Archiv der Kategorie: Aktuelles

Rezension: Birkert, Rechtsfragen bei der Öffnung lokaler Internetzugänge, 1. Aufl. 2015

Schon viel zu lange – und zu Unrecht – wartet die Dissertation mit dem Titel „Rechtsfragen bei der Öffnung lokaler Internetzugänge“ von Dr. Clemens Birkert auf meine Rezension. Dabei handelt es sich um eine spannende Lektüre, die sich detailreich und tiefgehend mit dem Rechtsverhältnis zwischen dem Anschlussinhaber als Anbieter eines WLAN-Hotspots, seinem Access Provider i.e.S. und den Nutzern befasst.

Übersicht

Die Arbeit, die als Dissertation bei Prof. Paal an der Universität Freiburg entstanden ist, ist in insgesamt fünf Teile gegliedert. Der erste Teil führt in die Thematik und die Fragestellungen ein. Im zweiten Teil werden technische, soziale und ökonomische Grundlagen des Internet aufgearbeitet. Hier legt Birkert auch die Grundsteine der Arbeit, indem er die beteiligten Personen und deren Rollen vorstellt. Als ein Grundproblem der rechtlichen Bewertung wird die Identifizierung der Beteiligten beschrieben. Dieses zieht sich auch durch die nachfolgenden Erörterungen. Im dritten Teil geht es um das Rechtsverhältnis zwischen Anschlussinhaber und Nutzer, der vierte Teil zeigt die Grenzen der Rechtsgestaltung, insbesondere im Zusammenhang mit Allgemeinen Geschäftsbedingungen, Daten- und Kundenschutz auf und geht auf hierfür relevante rechtliche Vorgaben mit mittelbarer Auswirkung auf die Rechtsgestaltung ein. Der fünfte Teil enthält eine zusammenfasssende Bewertung und einen Ausblick.

Inhalt

Zunächst werden die erforderlichen Grundlagen vorgestellt. Dabei definiert Birkert auf S. 47 ff. der Arbeit zunächst den „Access Provider im engeren Sinne“ und den „Access Provider im weiteren Sinne“. Dies ist für das spätere Verständnis der Ausführungen hilfreich. In der Literatur wird insoweit häufig auch vom „klassischen Access Provider“ im Gegensatz zum „nicht-klassischen Access Provider“ gesprochen. Der „Access Provider im engeren Sinne“ ist nach Birkert derjenige, der dem Anschlussinhaber die Kommunikation mit anderen Rechnern ermöglicht, wobei er auch auf die Einzelheiten der Praxis (Peering-Verträge, dark fibre etc.) eingeht. Der „Access Provider im weiteren Sinne“ ist im Gegensatz dazu der Anschlussinhaber, der beispielsweise über ein offenes WLAN Dritten einen Zugang zum Netz ermöglicht, selbst aber über keine eigenständige Infrastruktur verfügt. Im Ergebnis unterscheidet Birkert sogar drei Stufen (wobei für die nachfolgende Betrachtung nur die genannte Unterscheidung relevant ist), nämlich den „primären Access Provider“, der über ein eigenes Backbone-Netz verfügt, den „einfachen Access Provider“, der sich der Leitungen anderer bedient und dann den Anschlussinhaber, der Datenpakete an den primären oder einfachen Access Provider übergibt.

Lesenswert ist in der Folge auch die genaue Darstellung der (Pseudo-)Anonymität zwischen den Beteiligten (S. 58 ff.), die das jeweilige Verhältnis (Access Provider i.e.S – Anschlussinhaber, Anschlussinhaber – Zugangsgerät etc.) auch die zu erwartenden Auswirkungen von IPv6 hierauf erläutert.

Ein Kern der Arbeit ist die Herausarbeitung des Rechtsverhältnisses zwischen Anschlussinhaber und Nutzer. Ab S. 101 geht der Autor auf den Vertragsschluss und die zugrundeliegende Abgabe von Willenserklärungen und deren Auslegung ein. Da viele Vorgänge beim Einloggen in einen WLAN-Hotspot (halb-)automatisch geschehen, ist hier aus der rechtsanalytischen Perspektive besonderes Augenmerk erforderlich. Die Auslegung kann im Einzelfall interessant und schwierig sein, Birkert befasst sich insoweit auch mit dem Rechtsbindungswillen der Beteiligten – insbesondere in Abgrenzung zu Gefälligkeitsverhältnissen –, den Folgen verschiedener (häufig technisch bedingter) Konstellationen sowie mit dem Einfluss von Pseudonymität und Anonymität auf die Auslegung der Willenserklärungen, dem Einfluss von expliziten Regelungen zwischen den Parteien, der Bezeichnung eines WLAN-Hotspots (SSID) etc. Ein Element dieser Abwägung ist, ob der Access Provider (i.w.S.) für die Zugangsgewährung eine Gegenleistung erwartet. Dabei sieht Birkert – zu Recht – die (Duldung der) Einblendung von Werbung ebenso wie die geforderte Einwilligung zur Erhebung von Daten als berücksichtigungsfähiges Entgelt (S. 143, 150). Ab S. 170 geht der Autor dann explizit auf die Besonderheiten bei WLANs ein.

Spannend fand ich auch die Frage nach der Geltung der familienrechtlichen Sonderregelung des § 1357 BGB, ob also der Ehe- oder Lebenspartner für den anderen bei Abschluss eines Internetvertrages ohne ausdrückliche Vollmacht handeln kann, weil der Internetzugang zur angemessenen Deckung des Lebensbedarfs gehört, was Birkert – BGH und OLG Köln folgend – bejaht.

Einen weiteren interessanten Gesichtspunkt stellen die Leistungspflichten des Access Provider i.w.S. dar. Ab S. 131 behandelt Birkert den „unbeschränkten Internetzugang als Vertragsinhalt“, also die Frage, ob der Internetzugang auf bestimmte Dienste eingeschränkt sein darf (s. dazu auch Mantz/Sassenberg, CR 2015, 29). Zu Recht stellt Birkert heraus, dass das WWW nur einen kleinen Teilbereich des Internet abdeckt. Im Grundsatz sieht er insgesamt eine Pflicht zur Zugangsgewährung ohne inhaltliche Sperren. Die gezielte Sperre von rechtswidrigen Links behandelt er dabei nicht als Verletzung einer Hauptleistungspflicht. Die Zugangsgewährung zu „rein rechtswidrigen Einzelinhalten“ sei nicht geschuldet. Vor dem Hintergrund der aktuellen BGH-Entscheidungen „Goldesel“ und „3dl.am“ (BGH, Urt. v. 26.11.2015 – I ZR 3/14, I ZR 74/14), die Access Providern im Einzelfall die Sperrung von Webseiten auferlegt, ist diese Auffassung folgerichtig.

Bei kostenlos bzw. ohne Gegenleistung zur Verfügung gestellten Internetzugängen sind nach Birkert auch weiter reichende Einschränkungen zulässig, da die Erwartungshaltung des Nutzers hier eine andere sei.

