Anmerkung zu BGH, Urt. v. 28.11.2013 – I ZR 76/12 – Meilensteine der Psychologie erschienen

In eigener Sache:

Mittlerweile ist meine zum Urteil des BGH v. 28.11.2013 – I ZR 76/12 – “Meilensteine der Psychologie” (MMR 2014, 616) erschienen. Ich hatte mich mit dem Urteil bereits im Zusammenhang mit der Frage des Begriffs “nicht-kommerzielle Nutzung” (bei Creative Commons-Lizenzen) befasst, nun habe ich eine kurze Anmerkung für die Zeitschrift Multimedia und Recht (MMR) dazu geschrieben (MMR 2014, 623-624).

In dem Fall ging es im Wesentlichen darum, unter welchen Voraussetzungen (nach § 52a UrhG) Hochschulen ihren Studenten Teile von Werken zur Veranschaulichung und Unterstützung des Unterrichts online zur Verfügung stellen dürfen. Da war eine ganze Menge umstritten, wohl auch, weil klar widerstreitende Interessen aufeinander trafen. Der BGH hat nun eine Menge der bisher offenen Fragen geklärt.

Aus der Anmerkung (MMR 2014, 623):

Die 2003 eingeführte Regelung des § 52a UrhG stellt eine Privilegierung für die Durchführung von Unterricht und Forschung zur Verfügung, durch die es möglich wird, im Rahmen von Unterricht und Forschung Teile eines Werks in digitaler Form zum Abruf zur Verfügung zu stellen. Sie transferiert damit einen in der analogen Welt üblichen Vorgang – die Kopiervorlage in der Lehrstuhlbibliothek – in den digitalen Kontext. Dabei ist zu berücksichtigen, dass auch hier widerstreitende Interessen der Beteiligten bestehen. Und wie bei fast allen solchen Transfers vom Analogen ins Digitale werden Fragen aufgeworfen, die zu gesetzgeberischem Handeln und reger Aktivität in Literatur (und Rechtsprechung) führen können, dies häufig auch im Wechselspiel.

  1. Privilegierung

Der vorliegend im Streit stehende § 52a Abs. 1 Nr. 1 UrhG gestattet das öffentliche Zugänglichmachen unter bestimmten Voraussetzungen, namentlich können (1) kleine Teile eines Werkes, Werke geringen Umfangs sowie einzelne Beiträge (2) im Unterricht und zu dessen Zweck (3) auschließlich für den bestimmt abgegrenzten Kreis von Teilnehmern öffentlich zugänglich gemacht werden, soweit dies (4) geboten und (5) zur Verfolgung nicht kommerzieller Zwecke gerechtfertigt ist. Unschwer ist zu erkennen, dass jedes dieser Merkmale auslegungsbedürftig ist. …

S. auch:

Send to Kindle

Lesetipp: Hügel, Haftung von Inhabern privater Internetanschlüsse für fremde Urheberrechtsverletzungen

Im Mai 2014 ist die Dissertation von Dr. Alina Hügel mit dem Titel „Haftung von Inhabern privater Internetanschlüsse für fremde Urheberrechtsverletzungen – Zugleich eine Evaluation der Störerhaftung und konkurrierender Haftungskonzepte“ in der Reihe “Information und Recht” des Beck-Verlages erschienen. Die Arbeit befasst sich – wie der Titel schon sagt – mit der Haftung von Inhabern privater Internetanschlüsse. Sie umfasst 200 Seiten und kostet 43,- EUR.

Dabei untersucht Hügel insbesondere die Haftungskonzepte „Verletzung von Verkehrspflichten“ und „Störerhaftung“, um die seit einigen Jahren Streit besteht (dazu s. auch Scheder-Bieschin, Modernes Filesharing und Anonymisierungsdienste, Rezension hier) und evaluiert diese anhand herausgearbeiteter Kriterien.

Die Arbeit enthält eine gute Übersicht des Standes der Rechtsprechung zur Haftung von Inhabern privater Internetanschlüsse, wobei – anhand der Pressemitteilung – auch das BGH-Urteil „BearShare“ (K&R 2014, 513, s. auch hier und hier) eingearbeitet ist. Damit ist das Werk insbesondere für diejenigen hilfreich, die sich konkret mit Urheberrechtsverletzungen durch Private z.B. im Rahmen von Filesharing befassen, wobei die Analyse der verschiedenen Haftungskonzepte und der rechtspolitische Ausblick eher für Wissenschaftler und ggf. politische Referenten von Interesse sein werden.

Hügel untersucht auch die unterschiedlichen, von der Rechtsprechung teils verlangten Prüfungs- und Überwachungs- bzw. Verkehrspflichten wie Sperren, Datenerhebung, Belehrung, Auskunft etc.

Dabei sieht sie grundsätzlich auch Inhaber privater Internetanschlüsse als Diensteanbieter i.S.d. TMG an (eingehend dazu auch Mantz, Rechtsfragen offener Netze (PDF), S. 55 ff. und 291 ff.; Sassenberg/Mantz, WLAN und Recht, 2014, Rn. 216 m.w.N.):

Inhaber privater Internetanschlüsse, die bestimmten Dritten ihren Anschluss zur Nutzung bereitstellen, sind als Diensteanbieter i.S.v. §§ 8, 2 Nr. 1 TMG (Access Provider) einzuordnen.

Hier noch ein paar unsortierte „Findings“ aus dem Werk:

Eine Gefahr für fremde Urheberrechtsverletzung erwächst nicht aus dem Internetanschluss an sich, sondern aus dem Verhalten Dritter, welche den bereitgestellten Internetzugang missbrauchen (S. 85).

Eine Informationssicherungspflicht, die sich in der Erstellung von Routerprotokollen konkretisiert, ist ohne Einwilligung der betroffenen Mitnutzer unzumutbar (S. 108).

Ein Auskunftsanspruch gegen Inhaber privater Internetanschlüsse scheidet von vornherein aus, wenn der bereitgestellte Internetzugang von Familienmitgliedern missbraucht worden ist, da dann im Prozess das Zeugnisverweigerungsrecht nach §§ 383 ff. ZPO geltend gemacht werden kann. (S. 171).

Send to Kindle

Eine Stunde mit Deinem Computer – oder: Grundlagen des IT-Grundrechts in der Praxis (c’t 20/2014, S. 85 ff.)

Das allgemeine Persönlichkeitsrecht (Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG) umfasst das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme.

Dies ist der erste Leitsatz des Urteils des Bundesverfassungsgerichts vom 27.2.2008 (BVerfG, Urt. v. 27.2.2008 – BvR 370/07, NJW 2008, 822). Mit dem Urteil hat das Bundesverfassungsgericht ein “neues Grundrecht” aus der Taufe gehoben, das – als Ausprägung des allgemeinen Persönlichkeitsrechts – zwischen den quasi darum herum angeordneten Grundrechten Fernmeldegeheimnis (Art. 10 GG), informationeller Selbstbestimmung (Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG) und Unverletzlichkeit der Wohnung (Art. 13 GG) angesiedelt ist.

