Kategorie-Archiv: Aktuelles

Handynummern sind personenbezogene Daten: Belege durch Metaphone-Sample

Studenten der Stanford University haben im November 2013 eine Studie ins Leben gerufen, um zu belegen, dass Metadaten (speziell Telefoniedaten) im Rahmen von Überwachungsprogrammen relevant sind. Hierfür haben sie die Android-App “Metaphone” entwickelt, die nach der Beschreibung folgendes tut:

MetaPhone is a project to understand call and text privacy. Researchers at Stanford University’s Department of Computer Science are studying metadata to estimate the reach of National Security Agency surveillance.

This study is open to all members of the public 18 or older. An Android smartphone and a Facebook account are required to participate. Participation ordinarily takes under five minutes.

Additional details and contact information are available on the study website. In the course of the study, you will provide mobile phone and social network data to Stanford researchers. Please carefully review the study explanation before electing to participate. The study is entirely voluntary and does not guarantee any benefits.

Rund 6 Wochen später haben die Initiatoren die bisher gesammelten Daten mit öffentlichen Verzeichnissen abgeglichen. Dabei haben sie herausgefunden, dass sie allein mit den – öffentlich zugänglichen – Quellen Yelp, Google Places und Facebook 27,1% der gesammelten Telefonnummern ihren jeweiligen Inhabern zuordnen konnten:

So, just how easy is it to identify a phone number?

Trivial, we found. We randomly sampled 5,000 numbers from our crowdsourced MetaPhone dataset and queried the Yelp, Google Places, and Facebook directories. With little marginal effort and just those three sources—all free and public—we matched 1,356 (27.1%) of the numbers. Specifically, there were 378 hits (7.6%) on Yelp, 684 (13.7%) on Google Places, and 618 (12.3%) on Facebook.

Zusätzlich haben die Studenten aus ihrem Datensatz 100 zufällig ausgewählte Nummern mit einer kommerziellen Datenquelle abgeglichen und erzielten 74 Treffer. Zusammen mit den öffentlichen Quellen kamen sie auf eine Trefferrate von 91%!

What about if an organization were willing to put in some manpower? To conservatively approximate human analysis, we randomly sampled 100 numbers from our dataset, then ran Google searches on each. In under an hour, we were able to associate an individual or a business with 60 of the 100 numbers. When we added in our three initial sources, we were up to 73.

How about if money were no object? We don’t have the budget or credentials to access a premium data aggregator, so we ran our 100 numbers with Intelius, a cheap consumer-oriented service. 74 matched.1 Between Intelius, Google search, and our three initial sources, we associated a name with 91 of the 100 numbers.

Dazu muss gesagt werden, dass die Argumentation in den USA etwas anders ist als hier in Deutschland, da der “Privacy”-Begriff nicht mit der deutschen Definition der “personenbezogenen Daten” nach § 3 Abs. 1 BDSG übereinstimmt. Nach § 3 Abs. 1 BDSG sind personenbezogene Daten nämlich “Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person.” Auf Telefonnummern trifft das in der Regel zu.

Interessant ist die Studie trotzdem auch aus der deutschen Sicht. In Bezug auf IP-Adressen brennt nämlich noch immer der Streit, ob der Personenbezug relativ oder absolut zu bestimmen ist. Absolut heißt hierbei, dass Daten, die auch nur eine Person (bspw. der Access Provider) einer konkreten Person zuordnen kann, unter § 3 Abs. 1 BDSG fallen, während nach dem relativen Begriff zu unterscheiden ist: Wer selbst nicht mit zumutbarem Aufwand die Daten einer konkreten Person zuordnen kann, operiert danach nicht mit personenbezogenen Daten (so zuletzt LG Berlin, Urt. v. 31.1.2013; dazu s. auch meine Anmerkung in der Zeitschrift für Datenschutz (ZD), Heft 12/2013, S. 625 ff.).

Die Metaphone-Studie zeigt nun, dass die öffentlichen Quellen immer relevanter werden – wenn durch Zugriff auf öffentliche Quellen die zu den Daten gehörige Person bestimmt werden kann, handelt es sich für jedermann um personenbezogene Daten, der Streit zwischen relativem und absolutem Personenbezug wird daher im Ergebnis immer weniger relevant.

Dementsprechend düster ist auch das Fazit des Blog-Eintrags:

If a few academic researchers can get this far this quickly, it’s difficult to believe the NSA would have any trouble identifying the overwhelming majority of American phone numbers.

Das gilt selbstverständlich auch für große kommerzielle Unternehmen wie Google, Facebook etc. Um es mit dem Bundesverfassungsgericht zu formulieren: Es gibt (praktisch) keine nicht-personenbezogenen Daten mehr.

(via @FBorgesius)

Send to Kindle

Server-Umzug und Domainwechsel abgeschlossen

In eigener Sache:

Der angekündigte Umzug des Blogs ist mittlerweile (weitgehend) abgeschlossen. An der einen oder anderen Stelle zwickt und zwackt es eventuell noch, aber das sollte (hoffentlich) kaum auffallen.

1. Server-Umzug

Ich bin mit dem Blog nun zum Hoster Uberspace gezogen, wobei die Domains nun bei Internetworx liegen. Die Trennung von Domains und Webspace soll mehr Flexibilität bringen. Den Umzug zu Uberspace habe ich nicht vorgenommen, weil ich mit meinem bisherigen Anbieter Speicherhosting unzufrieden war, sondern weil ich bei Uberspace einfach mehr (technische) Möglichkeiten habe, und die Erfahrungsberichte, auf die ich gestoßen bin, durchweg positiv sind.

2. Domain-Umzug

Zusätzlich habe ich den Umzug genutzt, um endlich das Blog auf die schon lange reservierte Domain “offenenetze.de” umzuziehen. Den Schritt habe ich schon lange vor mir hergeschoben. Ich hoffe, dass durch den Umzug nicht allzu viele Besucher verloren gehen (daher: Bitte weitersagen ;-) – und bei Bedarf den Link im RSS-Reader anpassen). Direkte Links sollten durch eine entsprechende (301-)Weiterleitung von der alten Adresse auf das Blog weiterhin funktionieren, lediglich einzelne speziell eingerichtete (Abkürzungs-)Links habe ich bisher auf der alten Adresse noch nicht umgestellt.

Sollten noch Probleme oder Fehlermeldungen auftauchen, würde ich mich über eine kurze Nachricht freuen!

Send to Kindle

Die (mögliche) Große Koalition und ihr Ansatz für Regelungen zu WLANs

Wie schon mehrfach angedeutet, will die (mögliche) Große Koalition zwischen CDU/CSU und SPD (#GroKo) das Thema WLAN und Rechtssicherheit angehen. Nach dem aktuellen 3. Entwurf vom 26.11.2013 (im Hinblick auf die hier zitierte Passage wortgleich mit dem 1. Entwurf 24.11.2013, PDF Download) haben sich die Parteien wohl auf folgendes geeinigt:

Die Potenziale von lokalen Funknetzen (WLAN) als Zugang zum Internet im öffentlichen Raum müssen ausgeschöpft werden. Wir wollen, dass in deutschen Städten mobiles Internet über WLAN für jeden verfügbar ist. Wir werden die gesetzlichen Grundlagen für die Nutzung dieser offenen Netze und deren Anbieter schaffen. Rechtssicherheit für WLAN-Betreiber ist dringend geboten, etwa durch Klarstellung der Haftungsregelungen (Analog zu Accessprovidern). Dadurch haften WLAN-Anbieter nicht mehr für Rechtsvergehen von Usern, die den öffentlichen Zugang nutzen. Gleichzeitig werden wir die Verbraucherinnen und Verbraucher über die Gefahren solcher Netze für sensible Daten aufklären. Gleichzeitig werden wir die Verbraucherinnen und Verbraucher über die Gefahren solcher Netze für sensible Daten aufklären.

Neben der Klärung der rechtlichen Fragen möchten wir die Etablierung heterogener, frei vernetzter und lokaler Communities und ihrer Infrastrukturen forcieren. Durch die Förderung dieser sowie von Ad-hoc-Netzwerken im Rahmen der F&E-Strategie sollen lokale, dezentrale Netzwerke unterstützt werden, die eine komplementäre Infrastruktur für einen fest definierten Nutzerkreis umfassen. Damit verbessern wir die infrastrukturellen Rahmenbedingungen für den Zugang zu leistungsfähigem Internet für alle.

Die Absätze sind nicht als zwischen den möglichen Koalitionspartnern strittig markiert (anders als andere Punkte im Entwurf), daher lohnt es sich, sich die Passagen vorab anzusehen.