Ab S. 276 analysiert der Autor dann eingehend (und praxisrelevant) die Wirksamkeit von Klauseln, durch die Leistungen eingeschränkt oder begrenzt werden. Eine allgemeingültige Formel zur Beurteilung ist hier schwierig. Dementsprechend werden anschaulich typische Einzelfälle (z.B. VoiIP im Restaurant) geschildert und exemplarisch Klauseln (Haftungsausschlüsse, datenschutzrechtliche Einwilligung, Sperrung von Nutzern, etc.) untersucht.

Sehr interessant ist insoweit auch die Frage, inwieweit (und wie) der Access Provider i.w.S. bei entgeltlicher Zugangsgewährung die zur Verfügung gestellte Bandbreite beschränken kann. Im Zusammenhang mit der vertraglichen Einordnung (Werkvertrag/Dienstvertrag/Mietvertrag/Pachtvertrag) geht Birkert intensiv auch auf die „Bis-zu-Problematik“ ein und arbeitet den Einfluss des TKG und die einschlägige Rechtsprechung und Literatur auf (S. 214 ff.). Er sieht hierbei auch angesichts der technischen Hintergründe das Erreichen eines Mindestniveaus als ausreichend an. Im Ergebnis bestehen nach seiner Auffassung bei der dogmatischen Einordnung zu große Unterschiede sowohl zu Werk- als auch zu Dienstverträgen. Er plädiert daher für die Annahme eines atypischen Vertrages in Form eines typengemischen Vertrages (S. 226 ff.).

Lesenswert sind weiter die Ausführungen zu den Sondervorschriften für Verbraucherverträge (S. 298 ff.), die im Einzelfall aufgrund der technischen Gegebenheiten nur schwer realisierbar sein können. Birkert stellt hier u.a. die Verbraucherschutzregeln zu Fernabsatzverträgen dar und geht auf Informationspflichten und auf das neue „Button-Erfordernis“ nach § 312j Abs. 3 BGB ein.

Ab S. 313 behandelt der Autor dann den Einfluss (und die Abgrenzung) von TKG und TMG und beantwortet die Frage, ob der Anbieter eines Internetzugangs „Diensteanbieter“ im Sinne der jeweiligen Normen ist. Er legt zudem auch dar, dass das unbewusste (versehentliche) Angebot eines Internetzugangs vom TMG möglicherweise nicht erfasst ist, was durch eine Analogie oder weite Auslegung von § 2 TMG gelöst werden könne. Hier spricht sich Birkert im Ergebnis für eine analoge Anwendung allein der §§ 7 ff. TMG aus.

Die Arbeit geht anschließend auf die datenschutzrechtlichen Gegebenheiten aus TKG und BDSG (sowie – aufgrund des engen Anwendungsbereichs weniger von Bedeutung – aus dem TMG) inklusive des Personenbezugs von Daten, gesetzlichen Erlaubnisnormen in diesem Zusammenhang sowie den Anforderungen einer eventuell erforderlichen Einwilligung ein (S. 350 ff.). Hierbei wird jeweils konkret der technische Sachverhalt berücksichtigt.

Weiter werden die bereichsspezifischen Kundenschutzvorschriften insbesondere des TKG erörtert.

In einem weiteren Teil erläutert Birkert rechtliche Vorgaben mit mittelbarer Auswirkung, namentlich die Vorgaben zur öffentlichen Sicherheit des TKG, wettbewerbsrechtliche Fragestellungen, Gewerberecht und Jugendschutz sowie Computerkriminalität und rundet seine Darstellung damit erfolgreich ab..

Formelles

Die Arbeit ist in der Schriftenreihe zum Medien- und Informationsrecht erschienen. Das Inhaltsverzeichnis ermöglicht das schnelle Auffinden einzelner Problemkomplexe, die jeweils präzise und leicht verständlich dargestellt sind. Birkert hat an Nachweisen nicht gespart und kommt auf die beeindruckende Zahl von über 2.500 Fußnoten, was hier nur am Rande erwähnt sei.

Fazit

Die Arbeit analysiert mit einer beachtlichen Tiefe das Verhältnis des Anschlussinhabers zu (seinem) Telekommunikationsdiensteanbieter und zu den Nutzern sowie alle damit zusammenhängenden rechtlichen Fragestellungen. Insgesamt handelt es sich um eine ohne Einschränkung empfehlenswerte Lektüre für die (nicht nur vertragsrechtliche) Bewertung der Rechtslage bei der Bereitstellung öffentlicher Internetzugänge.

 

  • Dr. Clemens Birkert, Rechtsfragen bei der Öffnung lokaler Internetzugänge, 1. Aufl. 2015
  • Zugleich Dissertation der Universität Freiburg
  • 504 S., 119,- €
  • ISBN 978-3-8487-2310-2

Ankündigung: 6. Jahres-Update Urheber- und Medienrecht 2015, 4./5.12.2015

In eigener Sache:

Am Freitag und Samstag, den 4./5.12.2015, findet in Frankfurt am Main die Fortbildungsveranstaltung „6. Jahres-Update Urheber- und Medienrecht 2015 statt. Dabei werden u.a. die aktuellen Entwicklungen aus den Bereichen politische Entwicklung, Persönlichkeits- und Presserecht, Urheberrecht, Prozessrecht, Haftung im Internet und Urhebervertragsrecht vorgestellt. Zusätzlich werden Rechtsprobleme rund um Verwertungsgesellschaften und Jugendmedienschutz behandelt. Es handelt sich um eine Fortbildungsveranstaltung nach § 15 FAO für Urheber- und Medienrecht (15 Stunden).

Das Programm (die Reihenfolge ist noch nicht final):

Fr. 04.12.2015:  10.00 – 19.00 Uhr

Urheber- und Medienrecht – Politische Entwicklungen, Prof. Dr. phil. Christian Sprang, Rechtsanwalt und Mediator, Justiziar des Börsenvereins des Deutschen Buchhandels, Frankfurt am Main

 Jugendmedienschutz, Marco Erler, Rechtsanwalt, Fachanwalt für Urheber- und Medienrecht, LAUSEN Rechtsanwälte, Köln

 „Verwertungsgesellschaften“ / GEMA, Dr. Tobias Holzmüller, Rechtsanwalt, Justiziar, Leiter der Rechtsabteilung der GEMA, Berlin

 Persönlichkeits- und Presserecht, Prof. Dr. Christian Russ, Rechtsanwalt und Notar, Fuhrmann Wallenfels, Wiesbaden, Lehrbeauftragter im Bereich des Urheber- und Medienrechts an der Johannes-Gutenberg-Universität in Mainz, Vorsitzendes Mitglied im Fachausschuss der Rechtsanwaltskammer Frankfurt