Das Urteil des Bundesverfassungsgerichts hat etwas Neues geschaffen und große Diskussion ausgelöst. Die Folgen in der (wahrnehmbaren) Praxis sind bisher eher gering geblieben (so auch Baum/Kurz/Schantz, FAZ v. 26.2.2013: “Das vergessene Grundrecht”).

Dennoch handelt es sich um ein wichtiges Urteil. Dies zeigt der aktuelle Titel der Zeitschrift c’t (20/2014), der ein eindrucksvolles Beispiel für die Sensibilität der durch tägliche Computernutzung entstehenden Datenmengen liefert (insb. Rittelmeier, “Wer ist Miriam?”, c’t 20/2014, S. 95). Im folgenden sollen die Ausführungen des Bundesverfassungsgerichts kurz dargestellt und am Beispiel von “Miriam” aufgezeigt werden. Danach stelle ich die Frage nach den (persönlichen) Schlussfolgerungen.

1. Grund für den Schutz durch das “Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme” (IT-Grundrecht)

Das Bundesverfassungsgericht hat sich im Jahr 2008 – fachlich beraten durch Sachverständige (durch den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit und die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen, Andreas Bogk, Dirk Fox, Professor Dr. Felix Freiling, Professor Dr. Andreas Pfitzmann und Professor Dr. Ulrich Sieber, Rn. 129 des Urteils) – mit den Auswirkungen der sog. Online-Durchsuchung von Computern befasst (Rn. 171 ff.):

Die jüngere Entwicklung der Informationstechnik hat dazu geführt, dass informationstechnische Systeme allgegenwärtig sind und ihre Nutzung für die Lebensführung vieler Bürger von zentraler Bedeutung ist. … Heutige Personalcomputer können für eine Vielzahl unterschiedlicher Zwecke genutzt werden, etwa zur umfassenden Verwaltung und Archivierung der eigenen persönlichen und geschäftlichen Angelegenheiten, als digitale Bibliothek oder in vielfältiger Form als Unterhaltungsgerät.

Dabei handelt es sich nicht nur um Daten, die der Nutzer des Rechners bewusst anlegt oder speichert. Im Rahmen des Datenverarbeitungsprozesses erzeugen informationstechnische Systeme zudem selbsttätig zahlreiche weitere Daten, die ebenso wie die vom Nutzer gespeicherten Daten im Hinblick auf sein Verhalten und seine Eigenschaften ausgewertet werden können. In der Folge können sich im Arbeitsspeicher und auf den Speichermedien solcher Systeme eine Vielzahl von Daten mit Bezug zu den persönlichen Verhältnissen, den sozialen Kontakten und den ausgeübten Tätigkeiten des Nutzers finden. Werden diese Daten von Dritten erhoben und ausgewertet, so kann dies weitreichende Rückschlüsse auf die Persönlichkeit des Nutzers bis hin zu einer Profilbildung ermöglichen …

Bei einem vernetzten, insbesondere einem an das Internet angeschlossenen System werden diese Gefährdungen in verschiedener Hinsicht vertieft. Zum einen führt die mit der Vernetzung verbundene Erweiterung der Nutzungsmöglichkeiten dazu, dass gegenüber einem alleinstehenden System eine noch größere Vielzahl und Vielfalt von Daten erzeugt, verarbeitet und gespeichert werden. Dabei handelt es sich um Kommunikationsinhalte sowie um Daten mit Bezug zu der Netzkommunikation. Durch die Speicherung und Auswertung solcher Daten über das Verhalten der Nutzer im Netz können weitgehende Kenntnisse über die Persönlichkeit des Nutzers gewonnen werden. …

Ein Dritter, der auf ein solches System zugreift, kann sich einen potentiell äußerst großen und aussagekräftigen Datenbestand verschaffen, ohne noch auf weitere Datenerhebungs- und Datenverarbeitungsmaßnahmen angewiesen zu sein. Ein solcher Zugriff geht in seinem Gewicht für die Persönlichkeit des Betroffenen über einzelne Datenerhebungen, vor denen das Recht auf informationelle Selbstbestimmung schützt, weit hinaus.

…, dass ein Zugriff auf das System es ermöglicht, einen Einblick in wesentliche Teile der Lebensgestaltung einer Person zu gewinnen oder gar ein aussagekräftiges Bild der Persönlichkeit zu erhalten. Eine solche Möglichkeit besteht etwa beim Zugriff auf Personalcomputer, einerlei ob sie fest installiert oder mobil betrieben werden. Nicht nur bei einer Nutzung für private Zwecke, sondern auch bei einer geschäftlichen Nutzung lässt sich aus dem Nutzungsverhalten regelmäßig auf persönliche Eigenschaften oder Vorlieben schließen.

2. Eine Stunde mit Deinem Computer

In der aktuellen c’t hat ein Computerforensiker den PC von “Miriam” für eine Stunde in die Hand bekommen. Es handelte sich um ein Experiment, um herauszufinden, was der Forensiker in dieser kurzen Zeit über “Miriam” herausfinden kann. Dabei lohnt sich zuvor ein Blick ins Editorial der c’t 20/2014 von Ingo T. Storm: Darin berichtet er von der Idee, doch einen Computer eines der Kollegen auf der Arbeit für eine Stunde untersuchen zu wollen, um darüber einen Artikel zu schreiben. Doch – oh Wunder – keiner der Kollegen ist begeistert davon:

… jeder seiner Kollegen hatte einen anderen Grund, warum SEIN PC für das Experiment doch lieber nicht zur Verfügung steht …

Die c’t-Redaktion hat doch jemanden gefunden, außerhalb der c’t, nämlich “Miriam”. Und was der Forensiker bei nur oberflächlicher Suche findet, ist tatsächlich beachtlich:

… auf den ersten Blick sticht mir eine Datei “adressen_firma.xls” ins Auge, die anscheinend gelöscht wurde. Die Wiederherstellung kostet einen Klick. Es handelt sich um eine Excel-Tabelle mit Kontaktdaten von Kollegen, teilweise inklusive privater Nummern und Adressen.

Die Dame ist wohl verheiratet.

Ihre Aufgabe in der Firma kenne ich jetzt auch.

… dass ihr Mann “Mark” heißt und mit Gebäudeplanung zu tun hat. …

Darin finde ich … Unterlagen zu allen bisherigen und dem aktuellen Arbeitgeber. Dabei Bewerbungen, Arbeitsverträge, Tabellen mit den gezahlten Gehältern.

Der Scan einer Bescheinigung zum Mutterschutz …

Fahrzeugschein …

Eine Datei “Kontakte Verlobung.csv” liefert mir … einen Einblick in Miriams Bekanntenkreis.