1. Rechtssicherheit

Die #GroKo möchte Rechtssicherheit schaffen. Spannend wird, wie die #GroKo diese Ziele umsetzen wird. Als hehres Ziel scheint über dem Vorhaben “mobiles WLAN in deutschen Städten” zu stehen. Dafür sollen gesetzliche Grundlagen geschaffen werden. “Analog zu Accessprovidern” sollen die Haftungsregelungen klargestellt werden.

a. § 8 TMG

Wir erinnern uns: § 8 Abs. 1 TMG, der die Haftung von Access Providern regelt, lautet:

Diensteanbieter sind für fremde Informationen, die sie in einem Kommunikationsnetz übermitteln oder zu denen sie den Zugang zur Nutzung vermitteln, nicht verantwortlich, sofern sie
1. die Übermittlung nicht veranlasst,
2. den Adressaten der übermittelten Informationen nicht ausgewählt und
3. die übermittelten Informationen nicht ausgewählt oder verändert haben.
Satz 1 findet keine Anwendung, wenn der Diensteanbieter absichtlich mit einem Nutzer seines Dienstes zusammenarbeitet, um rechtswidrige Handlungen zu begehen.

Wie schon mehrfach in diesem Blog berichtet, ist in der juristischen Literatur absolut unstreitig, dass der Anbieter eines WLANs ein Access Provider ist (Röhrborn/Katko, CR 2002, 882; Hoffmann in Spindler/Schuster, Recht der elektronischen Medien, 2. Aufl. 2011, § 8 TMG Rn. 17; Spindler, CR 2010, 592 (595); Altenhain, in MünchKommStGB, 2. Aufl. 2010, vor § 7 TMG Rn. 43; Kaeding, CR 2010, 164 (168); Mantz, Rechtsfragen offener Netze, 2008, 48 m.w.N.). Dementsprechend findet § 8 TMG – eigentlich – auf WLANs Anwendung (dazu näher Mantz, GRUR-RR 2013, Heft 12 – erscheint demnächst).

Eine Klarstellung wäre daher – bei richtiger Rechtsanwendung – eigentlich nicht nötig. Tatsächlich wenden die Gerichte § 8 TMG aber gerade bei kleinen WLANs nicht an, sondern behandeln die Regelung als Privileg nur für “klassische” Provider wie die Telekom etc. Dementsprechend besteht wohl doch Handlungsbedarf.

Ein zweites Problem war bisher, dass der BGH die Privilegierungen der §§ 7-10 TMG nicht auf Unterlassungsansprüche angewandt hatte. Allerdings ist hier derzeit eine Änderung der Rechtsprechung des BGH in Sicht bzw. in kleinen Schritten im Gange. Eine Klarstellung wäre hier aber trotzdem hilfreich.

Die #GroKo hat – wie bereits zuvor SPD, Grüne und LINKE – also nun erkannt, dass Handlungsbedarf besteht.

b. Gesetzesentwurf des Digitale Gesellschaft e.V. / DIE LINKE, Vorstöße der SPD und der Grünen

Wir erinnern uns weiter: Der Digitale Gesellschaft e.V. hatte 2012 einen Entwurf zur Klarstellung des § 8 TMG in den Bundestag eingebracht (BT-Drs. 17/11137, PDF). Auch die SPD hatte einen Entwurf – allerdings ohne konkrete Regelung – eingebracht, der aber nicht die notwendige Mehrheit fand. Die CDU/CSU äußerte dazu, dass eine Regelung

weder geeignet noch erforderlich

sei.

Der CDU/CSU-Abgeordnete Lämmel hatte laut Ausschuss-Protokoll (Plenar-Protokoll 17/201, PDF, S. 24495) gesagt:

Neben diesen rechtlichen Aspekten wird aber das Potenzial des offenen WLAN überschätzt. Die große Mehrheit der Nutzer nutzt UMTS, 3G, als mobile Datenverbindung. Hier könnten WLAN zwar potenziell die Mobilfunknetze entlasten. Allerdings bauen die Mobil- funkunternehmen gerade den nächsten Standard des Mobilfunks LTE,4G, aus. LTE kann – noch theoretisch – Bandbreiten erreichen, welche die Leistungen der DSL-Anschlüsse, die ja auch die Grundlage für WLAN-Router bieten, übertreffen. Zusätzlich entlastet ein auf den LTE-Standard aufgerüstetes Mobilfunknetz auch den bisherigen Standard UMTS und wird auch im UMTS- Netz die Leistungen verbessern. Vermutlich wird die Notwendigkeit von WLAN-Angeboten für den öffentl.chen Raum bald nachlassen.

Und Dr. Nüßlein, ebenfalls CDU/CSU (S. 24496):

Die Entscheidung, ob und in welchem rechtlichen Rahmen wir hier tätig werden müssen, sollte nicht übers Knie gebrochen werden. Gründ- lichkeit geht bei solchen Haftungsfragen klar vor Schnelligkeit. Ob und wie das im Telemediengesetz geregelt werden muss, prüfen wir in nächster Zeit ausführlich.

Nicht unerwähnt soll bleiben, dass die Grünen ebenfalls einen Vorstoß angekündigt hatten, ein konkreter Entwurf ist hieraus aber nicht resultiert. Eine Übersicht zu all dem findet sich bei iRights.info. Die Piraten hatten im Landtag NRW ebenfalls einen Antrag vorgelegt (LT-Drs. 16/2284), zu dem eine Sachverständigenanhörung durchgeführt wurde (dazu eingehend hier).

Vor wenigen Tagen haben SPD, Grüne und Piraten im Landtag NRW einen weiteren Entwurf “Offene Zugänge zum Internet schaffen” eingebracht (LT-Drs. 16/4427).

Nun kurz zum Entwurf des Digitale Gesellschaft e.V. / DIE LINKE: Nach dem Entwurf sollte § 8 TMG erweitert werden um folgende Absätze 3 und 4:

(3) Der Ausschluss der Verantwortlichkeit (Absatz 1) umfasst auch gewerbliche und nichtgewerbliche Betreiber von Funknetzwerken, die sich an einen nicht im Voraus namentlich bestimmten Nutzerkreis richten (öffentliche Funknetzwerke).
(4) Der Ausschluss der Verantwortlichkeit (Absatz 1) umfasst auch Ansprüche auf Unterlassung.

Dieser Entwurf enthielt folglich eine Klarstellung zu der Anwendbarkeit von § 8 TMG auf (1) WLANs und (2) Unterlassungsansprüche.

c. Stand heute

Nach dem, was im Entwurf des Koalitionsvertrages steht, will die CDU/CSU also jetzt eine Kehrtwende vollziehen. “Rechtssicherheit für WLAN-Betreiber ist dringend geboten”, heißt es im Entwurf. Was also vor wenigen Monaten “weder geeignet noch erforderlich” war, ist jetzt – überraschenderweise – dringend geboten. Dies ist sicher nicht allein auf den Umstand zurückzuführen, dass die FDP nun nicht mehr an der Regierung beteiligt sein wird. Wer optimistisch ist, mag daher von einem Erfolg der SPD in den Verhandlungen sprechen. (Es wäre spannend zu hören, wie es sich in den Verhandlungen tatsächlich zugetragen hat …).

d. Und nun: Wie sähe ein Gesetzesentwurf aus?

Nun stellt sich die Frage, welche konkreten Vorschläge die mögliche #GroKo nun unterbreiten wird. Die Zielvorgabe laut Entwurf ist:

Klarstellung der Haftungsregelungen (analog zu Accessprovidern). Dadurch haften WLAN-Anbieter nicht mehr für Rechtsvergehen von Usern, die den öffentlichen Zugang nutzen.

Wie oben dargestellt, ist die Haftungsprivilegierung in § 8 TMG geregelt. Eine Klarstellung der Haftungsregelungen dürfte sich am besten genau dort wiederfinden. Der Entwurf der Digitale Gesellschaft e.V. (s.o.) wäre also ein guter Ausgangspunkt. Es ist die Frage, ob das den Beteiligten der #GroKo schmeckt. Die CDU/CSU hatte den Entwurf in ihrer Stellungnahme ziemlich zerrissen. Außerdem könnte doch der Entwurf als “verbrannt” angesehen werden, da er  damals von der LINKEN aufgegriffen worden war. Das wäre allerdings fatal. Denn der Entwurf mag von der LINKEN aufgegriffen worden sein, er ist aber nach meinem Kenntnisstand zuvor “wie Sauer Bier” allen Parteien zugeleitet worden. Es hatten also alle die Chance, die LINKE hat sie genutzt – möglicherweise zum Nachteil des Entwurfs, was man aber der LINKEN kaum anlasten kann. Wir werden es abwarten müssen. Dabei ist nur zu hoffen, dass die Sachpolitik gewinnt – und da wäre eine Regelung in § 8 TMG die sinnvollste Alternative.