Sa. 05.12.2015: 09.00 – 18.00 Uhr       

 Urheberrecht, Götz Schneider-Rothhaar, Rechtsanwalt, Fachanwalt für Urheber- und Medienrecht, Fuhrmann Wallenfels, Frankfurt am Main, Lehrbeauftragter an der Johannes-Gutenberg-Universität in Mainz, Mitglied im  Fachausschuss der Rechtsanwaltskammer Frankfurt, German Executive Member der International Association of Entertainment Lawyers (IAEL)

 Prozessrecht, Dr. Kristofer Bott, Rechtsanwalt, Fachanwalt für Gewerblichen Rechtsschutz, Partner, Graf von Westphalen Rechtsanwälte, Frankfurt am Main, Mitglied in GRUR und AIPPI

Haftung im Internet, Dr. Reto Mantz, Dipl. Inf., Richter am Landgericht Frankfurt am Main, Mitglied in GRUR

Urhebervertragsrecht und Urheberwahrnehmungsrecht, Piet Bubenzer, Rechtsanwalt, Klinkert Zindel Partner, Frankfurt am Main, Stv. Vorsitzender im Fachausschuss der Rechtsanwaltskammer Frankfurt, Mitglied in GRUR und AIPPIO und International Association of Entertainment Lawyers (IAEL), Lehrbeauftragter der Hochschule Darmstadt im Studiengang Informationsrecht

Nähere Informationen finden sich bei der HERA Fortbildungs-GmbH.

Bundesrat fordert Bundesregierung zur Änderung des Gesetzes zur WLAN-Störerhaftung auf

In der Sitzung des Bundesrates heute hat sich der Bundesrat deutlich für eine Änderung des Gesetzesentwurfs ausgesprochen (ich hatte hier schon über die Empfehlung des Wirtschaftsausschusses berichtet).

Das Video der entsprechenden Diskussion kann in der Mediathek des Bundesrates angesehen werden.

Malu Dreyer (Ministerpräsidentin von Rheinland-Pfalz) hat im Video z.B. formuliert, dass der Gesetzesentwurf nicht weit genug gehe. Der Zugang über WLANs werde in der heutigen Zeit immer wichtiger.

Peter Friedrich (Minister für Bundesrat, Europa und Internationale Angelegenheiten Baden-Württemberg): Öffentliches WLAN sei ein Faktor zur Steigerung der Lebensqualität. Es stelle einen Standortnachteil dar, dass Deutschland das Potential von WLANs nicht ausschöpfe. Die Störerhaftung setze den Betreiber einer nicht zumutbaren Rechtsunsicherheit aus.

Weiter haben Wolfgang Tiefensee (Thüringen) („Bundesregierung soll sich des Bremsklotzes Störerhaftung annehmen“; Gesetzesvorschlag bewirkt Verschlimmerung) Franz-Josef Lersch-Mensche (NRW) und Uwe Beckmeyer (parl. Staatssekretär) gesprochen.

Wenn Wortprotokolle verfügbar sind, werde ich diese hier einstellen.

 

Der Digitale Gesellschaft e.V. hat hierzu bereits Stellung genommen.

Eine Übersicht meiner Beiträge zum TMG-Änderungsgesetz findet sich hier.

Zur EU-Richtlinie 2014/53/EU und deren Folgen für Router-Firmware (Deutschlandfunk)

Der Deutschlandfunk hat am vergangenen Samstag in der Sendung „Computer & Kommunikation“ einen Beitrag mit dem Titel „Regeln für Router-Software Hinterzimmer-Lösung“ gebracht, in dem es um die EU-Richtlinie 2014/53/EU geht. U.a. bin ich zu der Thematik befragt worden.

Wer mehr wissen will, kann den Beitrag nachlesen oder nachhören. Außerdem sind die folgenden Beiträge sicher interessant:

TK-Anbieter und AdBlocker: Eine unterschätzte Gefahr? (Update)

In der Netzwelt findet derzeit eine heftige Diskussion um AdBlocker statt (s. nur hier und hier). Nachdem Unternehmen verstanden haben, dass AdBlocker eine Gefahr für die hinter ihren Angeboten stehenden darstellen, suchen sie nach Auswegen. Einerseits strengen sie – bisher erfolglos – Klagen gegen die Hersteller von AdBlockern an. Andererseits fangen sie an, Nutzer mit AdBlockern auszusperren. Nicht verstanden haben es die Unternehmen leider, was das Problem mit ihrem Modell ist. Ich bin sicher, dass Nutzer Werbung bis zu einem gewissen Grad akzeptieren und auf Werbeblocker verzichten würden, wenn diese Werbung einerseits die Nutzung von Internet und anderen Diensten nicht stört und zweitens keine Daten über den Nutzer gesammelt werden.  Manche haben das übrigens verstanden. Das Blog TechDirt beispielsweise gestattet Nutzern in vorbildlicher Weise ausdrücklich das vollständige Ausschalten von Werbung.

Es gibt noch eine andere Seite der Diskussion: TK-Unternehmen versuchen schon seit längerem, neue Einnahmequellen zu erschließen – ich erinnere an den Streit um die Netzneutralität. Nun hat Golem.de berichtet, dass die Deutsche Telekom erwägen soll, im eigenen Netz – und damit auf der Netzebene! – auf AdBlocker zu setzen. Ziel wäre es, Werbung auszufiltern, wenn die Werbeanbieter nicht einen Teil ihrer Gewinne an den TK-Anbieter abführen.

1. Werbeblocker auf Netzebene: Shine Technologies

Angeblich soll dafür ein System der Firma Shine Technologies eingesetzt werden. Die Webseite von Shine ist leider überhaupt nicht aussagekräftig. Es wird insbesondere nicht klar, wie die Werbung geblockt werden soll. Tief blicken lässt die Webseite allerdings schon. Dort heißt es zunächst:

„Ad Blocking is a Consumer Right. Full Stop.“

Direkt im Anschluss wird aber die Frage gestellt:

„Who’s Monetizing Your Pipe?“

Kunden von Shine sind nämlich TK-Unternehmen. Und die sollen Werbung nach Belieben stoppen können. So heißt es denn auch:

„Carriers can now stop Ad Tech dead in its tracks, protecting infrastructure and delivering an advertising-pollution-free user experience for Subscribers.“

und

„For the first time, and with unprecedented clarity, Carriers can see exactly which Ad Networks are actively monetizing on their infrastructure, at what volume, and at what monetary value.“

Es geht also weniger um den Schutz der Kunden vor Werbung, sondern um die Möglichkeit für TK-Unternehmen, Einblick zu nehmen, welche Werbung ihr Netzwerk passiert und welche Einnahmen dafür generiert werden – eine ideale Basis, um nach einer Beobachtungsphase einen Teil dieser Einkünfte zu verlangen – oder die Werbung wird geblockt.