[Das Verzeichnis] enthält die Steuererklärung eines Jahres (gemeinsame Veranlagung, ein Kind).

Ich beschließe, mich dem Verzeichnis “Bilder” nur sehr oberflächlich zu widmen: … lasse ich nach gelöschen Bilddateien suchen … Bilder beim Stillen. Ein Bild oben ohne am Strand.

Der Artikel zeigt nicht nur, wie viel sich wie leicht mit Zugang zum Computer herausfinden lässt, darüber hinaus ist das Unbehagen des Untersuchenden praktisch zu spüren. Der Forensiker geht bewusst oberflächlich vor, liest keine E-Mails und hört vor Ablauf einer Stunde mit der Untersuchung auf. Er hat – auch über die oben genannten Daten hinaus – viel über “Miriam”, ihre Familie, ihren Beruf, ihre Kontakte etc. herausgefunden. Alles Daten, die ein genaues Bild über “Miriam” ermöglichen und Ansatzpunkte für eventuelle weitere Maßnahmen (Phishing, Kontakt knüpfen durch V-Mann/Detektiv etc.) bereit halte.

3. Schlussfolgerung (?)

Der Artikel und der gesamte Titel der aktuellen c’t gibt (reichlich) Anlass, darüber nachzudenken, was auf dem eigenen Computer so alles schlummert. Bewerbungen und Lebenslauf hat vermutlich fast jeder auf dem Computer, zusätzlich Scans aller dafür benötigten Unterlagen. Über E-Mails, Adressbücher etc. lässt sich der Bekanntenkreis schnell herausfinden. Und Fotos, die nicht jeder sehen sollte (und wenn es nur das peinliche Party-Bild oder die schlechte Laune im letzten verregneten Urlaub ist), schlummern vermutlich auch auf der Festplatte – oder vielleicht der (vermutlich unverschlüsselten) Backup-Festplatte?

Das Problematische daran ist, dass der Trend zu mehr (auch lokalen) Daten geht. Wer geht denn ersthaft alle Jubeljahre die eigene Festplatte durch und löscht alte Bewerbungen, alte Lebensläufe, alte E-Mails, entfernt Bekannte aus dem Adressbuch, mit denen kein Kontakt mehr besteht etc.? Im Ergebnis sammeln wir selbst eine immer genauer werdende Geschichte unseren Lebens auf dem eigenen Computer.

Das Bundesverfassungsgericht hat 2008 diese Gefahren erkannt und den Einzelnen unter Schutz vor dem Zugriff durch die Staatsgewalt gestellt. Das Problem ist seither eher größer geworden. Denn unsere mobilen IT-Geräte (Smartphone, Tablet, Laptop, Wearables) begleiten uns immer mehr und sammeln (auch lokal) immer mehr Daten über uns. Die mobilen Geräte ersetzen nach und nach den heimischen PC und sind trotzdem weitaus angreifbarer als der in der Regel ausgeschaltete PC im Arbeitszimmer zu Hause. Wer unsere Geräte einsehen kann, kann leicht nachvollziehen, was wir getan haben, was uns bewegt – und was wir als nächstes tun werden?

Es lohnt sich, den Artikel und die übrigen Artikel des aktuellen Titels der c’t zu lesen. Es lohnt sich aber auch, darüber nachzudenken, was das für einen selbst bedeutet oder bedeuten sollte, also ob und welche Aktionen folgen sollten.

Für mich steht zumindest eines (allerdings schon länger) eindeutig fest: Einen Computer mit Festplatte werde ich nicht mehr verkaufen. Und vielleicht sollte ich doch mal meinen Computer (inklusive alter Backups) aufräumen …

Und zuletzt ist auch dieses Beispiel ein Anlass, sich weiter an der Debatte über digitale Bürgerrechte zu beteiligen. Oder mit Baum/Kurz/Schantz (FAZ v. 26.2.2013):

Wenn wir aber alles wissen können, geht es am Ende um die Frage, auf welche Informationen und welche Methoden wir bewusst verzichten wollen, auch wenn sie zur Abwehr terroristischer Gefahren oder der Bekämpfung von Kriminalität zumindest potentiell dienen könnten. Welche Schranken wir uns auferlegen, entscheidet darüber, ob auch die digital erfassten Gedanken in Zukunft noch frei sein werden.

S. auch:

 

Send to Kindle
By: Chris Hartman - CC BY 2.0

Lesetipp: Narayanan/Felten, No silver bullet: De-identification still doesn’t work – zur Frage der effektiven Anonymisierung von Daten

Im Juli 2014 haben Arvind Narayanan (@random_walker) und Edward Felten (@EdFelten) (beide Princeton University) ein Paper mit dem Titel “No silver bullet: De-identification still doesn’t work” veröffentlicht, das im Wesentlichen eine Replik auf ein Paper von Cavoukian/Castro (Big Data and Innovation, Setting the Record Straight: Deidentification Does Work) darstellt. Cavoukian und Castro hatten in ihrem Paper im Kern dargestellt, dass es wirksame Techniken gibt, die eine Anonymisierung von Datensätzen ermöglichen. Narayanan und Felten wenden sich sehr überzeugend gegen diese Theorie.

1. Hintergrund

Zunächst kurz zum Hintergrund:

Wir befinden uns vermutlich noch am Anfang des Big Data-Zeitalters. Über jede einzelne Person werden immer mehr und immer genauere Daten erhoben und gespeichert (näher z.B. Kurz/Rieger, Die Datenfresser, 2012). Wer sich die Daten von/über Malte Spitz ansieht, die im Zuge der Kritik an der (deutschen und europäischen) Vorratsdatenspeicherung erhoben wurden, erhält eine leichte Idee davon. Man stelle sich zusätzlich vor, dass auch alle anderen Tätigkeiten von uns digital erfasst werden. Wenn sich alle diese Daten zusammenführen ließen und dann auch noch jeweils einer einzelnen Person zugeordnet werden kann, entsteht ein sehr genaues Bild über diese eine Person. Diesen Zustand soll unser Datenschutzrecht verhindern bzw. die Kontrolle über den Vorgang zumindest teilweise der jeweiligen Person erhalten.

Sollen nun Daten ohne konkrete Einwilligung oder gesetzlichen Erlaubnistatbestand erhoben und genutzt werden, bleibt dem Verarbeitungswilligen nur die Variante, die Daten dem Schutz des Datenschutzrechts vollständig zu entziehen. Das ist – möchte man meinen – eigentlich ganz einfach: Die Daten müssen ja „einfach nur“ anonymisiert werden. Wie das geht, sagt uns (in der Theorie) z.B. § 3 Abs. 6 BDSG:

Anonymisieren ist das Verändern personenbezogener Daten derart, dass die Einzelangaben über persönliche oder sachliche Verhältnisse nicht mehr oder nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können.