2. Communities

Spannend wird dann der zweite Teil des oben zitierten Abschnitts im Entwurf, der sich mit der “Etablierung heterogener, frei vernetzter und lokaler Communities und ihrer Infrastruktur” beschäftigt.

a. Die Community – das unbekannte Wesen

Insbesondere wäre es interessant zu wissen, welches “Leitbild” einer Community die beteiligten Verhandlungspartner der #GroKo vor Augen hatten, als sie die Formulierung in den Entwurf schrieben. Hier nur ein paar Gedanken dazu:

  • “Etablierung forcieren” hört sich nach etwas Aktivem an, danach, dass etwas neu geschaffen werden soll. Ich vermute, dass das nicht (nur) gemeint ist, denn es gibt in Deutschland bereits solche Communities, nämlich die dezentral organisierten #Freifunk-Communities. Darauf deutet auch das “Forcieren” hin. Ich verstehe dies im Sinne einer Förderung von Communities, worauf auch hindeutet, dass die Infrastrukturen der Communities gefördert werden sollen. Solche Förderungen gibt es bereits. Beispielsweise fördert die Medienanstalt Berlin-Brandenburg (MABB) den Aufbau von Freifunk-Netzen (s. dazu Pressemitteilung der MABB v. 14.2.2013). Außerdem stellen manche Kommunen Freifunk Zugang zu ihren Gebäuden zur Verfügung.
  • “Heterogene” Communities hört sich nach Vielfältigkeit an. Vielfältigkeit der eingebundenen Personen und evtl. auch der Vernetzung der Community in sich. Vielleicht hat ja auch einer der Verhandlungspartner sich tatsächlich mit #Freifunk auseinander gesetzt. Dann könnte er auf die Folien von Freifunk Augsburg vom Linux Info Tag 2007 gestoßen sein, wo Freifunk als heterogene Community bezeichnet wird.
  • “Frei vernetzt” klingt für mich ebenfalls nach Freifunk, nach “Freien Netzen” (s. dazu Medosch, Freie Netze, 2003, PDF).
  • “Lokal” passt letztlich auch in dieses Schema, ebenso “dezentral” (zweiter Abschnitt).

b. Das Netz, Entwicklung und Forschung

Nicht nur soll die Etablierung von Communities forciert werden, im nächsten Satz heißt es sogar ausdrücklich, dass sie gefördert werden. Und nicht nur die Communities, sondern zusätzlich auch deren Infrastrukturen. Und – darüber hinaus – “Ad-hoc-Netzwerke” im Rahmen einer Forschung & Entwicklungs-Strategie…

Daraus ließe sich lesen, dass die #GroKo Forschungsvorhaben in Gang setzen oder fördern will, die sich mit Ad-hoc-Netzwerken auseinander setzen und deren Technik weiterbringen. Auch dies dürfte bei den Communities auf fruchtbaren Boden stoßen. Denn gerade die verschiedenen weltweiten Communities haben hier bereits erhebliche technische Fortschritte aufzuweisen. So wurde beispielsweise das Routingprotokoll B.A.T.M.A.N. (BETTER APPROACH TO MOBILE ADHOC NETWORKING) von der Freifunk-Community entwickelt. Und neben der ständigen Fortentwicklung trifft sich die Freifunk-Community einmal im Jahr beim Wireless Community Weekend, auf dem auch über aktuelle Entwicklungen und Forschungen berichtet und in Gruppen deren Weiterentwicklung vorangetrieben wird (s. z.B. für 2013 hier).

c. Die “komplementäre Infrastruktur”

So weit, so gut. Allerdings wird der Entwurf des Koalitionsvertrages danach leider nicht mehr so leicht verständlich. Im Rahmen der F&E-Strategie sollen nämlich nur lokale, dezentrale Netzwerke unterstützt werden, die

eine komplementäre Infrastruktur für einen fest definierten Nutzerkreis umfassen.

“Komplementär” lässt sich u.a. mit “ergänzend” erläutern. Gefördert werden soll also die Entwicklung für “ergänzende Infrastrukturen”. Dazu dürfte WLAN derzeit zählen, zumal die großen TelCos ihre Offloading-Strategien (zum Offloading s. hier) bereits ausrollen (s. zum “WLAN-to-GO” der Deutschen Telekom und “Homespot” von Kabel Deutschland hier). Vielleicht ist “komplementäre Infrastruktur” in diesem Zusammenhang unnötig, vielleicht haben die Verhandlungspartner aber auch in die Zukunft gedacht.

Mal sehen, ob sich die deutschen TelCos in diesem Zusammenhang auch um die versprochene Förderung bemühen – allerdings dürften die übrigen Merkmale (insbesondere heterogen und frei vernetzt) fehlen.

d. Der “fest definierte Nutzerkreis”

Im Unklaren bleibt, warum die komplementäre Infrastruktur einen “fest definierten Nutzerkreis umfassen” soll (dazu z.B. @roemerm: ” Das klingt, als ob echter Freifunk der #GroKo zu undurchschaubar ist. Sie wollen wohl lieber identifizierte Benutzer.”). Das Merkmal passt jedenfalls nicht zu den nur wenige Sätze davor angesprochenen heterogenen Communities. Vielleicht findet sich eine Lösung in dem ursprünglichen Antrag der SPD (BT-Drs. 17/11145). Dort heißt es zu gewerblichen Betreibern von WLANs:

Klare gesetzliche Vorgaben fehlen auch für die technischen Vorkehrungen gegen missbräuchliche Nutzung, die unter Einbeziehung von Zumutbarkeitskriterien von WLAN-Betreibern erfüllt werden müssen, um ein Haftungsrisiko zu begrenzen. Seit Langem steht die Forderung im Raum, dass entsprechende Regelungen für die Betreiber von WLANs geschaffen werden müssen, um letztlich den Ausbau der digitalen Infrastruktur und die Eröffnung von Zugängen zum Netz im öffentlichen Raum voranzutreiben.

Im konkreten Antrag (zu 3.) dann (Hervorhebungen durch Verfasser):

Ziel der Initiative ist es … dass die Bundesregierung prüfen möge, ob und wie durch Änderungen der bisherigen Gesetzeslage … die Schutzmaßnahmen, die die Betreiber von WLAN-Netzen zur Vermeidung ihrer Verantwortlichkeit für unbefugte Nutzung durch Dritte zu ergreifen haben, zwecks Erhöhung der Rechtssicherheit unter Einbeziehung von Zumutbarkeitskriterien so konkretisiert werden können, dass die Betreiber bei Erfüllung dieser Anforderungen ihre WLANs ohne Haftungs- und Abmahnungsrisiken betreiben können.

Die SPD war dementsprechend schon damals davon ausgegangen, dass die Betreiber etwas dafür tun müssen, dass sie von der Haftung befreit werden. Allerdings dürfte dieser Ansatz von der BGH-Rechtsprechung “Sommer unseres Lebens” abgeleitet worden sein. Der BGH hatte sich aber mit dem privaten WLAN einer Privatperson befasst und gerade nicht mit einem öffentlichen und an viele Nutzer gerichteten WLAN! Die CDU/CSU hatte in ihrer Anhörung dann auch darauf hingewiesen, dass sie die anonyme Nutzung von WLANs als Problem ansieht (s. Ausschuss-Protokoll 17/201, PDF, S. 24495 f.). Das hört sich dementsprechend danach an, dass doch irgendeine Form von Identifizierung (“fest definierter Nutzerkreis”) stattfinden müsse – allerdings passt das eben doch nicht zum ersten Absatz – und auch nicht zur aktuellen Rechts- und Gesetzeslage.

 

Diese Problematik des “fest definierten Nutzerkreises” könnte etwas klarer sein, wenn man sich die Abschnitte des Vertragsentwurfs in ihrer Systematik ansieht: Im ersten Absatz geht es um die Klärung der Rechtslage: Die Haftungssituation soll verbessert werden! Im zweiten Absatz geht es um die Förderung von Communities und Forschung und Entwicklung. Beide Ziele sollen offenbar nebeneinander bestehen und verfolgt werden (ausdrücklich im zweiten Absatz: “Neben der Klärung der rechtlichen Fragen…”). Dementsprechend geht es nur bei der Förderung und Forschung um einen fest definierten Nutzerkreis, während die Haftungsprivilegierung davon unabhängig ist. Licht ins Dunkel bringt auch das nicht. Vermutlich ist das aber alles viel zu viel der Deutung in zwei kleine Absätze, die für die #GroKo sicher nicht im Zentrum standen.

3. Fazit

Was bleibt nach alldem? Der letzte Satz des Abschnitts zu WLANs lautet:

Damit verbessern wir die infrastrukturellen Rahmenbedingungen für den Zugang zu leistungsfähigem Internet für alle.

Wollen wir es hoffen. Auf den Gesetzesentwurf bin ich auf jeden Fall gespannt.

Send to Kindle

Lesetipp: Lodder/van der Meulen, Evaluation of the Role of Access Providers, JIPITEC 4(2)/2013, 130

In der aktuellen Ausgabe der unter der freien Digital Peer Publishing-Lizenz erscheinenden Zeitschrift JIPITEC ist ein Artikel von Arno R. Lodder und Nicole S. van der Meulen mit dem Titel “Evaluation of the Role of Access Providers – Discussion of Dutch Pirate Bay Case Law and Introducing Principles on Directness, Effectiveness, Costs, Relevance, and Time” erschienen.