2. Technik?

Wie gesagt, bleibt unklar, wie die Werbung blockiert werden soll. Festhalten lässt sich aber, dass der TK-Anbieter offenbar einzelne Werbung durchlassen und andere blocken können soll. Denkbar ist, dass ganze Domains von AdFarmen geblockt werden, z.B. auf DNS- oder IP-Ebene. Andererseits können auch auf der Ebene des http-Dienstes geblockt werden, indem bestimmte Anfragen nicht weitergeleitet oder aus dem Datenstrom ausgefiltert werden.

Werden z.B. Werbebanner abgerufen könnte eine Fake-Antwort zurückgesandt werden, damit der Browser nicht bis zum Ende des Timeouts auf die Grafik wartet.

Update: Ich bin von @ertraeglichkeit darauf hingewiesen worden, dass Shine Technologies nach Informationen von Heise Online auf Deep Packet Inspection setzt, um Werbung zu erkennen und auszufiltern.

(Wer hier nähere Informationen für mich hat, gerne per E-Mail oder in den Kommentaren.)

3. Gefahren

Ich habe den Titel dieses Beitrages „Eine unterschätzte Gefahr?“ genannt. Grund dafür ist, dass TK-Anbieter eine ganz besondere Rolle einnehmen, die ganz besondere Pflichten nach sich zieht. Eingriffe in den Datenstrom der Nutzer sind da extrem kritisch (ich habe mich mehrfach schon mit den Problemen der Deep Packet Injection befasst, s. meinen Beitrag in der MMR 2015, S. 8 ff. und zum aktuellen Verhalten des US-Anbieters AT&T).

a. Werbung: Nur auf „Anforderung“ durch den Nutzer

Zunächst ist wichtig, sich klar zu machen, wie und warum Werbung transportiert wird. Ausgangspunkt ist nämlich stets der Nutzer. Dieser „fordert“ die Werbung an. Webseite z.B. bestehen in der Regel nicht nur aus einem HTML-Dokument, sondern enthalten z.B. Grafiken oder laden auf Grund von in der Webseite enthaltenen Skripten Inhalte nach. Im Rahmen der Darstellung der vom Webserver u?bermittelten Webseite fordert der Browser daher diese weiteren Inhalte beim Webserver an – dies ist genau die Technik, die zur Darstellung von Werbung im Browser führt.

An dieser Stelle setzen Werbeblocker wie AdBlock-Plus an. Sie verändern vor der Ausführung durch den Browser das HTML-Dokument und hindern so den Browser daran, die in die Webseite eingebettete Werbung zu laden.

Auch z.B. bei Apps mit Werbung geht die Anforderung der Werbung und deren anschließende Darstellung vom Nutzer – nämlich der App – aus.

b. Veränderungen des Datenstroms: Verletzung von §§ 88 ff. TKG?

Nehmen wir einmal das – ganz einfache – Beispiel einer Webseite mit eingebautem Banner. Der Browser lädt die HTML-Datei, diese enthält ein Tag, das das Nachladen des Werbebanners als Grafik durch den Browser bewirkt.

Vermutlich (hoffentlich!) wird der Werbeblocker von Shine nicht dem Text des HTML-Dokuments verändern, sondern nur die anschließende Anfrage zum Nachladen des Banners blockieren.

Solche Eingriffe sind extrem problematisch mit Blick auf das Fernmeldegeheimnis. Dabei enthält § 88 TKG eine einfachgesetzliche Regelung des Fernmeldegeheimnisses in Art. 10 GG. Gemäß § 88 Abs. 1 TKG unterliegen dem Fernmeldegeheimnis der Inhalt der Telekommunikation und ihre na?heren Umsta?nde. § 88 Abs. 3 TKG verbietet einerseits, sich oder anderen u?ber das fu?r die gescha?ftsma?ßige Erbringung der TK-Dienste einschließlich des Schutzes ihrer technischen Systeme erforderliche Maß hinaus Kenntnis vom Inhalt oder von den na?heren Umsta?nden der Telekommunikation zu verschaffen. Weiter stellt § 88 Abs. 3 Satz 2 TKG eine strenge Zweckbindung auf.

Das OLG Hamburg sieht beispielsweise das Blockieren von DNS-Anfragen und IP-Anfragen durch den TK-Anbieter als Eingriff in das Fernmeldegeheimnis nach § 88 TKG an (OLG Hamburg, 21.11.2013 – 5 U 68/10, GRUR-RR 2014, 140 – 3dl.am). Zur Begründung führt das OLG Hamburg aus:

„Nach Auffassung des Senats handelt es sich bei IP-Adressen, URLs und DNS-Namen um nähere Umstände der Telekommunikation, wenn diese in Bezug zu einem Übertragungs- oder Verbindungsvorgang gesetzt werden, die vom Schutz des Fernmeldegeheimnisses umfasst sind …

Dass ein Eingriff in das Fernmeldegeheimnis ausgeschlossen sein soll, wenn die dem Schutz der Norm unterliegenden Informationen lediglich im Rahmen automatisierter Vorgänge zur Erschwerung des Zugriffs auf ein Internetangebot genutzt werden, vermag der Senat der gesetzlichen Regelung des § 88 III TKG nicht zu entnehmen. Auch die Gesetzesbegründung zu § 82 TKG aF ist zu diesem Gesichtspunkt unergiebig (BT-Drs. 13/3609, 53).

§ 88 III 2 TKG bestimmt dagegen ausdrücklich, dass Kenntnisse über Tatsachen, die dem Fernmeldegeheimnis unterliegen, nur für den in S. 1 genannten Zweck – mithin die geschäftsmäßige Erbringung der Telekommunikationsdienste einschließlich des Schutzes ihrer technischen Systeme – verwendet werden dürfen. Wenn Access-Provider rechtswidrige Informationen im Internet mittels der vorgenannten Methoden sperren sollen, so müssen sie hierfür jedoch gerade auf ihre Kenntnis von näheren Umständen der Telekommunikation zurückgreifen, die sie bei der geschäftsmäßigen Erbringung ihrer Telekommunikationsdienste erlangen, wie zum Beispiel IP-Adresse, URL oder DNS-Name. Die Nutzung dieser Kenntnisse für die Erschwerung des Zugriffs auf ein bestimmtes Angebot im Internet ist von dem Zweck des § 88 III 1 TKG nicht gedeckt und wäre daher allenfalls bei Vorliegen einer gesetzlichen Vorschrift gem. § 88 III 2 TKG zulässig …“

Hinzuweisen ist darauf, dass das OLG Köln dies hinsichtlich DNS- und IP-Sperren anders sieht (OLG Köln, 18.7.2014 – 6 U 192/11, GRUR 2014, 1081 – Goldesel). Bei URL-Sperren erkennt es jedoch auch einen Eingriff in das Fernmeldegeheimnis. Mit der Frage, wie sich das Versenden von gefälschten IP-Antworten – z.B. zur Verhinderung eines Timeouts – auswirkt, liegt meines Wissens noch keine Rechtsprechung vor. Im Zusammenhang mit TCP-Resetpaketen beim Filesharing weist Bedner allerdings zu Recht darauf hin, dass eine Strafbarkeit wegen des Unterdrückens von Daten nach § 303a StGB vorliegen kann (Bedner, Rechtma?ßigkeit der „Deep Packet Inspection“, S. 25 – PDF). Mit der Frage des Eingriffs in das Fernmeldegeheimnis durch Sperren wird sich der BGH demnächst – anlässlich der Revision zur Entscheidung des OLG Hamburg – näher befassen.

