auf den ersten Blick offen formuliert hat. Die Argumentationslast dafür, dass das Urteil des EuGH nicht für die Theorie des absoluten Personenbezugs spricht, liegt daher auf Seiten der Vertreter der (engeren) relativen Theorie.

Das OLG Köln hat in einem Filesharing-Verfahren einen interessanten Hinweisbeschluss im Hinblick auf die Berechnung der Höhe des Schadensersatzanspruchs bei Filesharing von Musik erlassen (OLG Köln, Beschluss vom 30. September 2011 – 6 U 67/11, Volltext hier ).

Zum Hinweis:

Das Gericht sieht im konkreten Fall den Anspruch als grundsätzlich begründet an und erteilt Hinweise an die Klägerin, dass das Gericht für die Schätzung des Schadens nach § 287 ZPO noch weitere Belege benötigt.

Das Gericht hält an der Praxis fest, sich zur Schätzung an Tarifen der GEMA zu orientieren. Dabei geht es aber nicht – wie von der Klägerin gewünscht – vom Tarif „VR W I“ aus, der einen Mindestsatz von 100,- EUR enthält, also in einer Schätzung von mindestens 100,- EUR pro angebotenem Lied resultiert. Dieser Tarif betrifft jedoch nur „Hintergrundmusik im Bereich der Werbung, die im Wege des Streaming zur Verfügung gestellt wird.“ Dem Gericht ist daher darin zuzustimmen, dass dies für den Download von Musikdateien nicht passt.

Stattdessen sieht das Gericht den Tarif „VR-OD 5“ als einschlägig an, der rund 0,13 EUR pro tatsächlichem Download eines Musikstücks vorsieht, für ein Album also runde 1,50 EUR pro Zugriff (je nach Anzahl der Lieder, insb. bei Chart-Containern entsprechend mehr).

Da es in diesem Tarif keine Mindestgebühr gibt, benötigt das Gericht nähere Angaben zu den Zugriffszahlen. Zu diesen muss die Klägerin nun näher vortragen.

Bemerkenswert ist letztlich noch die Ansicht des Gerichts im Hinblick darauf, dass diejenigen, die das Musikstück herunterladen, es gleichzeitig (und möglicherweise zukünftig) an Dritte weiterverteilen:

Es wird darin weiter folgendes zu berücksichtigten sein. Das Einstellen der Titel in die Tauschbörse hat zwar – wie die Klägerinnen im Ausgangspunkt zutreffend vortragen – einer unübersehbaren Anzahl Beteiligter den Zugriff auf diese ermöglicht, es bestehen aber auch gegen all jene (soweit schuldhaft handelnden) weiteren unberechtigten Nutzer wiederum Schadensersatzansprüche. Eine – aus diesem Grunde zumindest theoretisch möglich erscheinende – vielfache Geltendmachung desselben Schadens ohne Anrechnung der schon erfolgten Ersatzleistung eines der Schädiger dürfte im Ansatz unberechtigt sein. Auch dieser Gesichtspunkt spricht im Übrigen gegen die Zugrundelegung des von den Klägerinnen favorisieiten GEMA-Tarifes, weil dieser ohne weiteres bis zu 10.000 Zugriffe zugrunde legt.

 Welche Folgen hat dies  für Filesharing-Verfahren?

Zunächst müssen Rechteinhaber nun näher zu typischen Download-Zahlen vortragen. Dementsprechende Studien dürften schon in Auftrag gegeben sein. Es wird interessant sein, ob alternative/unabhängige Studien durchgeführt werden werden. Voneinander abweichende Ergebnisse sind zu erwarten. Viel Stoff für weitere Diskussion also. Das Gericht kann allerdings auch bei abweichenden Zahlen nach § 287 ZPO schätzen (z.B. Mittelwert).