Der Artikel geht auf die prinzipielle Rolle des Access Providers – auch in Abgrenzung zum Content und Host Provider ein. Nach einer Darstellung der Entwicklung von Haftungsprivilegierungen in den USA (DMCA/OCILLA) und Europa (E-Commerce-Richtlinie, PDF) werden die in Holland geführten Verfahren gegen The Pirate Bay dargestellt und teilweise analysiert. Im letzten Abschnitt (“D. What role fits access providers best?”) betrachten die Autoren die Rolle von Access Providern und arbeiten heraus, wann und mit welchen Überlegungen potentielle Geschädigte daran denken könnten/sollten, gegen Access Provider vorzugehen.

Der Artikel ist spannend, vor allem die “historischen” Hintergründe und die Fälle gegen The Pirate Bay werden gut in Kontext gesetzt. Interessant ist auch die Feststellung, dass sich Access Provider, die freiwillig anfangen, Inhalte zu filtern, natürlich schwerer gegen weitere/zukünftige Filteranfragen wenden können.

Send to Kindle

Ergebnisse der AG Wirtschaft (Große Koalitions-Verhandlungen) zum Thema Telekommunikation, Stand 5.11.2013 #groko

Wen es interessiert, was die AG Wirtschaft bei den Verhandlungen zur möglichen Bildung einer Großen Koalition von CDU/CSU und SPD (#groko) zum Thema Telekommunikation bisher verhandelt haben soll, hier ein Auszug (Stand 5.11.2013, Hervorhebung zu WLAN von mir):

Deutschland braucht eine moderne Telekommunikationsinfrastruktur. Der Zugang zu schnellem Internet ist eine zentrale Voraussetzung für Produktivitätsfortschritte, neue Geschäftsmodelle und Effizienzsteigerungen. Gerade kleinere und mittlere Unternehmen in ländlichen und strukturschwachen Regionen sind auf diese Basisinfrastruktur angewiesen.

Für ein modernes Industrieland ist der flächendeckende Breitbandausbau eine Schlüsselaufgabe, um wirtschaftliche Entwicklungschancen zu fördern. Dazu werden wir die Breitbandstrategie weiterentwickeln. Es gilt, die digitale Spaltung zwischen den urbanen Ballungszentren und ländlichen Räumen zu überwinden. Dazu wollen wir die Kommunen in ländlichen Räumen beim Breitbandausbau unterstützen. Wir werden Investitionshemmnisse und Wirtschaftlichkeitslücken in den infrastrukturschwächeren Regionen abbauen. Hierbei setzen wir verstärkt auf Synergieeffekte und zusätzliche Investitionsanreize für Telekommunikationsunternehmen.

Beim Ausbau des schnellen Internets werden wir Technologieoffenheit sicherstellen. Dazu gehört auch eine bedarfsgerechte Bereitstellung von Funkfrequenzen für drahtlose Kommunikationsnetzwerke in allen Teilen Deutschlands.

Wir müssen die Rahmenbedingungen für Investitionen in leistungsfähige Infrastrukturen nachhaltig verbessern, damit der Beitrag der Informations- und Kommunikationstechnologie am wirtschaftlichen Wachstum weiter wächst. Es bedarf einer Vielzahl weiterer Maßnahmen, um hochleistungsfähige Breitbandnetze auszubauen. Dazu gehören etwa wettbewerbs- und investitionsfreundliche Rahmenbedingungen im Telekommunikationsgesetz, die verstärkte Kooperation von Unternehmen, bessere Fördermöglichkeiten sowie eine gute Abstimmung zwischen Bund, Ländern und Kommunen.

Schnelle Internetverbindungen gehören für uns zur kommunikativen Daseinsvorsorge, deshalb wollen wir die noch verbliebenen Regionen, die nicht mindestens eine Geschwindigkeit von 2 Mbit/s haben, so schnell wie möglich erschließen. Bis zum Jahr 2018 soll es in Deutschland eine flächendeckende Grundversorgung mit mindestens 50 Mbit/s geben. Zur Umsetzung dieser Ziele wollen wir die dafür notwendigen privaten Investitionen für den Breitbandausbau um einen Förderbetrag des Bundes in Höhe von einer Milliarde Euro pro Jahr ergänzen. Der Breitbandausbau muss auch zukünftig in der EU förderfähig bleiben. Zudem muss es zu einer Vereinfachung der Förderung wie im Rahmen der Daseinsvorsorge im EU-Recht kommen.

Ein neues Sonderfinanzierungsprogramm „Premiumförderung Netzausbau“ bei der KfW-Bankengruppe soll bestehende Programme ergänzen. Wir wollen außerdem einen Breitband-Bürgerfonds einrichten. In diesen Fonds sollen Privatpersonen zu soliden Renditen investieren können.

Wir wollen, dass in deutschen Städten mobiles Internet über W-LAN für jeden verfügbar ist. Wir werden die gesetzlichen Grundlagen für die Nutzung dieser offenen Netze und deren Anbieter schaffen.

Wir wollen Netzneutralität sicherstellen: In Bezug auf die Nutzung des Internets wollen wir die Teilhabe aller Bevölkerungsgruppen ermöglichen, Meinungsvielfalt und fairen Wettbewerb sichern sowie die wirtschaftlichen Potenziale steigern. Die Gewährleistung von Netzneutralität werden wir als eines der Regulierungsziele im Telekommunikationsgesetz verbindlich regeln und definieren. Die Bundesnetzagentur soll im Hinblick auf die Sicherung von Netzneutralität und Diskriminierungsfreiheit zusätzliche Kompetenzen erhalten.

Die Sicherheit von Kommunikationsinfrastrukturen muss erhöht werden. Dazu muss die Cyber-Sicherheits- und Datenschutzstrategie weiterentwickelt werden. Dafür initiieren wir ein Spitzencluster „IT-Sicherheit und kritische IT-Infrastruktur“ und setzen uns für einen branchenübergreifenden Rechtsrahmen für Mindestanforderungen in Deutschland und Europa ein. Gleichzeitig wollen wir eigene nationale Kompetenzen im Bereich Internet/IT/Digitale Wirtschaft ausbauen, um unsere Unabhängigkeit zu erhöhen.

Send to Kindle

Störerhaftung für WLAN begrenzen: Protokoll der SV-Anhörung im Landtag NRW online

Wie berichtet, fand am 3.7.2013 eine Sachverständigenanhörung im Wirtschaftsausschuss des Landtages Nordrhein-Westfalen zum Antrag der Piratenpartei (Drs. 16/2284) zur Thematik der Störerhaftung beim Betrieb von WLANs statt, zu der verschiedene Sachverständige bzw. Verbände geladen waren, nämlich

  • Chaos Computer Club e.V. (erschienen: Dr. Julius Mittenzwei, @mittenzwei)
  • Ulf Buermeyer (@vieuxrenard)
  • Dr. Frey von FREY Rechtsanwälte
  • GEMA
  • Verband freier Deutscher Künstler e.V.
  • Verbraucherzentrale NRW
  • eco-Verband
  • VG Wort
  • ich

Es gab acht schriftliche Stellungnahmen, die online verfügbar sind. Die Diskussion dreht sich auch um den im Bundestag durchgefallenen  Gesetzesentwurf des Digitale Gesellschaft e.V., nach dem in § 8 TMG folgende Absätze 3 und 4 angefügt werden sollten:

(3) Der Ausschluss der Verantwortlichkeit (Absatz 1) umfasst auch gewerbliche und nichtgewerbliche Betreiber von Funknetzwerken, die sich an einen nicht im Voraus namentlich bestimmten Nutzerkreis richten (öffentliche Funknetzwerke).
(4) Der Ausschluss der Verantwortlichkeit (Absatz 1) umfasst auch Ansprüche auf Unterlassung.

Nun ist auch das Wortlautprotokoll der Ausschusssitzung online verfügbar (Ausschussprotokoll APr 16/288, 03.07.2013).

Ich hatte bereits in einem früheren Artikel über den Verlauf der Sitzung geschrieben. Das Wortlautprotokoll gibt diesen nun auf 27 Seiten genau wieder. Zur kurzen Erläuterung: Es gab mehrere Fragerunden, bei denen zunächst alle Fragen gestellt wurden, und dann alle Sachverständigen nacheinander die an sie gerichteten Fragen beantworten konnten.