Nach dem oben dargestellten Hinweis scheint Shine Technologies auf Deep Packet Inspection zu setzen. Der Einsatz dieser Technik außerhalb von reinem Netzwerkmanagement – und dazu gehört das Blocken von Werbung sicher nicht – dürfte jedenfalls einen Eingriff in das Fernmeldegeheimnis darstellen. So sehen dies bei der Frage von Sperranordnungen sowohl OLG Hamburg (21.11.2013 – 5 U 68/10, GRUR-RR 2014, 140 – 3dl.am) als auch OLG Köln (18.7.2014 – 6 U 192/11, GRUR 2014, 1081 – Goldesel).

Mit anderen Worten: Das TK-Unternehmen, das Werbeblocker einsetzt, sieht sich der Gefahr ausgesetzt, einen Eingriff in das Fernmeldegeheimnis zu begehen. Es ist nämlich nicht die Aufgabe von TK-Unternehmen, in die vom Nutzer angeforderten Informationen einzugreifen. Sie sollen sich – so die Intention des Gesetzgebers – vollständig neutral verhalten und insbesondere keine Kenntnis von Inhalten und Umständen der Telekommunikation nehmen. Bei gezielten Blockaden im Datenstrom könnte aber ein entsprechender Eingriff vorliegen.

c. Veränderungen des Datenstroms: Verlust der Haftungsprivilegierung des § 8 TMG?

Ein weiterer Punkt könnte für TK-Anbieter unangenehm werden. Hier im Blog habe ich immer wieder über die Haftungsprivilegierung des § 8 TMG berichtet. Kurz gefasst bedeutet sie für TK-Anbieter, dass sie für Handlungen ihrer Nutzer nicht haften, wenn sie sich vollständig neutral verhalten. Dazu gehört insbesondere, dass sie die vom Nutzer angeforderten Informationen nicht verändern und nicht auswählen.

Wenn aber das Nutzer ein bestimmtes Werbebanner anfordert und der TK-Anbieter dieses blockiert, weil der Werbeanbieter nicht zu den zahlenden Kunden des TK-Anbieters gehört, dann entscheidet der TK-Anbieter – nicht der Kunde – ob eine bestimmte Information übertragen wird oder nicht. Der Anbieter verhält sich daher insoweit nicht mehr neutral, er wählt Informationen aus, die an den Nutzer übertragen bzw. nicht übertragen werden.

Der TK-Anbieter läuft dadurch Gefahr, für alle Handlungen seiner Nutzer in die Haftung genommen zu werden. Es ist derzeit unklar, was in einer solchen Situation passieren würde: Haftet der TK-Anbieter nur für diejenigen Informationen, die er ausgewählt oder verändert hat, oder verliert er seinen Status komplett? Der Gesetzeswortlaut („die übermittelte Information“) deutet darauf hin, dass die Privilegierung nur punktuell entfällt und nicht vollständig. TK-Anbieter sollten sich allerdings hier vorher absichern.

d. Vertragsverletzung und wettbewerbswidriges Handeln

Last but not least, kann das Blockieren einzelner Inhalte eine Vertragsverletzung darstellen. Der Nutzer fordert schließlich diese Information an. Was macht der TK-Anbieter, wenn der Nutzer sich gerne Werbevideos anschaut, der Werbeanbieter aber nicht zahlt? Indem der TK-Anbieter das Werbevideo blockiert, erfüllt er eine Datenanforderung seines Kunden nicht und erfüllt damit nicht seine vertragliche Verpflichtung. Ob das durch AGB rechtssicher abzubilden ist, wage ich zu bezweifeln.

Wer solcherlei Vertragsverletzungen begeht, kann im Übrigen möglicherweise auch durch Wettbewerber oder Verbände abgemahnt und auf Unterlassung in Anspruch werden. Wir müssen abwarten, ob es dazu kommt.

e. Blockade nur nach Auftrag durch den Nutzer?

Ich vermute, dass TK-Anbieter, die ein solches Modell realisieren wollen, dies am Ende durch eine aktive Handlung ihrer Nutzer absichern werden. So könnte der Nutzer bei Vertragsschluss oder später gefragt werden, ob der TK-Anbieter für ihn – als Service für den Kunden – Werbung blockieren soll. Wenn der Nutzer dem zustimmt, dürften zumindest Verletzungen des Fernmeldegeheimnisses und des Vertrages nicht vorliegen, die Auswirkungen auf § 8 TMG bleiben unsicher. Ob eine Voreinstellung mit Opt-Out („Ich will doch Werbung“) hier ausreichend wäre, ist eine weitere Frage.

Selbst wenn der Nutzer gefragt wird, bleibt aber problematisch, ob der TK-Anbieter darüber aufklären muss, dass er hieraus einen monetären Vorteil zieht und der Nutzer durch entsprechende AdBlocker auch selbst – und ohne den TK-Anbieter – ein ähnliches Ergebnis erzielen kann. Eine solche Pflicht könnte sich aus § 43a Abs. 2 Nr. 2 TKG sowie aus § 242 BGB ergeben. Fragen über Fragen …

4. Fazit

Es bleibt spannend. Ich bin insbesondere gespannt, ob und wann TK-Anbieter in Deutschland mit dem Einsatz von AdBlockern anfangen und wie offen sie damit umgehen werden. Die rechtliche Konstruktion jedenfalls wird nicht ganz einfach.

 

(Update 6.10.2015: Hinweis zur Deep Packet Inspection aufgeführt und in der Darstellung eingearbeitet, danke an @ertraeglichkeit)

„Freie WLAN-Hotspots in Hessen“ – Anhörung im Landtag Hessen am 12.11.2015

Der Ausschuss für Wirtschaft, Energie, Verkehr und Landesentwicklung des Hessischen Landtags wird am 12.11.2015 um 13:00h eine Anhörung zum Thema „Freie WLAN-Hotspots in Hessen“ durchführen, zu der eine Vielzahl an Verbänden, Interessenvertretern und Sachverständigen eingeladen worden sind

1. Antrag

Grundlage ist ein Antrag der hessischen SPD-Fraktion (LT-Drs. 19/900, PDF) vom 28.04.2015 (dazu eine Mitteilung des hessischen Landtagsabgeordneten Tobias Eckert (SPD)). Dieser Antrag lautet:

Der Landtag wolle beschließen:

1. Der Landtag sieht im Ausbau von öffentlichen drahtlosen lokalen Netzwerken (WLAN- Hotspots) einen wichtigen Beitrag für die wirtschaftliche und touristische, aber auch gesellschaftliche Entwicklung Hessens.