Zudem ist auch in diesem Zusammenhang zu fragen, ob in den Studien bzw. dem zu erwartenden Vortrag die bei Filesharing typische Technik Berücksichtigung findet. Denn beim Filesharing wird ein Musikstück nicht nur von einer Quelle runtergeladen, sondern in kleinen Blöcken von einer Vielzahl von Quellen. Ein „Zugriff“ ist daher noch kein „Download“. Im Gegenteil: Wenn jeder Zugriff als ein Download gerechnet würde, dann erhielte die Klägerin (die Schadensersatzansprüche gegen Dritte eingerechnet) pro „vollem Download“ ein Vielfaches der ca. 0,13 EUR. Entpsrechende Studien sollten daher nicht nur die „Zugriffe“ zählen, sondern auch messen, von wie vielen Quellen ein Musikstück im Durchschnitt heruntergeladen wird. Diese Anzahl ist bei der Berechnung der „Downloads“ zu berücksichtigen.

Zusätzlich kommt eine weitere Tatsachenfrage (und damit ein weiterer Einwand für den jeweiligen Beklagten) hinzu: Die Anzahl der Downloads ist immer abhängig von der Länge des Zeitraums, in dem das Musikstück zum Download angeboten wird. Bisher belegen die Rechteinhaber mittels Zeitpunkt und Hash-Key jedoch nur, dass überhaupt ein Angebot des Musikstücks von der fraglichen IP-Adresse vorlegen hat. In Zukunft müssten sie zusätzlich eine Zeitspanne angeben und belegen (z.B. „Unter der IP-Adresse A wurde das Musikstück M (Hash-Wert H) mindestens im Zeitraum t1 bis t2 angeboten. Beweis: Angebot des Musikstücks M von der IP-Adresse A zum Zeitpunkt t1 und Angebot zum Zeitpunkt t2).

 

Das OLG Köln hat dadurch ein spannendes weiteres Kapitel für Diskussionen geöffnet.

 

heise-online berichtet über eine US-Studie, in der Wahrnehmung und Wirklichkeit der Sicherheit von WLAN-Netzen untersucht wurde: http://www.heise.de/newsticker/meldung/US-Studie-WLAN-Nutzer-ueberschaetzen-die-eigene-Sicherheit-1359025.html

Und hier der direkte Link zur Pressemitteilung über die Studie: http://www.wi-fi.org/news_articles.php?f=media_news&news_id=1085

Die Gruppe Freifunk Frankfurt trifft sich morgen, Samstag 24.9.2011, ab 19h zum ersten Mal.

S. hier und die neue, geänderte Location hier.

Wie heise-security meldet, sind viele voreingestellte WPA-Passwörter in WLAN-Routern unsicher.

Das ist grundsätzlich nichts Neues (s. dazu schon hier). Allerdings haben zwei Studenten nun weitere Details herausgefunden.

So leiten einige Hersteller, z.B. die Telekom bei ihrem Router W-700V ) das Passwort von der MAC-Adresse ab, die bei Broadcast-Nachrichten des Routers veröffentlicht wird.

So beginnt etwa der voreingestellte WPA-Key des Modells Speedport W 700V der Telekom-Hausmarke Speedport immer mit “SP-”, gefolgt von neun hexadezimalen Ziffern. Fünf davon lassen sich aus dem ebenfalls voreingestellten WLAN-Namen (SSID) und der MAC-Adresse der WLAN-Schnittstelle ableiten. Von den restlichen vier Stellen sind zwei stets gleich, sodass ein Angreifer insgesamt nur drei Stellen des WPA-Keys selbst erraten muss. Da nur hexadezimale Ziffern erlaubt sind, reduziert sich der Schlüsselraum auf 16 hoch 3, also 4096 Schlüssel.

Nun haben zwei Studenten ein Reverse-Engineering der Speedport-Firmware herausgefunden, dass zusätzlich drei Stellen der Seriennummer bei der Generierung der Seriennummer verwendet werden. Außerdem ist eine Stelle der Seriennummer fast immer eine 3. Im Ergebnis reduziere dies die Anzahl der möglichen Schlüssel auf 100. Das führt selbstverständlich zu einer erheblichen Unsicherheit des Netzwerks gegenüber Attacken.