Statt alles nochmal zusammenzufassen, hier nur ein paar Highlights (in der Reihenfolge der ersten Fragerunde):

Prof. Rotert (eco):

Um ein kleines Beispiel zu geben: Ein Hotel hat eine Abmahnung bekommen und dann sofort alles wieder abgebaut und gesagt, das sei eine Fehlinvestition gewesen, es wolle damit nichts mehr zu tun haben, und dies aufgrund der Tatsache, dass diese Abmahnung praktisch eine Vorverurteilung enthielt. – Auf dem Weg hierher kam eine Mail von einem Hotelier herein, der vor drei Jahren eine Abmahnung bekam, der er widersprochen hat; er hat auch nichts bezahlt. Jetzt kommt ein Inkassounternehmen und sagt, wenn er nicht sofort bezahle, gebe es Einträge bei der Schufa. Hier wird also durchaus extremer wirtschaftlicher Druck ausgeübt. …

Zur wirtschaftlichen Bedeutung sagen mir die Hotels: Wenn sie heute kein kostenloses WLAN anbieten können – gerade die kleineren Häuser, weniger die Fünf-Sterne- Häuser –, brauchen sie erst gar nicht anzutreten, werden sie gemieden, insbesonde- re von den Geschäftsreisenden. Angesichts der Anzahl der Häuser kann man sich ausrechnen, welches Potenzial dahintersteht.

Verfolgbarkeit über Mobilfunk funktioniert gar nicht. Schon die Vorratsdatenspeiche- rung hat beim Mobilfunk genau aus dem Grunde nicht funktioniert, weil die Zuord- nung Telefonnummer/IP-Adresse schlichtweg aufgrund der Mobilität nicht gegeben ist. Es kommt aber noch ein anderer Punkt hinzu: Die Software zum Feststellen der IP-Adresse wurde von Abmahnanwälten – ich bezeichne sie jetzt einmal so leger – oder von Firmen, die diesen Anwälten gehören, selbst entwickelt. In der Schweiz ist diese Software übrigens verboten. Sie müsste eigentlich, wenn man es genau nimmt, denselben Verordnungsrichtlinien zur Telekommunikationsüberwachung unterliegen wie die bei einer ganz normalen Überwachung überhaupt. Ob die Software Fehler hat oder ob sie richtig funktioniert, weiß also kein Mensch. Ob die Adressen auch stimmen, für die dann angefragt wird – es werden pro Monat 300.000 IP-Adressen bei den Providern angefragt –, ob sie alle in Ordnung sind, weiß niemand. Die Aus- schussrate ist nach dem, was die Provider sagen, eigentlich sehr hoch, weil manche Adressen überhaupt keinen Sinn machen.

Dr. Frey (FREY Rechtsanwälte):

Es ist in der Tat so, dass die Rechtsprechung die Regeln der §§ 7 ff. Telemediengesetz nicht auf Sachverhalte anwendet, die sie nach den Regeln der Sto?rerhaftung beurteilt. Dies halte ich fu?r grundlegend falsch und fu?r mit europa?ischem Recht auch so nicht vereinbar, weil der Europa?ische Gerichtshof, wenn er die Richtlinien u?ber den elektronischen Ge- scha?ftsverkehr auslegt, auch diese Regeln u?ber die Haftungsprivilegierung der Provider auf Unterlassungssituationen anwendet. …

Aus meiner praktischen Erfahrung kann ich besta?tigen, dass die Pflichten oder potenziellen Pflichten eben an der Stelle nicht klar sind, wo kleine Hotelbetreiber, wo Internet-Cafe?s, wo Kommunen in die Rolle des Telekommunikationsdiensteanbieters schlu?pfen. Deswegen halte ich diese Klarstellung fu?r wichtig.

… hier muss sich wiederum der Gesetzgeber fragen, ob er Jahre der Rechtsstreitigkeiten abwarten will, um zu einer Klarheit, zu einer Rechtssicherheit zu kommen, die dem adressierten Ziel wahrscheinlich nicht gerecht wu?rde.

Sehr spannend war auch, dass Dr. Frey eine de minimis-Regelung im TKG für Kleinstanbieter verlangt:

Die Pflichten nach dem TKG sind sehr aufwendig. Ich kann es kurz skizzieren. Der Anbieter muss zum Beispiel sicherstellen, dass das Fernmeldegeheimnis, ein ganz wichtiges Thema, auch hier gewährleistet wird. Es muss Datenschutz gewährleistet werden. Dafür müssen Anbieter von Telekommunikationsdiensten bei der Bundes- netzagentur ein Sicherheitskonzept vorlegen. Es besteht eine Meldepflicht bei der Bundesnetzagentur. Das würde kleine Anbieter, denen wir mit diesem Schritt der Anwendung des § 8 TMG im Bereich der Störerhaftung etwas Gutes tun wollten, strukturell überfordern. Also müsste man auch in diesem Bereich so etwas wie eine [de minimis]-Lösung finden, damit diese sehr komplexen Regeln des Telekommunikationsgesetzes nicht ohne Weiteres auch in diesem Bereich zur Anwendung kämen. Das muss unbedingt mit bedacht werden.

Iwona Husemann (Verbraucherzentrale Düsseldorf):

Für uns, die wir das ausschließlich aus Verbrau- chersicht beurteilen, ist eher die Frage, inwieweit man Verbraucher – wenn es politisch gewünscht und gewollt ist, dass sie sich daran beteiligen, dass flächendeckend WLAN-Netze verfügbar sein sollen – zu den bisherigen gesetzlichen Regelungen und angesichts der Problematiken mit der Störerhaftung daran beteiligen kann oder will. Deswegen halten wir es für einen gangbaren Weg, den § 8 Telemediengesetz dann auch auf private WLAN-Betreiber anzuwenden, gerade damit sie dann auch diese Haftungserleichterungen erfahren können.

Ulf Buermeyer (@vieuxrenard):

Jedenfalls die deutsche Handhabung des § 8 TMG, der be- stimmte Access-Provider aus dieser Haftungsprivilegierung ausnimmt, ist aus meiner Sicht eindeutig europarechtswidrig. Würde also diese Frage dem EuGH einmal von einem deutschen Gericht vorgelegt, müsste man mit größter Wahrscheinlichkeit davon ausgehen, dass der EuGH sagte: Eine Handhabung der deutschen Normen, die Privatleute und kleine Gewerbetreibende, also diese Nebenbei-Provider, von der Haftungsfreistellung ausnimmt, ist unzulässig. …

Meines Erachtens ist es in der Tat ein Problem für den einen oder anderen Kollegen – ich argumentiere jetzt küchenpsychologisch –, eine Haftungsfreistellung anzuerkennen, weil die Intuition ist: Da gibt es eine Rechtsverletzung, und es muss doch sein, dass irgendwer dafür haftet. Derjenige, der wirklich verantwortlich ist, zum Beispiel der Filesharer, ist nicht greifbar. Aber irgendwer muss doch haftbar sein. Das ist natürlich Küchenpsychologie; das hat mit Rechtswissenschaft nicht so wahnsinnig viel zu tun. Aber es erklärt im Hintergrund, warum der eine oder andere Kollege intuitiv, also noch bevor er in die Rechtsprüfung einsteigt, zu dem Ergebnis kommt: Es kann doch nicht sein, dass da eine Haftungsfreistellung Platz greift.

Wenn man eine Abmahnung über 500 oder 1.000 € bekommt, dann ist das natürlich eine ganze Menge Geld; nur wäre das Kostenrisiko, das bei einer gerichtlichen Entscheidung möglicherweise auf denjenigen zukäme, noch signifikant höher. Deswegen gehen eben sehr viele Verbraucherinnen und Verbraucher das Risiko gar nicht erst ein, ebenso sehr viele Gewerbetreibende, sondern zahlen lieber zähneknirschend und schalten anschließend möglicherweise ihr WLAN ab.

as ist genau das Problem: Hier gibt es eine abschreckende Wirkung. Ich habe vor dem Deutschen Bundestag so schön gesagt: Bei den deutschen WLAN-Providern geht die Angst um, sodass man im Zweifel lieber abschaltet. Die Rechtslage wird letzten Endes gar nicht richtig geklärt. Das ist das Kernproblem. Die Abmahnenden machen sich eine etwas unklare Rechtslage zunutze, und im Zweifel spielt ihnen das in die Hände. …

Ich habe gerade kurz gegoogelt, wie das Zahlenverhältnis ist. Wir haben in Deutschland etwa 40 Millionen Internetzugänge, aber nur rund 400.000 Gaststätten und Hotels. Das heißt, allenfalls 1 % der Anschlussinhaber sind Hotels oder Gaststätten. Selbst wenn man davon ausgeht, dass Privatleute und Gäste in Hotels etwa gleich viel dazu neigen, Urheberrechte zu verletzen, kann man davon ausgehen, dass maximal 1 % der Urheberrechtsverletzungen über Anschlüsse von Hotels und Gaststätten vorgenommen werden. …