2. Der Landtag fordert die Landesregierung auf, den Zugang zu öffentlichen drahtlosen lokalen Netzwerken in Hessen zu unterstützen und zu fördern.

3. Der Landtag fordert die Landesregierung auf, sich auf Bundesebene für eine rechtssichere Novellierung des Telemediengesetzes einzusetzen, indem die Haftungsbeschränkung für Access-Provider nach §8 Telemediengesetz auf alle Betreiber unabhängig von ihrem jeweiligen institutionellen und organisatorischen Hintergrund erweitert wird.

4. Der Landtag sieht die Gefahr für mögliche Rechtsverletzungen der Nutzer bei jeder Betreiberform (kommerziell, öffentlich oder privat) gleichermaßen gegeben und dies muss demnach einheitlich geregelt sein.

5. Der Landtag beschließt, dass in den öffentlich zugänglichen Bereichen des Landtages und auch in der unmittelbaren öffentlichen Umgebung des Landtages WLAN-Hotspots eingerichtet werden.

2. Fragebogen

Die eingeladenen Verbände, Interessenvertreter und Sachverständigen (darunter Freifunk Wiesbaden, Förderverein Freie Netze e.V., Chaos Computer Club, Digitale Gesellschaft e.V., Ulf Buermeyer (@vieuxrenard) u.v.m.), sind gebeten, vorab eine schriftliche Stellungnahme zu erstellen, die dann u.a. auf der Homepage des Landtags Hessen veröffentlicht werden soll. Hierfür haben die im hessischen Landtag vertretenen Parteien einen Fragebogen erstellt. Dieser lautet wie folgt:

1. Rechtliche Rahmenbedingungen
a) Was ist der rechtliche Unterschied zwischen Content-, Host- und Access-Providern und inwiefern ist diese Einordung für WLAN-Betreiber von Bedeutung?

b) Wann erfahren Access-Provider eine Haftungsprivilegierung?
c) Welche Maßnahmen müssen Access-Provider ergreifen, wenn wiederholte Rechtsverletzungen auftreten?
d) Welche Haftungsrisiken bestehen derzeit für WLAN-Betreiber, welche der TMG-Privilegierung nicht unterliegen?
e) Welche Haftungsprivilegierungen sind de lege ferenda denkbar?
f) Existieren Gründe, zukünftig zwischen privaten und gewerblichen/institutionellen Betreibern zu unterscheiden?
g) Bestehen neben den zivilrechtlichen Haftungsfragen sicherheitspolitische bzw. strafverfolgungserhebliche Bedenken?
h) Wie ist die strafrechtliche Verantwortlichkeit von Betreibern offener WLAN-Netze einzuordnen im Hinblick auf Beihilfe, Mittäterschaft und (Eventual-)Vorsatz?

2. Datenschutz und Datensicherheit
a) Aus welchen Gründen ist es sinnvoll/ nicht Sinnvoll Haftungsprivilegierungen nur für verschlüsselte Verbindungen vorzusehen?
b) Bedarf es technischer Auflagen für den Betrieb zur Gewährung von Datenschutz- und Datensicherheit? Gibt es allgemeine Standards?

3. Internationaler Vergleich
a) In welchem rechtlichen Rahmen im Hinblick auf zivil- und strafrechtliche Aspekte operieren WLAN-Betreiber im internationalen Vergleich?
b) Welche Erkenntnisse lassen sich hieraus für Deutschland und Hessen ableiten?

4. Ausbau
a) Welche Gründe sprechen für und gegen öffentliche Förderung bei Aufbau und/oder Betrieb von WLAN-Netzen?
b) Welche Instrumente der Förderung existieren? Welche sind Ihnen bekannt? Welche Formen der Förderung wären denkbar?
c) Welche Betreibermodelle existieren? Welche Modelle werden am häufigsten gewählt und wie kann man dies erklären?
d) Welche Rolle kann das Modell „freifunk“ für den Ausbau des WLAN in Hessen spielen?
e) Welche Gründe sprechen für eine Zusammenarbeit der Kommunen, der Städte, der Landkreise und des ÖPNV beim Aufbau eines öffentlichen WLANs? Welche Gründe sprechen dagegen?
f) Wer trägt die Kosten für den Aufbau und den Betrieb von WLAN-Netzen?

5. Wirtschaftliche Bedeutung und Effekte
a) Welche Nutzen haben Städte und Gemeinden durch freie öffentlich zugängliche WLAN-Netze?
b) Haben freie öffentlich zugängliche WLAN-Netze auch für die Tourismuswirtschaft eine Bedeutung?
c) Welchen Nutzen haben andere Wirtschaftssektoren und Branchen durch frei öffentlich zugängliche WLAN-Netze?
d) Sind Auswirkungen auf (lokale) Telekommunikationsbetreiber zu erwarten, die inzwischen Vergleichbare Leistungen (z.B. LTE) im Rahmen von Nutzerverträgen gegen Rechnung zur Verfügung stellen?
e) Was ist beim Aufbau eines öffentlich geförderten und/oder betriebenen WLAN-Netzes im Hinblick auf das Wirtschaftsverwaltungsrecht zu beachten, wenn bestehende WLAN-Angebote (z.B. durch die Telekom) bestehen?

6. Förderprojekte im Bundesvergleich
a) Welche staatlich geförderten WLAN-Projekte existieren derzeit in Deutschland?

3. Einschätzung / Eure Mithilfe

Der Antrag datiert vom April 2015. Zu beachten ist hierbei, dass es sich um einen Antrag der (hessischen) Oppositionspartei SPD handelt. Zwischenzeitig hat die Bundesregierung einen Gesetzesentwurf zur Änderung (u.a.) von § 8 TMG auf den Weg gebracht (s. dazu die Artikel-Übersicht), wobei dieser u.a. von (Bundes-)SPD ausging. Der Gesetzesentwurf könnte bald im Bundestag zur Entscheidung anstehen. Dabei ist von praktisch allen Seiten heftige Kritik an dem Entwurf geübt worden (eine Übersicht findet sich hier). Von daher stellt diese Anhörung eine Möglichkeit dar, die Kritikpunkte noch einmal zu verdeutlichen und insofern auf die Landesparteien in Hessen einzuwirken. Gerade die ersten drei Punkte des Antrages der hessischen SPD wird der derzeitige Gesetzesentwurf nämlich verfehlen: Förderung und Unterstützung des Zugangs zu öffentlichen drahtlosen Netzwerken und Schaffung von Rechtssicherheit.

Dr. Thomas Sassenberg und ich sind ebenfalls zu der Anhörung eingeladen worden und werden der Einladung folgen. Wir werden eine gemeinsame schriftliche Stellungnahme abgeben, die dann sowohl hier im Blog als auch auf der Webseite des Landtages veröffentlicht werden wird.