Es gibt eine Menge Literatur dazu (s. nur Simitis-Scholz, BDSG, 8. Aufl. 2014, § 3 Rn. 205 ff.), wie § 3 Abs. 6 BDSG zu verstehen ist. In dieser wird u.a. darauf hingewiesen, dass man klar zwischen Anonymisierung und Pseudonymisierung unterscheiden muss. Und Daten, die – wie es hier Narayanan und Felten darstellen de-anonymisiert werden können, sind schlicht nur pseudonymisierte und damit personenbezogene Daten.

2. Broken Promises of Privacy

Im Jahr 2009 hat Paul Ohm (@paulohm) in einem denkwürdigen Aufsatz namens „Broken promises of privacy: Responding to the surprising failure of anonymization” dargestellt, dass sich (eigentlich anonymisierte) Daten immer häufiger “de-anonymisieren” lassen – und zwar ohne so erheblichen Aufwand, dass von einer effektiven Anonymisierung nach § 3 Abs. 6 BDSG gesprochen werden kann. Die Frage und Möglichkeit der De-Anonymisierung ist daher eine tatsächliche Frage, die unmittelbar erhebliche rechtliche Konsequenzen nach sich zieht.

Vermutlich weil ein großes Interesse daran besteht, mit solche „anonymisierten“ Daten weiter zu arbeiten, gibt es auch Stimmen, die die Effektivität der Anonymisierung bzw. die Ineffektivität von Angriffen hiergegen hervorheben – wie z.B. den von Narayanan und Felten kritisierten Aufsatz von Cavoukian und Castro.

Narayanan und Felten zeigen in ihrem Aufsatz nun eindrucksvoll auf, dass die Ergebnisse von Cavoukian und Castro nicht nur auf Sand gebaut, sondern vermutlich einfach schlicht falsch sind. Hier nur ein paar Zitate aus dem Paper:

Let’s be clear about why the authors of the study didn’t actually re-identify anyone: because they didn’t set out to. …

The [Netflix]-study shows in detail that if someone knows just a little bit about the movie preferences of a user in the Netflix dataset (say, from Facebook or a water-cooler conversation), there’s an upwards of 80% chance of identifying that user’s record in the dataset. …

They mostly ignore the possibility of re-identification by a spouse, friend, nosey neighbor, or investigator based on specific knowledge about the victim, as well as a data-broker applying re-identification based on their existing datasets to enrich their dossiers …

The authors claim that data brokers’ databases “are often incomplete, making it difficult to positively identify someone with a high degree of confidence.” This is cold comfort to a person who is re-identified because they do appear in the database. And it doesn’t consider that a realistic adversary often can just buy access to another database if the first one doesn’t meet their needs. …

It is very tempting to look for an assurance that (say) only 1% of individuals in a dataset can be re-identified. But there is simply no scientific basis for interpreting re-identification probabilities of de-identified high-dimensional datasets as anything more than (weak) lower bounds, and we urge the reader to be wary of false promises of security.

Was kann man also Personen und Unternehmen, die große Datenmengen erheben, nutzen und weitergeben möchten, raten? Die einzig (noch?) effektive Methode scheint eine Aggregation von Daten: Wenn Daten so zusammengewürfelt werden, dass sie immer eine Gruppe von Personen betreffen, entzieht sie des Personenbezugs. Allerdings darf die Gruppe nicht zu klein geraten – und dadurch wird natürlich die Nützlichkeit der Daten stark eingeschränkt (s. näher zu Anonymisierungstechniken Simitis-Scholz, BDSG, 8. Aufl. 2014, § 3 Rn. 205 ff.). Sehr interessant fand ich in diesem Zusammenhang, dass Narayanan und Felten auch zeigen, dass die Technik , die bisher als halbwegs effektiv angesehen wurde, nämlich die Veränderung von Daten, so dass sie ungenauer werden (z.B. statt eines Datums nur das Jahr) angesichts der zunehmenden Datenmengen von Angreifern ebenfalls versagt.

Indeed, a key finding of the de Montjoye et al. study is that the main technique one might hope to use — making the data more coarse-grained — has only a minimal impact on uniqueness. …

making the adversary’s auxiliary dataset more specific has the equal and opposite impact! Of course, with high-dimensional datasets, there are strong limits to how much the data can be generalized without destroying utility, whereas auxiliary information has the tendency to get more specific, accurate, and complete with each passing year.

Wer sich mit Anonymisierungstechniken beschäftigt und selbst Daten anonymisieren möchte, oder mit anonymisierten Daten arbeiten will (oder jemanden berät, der das tut), sollte sich im Übrigen darüber klar sein, dass es (rechtlich) völlig unbeachtlich ist, ob sich nur ein kleiner Teil der Daten einer bestimmten Person zuordnen lässt. Denn für jeden einzelnen dieser Fälle liegt aller Voraussicht nach eine unzulässige Datenverarbeitung vor. Dementsprechend kann man eigentlich nur empfehlen, „anonymisierte“ Daten, bei denen man nicht ganz und absolut sicher ist, ob sie wirklich anonym sind, als personenbezogene Daten zu behandeln.

3. Fazit

Obwohl der Aufsatz von Narayanan und Felten nur eine „Replik“ darstellt, ist er absolut lesenswert. Er enthält zudem eine Reihe von weiterführenden Links und Hinweisen. Es empfieht sich auch, das Paper von Cavoukian und Castro zu lesen. Im Übrigen hat auch Cory Doctorow die Diskussion zusammengefasst.
(Bild: Chris HartmanCC BY 2.0)

 

Send to Kindle

AG Braunschweig: Keine Haftung bei nachgewiesener Sicherheitslücke des WLAN-Routers (hier: Speedport-Router der Telekom)

Wie die Initiative Abmahnwahn berichtet, hat das AG Braunschweig in einem Filesharing-Fall die Klage auf Schadensersatz und Ersatz der Abmahnkosten abgewiesen, nachdem der Beklagte als Anschlussinhaber dargelegt hatte, dass er zum Zeitpunkt der angeblichen Rechtsverletzung einen WLAN-Router des Typs “Speedport 504 W” im Einsatz hatte (AG Braunschweig, Urteil vom 27.08.2014, Az. 117 C 1049/14). Da bei diesem WLAN-Router eine erhebliche Sicherheitslücke bestand, durch die sich Dritte Zugang zum WLAN des Beklagten hätten verschaffen können, hat das Gericht die Vermutung, dass der Anschlussinhaber der Täter sei, zurückgewiesen. Als Folge hat das Amtsgericht weder den Schadensersatzanspruch noch den alternativ auf die Grundsätze der Störerhaftung gegründeten Anspruch auf Ersatz der Abmahnkosten zuerkannt.