Die Kritik an der derzeitigen Auslegung von § 8 TMG nimmt vor allem die Verbrau- cher in den Blick, die zum Beispiel in den Freifunknetzen letzten Endes aus Altruismus für ihre Mitmenschen einen Internetzugang zur Verfügung stellen und sich damit großen Haftungsrisiken aussetzen. Es werden jetzt Gruppenlösungen gefunden, indem man die Daten einen Umweg über Schweden nehmen lässt, weil es in Schweden eben keine Störerhaftung gibt. Das ist zwar eine technische Möglichkeit, ist aber sehr komplex. Ich muss ganz ehrlich sagen: Wenn jemand schon so viel Bürgersinn an den Tag legt, dass er anderen Leuten einen Internetzugang bietet, diesen be- rühmten digitalen Schluck Wasser anbietet, dann sollte die Rechtsgemeinschaft das akzeptieren. Sie sollte das sogar unterstützen und fördern und sollte diese Menschen nicht auch noch mit Haftungsrisiken strafen. …

Ich lege als denkbare Änderung den Gesetzentwurf des Digitale Gesellschaft e. V. zugrunde, der auch schon im Deutschen Bundestag verhandelt worden ist, einfach deshalb, weil es bislang der einzige ist, den es jedenfalls nach meiner Kenntnis gibt, der eine konkrete Regelung zur Abschaffung der Störerhaftung vorschlägt. Wenn man diesen Gesetzentwurf zugrunde legt, dann sind überhaupt keine Kollate- ralschäden zu erwarten, weil dieser Entwurf mit zwei Absätzen einfach nur ganz präzise die zwei rechtlichen Zweifelsfragen, ganz freundlich gesagt, adressiert, die zu der derzeit unzuträglichen Rechtslage führen. …

Aber das ist heute auch in UMTS-Netzen bereits so; denn diese Netze – das hat Dr. Mantz auch kurz angeschnitten – setzen weitgehend auf dieselbe Technologie. Auch in UMTS-Netzen bekommen Sie heute, wenn Sie sich da einwählen, in aller Regel keine IP mehr, die quasi direkt im Internet auftritt. Vielmehr werden Sie auch da über einen Router beim Provider geleitet und sind da mit vielen hundert anderen Nutzern desselben UMTS-Netzes über diesen selben Router über dieselbe öffentliche IP im Internet unterwegs. … Mit anderen Worten: Es gibt diese Haftungsfreistellung im UMTS-Netz sowieso schon. Das heißt, es gibt ohnehin schon massenhafte und völlig unproblematische Möglichkeiten, das Internet anonym zu nutzen. Darüber hinaus gibt es natürlich noch reihenweise andere – Internet-Cafés möchte ich nennen – oder selbstverständlich auch technisch komplexe Verfahren wie Anonymisierungssysteme im Internet und so etwas.

Der Punkt zum Mitnehmen ist einfach nur: Identifikationspflichten sind machbar, datenschutzrechtlich heikel, aber technisch sinnlos.

Dr. Reto Mantz (@offenenetze):

Die wirtschaftliche Auswirkung der derzeitigen Rechtsunsicherheit ist zum einen, dass Pri- vatpersonen solche WLANs nicht machen, aber eben auch, dass bei Hotels eine prohibitive Wirkung eintritt. Das hat aber auch zur Folge, dass klassische Access-Provider wie die Telekom oder Kabel Deutschlandhier bevorteilt werden. Die Telekom plant derzeit das sogenannte WLAN to go: Privatpersonen sollen quasi im Rahmen ihres normalen Telekom-Vertrages einen öffentlich zugänglichen WLAN-Hotspot aufspannen. Die Telekom sagt hier: Wir stellen dich von der Haftung frei. Warum kann die Telekom so agieren? Weil sie durch § 8 TMG nicht nur rechtlich, sondern auch praktisch privilegiert ist. Die derzeitige Auswirkung der Rechtslage ist als negativ zu betrachten. …

Der zweite Grund, warum Nebenbei-Provider wie Hotels, Gaststätten, aber auch Ju- gendheime, Schulen, Kommunen etc. eigentlich nicht durch Urheberrechtsverletzun- gen auffallen, aber dennoch von der prohibitiven Wirkung betroffen sind, besteht da- rin, dass sich öffentliche WLANs für Filesharing schlicht und einfach nicht gut eignen; denn die Bandbreite ist heutzutage doch begrenzt, da sehr viele WLANs überall aufgespannt sind. Wenn zwei Leute in einem Café Filesharing betrieben, wenn das gut funktionierte, dann wäre der Kanal schon dicht, sodass das auch nichts tatsächlich Attraktives ist. …

Von der Telekom verlangt man nichts. Man verlangt weder eine Registrierung noch eine Belehrung noch Filtermaßnahmen noch Portsperren noch irgendetwas, gar nichts. Die Telekom muss einfach gar keine Maßnahmen ergreifen. Die Frage ist: Warum soll der Hotelbetreiber, der nach dem Gesetz nichts anderes als das tut, was auch die Telekom macht, hierbei anders behandelt werden? Wir haben es schon gesagt: Das wird in der Rechtsprechung eben ohne Stütze im Gesetz anders behandelt. …

Das Landgericht München hat im Jahr 2012 sehr deutlich gesagt: Es besteht keine Pflicht, Nutzer in WLANs zu identifizieren. Das Landgericht München hat buchmäßig alle möglichen rechtlichen Grundlagen durchgeprüft und immer gefragt: Erwächst hieraus die Pflicht, den Nutzer zu identifizieren und dann im Zweifelsfall auch benennen zu können? … In technischer Hinsicht muss man sagen: Die Tatsache, dass man jemanden identifiziert, und die Möglichkeit, anschließend sagen zu können, dass der Betreffende der Täter war, sind zwei vollkommen unterschiedliche Dinge. Aber selbst wenn wir das einmal unterstellen, dass man denjenigen identifiziert und den Namen herausgibt, dann muss man sagen: Als Störer würde man ja immer noch haften. Diejenigen, die die Rechte verfolgen, also in diesem Fall die Abmahnkanzleien, werden sich davon nicht beeindrucken lassen, sondern weiterhin aus den Grundsätzen der Störerhaftung gegen den Anbieter vorgehen und möglicherweise zusätzlich aus dem Hintergrund der Täterhaftung gegen den eigentlichen Täter. Das heißt, hier ist eine Registrierung definitiv kontraproduktiv. …

Die letzte Frage bezog sich auf die Verfolgbarkeit. Sie haben es schon angesprochen: Im UMTS-Netz ist auch heute tatsächlich bei vielen Providern eine Verfolgbarkeit nicht gewährleistet, weil im Nachhinein nicht festgestellt werden kann, wer denn der Rechtsverletzer ist. Das heißt, wenn ich heute ins Internet gehe, mich unter einem falschen Namen in ein Forum einlogge und dann einen der hier Anwesenden auf übelste Art und Weise beleidigen sollte, drohte mir da vermutlich nicht allzu viel. Das ist schon heute so, und daran ändert sich dann auch später nichts. …

Die Sicherheitsmaßnahmen oder das Sicherheitskonzept könnten schon eher ein Problem sein. Aber auch hier gilt: Wenn ich nur ein oder zwei WLAN-Hotspots – dazu wird vielleicht Herr Rotert etwas sagen können – betreibe, dann brauche ich auch kein wahnsinnig großes Sicherheitskonzept. Das ist tatsächlich meines Erachtens keine so große Hürde, auch wenn ich hierfür die Minimize-Regeln durchaus befürworte, wie sie zum Beispiel bei der TK-Überwachung bereits existieren: TK- Überwachung erst ab 10.000 Nutzer; WLANs werden das kaum erreichen können. …

UMTS reicht nicht, um arbeiten zu kön- nen. Das ist richtig. Was die Bundesregierung meines Erachtens ebenfalls verkannt hat, ist die Tatsache, dass ganz besonders die großen Provider, Telekom etc., ganz stark auf WLAN setzen. In den nächsten Jahren haben wir eine Vervielfachung des Datenverkehrs zu erwarten. Auch wenn wir alle jetzt sofort LTE zur Verfügung hätten, würde LTE hierfür nicht ausreichen, ganz und gar nicht.