Im Test konnten sie sich an einem Speedport W700V schon nach weniger als 4 Minuten anmelden. Betroffen sind nach Untersuchungen von Müller und Viehböck auch Speedport-Modelle W 303V (Typ A), W 500, W 502V, W 503V (Typ C) , W 504V, W 720V, W 722V (Typ B) und W 723V (Typ B).

Obwohl das Problem bereits seit rund einem Jahr bekannt ist (s. dazu hier), scheinen viele Besitzer dieser Router noch immer auf das alte Kennwort zu setzen:

 Müller und Viehböck haben bei Flächentests die Probe aufs Exempel gemacht. Bei der Überprüfung von knapp 14.000 Access Points in Stuttgart, München, Coburg und Berlin fanden die beiden heraus, dass zwischen 17 und 25 Prozent noch auf eine Speedport- oder Easybox-Standard-SSID eingestellt waren.

Der BGH hatte in seinem Urteil “Sommer unseres Lebens” (BGH MMR 2010, 568 m. Anm. Mantz) vom Inhaber eines WLAN-Routers verlangt, dass er das Standard-Kennwort neu setzt. Dass der damalige Beklagte dies bei seinem WLAN-Router nicht gemacht hatte, sah der BGH als Verletzung seiner Prüfungs- und Überwachungspflichten an und verurteilte den Beklagten nach den Grundsätzen der Störerhaftung. Dies ist vielfach auf Kritik gestoßen. Denn der vom Beklagten verwendete WLAN-Router war ein Router der Marke AVM, der nach Aussagen des Herstellers mit einem vollständig zufälligen und damit vermutlich sicheren Standard-Passwort versehen war (s. dazu hier).

Mit Blick auf die größere Anzahl schlecht vorkonfigurierter WLAN-Router (auch wenn es sich bisher nur um diejenigen des Herstellers Arcadyan handelt), stellt sich das Urteil des BGH im Nachhinein als zumindest nachvollziehbar heraus. Streng genommen hätte der BGH (entsprechenden Vortrag und Beweisangebot der Parteien vorausgesetzt) allerdings klären müssen, ob der WLAN-Router des Beklagten tatsächlich unsicher war.

Es ist vor diesem Hintergrund allerdings allen Besitzern von WLAN-Routern zu raten, das Standardkennwort abzuändern. Dafür ist eine zufällige Folge mit mind. 20 Zeichen empfehlenswert, wie sie sich z.B. bei http://www.freepasswordgenerator.com generieren lässt.

 

S. auch:

• WLAN-Router: Voreingestellte WPA-Passwörter teilweise zu unsicher
• Das WLAN-Urteil des BGH und seine Auswirkungen auf offene Netze

Das LG Berlin hat als erstes Gericht in Deutschland eine Entscheidung zur Wirksamkeit der Creative Commons-Lizenz gefällt (LG Berlin, Beschl. v. 8.10.2010 – 16 O 458/10, Volltext bei ifross.org).

In dem einstweiligen Verfügungsverfahren hatte der Antragsgegner ein Foto, das unter der Creative Commons-Lizenz “Attribution ShareAlike 3.0 Unported” (Lizenztext hier) stand, ohne entsprechende Urhebernennung und Hinweis auf den Lizenztext auf einer Webseite verwendet.

Das Gericht befand dazu:

Da der Antragsgegner das Foto in seiner Internetseite unter Verletzung der genannten Lizenzbedingungen einstellte, handelte es sich um eine nicht von einer Genehmigung der Antragstellerin gedeckte und damit im Sinne des § 97 Abs. 1 UrhG widerrechtliche Verwendung.