Das Urteil ist unter Berücksichtigung der Rechtsprechung des BGH, insbesondere BGH, Urt. v. 12.5.2010 – I ZR 121/08: Sommer unseres Lebens, MMR 2010, 565 (PDF), folgerichtig. Zwar sieht der BGH in ständiger Rechtsprechung (zuletzt BGH Urt. v. 8.1.2014 – I ZR 169/12, K&R 2014, 516 – BearShare) eine Vermutung zu Lasten des Anschlussinhabers. Diese kann aber erschüttert werden, indem der Anschlussinhaber in Erfüllung seiner sekundären Darlegungslast Umstände darlegt, die ernsthaft die Möglichkeit belegen, dass ein Dritter die Rechtsverletzung begangen haben kann. So war es im Fall des AG Braunschweig, denn der WLAN-Router wies eine Sicherheitslücke im WiFi-Protected Setup (WPS) auf, durch die Dritte die WPS-PIN erraten konnten (s. auch kürzlich wieder hier). Damit scheidet die Haftung auf Schadensersatz aus.

Interessant wird es, wenn man sich überlegt, ob der Beklagte vielleicht als Störer haften könnte. Aber auch hier kommt dem Anschlussinhaber die Rechtsprechung des BGH “Sommer unseres Lebens” (s.o.) zu Hilfe: Der private Anschlussinhaber muss nur diejenigen Sicherheitsvorkehrungen treffen, die zum Zeitpunkt der Anschaffung und Einrichtung des WLANs üblich waren – und diesen Standard hat der Beklagte mit Belassung der Voreinstellungen hier wohl erfüllt. Jedenfalls konnte danach vom Anschlussinhaber nicht verlangt werden, auf seinem Router ein Firmware-Update einzuspielen, das die Lücke behoben hätte – zumal das Firmware-Update zum Zeitpunkt der Rechtsverletzung noch gar nicht existierte, und die Lücke auch noch nicht der allgemeinen Öffentlichkeit bekannt war. An genau dieser Stelle zeigt sich übrigens, zu welchen Einzelfallentscheidungen die Rechtsprechung des BGH führt: Obwohl die Lücke noch nicht allgemein bekannt, aber dennoch vorhanden war, bestand nach Auffassung des AG Braunschweig die ernsthafte Möglichkeit, dass ein Dritter diese Lücke ausgenutzt hat, zumal der Beklagte in einem Mehrparteienhaus wohnte …

Berücksichtigen könnte man noch, dass der BGH auf der anderen Seite in der Entscheidung “Sommer unseres Lebens” festgestellt hat, dass der Anschlussinhaber wenigstens das zur Verschlüsselung genutzte Kennwort ändern muss (dazu hier; s. auch Urteil des AG Frankfurt hier). Mit diesem Argument hätte man hier an eine Störerhaftung des Beklagten denken können. Allerdings lautete der Vortrag des Beklagten hier nicht, dass das standardmäßig eingestellte WLAN-Kennwort seines Routers unsicher war (dazu speziell auch zu Telekom-Routern hier und hier), sondern, dass eine Lücke im WPS-System vorhanden war, durch die sich die PIN des WPS erraten lässt – und das ist wohl vollkommen unabhängig davon, ob man sein Kennwort ändert.

Volltext AG Braunschweig, Urteil vom 27.08.2014, Az. 117 C 1049/14 (PDF) – zur Orientierung: Eingekleidet ist die Entscheidung in die Aufhebung eines Vollstreckungsbescheides.

Update: Über den Fall berichten u.a. auch:

Send to Kindle
By: Wesley Fryer - CC BY 2.0

WLAN-Gesetz zur Störerhaftung: „Meinungsbildung noch nicht abgeschlossen“ – Eine Interpretation des aktuellen Standes

Konstantin v. Notz (@KonstantinNotz) von der Oppositionsfraktion Bündnis 90/Die GRÜNEN berichtet im Blog „gruen-digital.de“ über aktuelle Erkenntnisse zum Stand des angekündigten Gesetzesentwurfs zur Regelung der Störerhaftung beim Betrieb von WLANs (zum Hintergrund s. z.B. hier).

Ich hatte vor einigen Tagen – nachdem der August ohne Veröffentlichung eines Gesetzesentwurfs verstrichen war – die Frage in den Raum gestellt, ob die Beteiligten in der Regierungskoalition nach der herben Kritik an den bisherigen Äußerungen ihren bisherigen Entwurf nochmal überdenken wollen, wobei natürlich unklar ist, ob aus dem “Überdenken” auch eine Änderung gegenüber den Ausführungen in der Digitalen Agenda resultieren wird. Darauf, dass sich zumindest noch Abstimmungsbedarf besteht, deutet nun auch die Antwort der Bundesregierung auf die Fragen von Konstantin v. Notz hin:

Konstantin v. Notz hatte die Bundesregierung gefragt:

1. Ist es zutreffend, dass die Bundesregierung plant, im Rahmen der Vorlage eines von ihr seit langem angekündigten Gesetzes zur WLAN-Störerhaftung nur kommerzielle/gewerblich handelnde Anbieter von WLANS von der Störerhaftung aus- zunehmen, nicht jedoch private Anbieter?

2. Wie wäre eine solche Differenzierung zwischen verschiedenen Gruppen von Access-Providern nach Ansicht der Bundesregierung mit der eigentlichen Intention des § 8 Absatz 1 des Telemediengesetzes (TMG), nämlich der einheitlichen Haftungsprivilegierung aller Access-Provider, der ja bislang explizit keine solche Unterscheidung vornimmt, sowie mit der dieser deutschen Norm zugrundeliegenden, europäischen e-Commerce-Richtlinie, die diese Differenzierung ebenfalls nicht kennt, vereinbar?

3. Welche Erwägungen, sollte eine in Frage 1 erwähnte Differenzierung tatsächlich angestrebt werden, rechtfertigen nach Meinung der Bundesregierung eine solche Ungleichbehandlung nicht kommerzieller/nicht gewerblicher handelnder Anbieter, insbesondere angesichts der Tatsache, dass die Rechtsordnung für Private bislang durchgehend eine weniger strikte Haftung vorsieht als für gewerblich Handelnde?

Als kurze (und leider wenig prägnante/aussagekräftige) Antwort erhielt er (Hervorhebungen von mir):

Zur Umsetzung des Koalitionsvertrages soll im Wege einer Änderung des Telemediengesetzes (TMG) – für die Anbieter von WLAN-Netzen im öffentlichen Bereich vor allem Rechtssicherheit geschaffen werden. Hierzu wird das Bundesministerium für Wirtschaft und Energie einen Gesetzentwurf vorlegen. Die Meinungsbildung über die inhaltliche Ausgestaltung dieser Regelung ist noch nicht abgeschlossen.

Die Schlussfolgerung von Konstantin v. Notz dazu lautet, dass der Entwurf zwar noch einmal abgestimmt, das Sigmar Gabriel unterstehende Wirtschaftsministerium aber vermutlich eine tatsächlich nur für gewerbliche Anbieter hilfreiche Regelung vorlegen werde.