Ich lade alle Leser herzlich ein, mir per E-Mail oder in den Kommentaren Hinweise zur Beantwortung der Fragen zu geben. Besonders interessieren würden mich Hinweise zu den Fragen unter 5. und 6., also zu Erfahrungen bei der wirtschaftlichen Bedeutung und zu bisherigen Förderprojekten. Über ein paar Projekte ist ja (teils auch hier im Blog) berichtet worden (z.B. MABB, lokale Freifunk-Projekte). Dennoch sind mir sicher bei weitem nicht alle Förderprojekte und erst recht nicht die konkreten Details und Erfahrungen bekannt.Daher würde ich mich über Tipps und Mitteilungen freuen, die ich in der Stellungnahme und der Anhörung verarbeiten kann.

Auch für den internationalen Vergleich (Fragen zu 3.) und allen anderen Punkten nehme ich gerne Anregungen entgegen!

(Dynamische) IP-Adresse als personenbezogenes Datum – Von der Fehlinterpretation der Meldung des hessischen Datenschutzbeauftragten

Vor wenigen Tagen hat der Hessische Landesdatenschutzbeauftragte, Prof. Ronellenfitsch, seinen Tätigkeitsbericht für das Jahr 2014 vorgestellt. Auf Twitter ist (in meiner Timeline) insbesondere Punkt 5.4.1 „Personenortung für die Fraport App durch die Fraport AG“ aufgetaucht und zwar unter Headlines wie „Hessischer #Datenschutzbeauftragter: Dynamische IP-Adresse ist nicht per se ein personenbezogenes Datum“ (Telemedicus).

Berichtet hat hierüber auch Dr. Piltz in seinem Blog „De lege data“ und schreibt dort insbesondere:

„Die Erfassung der dynamischen IP-Adresse stellt nach Auffassung des hessischen Datenschutzbeauftragten

“kein datenschutzrechtliches Problem dar.“

Dr. Piltz erläutert anschließend wie folgt:

„Diese Ansicht dürfte einige Beobachter zumindest überraschen. Denn eigentlich gehen die deutschen Datenschutzbehörden schon lange und beständig davon aus, dass IP-Adressen grundsätzlich einen Personenbezug aufweisen … Die Auffassung des hessischen Landesdatenschützers scheint (erfreulicherweise) nun zumindest aber von einer pauschalen „Vorverurteilung“ einer IP-Adresse als personenbezogenes oder personenbeziehbares Datum abzurücken.“

Er weist anschließend auch auf das Fazit des Hessischen Landesdatenschutzbeauftragten hin:

„Eine Identifikation ist nur möglich, wenn die Nutzer während einer Sitzung selbst personenbezogene oder personenbeziehbare Daten hinterlassen. Dies ist nach den vorliegenden Dokumenten nicht der Fall. Deshalb sind dynamische IP-Adressen in diesem Szenario keine personenbeziehbaren Daten.“

Die Einschätzung auf Twitter und im genannten Blog halte ich jedoch für problematisch – nicht ohne Grund könnte die Formulierung von Dr. Piltz auch bewusst vorsichtig gewählt worden sein.

Zum Hintergrund muss man sich vergewärtigen, dass seit Jahren ein Streit um die Personenbeziehbarkeit dynamischer IP-Adressen herrscht (dazu Mantz, ZD 2013, 625 sowie hier  und hier mit weiteren Nachweisen; zu IP-Adressen bei WLANs konkret Sassenberg/Mantz, WLAN und Recht, 2014, Rn. 125, 200). Der BGH hat diese Frage nun auch dem EuGH zur Entscheidung vorgelegt.

Der Streit dreht sich um ein grundsätzliches Problem im Datenschutzrecht, insofern ist die IP-Adresse nur ein einziges Datum, um das sich der Streit quasi als Stellvertreterkrieg dreht: Es geht um die Frage, ob der Begriff der Personenbeziehbarkeit „absolut“ oder „relativ“ zu sehen ist, also ob Daten schon dann als personenbeziehbar anzusehen sind, wenn irgendjemand einen Personenbezug herstellen kann (absoluter Personenbezug) oder nur dann, wenn die konkrete verantwortliche Stelle diesen Personenbezug herstellen kann (relativer Personenbezug).

Wer nun diese beiden Theorien auf den vom Hessischen Landesdatenschutzbeauftragten analysierten Fall anwendet, wird feststellen, dass im konkreten Fall nach beiden Theorien kein Personenbezug vorlag. Denn nach dem beschriebenen Szenario teilt Fraport dem Nutzer eine (wohlgemerkt lokale) dynamische IP-Adresse zu, ohne jemals Daten wie Name und Anschrift zu erhalten. Die dort zugeteilte lokale dynamische IP-Adresse ist also weder für Fraport (relativ) noch für sonst jemanden (absolut) auf eine Person beziehbar.

Anders wäre dies, wenn Fraport bei der Zuteilung der lokalen dynamischen IP-Adresse Name und Anschrift erheben würde (wie es die meisten klassischen Access Provider u.a. zum Zwecke der Abrechnung tun): Dann wäre für den Access Provider die dynamische IP-Adresse personenbeziehbar (relativ), für alle anderen jedoch nicht ohne weiteres (absolut).

Der Tätigkeitsbericht 2014 des Hessischen Landesdatenschutzbeauftragten ergreift daher gerade nicht Stellung in die eine oder andere Richtung, sondern geht vollkommen zu Recht hier von einem fehlenden Personenbezug aus.

Meine Bitte daher an alle: Nicht den Tätigkeitsbericht 2014 als Stimme für die Theorie des relativen Personenbezugs und Abweichung von der Meinung der Landesdatenschutzbeauftragten nennen!

 

Erwähnenswert ist übrigens noch, dass der Hessischen Landesdatenschutzbeauftragte und die Firma Fraport von einem Personenbezug von MAC-Adressen ausgehen. Denn diese werden vor der weiteren Verwendung gekürzt und verändert:

„5.4.1.3

Lösung

Deshalb wurde von mir der Fraport AG ein Konzept vorgeschlagen, mit dem das System nach wie vor noch seine Funktionen erfüllen kann, jedoch die Personenbeziehbarkeit entfällt. Die Personenbeziehbarkeit soll durch die Anwendung eines Algorithmus umgangen werden. Zuerst wird die MAC-Adresse gekürzt, dann ein SALT-Wert angehängt, darauf eine Hashfunktion angewendet und das Ergebnis wieder so gekürzt, dass es wie eine reguläre MAC-Adresse aufgebaut ist. Das Ergebnis ist ein Identifikator.

Der SALT-Wert wird in bestimmten Intervallen, mindestens täglich, neu generiert. Dadurch wird gewährleistet, dass die aus den MAC-Adressen gebildeten Identifikatoren nach Ablauf des Intervalls unterschiedlich sind. Eine Wiedererkennung über den Wechsel ist nahezu unmöglich. Der Identifikator soll gebildet werden, bevor eine Verarbeitung zur Standortbestimmung erfolgt und der SALT-Wert muss eine Zufallszahl sein, die nicht   persistent, das heißt nur im Hauptspeicher, gespeichert wird.