Der Unterlassungstenor lautet dementsprechend:

… wird untersagt, die folgende Fotografie zu vervielfältigen und/oder öffentlich zugänglich zu machen, ohne dass entsprechend den Lizenzbedingungen der Creative Commons-Lizenz “Attribution ShareAlike 3.0 Unported” eine Urhebernennung erfolgt und der Lizenztext oder dessen vollständige Internetadresse in Form des Unified-Resource-Identifiers beigefügt wird.

(Unterstreichung durch Verfasser)

Mit dem Beschluss liegt die erste gerichtliche Entscheidung für CC-Lizenzen in Deutschland vor. Ein vorheriges Verfahren vor dem AG Berlin war vergleichsweise beigelegt worden (dazu hier). Bisher lagen Urteile in Deutschland nur zu den teilweise sehr ähnlichen Klauseln der GPL vor (LG München I MMR 2004, 693; LG Frankfurt a.M. CR 2006, 729; LG Berlin CR 2006, 735; LG München I, Urt. v. 24.7.2007 – 7 O 5245/07). Im Ausland gab es schon eine Reihe Entscheidungen zur Wirksamkeit von Creative Commons-Lizenzen, s. dazu Mantz, Creative Commons-Lizenzen im Spiegel internationaler Gerichtsverfahren, GRUR Int. 2008, 20, außerdem hier.

Meines Erachtens sind drei Dinge an dem (ansonsten sehr kurzen) Beschluss beachtlich:

1. Das Gericht hat – sogar für ein Verfügungsverfahren eher untypisch – mit Ausnahme des oben zitierten Satzes praktisch keine rechtlichen Ausführungen gemacht. Für das Gericht stand daher ganz offensichtlich außer Frage, dass die Creative Commons-Lizenz wirksam vereinbart worden und für sich wirksam sind. Die Lizenzbedingungen sind dementsprechend einzuhalten.

2. Weiter hat sich das Gericht – ohne dies explizit zu betonen – offenbar der herrschenden Meinung zur GPL (s.o.) angeschlossen, dass die in der Lizenz vereinbarte auflösende Bedingung ebenfalls wirksam ist. Nach dieser Bedingung entfällt die Berechtigung zur Verwendung des Werks bei Verstoß gegen die Lizenzbedingungen. Da das Gericht eine Verletzung von § 97 UrhG angenommen hat, weist es den Anforderungen der Creative Commons-Lizenz daher nicht nur schuldrechtliche Wirkung zu.

3. Letztlich ist spannend, dass das Gericht über eine “unported”-Version der Lizenzbedingungen zu befinden hatte. Diese ist an die speziellen deutschen rechtlichen Anforderungen nicht angepasst. Dennoch sind auch diese Lizenzbedingungen offenbar wirksam.

 

Der Beschluss wird auch auf iFrOSS.org besprochen. Vielen Dank für den Hinweis zum Beschluss an Dr. Till Jaeger.

S. auch:

• Was wurde eigentlich aus …? Creative Commons-Klage: Chang vs. Virgin Mobile
• Belgisches Gericht zur Wirksamkeit und Schadensersatz bei Verletzung von Creative Commons-Lizenzen

Das LG Stuttgart hat mit Urteil vom 28. Juni 2011 (Az. 17 O 39/11, Volltext hier) einen Beispielsfall behandelt, wie ein Abgemahnter der vom BGH im Urteil “Sommer unseres Lebens” (BGH MMR 2010, 565) postulierten sekundären Darlegungslast nachkommen kann. Diese Darlegungslast soll nach dem BGH bestehen, wenn der Rechtsinhaber belegen kann, dass von der IP-Adresse des Abgemahnten ein konkretes Werk heruntergeladen wurde.