Ich vermag das nicht zu widerlegen. Allerdings ist die Antwort der Bundesregierung formuliert auf „Anbieter von WLAN-Netzen im öffentlichen Bereich“, was man auch anders/besser interpretieren könnte. Die Frage ist, ob man an solche Äußerungen der Bundesregierung mit dem Hintergrund bisheriger gesetzlicher Regelungen herangehen kann, oder ob das der falsche Ansatz wäre. Wenn man sich trotzdem die gesetzlichen Grundlagen zum „öffentlichen Bereich“ ansieht, dann könnte ein „WLAN-Netz im öffentlichen Bereich“ im Sinne von § 3 Nr. 17a, 16a TKG zu verstehen sein:

„öffentlich zugängliche Telekommunikationsdienste“ [sind] der Öffentlichkeit zur Verfügung stehende Telekommunikationsdienste

„öffentliches Telekommunikationsnetz“ [ist] ein Telekommunikationsnetz, das ganz oder überwiegend der Bereitstellung öffentlich zugänglicher Telekommunikationsdienste dient, die die Übertragung von Informationen zwischen Netzabschlusspunkten ermöglichen

Das wiederum würde nach allgemeiner Auffassung auch von Privaten betriebene, aber an die Öffentlichkeit gerichtete WLANs einschließen. Andererseits vertrüge sich dieser Ansatz aber nur schwerlich mit den bisherigen Äußerungen in der Digitalen Agenda, wonach „Rechtssicherheit für die Anbieter solcher WLANS im öffentlichen Bereich, beispielsweise Flughäfen, Hotels, Cafés“ geschaffen werden sollte.

Konstantin v. Notz weist übrigens völlig zu Recht darauf hin, dass eine so enge Formulierung wie in der digitalen Agenda möglicherweise mit Art. 15 der E-Commerce-Richtlinie unvereinbar sein könnte, der eine Unterscheidung zwischen „gewerblichen“ und „nicht-gewerblichen“ Anbietern gerade nicht kennt. Das ist aber kein wirklicher Trost für die „nicht-gewerblichen“ Anbieter eines WLANs, wie z.B. die Mitglieder der Freifunk-Initiativen. Denn bis die Frage der Vereinbarkeit mit der E-Commerce-Richtlinie gerichtlich geklärt wird, dürften einige Jahre ins Land gehen.

Es bleibt also – auch unter Berücksichtigung der Antwort der Bundesregierung – weiterhin bei Spekulationen. Andererseits scheint die heftige Kritik ja zumindest zu weiterem Abstimmungsbedarf geführt zu haben, was schon ein gutes Zeichen ist …

 

Abschließend verweise ich – für alle, die sich mit dem Thema beschäftigen und weitere Argumente auch mit Blick auf die Bundesregierung und den weiteren Entscheidungsprozess benötigen – noch einmal auf die Pläne der EU-Kommission in der Verordnung zur Vereinheitlichung des EU-Telekommunikationsbinnenmarktes (Single-Market-Verordnung, COM 2013 (627), PDF): Im aktuellen Entwurf der Verordnung will die EU-Kommission öffentliche WLANs fördern (zu den Regelungen rund um WLANs und deren Folgen siehe Mantz/Sassenberg, „Der Entwurf der Single Market-Verordnung und lokale Funknetze – Auswirkungen für Aufbau und Betrieb von WLAN-Hotspots“, CR 2014, S. 370 ff.). Und das umfasst eben nicht nur „gewerbliche“ WLANs, sondern ganz ausdrücklich auch WLANs von Privatpersonen und NGOs wie z.B. Freifunk! Ferner sollen auch kommunale WLANs gefördert werden. Vor diesem Hintergrund lässt sich eine Unterscheidung zwischen „gewerblichen“ und „nicht-gewerblichen“ Anbietern von WLANs ebenfalls kaum durchhalten.

 

(Bild: Wesley FryerCC BY 2.0)

Send to Kindle

Rezension zu Dr. Felix Scheder-Bieschin: „Modernes Filesharing: Störerhaftung und Auskunftspflicht von Anonymisierungsdiensten“

Eine Rezension zu:

Felix Scheder-Bieschin

Modernes Filesharing: Störerhaftung und Auskunftspflicht von Anonymisierungsdiensten

Schriften zum Zivil- und Wirtschaftsrecht, Oldenburger Verlag für Wirtschaft, Informatik und Recht, Edewecht 2014, 379 Seiten, 59,80 €, ISBN 978-3-95599-000-8

Zugleich Dissertation, München, LMU, 2013

„Anonymität begünstigt Rechtsverletzer. Anonymität begünstigt freie politische Meinungsäußerung. Anonymität ist dem Internet immanent …“

Mit diesen Worten beginnt die Dissertation von Dr. Felix Scheder-Bieschin mit dem Titel „Modernes Filesharing: Störerhaftung und Auskunftspflicht von Anonymisierungsdiensten“, die in der von Prof. Dr. Taeger herausgegebenen Reihe „Schriften zum Zivil- und Wirtschaftsrecht“ des Oldenburger Verlags für Wirtschaft, Informatik und Recht im Jahr 2014 erschienen ist.

1. Aufbau

Die Arbeit ist in vier Kapitel unterteilt:

1. Einleitung und Problemstellung, 2. Technische Funktionsweise des anonymen Filesharings, 3. Rechtliche Würdigung und 4. Zusammenfassung und Fazit.

2. Einleitung

Bevor die wissenschaftliche Analyse beginnen kann, sollte der Leser sich zunächst die Frage- und Problemstellung der Arbeit sowie diejenigen Grundlagen, auf denen Dr. Felix Scheder-Bieschin seine Analysen erstellt hat, vergewärtigen.

Hierfür stellt der Autor am Anfang die rechtsverletzende Verteilung von Inhalten in Filesharing-Netzwerken, Usenet etc. dar. Daran schließt sich eine Diskussion der politischen Bedeutung und der Potentiale des anonymen Datenaustauschs an. Hier geht der Autor auf die Nutzung des Internet in autoritären Regimen, den Schutz der Beobachtung vor Kriminellen (z.B. in WLANs), Schutz vor Datensammlung und das Interesse an einer frei zugänglichen Netzwerkstruktur durch offene WLANs ein (S. 18-21).

Anschließend widmet er sich der Frage der Anonymität und deren (rechtlichen/verfassungsmäßigen) Schutzes. Als Ergebnisse hiervon hält der Autor fest, dass die Wirkungen, die Anonymität für den politischen Meinungsaustausch, Selbstdatenschutz etc. hat, „auch anderweitig erreicht werden“ könne oder „praktisch nicht besonders relevant“ seien (S. 21).