Dr. Julius Mittenzwei (Chaos Computer Club e.V., @mittenzwei):

Ich brauche breitbandiges Internet, um kreativ zu sein, um arbeiten zu können. Es gibt zwar schon in den Großstädten UMTS und so etwas, aber es ist einfach mühsam, über das Handynetz zu gehen, und man kann einfach nicht effektiv arbeiten, kreativ sein und alles Weitere. Deshalb nehme ich an, dass es sich vermutlich nicht irgendwie in Wirtschaftswachstum niederschlagen wird. Aber für die gesamte Internetkreativwirtschaft ist freies WLAN eine Conditio sine qua non, ohne die man einfach nicht arbeiten kann. Ich sage es einmal überspitzt: Es wird in Deutschland nichts mit einem deutschen Silicon Valley, wenn es schon am Internet fehlt. Das ist eigentlich die Grundvoraussetzung für alles Weitere. …

Als Letztes kam die Frage zu der Neuregelung, die in der letzten Woche im Bundestag beschlossen wurde. Meines Erachtens wird auch hiermit an der Rechtsfolgenseite herumgedoktert. Trotzdem ist man erst einmal Verletzer oder wird auf Unterlas- sung oder Ähnliches in Anspruch genommen, und dann ist nur hinten herum die Kos- tenseite begrenzt. Selbst dies schafft nicht die klare Regelung, die eigentlich notwendig wäre, um freie WLANs an allen Orten zu ermöglichen, an denen man sich aufhält. …

Zu der Frage, ob eine Registrierungspflicht überhaupt praktikabel wäre: Ich bin da skeptisch, gerade dann, wenn diese Registrierungspflicht irgendwie eine ernst zu nehmende Sicherung darstellen soll. Man müsste irgendwelche Zertifikatsinfrastruktur oder Ähnliches schaffen. Das alles ist technisch schwierig. Selbst solche Regelungen, dass man irgendetwas akzeptieren muss oder Ähnliches, bilden eigentlich nur eine psychologische Hürde, wenn beispielsweise Nutzer aufgerufen werden, dass man in einem offenen WLAN ist, möglicherweise jemand anderes Ärger bekommt und dass man sich bitte dementsprechend zu benehmen hat. An sich bewegt man sich einfach innerhalb dieses WLANs, wo man sich nicht wie bei einem UMTS-Netz – das betrifft den zweiten Teil der Frage – irgendwie mit einer SIM-Card anmeldet. Vielmehr meldet sich jeder Rechner nur mit seiner Netzwerkkennung an, von seiner Karte, die aber nirgendwo zentral registriert ist und die man auch, wenn man sich auskennt, in seinem Laptop beliebig ändern kann. Meines Erachtens ist irgendeine Registrierungspflicht nicht praktikabel….

Die stete Gegenreaktion, dass man bei Straftaten wie Urheberrechtsverletzungen, die im Internet – wie im normalen Leben auch – begangen werden, immer nach tota- ler Kontrolle schreit, ist eigentlich ein Reflex, den man durchaus hinterfragen muss. Wenn man dann aber die Statistik liest, sind die Aufklärungsquoten von Straftaten im Internet – ich nehme an, das wird bei Urheberrechtsverletzungen ähnlich sein – einfach viel höher als von allen anderen Straftaten, die irgendwie im täglichen Leben offline begangen werden. Man wird also damit leben müssen, dass man dann gewisse Sachen einfach nicht verfolgen kann, weil Registrierungspflicht und Ähnliches nicht praktikabel sind.

Zur Frage der politischen Bedeutung: Ich teile die Auffassung, dass man das lieber früher als später regeln und klarstellen sollte, statt noch einmal weitere Jahre zu warten, bis das durch alle Instanzen hin und zurück entschieden ist. Es sollte bessere jetzt eine Regelung getroffen werden, weil die Bevölkerung jetzt und nicht in zehn Jahren schnelles Internet braucht.

Wir werden sehen, ob in das Thema in der nächsten (Bundes-)Legislaturperiode wieder aufkommt. Es wäre zu hoffen, dass hier eine Regelung gefunden wird.

Send to Kindle

Sicherheitslücken (in WLAN-Routern) und die Pflichten der Nutzer (insb. Unternehmen)

Wie heise-security am 21.08.2013 berichtete, wird derzeit eine Lücke in bestimmten WLAN-Routern aktiv ausgenutzt, durch die Angreifer Zugriff auf den Router und damit auch die Telefonanlage nehmen können.

I. Der Fall

Den konkreten Fall beschreibt heise-security so:

Im Raum Krefeld hat ein unbekannter Täter verwundbare WLAN-Router anscheinend gleich reihenweise geknackt, um über die Telefonanschlüsse der Router-Besitzer wiederholt die Kundenhotline eines Krefelder IT-Dienstleisters anzurufen. Dadurch war die Hotline stundenlang nicht erreichbar. Gegenüber heise Security erklärte der Geschäftsführer der betroffenen IT-Firma, in einigen Fällen sei die Rufnummer des Anrufers mitgesendet worden. Daraufhin habe er sich mit den Anrufern in Verbindung gesetzt. Die Anschlussinhaber gaben an, von den Anrufen nichts gewusst zu haben. Bei den Gesprächen ergaben sich zwischen den Inhabern der Rufnummern zwei Gemeinsamkeiten: Alle waren Vodafone-Kunden und setzten einen Vodafone-Standardrouter des Typs EasyBox ein. Einer der Vodafone-Kunden erklärte, an seinem Anschluss sei durch weitere Anrufe bereits größerer finanzieller Schaden entstanden, unter anderem durch Ferngespräche ins Ausland.

II. Ansprüche auf Schadensersatz?

Nach dieser Fallbeschreibung war das Opfer des Telefonterrorangriffs, ein IT-Unternehmen, in seiner Betriebsausübung erheblich betroffen. Ihm dürften daher – einen entsprechenden Schaden vorausgesetzt – gegen den Angreifer Ansprüche auf Unterlassung und Schadensersatz zumindest nach § 823 Abs. 1 BGB zustehen. Betroffenes Rechtsgut wäre hier das Recht des eingerichteten und ausgeübten Gewerbebetriebes, dessen Schutz im Rahmen des § 823 Abs. 1 BGB anerkannt ist. In vergleichbaren Fällen könnte es auch zu anderen Schäden kommen, wenn z.B. die geknackten Router für eine (Distributed) Denial of Service-Attacke (DDoS) genutzt worden wären, und es in dessen Folge zu einer Beeinträchtigung des Gewerbebetriebes oder sogar einem Datenverlust gekommen wäre.

Ob der Täter zu ermitteln sein wird, muss sich erst noch zeigen, es ist aber eher unwahrscheinlich. Daher ist zu fragen, ob von einem solchen Angriff betroffene Ansprüche gegen diejenigen richten können, deren Geräte für den Angriff genutzt wurden.

Ähnliche Fragestellungen sind in der Literatur bereits im Zusammenhang mit der Kompromittierung von Computersystemen durch Viren, Trojaner u.ä. diskutiert worden (Koch, NJW 2004, 801; Libertus, MMR 2005, 507; Mantz, K&R 2007, 566 (PDF, 0,2 MB); Spindler, MMR 2008, 7). Dabei wird im Rahmen des § 823 Abs. 1 BGB auf die Verletzung von Verkehrspflichten abgestellt. Im Hinblick auf Dialer hatte auch der BGH die Pflichten der Computernutzer behandelt (BGH, Urt. v. 4.3.2004 – III ZR 96/93, NJW 2004, 1590; zu Trojanern LG Stralsund, Urt. v. 22.2.2006 – 1 S 237/05, MMR 2006, 487).

Kurz formuliert, kann jemand, dessen System kompromittiert wurde und ohne sein Wissen für einen Angriff auf Dritte verwendet wurde, ggf. auf Zahlung von Schadensersatz in Anspruch genommen werden, wenn das Sicherheitsproblem (in erheblichem Maße) bekannt war, die Sicherungs- bzw. Gegenmaßnahmen bekannt (AG Völklingen, Urt. v. 23.2.2005 – 5c C 575/04, MMR 2005, 482, 483) und technisch zumutbar waren (AG Völklingen, Urt. v. 23.02.2005 – 5c C 575/04, MMR 2005, 482, 483; Grabe, MMR 2005, 483, 485; Mantz, K&R 2007, 566 (PDF, 0,2 MB)).

Gerade im Zusammenhang mit der Sicherung eines WLANs durch Verschlüsselung hat der BGH im Jahr 2010 entschieden, dass den Nutzer die Pflicht treffen kann, sein WLAN nach dem zum Zeitpunkt des Kaufs aktuellen Schutz zu verschlüsseln (BGH, Urt. v. 12.5.2010 – I ZR 121/08, MMR 2010, 565 m. Anm. Mantz (PDF) – Sommer unseres Lebens).
Das Merkmal der technischen Zumutbarkeit führt allerdings möglicherweise nur bei Privatkunden zur Einschränkung des Anspruchs (vgl. LG Hamburg, Urt. v. 26.7.2006 – 308 O 407/06, MMR 2006, 763, 764; kritisch zu einem ähnlichen Fall Solmecke, K&R 2007, 138, 143). So hat der BGH in der “Sommer unseres Lebens”-Entscheidungen die Pflichten von gewerblichen Nutzern gerade offen gelassen. Gewerblichen Nutzern kann es daher insbesondere zuzumuten sein, sich (kostenpflichtiger) technischer Hilfe zu bedienen.

Allerdings ist im vorliegenden Fall sehr fraglich, ab wann von der Bekanntheit des Sicherheitsproblems gesprochen werden kann. Grundsätzlich sind hieran eher strenge Anforderungen zu stellen (Mantz, K&R 2007, 566 (PDF, 0,2 MB)):

Man kann jedoch davon ausgehen, dass ein Problem erst weithin bekannt ist, wenn eine ausfu?hrliche und mehrfache Berichterstattung in Massenmedien erfolgt ist. Ist das Sicherheitsproblem lediglich in Fachzeitzeitschriften aufgegriffen worden, so kann gerade der weniger interessierte Nutzer, und damit die fu?r die Pflichtenbestimmung wesentliche Gruppe der Mehrheit der Nutzer, die Problematik kaum kennen. Auch wer IT-spezifische Informationskana?le nicht nutzt, muss zumindest die Mo?glichkeit gehabt haben, vom Sicherheitsproblem in seinen Grundzu?gen erfahren zu haben.