Die serverbasierte Ortung wurde daraufhin von der Fraport AG wie folgt umgesetzt:

Die MAC-Adressen werden von den Access-Points erfasst und über die sogenannte Mobility Solution Engine (MSE) an einen Server übertragen, wo sie durch „Salzen“, „Hashen“ und „Kürzen“ zu einem anonymen Identifikator transformiert werden. Dabei werden die MAC-Adressen nur im Arbeitsspeicher zum Bilden des Identifikators vorgehalten, danach werden sie sofort gelöscht. Der SALT-Wert erfüllt die oben genannten Anforderungen. Der Identifikator und die Access-Point-Daten werden an den Lokalisierungsserver übertragen, der den Standort errechnet. Die MAC-Adresse befindet sich nur kurzzeitig im Arbeitsspeicher, so dass sie für keinen anderen Anwendungsfall genutzt werden kann. Smartphones können nun per FraApp mit ihrer MAC-Adresse am Lokalisierungsserver ihre Position anfragen. Dazu wird die MAC-Adresse des Smartphones von dem vorgeschalteten Server ebenfalls in den Identifikator umgewandelt, dieser dann an den Lokalisierungsserver übertragen und anschließend die MAC-Adresse gelöscht.

Zum Lokalisierungsserver gehört eine Datenbank mit den Datensätzen „letzter erfasster Standort“ und „Identifikator“. Findet der Lokalisierungsserver einen Datensatz mit dem Identifikator des anfragenden Smartphones, kann er dem Smartphone den Standort zusenden, so dass die App dem Nutzer diesen visualisieren kann. Die Standortdaten werden vom Lokalisierungsserver zum Analyseserver übertragen, damit entsprechende Untersuchungen möglich sind.

Mit den dargestellten Anpassungen habe ich keine Vorbehalte mehr gegen die implementierte Ortungsfunktion der Fraport App.“

SPD-Bundestagsfraktion will Rechtssicherheit für WLAN-Anbieter – aber wie?

 Ich möchte nur ganz kurz auf einen aktuellen Beschluss der SPD-Bundestagsfraktion vom 3.9.2015  (PDF) hinweisen. Die SPD-Bundestagsfraktion hat sich unter dem Titel „Gesellschaftliche Teilhabe in der digitalen Gesellschaft stärken“ Gedanken über den weiteren digitalen Weg der SPD gemacht.

Der Beschluss enthält auch einen aufschlussreichen (mit Konfliktpotential beladenen) Teilbeschluss. So heißt es darin:

„Wir wollen die gesellschaftliche Teilhabe der Bürgerinnen und Bürger durch ein schnelles, leistungsfähiges und vertrauenswürdiges Internet für alle verbessern, indem:

dringend Rechtssicherheit für WLAN-Anbieter geschaffen wird, um die Potenziale von Funknetzen als elementarer Bestandteil einer leistungsfähigen digitalen Infrastruktur zu heben. Mit einer Klarstellung der Haftungsregelungen muss Rechtssicherheit für alle WLAN- Anbieter erreicht werden, um die Potentiale von WLAN als Zugang zum Internet im öffentlichen Raum auszuschöpfen und um deutlich mehr öffentliche und offene WLAN-Angebote zu ermöglichen. Deutlich wird diese Notwendigkeit auch aktuell in der Einrichtung von WLAN-Netzen in Flüchtlingsheimen durch Freifunkinitiativen und Kommunen.“

Die Forderung ist richtig. Die Frage ist allerdings, wie die SPD dies erreichen will. Der derzeit vorliegende TMG-Gesetzesentwurf (s. dazu nur hier und hier) wird dieses Ziel jedenfalls nicht fördern. Ob das der SPD-Bundestagsfraktion bewusst am 3.9.2015 war? WLAN in Flüchtlingsheimen durch Freifunkinitiativen jedenfalls könnte theoretisch der Vergangenheit angehören, wenn der vom Bundeswirtschaftsministerium ausgehende Entwurf Wirklichkeit wird. Der Spiegel hat berichtet, dass das Kabinett am 16.9.2015 den Entwurf verabschieden will. Bis dahin wird die SPD-Bundestagsfraktion noch einiges an Überzeugungsarbeit zu leisten haben, wenn nicht zwei Wochen nach ihrem Beschluss dieser Teil schon widerlegt sein soll.

Studie: 15% der Mobilfunknutzer (international) von Deep Packet Injection durch Custom http-header betroffen

Accessnow.org hat eine Studie zur Frage veröffentlicht, welche Nutzer von Überwachung durch eine Modifikation ihres http-Headers durch den Access Provider betroffen sind. Das Ergebnis ist global erschreckend. Für Deutschland kann wohl Entwarnung gegeben werden.

Seit Oktober 2014 betreiben sie die Webseite www.amibeingtracked.com, mit der man vom Mobiltelefon aus prüfen kann, ob ein Tracking-Header in den eigenen Datentraffic eingefügt wird. 200.000 Nutzer haben diesen Test seither durchgeführt und bei immerhin 15% hat der Provider den Datenstrom verändert. Dabei wird eine eindeutige Identifikationsnummer in den Datenstrom eingefügt, durch die es Dritten möglich ist, das Verhalten des Nutzers zu überwachen. Dies ist auch nicht beschränkt auf die Partnerunternehmen des Access Providers. Auch Werbefarmen erheben und speichern diese Ids und nutzen sie zur Identifizierung des Nutzers über mehrere Seiten hinweg. Dadurch können weite Teile des Surfverhaltens erfasst und ausgewertet werden. Dies ist datenschutzrechtlich und auch sonst extrem bedenklich, zumal der Nutzer praktisch keine Möglichkeit hat, das Verhalten zu unterbinden.

Ich hatte gerade vor wenigen Tagen nochmal darauf hingewiesen, dass das Einfügen von Daten in den http-Datenstrom („Deep Packet Injection“) – ich hatte damals das Einfügen von Werbung untersucht – nach deutschem Recht unzulässig sein dürfte. Der Access Provider kann sich dadurch sogar strafbar machen.

Es scheint den deutschen Mobilfunkunternehmen allerdings bewusst zu sein, dass ein solches Verhalten unzulässig wäre. Denn deutsche Nutzer sind nach der Studie wohl nicht betroffen. Ich habe es auch bei mir getestet – negativ. Bemerkenswert ist dies, da auf dem deutschen Markt auch Access Providern tätig sind, die anderswo nach der Studie von accessnow.org Deep Packet Injection vornehmen, z.B. Telefonica in Spanien und Vodafone in den Niederlanden und Spanien.

Falls doch jemand in deutschen Netzen feststellt, dass sein Provider den Datenstrom verändert, bin ich für eine Nachricht dankbar.