Nach der Analyse des rechtlichen Schutzes von Anonymität sieht er keinen umfassenden rechtlichen oder verfassungsrechtlichen Schutz der anonymen Kommunikation und auch keine Notwendigkeit, ein solches Recht anzuerkennen (S. 47). Der Autor sieht Anonymität als eine tatsächliche Begebenheit, die auf tatsächlicher Ebene gefördert werden sollte, nicht aber als rechtlich schutzwürdiges Gut.

3. Technische Grundlagen

In Kapitel 2 werden die technischen Grundlagen für die Analyse gelegt. Es werden verschiedene anonymisierende Ansätze dargestellt, insbesondere auch TOR, AN.ON etc. Der Autor lässt offene WLANs ohne Registrierung außen vor, sieht sie aber als vergleichbare Dienstleistung, für die die Arbeit im Ergebnis ebenfalls relevant sei.

4. Einstieg in die rechtliche Analyse

a. Kategorisierung von Intermediären

In Kapitel 3 stellt der Autor zunächst eine Systematisierung der Rechtsprechung zu den Grundsätzen der Störerhaftung von Intermediären her. Hierfür greift er auf die Figuren des „gefahrgebietenden“ und des „gefahrgeneigten“ Intermediärs zurück. Vereinfacht zusammengefasst soll gefahrgebietende Intermediäre eine Haftung unmittelbar treffen, während bei gefahrgeneigten Intermediären die Verletzung von Gefahrvermeidungspflichten zu prüfen ist, die die Rechtsprechung als „Prüfungs- und Überwachungspflichten“ bezeichnet. Diese Kategorisierung findet sich später in der Wertung immer wieder.

b. Gewährung von Anonymität => Gefahrneigung?

Ein inhaltlicher Kern der Arbeit sind nach meiner Auffassung die Ausführungen zu Wertungsfaktoren für die im Einzelfall zumutbaren Gefahrvermeidungspflichten (S. 132-158) und dort wiederum die Frage, ob die Gewährung von Anonymität ein gefahrerhöhendes Element darstellt (S. 137 ff.).

In diesem Abschnitt diskutiert Scheder-Bieschin insbesondere, ob allein der Umstand, dass ein Dienst Anonymität gewährt, einen neutralen Dienst zu einem gefahrgeneigten Dienst macht. Anders als es der Anfang von Kapitel 3 andeutet, gibt es also noch eine dritte Kategorie: Den weder gefahrgeneigten noch gefahrgebietenden Dienst. Dieser findet sich allerdings nur selten in der Arbeit wieder, dabei wäre diese Abgrenzung (neutral vs. gefahrgeneigt) auch spannend gewesen.

Scheder-Bieschin führt hier weiter aus, dass allein aus dem Interesse von Dritten nach Identifikation nicht auf die Unzumutbarkeit der Gewährung von Anonymität geschlossen werden darf. Vielmehr sei im konkreten Einzelfall zu prüfen, ob die Anonymität gefahrerhöhend wirke (S. 140).

Mit anderen Worten: Allein aus dem Umstand, dass ein Dienst anonymisierende Wirkung hat, lässt sich eben nicht darauf schließen, dass eine Gefahrneigung vorliegt. Dem ist zuzustimmen. Es wäre auch seltsam, wenn Gesetzgeber und Verwaltung Datensparsamkeit und Anonymität (rechtlich und tatsächlich z.B. im Rahmen des AN.ON-Projekts) fördern, aber dieses Verhalten gleichzeitig als per se gefährlich ansähen.

5. Verantwortlichkeit einzelner Diensteanbieter (insb. kommerzielle ip-adressverschleiernde Dienste)

Auf dieser Grundlage geht Scheder-Bieschin dann ab S. 159 auf die Verantwortlichkeit einzelner Diensteanbieter ein, wobei er sich zunächst den „kommerziellen ip-adressverschleiernden Diensten“ widmet. Unter diesen Begriff subsummiert er sowohl den anonymisierenden VPN-Anbieter als (wohl) auch den Betreiber von Mix-Kaskaden (bspw. AN.ON) oder von TOR-Nodes.

Dabei geht er ab S. 182 er auf einzelne Gefahrvermeidungspflichten ein, u.a. Sperrung von Webseiten, Protokoll- und Portblockaden, Deep Packet Inspection etc. (vgl. dazu zuletzt auch OLG Köln, Urt. v. 18.7.2014 – 6 U 192/11). Dieser Teil ist absolut lesenswert, da Scheder-Bieschin die einzelnen Pflichten genau analysiert. Dabei muss man nicht in allen Punkten seiner Meinung sein, aber die Argumentation ist nachvollziehbar. Für Access Provider hatte das OLG Köln kürzlich ausgeführt, dass z.B. URL-Sperren grundsätzlich möglich sind, diese aber im Ergebnis unzumutbar sind.

a. Pflicht zur Registrierung?

Ab S. 207 untersucht er dann Registrierungspflichten. Der Autor stellt also die Frage, ob derjenige, der einen (kommerziellen ip-adressverschleiernden) Anonymisierungsdienst anbietet, vor der Gewährung des Zugangs eine Registrierung des Nutzers durchführen muss.

Das ist natürlich für alle Betreiber von Internetdiensten eine spannende Frage, mit der ich mich selbst auch immer wieder befasst habe (s. u.a. für WLANs Sassenberg/Mantz, WLAN und Recht, Rn. 234 m.w.N.). Für Access Provider besteht nach absolut herrschender Meinung in der Rechtsprechung eine solche Pflicht nicht (so z.B. OLG Hamburg, Urt. v. 14.1.2009 – 5 U 113/07, MMR 2009, 631). Speziell für WLANs hat das LG München I im Jahr 2012 festgestellt, dass eine Pflicht zur Identifizierung gesetzlich derzeit nicht begründbar ist (LG Mu?nchen I, Urt. v. 12.01.2012 – 7 HK O 1398/11, CR 2012, 605).

Dieser Linie folgt auch der Autor, wobei man hier die Ausführungen tatsächlich bis zum Ende lesen sollte. Nachdem er die These aufstellt, ob sich Identifizierungspflichten, die bei Sharehostern verlangt wurde, auf Anonymisierungsdienste übertragen lassen, beginnt er die Analyse, ob dieser Aussage nicht etwas entgegensteht. § 13 Abs. 6 TMG sieht Scheder-Bieschin hier zunächst als nicht anwendbar an. Außerdem entfalle ja auch bei besonders gefahrgeneigten Diensten die Zumutbarkeit der anonymen Nutzung. Er kommt dann auf Basis von § 95 TKG und dem allgemeinen Gebot der Datensparsamkeit zu dem Schluss, dass eine solche Pflicht nicht verlangt werden kann. Aus der Störerhaftung könne eine solche doch nicht hergeleitet werden (S. 211 f.). Das sei überzogen. Das Gebot der Datensparsamkeit stehe dem entgegen. Ohnehin wären die derzeit verfügbaren Möglichkeiten zur rechtssicheren Identifikation (z.B. PostIdent, Elektronischer Personalausweis) den Diensten nicht zumutbar (für WLANs s. auch Sassenberg/Mantz, WLAN und Recht, Rn. 234 m.w.N.). Auch identifizierende Zahlungsdaten, welche kostenpflichtige Diensteanbieter zwingend erheben müssen, sind von der Auskunftspflicht nicht umfasst (S. 340 ff.).