Die Sicherheitslücke ist bereits vor zwei Jahren öffentlich geworden. Am 5.8.2013 hat zusätzlich das Bundesamt für Sicherheit in der Informationstechnik eine offizielle Warnung herausgegeben. Diese Quellen sind generell aber eher an ein Fachpublikum gerichtet. Von einer allgemeinen Bekanntheit des Problems kann wohl nicht ausgegangen werden.

Allgemein wird bei der Bekanntheit wohl im Einzelfall zu unterscheiden sein: Privatpersonen ist es mit Sicherheit nicht zuzumuten, Fachmedien und die BSI-Warnungen zu beobachten. Auch bei kleinen Gewerbetreibenden kann sicher noch nicht von einer Bekanntheit ausgegangen werden, wenn Fachmedien darüber berichten. Anders dürfte dies lediglich bei großen Unternehmen sein, die eine eigene IT-Abteilung unterhalten, wobei kaum davon auszugehen ist, dass diese die hier betroffenen WLAN-Router eingesetzt haben.

Aus dem Artikel ergibt sich nicht, wer die Vodafone-Kunden waren, deren WLAN-Router zum Telefonterrorangriff genutzt wurden. Es kann daher von hier aus keine Aussage darüber getroffen werden, ob es sich lediglich um Privatpersonen gehandelt hat.

Vodafone hat in seinem Blog am 5.8.2013 beschrieben, wie die Sicherheitslück behoben werden kann. Auf den Hilfeseiten ist auch eine Schritt-für-Schritt-Anleitung verfügbar. Weiter hat Vodafone angekündigt, alle Nutzer mit den betroffenen WLAN-Routern anzuschreiben. Ein Firmware-Update, das das Problem endgültig löst, soll noch in Arbeit sein.

Ist eine solche Information an den Nutzer gelangt, liegt Bekanntheit (bei diesem) definitiv vor. Wenn die Lösung auch durch einen Laien durchführbar ist – beispielsweise aufgrund einer leicht verständlichen und auch für Laien durchführbaren Schritt-für-Schritt-Anleitung, kann auch von einer technischen Zumutbarkeit ausgegangen werden. Es ist daher jedem, der einen entsprechenden Hinweis erhält, dringend zu raten, die Sicherheitslücke schnellstmöglich zu beheben – schon aus Eigeninteresse (vgl. dazu auch BGH, Urt. v. 12.5.2010 – I ZR 121/08, MMR 2010, 565 Rn. 22 m. Anm. Mantz (PDF) – Sommer unseres Lebens).

III. Ansprüche gegen Vodafone?

Die weitere Frage ist, ob die Betroffenen Ansprüche gegen Vodafone geltend machen können. Solche Ansprüche können sich auf Schadensersatz richten, wenn bereits ein Angriff auf das eigene Gerät stattgefunden hat, alternativ möglicherweise auch auf Ersatz der Kosten für die Installation der neuen Software/der zu ergreifenden Gegenmaßnahme in Form der Entlohnung eines beauftragten IT-Unternehmens. Unabhängig davon, ob die Betroffenen die WLAN-Router gekauft oder gemietet haben, dürfte in der Auslieferung eines mit einer solch eklatanten Lücke behafteten Geräts ein Mangel vorliegen.

Die Unterscheidung zwischen Miet- und Kaufvertrag wird aber für die Verjährung eine erhebliche Rolle spielen. Beim laufenden Mietvertrag sind Mängel jederzeit zu beheben. Beim Kaufvertrag verjähren die Mängel allerdings nach § 438 Abs. 1 Nr. 3 BGB innerhalb von zwei Jahren nach Ablieferung der Sache. Ansprüche dürften daher mittlerweile in vielen Fällen verjährt sein. Darauf, dass der Mangel (sehr) versteckt ist, kommt es insoweit nicht an.

Sofern der Router allerdings im Zusammenhang mit eine Telekommunikationsvertrag, der i.d.R. wiederum als Dienstleistungsvertrag einzuordnen ist, gekauft wurde, und dieser Vertrag weiterhin besteht, kann ein Anspruch auf Schadensersatz ggf. hierauf gestützt werden. Insbesondere der Umstand, dass die Sicherheitslücke bereits seit zwei Jahren bekannt ist, Vodafone aber erst jetzt Maßnahmen zur Behebung ergreift, legen eine Verletzung der Nebenpflichten des Vertrages nahe.

IV. Fazit

Nutzer mit den betroffenen WLAN-Routern sollten diese sofort absichern. Privatpersonen und Kleinunternehmen, die davon keine Kenntnis haben und von Vodafone nicht benachrichtigt wurden, dürften keinen Schadensersatzansprüchen ausgesetzt sein, wenn ihr Router für Angriffe auf Dritte missbraucht wurde. Größeren Unternehmen kann die Pflicht obliegen, entsprechende Warnungen auch in Fachkreisen und des BSI zu beachten und entsprechende Gegenmaßnahmen frühzeitig zu ergreifen.

Vodafone hat in jedem Fall keine Figur gemacht. Zum einen hat das Unternehmen ein Produkt mit eklatanten Sicherheitslücken verkauft, zum anderen zwei Jahre gebraucht, um effektiv zu reagieren.

Send to Kindle

BSI warnt Vodafone-Nutzer vor schwerer Lücke in WLAN-Routern (WPS)

Es war ja eigentlich schon bekannt, dass einige WLAN-Router von Haus aus unsicher oder unsicher konfiguriert sind (s. hier, hier und hier). Neu ist, dass das Bundesamt für Sicherheit in der Informationstechnik über sein Warnungs-Portal BürgerCERT konkret Nutzer von bestimmten WLAN-Routern warnt (dazu SpOn und heise-online).

In diesem Fall sind die zwei WLAN-Router von Vodafone, nämlich die EasyBox 802 und EasyBox 803 (mit Produktionsdatum vor August 2011), betroffen, die vom Hersteller Arcadyan/Astoria Networks stammen. Die Lücke ist bereits seit Ende 2011 öffentlich bekannt (heise-security v. 29.12.2011).

Auch andere WLAN-Router können solche Unsicherheiten aufweisen (hier, hier und hier).

Im Ergebnis empfiehlt es sich, die Voreinstellungen eines neu gekauften WLAN-Routers genau zu studieren und ggf. zu ändern, wobei man auch konstatieren muss, dass es durchaus WLAN-Router zu geben scheint, die von Anfang an sicher konfiguriert sind (s. z.B. das Urteil des AG Frankfurt v. 14.6.2013 – 30 C 3078/12 (75) oder meine Anmerkung (PDF) zum “Sommer unseres Lebens”-Urteil des BGH, Urt. v. 12.5.2010 – I ZR 121/08, s. dazu hier, hier, hier, hier und hier.

Interessant dürfte letztlich die Frage sein, ab wann nach den Vorgaben des BGH die (für Privatnutzer sicher nicht triviale) Umkonfiguration der Sicherheitsparameter eines WLAN-Routers von Privatpersonen erwartet werden kann bzw. ob eine Warnung des BSI hinreichend ist, um den allgemein bekannten Sicherheitsstandard zu verändern. Möglicherweise ist hierfür eine Berichterstattung in Presse und Fernsehen erforderlich (s. dazu z.B. Mantz, K&R 2007, 566: Die Haftung fu?r kompromittierte Computersysteme – § 823 Abs. 1 BGB und Gefahren aus dem Internet, (PDF)). Wer also Berichte in den großen Zeitungen oder Fernsehnachrichten hierzu sieht, ist herzlich eingeladen, dies in den Kommentaren zu vermerken oder mir eine Nachricht zu schicken – danke!

Vodafone hat übrigens schon ein Update versprochen. Inwiefern die Nutzer dieses tatsächlich einspielen, ist aber fraglich.

Eine weitere spannende Frage wäre übrigens, ob Vodafone verpflichtet ist, alle ihm bekannten Nutzer dieser WLAN-Router (per Brief) anzuschreiben und auf die Lücke hinzuweisen. Hierfür spricht einiges, da die Lücke riesig und leicht auszunutzen ist. Aus dem TK-Vertrag zwischen dem Kunden und den Nutzern ergeben sich nämlich auch bestimmte Schutz- und Informationspflichten. Wenn Vodafone dies unterließe und dadurch Schäden bei einem Anwender entstehen, könnte durchaus ein Anspruch auf Schadensersatz aus dem zwischen Vodafone und dem Kunden bestehenden TK-Vertrag bestehen – ggf. gemindert durch entsprechendes Mitverschulden im Einzelfall.

Send to Kindle