Aus dem Tatbestand:

Im Auftrag der Klägerinnen ermittelte die p…M… GmbH, ein Dienstleister …  insgesamt 253 Audiodateien unter der IP-Nr. 84.157…  Sie erstattete deswegen am 02.11.2006 Strafantrag gegen unbekannt. Aufgrund Auskunftsersuchens der Staatsanwaltschaft Köln erteilte die D… T… AG am 06.12.2006 die Auskunft, dass in dem fraglichen Zeitraum die festgestellte IP-Nr. den Bekl. zugeordnet war. Das Ermittlungsverfahren wurde daraufhin an die Staatsanwaltschaft R… abgegeben. … Im Zuge der Ermittlungen wegen dieser vier Ermittlungsvorgänge suchte am 04.07.2007 ein Mitarbeiter der Kriminalpolizei S… den Haushalt der Bekl. auf und traf dort die Bekl. sowie deren fünfzehnjährige Tochter … an. … Die Kriminalpolizei stellte bei ihrer Überprüfung am 04.07.2007 fest, dass sich in der Wohnung lediglich ein PC befand, der von allen vier Familienmitgliedern genutzt wurde. Die nähere Untersuchung des PCs wurde der Polizei gestattet. KOK … stellte fest, dass auf dem Rechner kein File-Sharing-Programm, insbesondere nicht das Programm “Bearshare” installiert war und er konnte auch keine verdächtigen Audiodateien feststellen. Die Kriminalpolizei vermochte nicht zu ermitteln, wer zu den festgestellten Zeitpunkten die Audiodateien im Internet zum Download angeboten hatte.

Aus den Gründen:

3. Die Bekl. sind ihrer sekundären Darlegungslast nachgekommen, indem sie geltend gemacht haben, mit den Rechtsverletzungen nichts zu tun zu haben, auf ihrem PC befinde sich kein Fllesharing-Proqramm und sie besäßen auch die angeblich zum Download bereit gestellten Audiodateien nicht. Darüber hinaus sei ihr WLAN-Router ausreichend gesichert. Diese Behauptungen der Bekl. werden gestützt durch die Feststellungen der Kriminalpolizei. Tatsächlich überprüfte die Kripo den PC der Bekl. zu einem Zeitpunkt, als diese von den im Auftrag der Klägerinnen durchgeführten Ermittlungen noch keine Kenntnis erlangt haben konnten. Anlässlich der Vernehmung vom 04.07.2007 der Bekl. in ihrer Wohnung gestatteten diese der Polizei bereitwillig die überprüfung ihres PC, ohne dass diese fündig geworden ist. Soweit aus den Akten ersichtlich waren die Bekl. zum Zeitpunkt dieser Vernehmung in keiner Weise vorgewarnt, da die Klägerinnen sich erstmals durch die Abmahnung der Klägervertreter vom 17.07.2008 – also etwa ein Jahr später – an sie wandten. Der Besuch der Kripo war für sie daher überraschend, sie hatten damals keinen Anlass, ein etwa verwendetes Filesharing-Programm und die gespeicherten Audiodateien zu löschen.

4. Generell entstehen einer Partei erhebliche Beweisprobleme, wenn sie Umstände beweisen muss, die zu dem ihren Blicken entzogenen Bereich des Prozessgegners gehören. Gleichwohl verbietet sich eine prozessuale Aufklärungspflicht der nicht beweisbelasteten Partei, da generell keine Partei verpflichtet ist, dem Gegner die für den Prozesssieg benötigten Informationen zu verschaffen. Mehr als eine Modifizierung der Darlegungslast – wie sie der BGH für den Anschlussinhaber vorsieht – verbietet sich, da andernfalls der Grundrechtsschutz des Prozessgegners über Gebühr beeinträchtigt wird (Greger in Zöller ZPO 28. Aufl., Vor § 284 Rn. 17, 34).

Die Beklagten haben sich vorliegend nicht darauf beschränkt, die Rechtsverletzung zu bestreiten, sie haben vielmehr zu den Vorwürfen substantiiert Stellung genommen und außerdem – ohne dazu verpflichtet zu sein – eine überraschende Nachschau durch den Polizeibeamten ermöglicht. Dieses Verhalten spricht dafür, dass die Bekl. nichts zu verbergen hatten und durch ihr Verhalten gerade zur Aufklärung beitragen wollten um sich zu entlasten und ihrerseits zu “beweisen”, dass die im Raum stehenden Vorwürfe unberechtigt sind.

Zwar ist der Umstand, dass der Anschluss der Beklagten mehrfach im Zusammenhang mit Rechtsverletzungen ermittelt wurde, ein weiteres, erhebliches Indiz dafür, dass die Behauptung der Klägerinnen zutreffend ist, andererseits haben die Bekl. durch den negativen Befund auf ihrem Rechner die Vermutung der Rechtsverletzung entkräftet. Es verbleibt daher bei der Beweislast der Klägerinnen für die Behauptung, dass die Beklagten die streitgegenständlichen Rechtsverletzungen begangen haben. Der Beweis hierfür lässt sich weder durch eine Vernehmung der mit der Ermittlung seinerzeit befassten Zeugen und auch nicht durch ein Sachverständigengutachten zur Richtigkeit und zur Aussagekraft dieser Ermittlungsergebnisse erbringen, da durch diese Beweismittel nicht festgestellt werden kann, ob die Auskunft der Telekom vom 06.12.2006 zutreffend war. Solange nicht bewiesen ist, dass die fragliche IP-Adresse während des gesamten festgestellten Downloadvorgangs den Beklagten zugeordnet war, der hier immerhin ca. 7 1/2 Minuten dauerte, steht die Verantwortlichkeit der Beklagten nicht fest.

Bewertung

Der Sachverhalt ist für aktuelle Fälle eher untypisch. Mit Einführung der Auskunftsansprüche nach der sog. Enforcement-Richtlinie u.a. in § 101 UrhG können Rechtsinhaber ohne den Umweg über die Staatsanwaltschaft Auskunft über die hinter einer IP-Adresse stehenden mutmaßlichen Verletzer erlangen (s. dazu Mantz, Die Rechtsprechung zum neuen Auskunftsanspruch nach § 101 UrhG, K&R 2010, 21; Übersicht über die aktuelle Rechtsprechung sowie Literatur hier). Im Jahre 2007 war dieser Umweg über die Staatsanwaltschaft aber noch der gängige Weg.

Aus diesem Grunde bekam der Beklagte Besuch von der Polizei, die die Filesharing-Software aber nicht auf dem Computer des Beklagten feststellen konnte. Dies war letztlich das Argument, das das Gericht überzeugte.

Heutzutage ist dieser “Gegenbeweis” deutlich schwerer zu führen, da die Staatsanwaltschaft nicht mehr eingeschaltet wird, und die Polizei daher nicht mehr ermittelt. Die Gerichte tendieren weiter dazu, Beklagtenvortrag als Schutzbehauptungen zu werten. Insoweit lässt sich dem Urteil des LG Stuttgart auch über den Spezialfall hinweg etwas abgewinnen. Denn das LG Stuttgart stellt ganz klar fest, dass die Beweislast beim Kläger verbleibt. Eine Umkehr der Beweislast darf nicht erfolgen.

Abgemahnte müssen dementsprechend möglichst genau diejenigen Tatsachen (belegbar) vortragen, aus denen sich ergibt, dass sie nicht der Täter gewesen sein können. Dies kann z.B. Urlaub, arbeitsbedingte Abwesenheit etc. sein, wobei der Vortrag dann immer auch durch die Darlegung der entsprechenden Sicherungsmaßnahmen komplettiert werden muss. Auch diese Anforderungen sind noch immer sehr hoch. Die Gerichte verkennen, dass dem Beklagten durch die Rechtsprechung des BGH die Darlegung einer Negativtatsache auferlegt wird, denn er muss belegen, dass ein bestimmer Vorgang *nicht* stattgefunden hat.

Links

• Eine Darstellung des Urteils findet sich bei RA Riegger.
• Kurzer Kommentar von RA Stadler