Eine Pflicht zur Registrierung sieht Scheder-Bieschin daher insgesamt nicht.

b. Warnhinweise

Anschließend widmet sich das Werk der Frage, ob Diensteanbietern eine Pflicht zu Warnhinweisen obliegen könnte. Im Ergebnis bestehe eine wirkliche Verpflichtung zwar nicht, allerdings – und das ist interessant – würde das Unterlassen eines Warnhinweises durch den Anonymisierungsdienst die Billigung von Rechtsverletzungen bedeuten. Außerdem steigere dies die Gefahrgeneigtheit des Dienstes.

Das ist in dieser Absolutheit nicht unmittelbar verständlich. Wenn ein Dienst per se nicht gefahrgeneigt, sondern neutral ist, warum soll dann das Unterlassen eines Hinweises (der eigenverantwortlich handelnden Nutzer) auf eine Tolerierung von Rechtsverletzungen hindeuten? Auch der BGH sieht zumindest im Familienkreis keine Pflicht zur Belehrung von erwachsenen Kindern (BGH K&R 2014, 513 – BearShare). Leider begründet Scheder-Bieschin diese Aussage hier nicht weiter. In der später folgenden Abwägung (S. 216-220) vertritt der Autor dann die Auffassung, dass solche Hinweise zu den Gefahrvermeidungspflichten von Anonymisierungsdiensten gehörten, wobei er einräumt, dass diese i.d.R. kaum Wirkung zeigen dürften.

Anschließend wird geprüft, ob der Diensteanbieter konkrete Warnhinweise bei erfolgter Rechtsverletzung erteilen muss (wie z.B. im Modell „Three Strikes“). Dies sieht der Autor auf der aktuellen Gesetzesgrundlage aber nicht als möglich an.

c. Fazit zu Gefahrvermeidungspflichten

Auf S. 216-220 wird dann für Anonymisierungsdienste in die eigentliche Abwägung eingestiegen. Das Fazit lautet: „neutral, aber gefährlich“. In der Konsequenz sieht Scheder-Bieschin die Pflicht zur Ergreifung von URL-Filter und die Erteilung von allgemeinen Warnhinweisen als erforderlich, aber auch hinreichend an. Weitere Pflichten könnten Anonymisierungsdiensten nicht auferlegt werden.

d. Weitere Diensteanbieter

Danach werden nach ähnlichem Muster die Anbieter von versehentlich offenen Proxy-Servern, Seed-Boxen, Botnetzen und dezentralen Diensten beleuchtet.

6. Nutzer von dezentralen anonymisierenden Filesharing-Diensten

In Teil 3 der Arbeit (S. 246 ff.) geht es um die Haftung der Nutzer von dezentralen, anonymisierenden Filesharing-Netzwerken. Klarstellend sind damit nicht TOR oder AN.ON gemeint, die als „durchleitende dezentrale Anonymisierungsdienste“ bezeichnet werden, sondern eher Netzwerke wie RetroShare.

Nutzer, die an solchen Netzwerken teilnehmen, haben zur Gefahrvermeidung nur die Möglichkeit, ihre Teilnahme einzustellen, da sie keine Kontrolle über den über ihren Anschluss ausgetauschten Datenverkehr haben. Dies sieht der Autor nach kurzer Diskussion auch als zumutbar an. Ebenso bewertet er die Lage bei anonymisierenden verschlüsselnden Online-Festplatten.

7. Störerhaftung oder Verkehrspflichten?

Ab S. 256 erneuert Scheder-Bieschin seine Kritik an der bisherigen dogmatischen Einordnung. Das Konzept Verkehrspflichtenhaftung auf der einen und Störerhaftung auf der anderen Seite hält er für wenig überzeugend. Seine Kritik ist nachvollziehbar, die Ausführungen lesenswert. Ab S. 292 stellt er die Reaktion der Rechtsprechung auf die Diskussion und die Vereinbarkeit der Umsetzung europäischer Richtlinien durch die Anwendung der Störerhaftung dar, wobei zu beachten ist, dass der BGH zumindest im Bereich des Urheberrechts weiter an dem Institut der Störerhaftung festhält.

Spannend sind dann ab S. 301 rechtsvergleichende Ausführungen, bei denen auf die Rechtssituation in Australien, USA, Irland und Frankreich eingegangen wird.

8. Auskunftsansprüche und Datenspeicherung

In Teil 5 geht der Autor auf Auskunftsansprüche gegen Anonymisierungsdiensteanbieter ein, insbesondere § 101 UrhG. Hier werden alle Tatbestandsmerkmale eingehend diskutiert (vgl. dazu auch Welp, Die Auskunftspflicht von Access Providern nach dem UrhG, 2009). Das Vorliegen eines gewerblichen Ausmaßes nach § 101 Abs. 2 UrhG wird für private Teilnehmer an Anonymisierungsnetzwerken überzeugend verneint (S. 313).

9. Regelungsvorschlag für § 7 Abs. 2 S. 3 TMG

In Kapitel 4, Teil 3 (S. 353) macht Scheder-Bieschin anschließend einen Vorschlag zur Neuregelung von § 7 Abs. 2 TMG. Danach sollen Diensteanbieter von jeglichen Pflichten (inklusive Unterlassungsansprüchen) befreit werden, wenn sie Auskunft über die ladungsfähige Adresse eines Rechtsverletzers erteilen. Es handele sich um eine freiwillige Regelung, die Privilegierung wäre also nur ein Anreiz, die Nutzer zu identifizieren. Alternativ könnte der Anbieter anonyme Nutzungsmodelle anbieten, wenn er die ihm zumutbaren Gefahrmeidungsmaßnahmen ergreift.

Problematisch an dem Ansatz sehe ich u.a., dass eine zeitliche Grenze nicht vorgesehen ist. Denn wer eine ladungsfähige Anschrift mitteilen können will, muss auch eine mögliche Rechtsverletzung nachträglich einem Nutzer zuordnen können. Wer also von der Privilegierung profitieren will, muss (allein hierfür) Verkehrsdaten erheben und speichern, möglicherweise bis zur Verjährung eventueller Ansprüche gegen den Anonymisierungsdiensteanbieter. Da aber eine Speicherung von Verkehrsdaten häufig gar nicht gestattet ist (nach § 100 TKG und der Rechtsprechung des BGH allein zum Zwecke der Störungserkennung und –beseitigung maximal für sieben Tage), müsste die Ergänzung in § 7 Abs. 2 S. 3 TMG mit einer entsprechenden Gestattung einhergehen, oder der Anonymisierungsdiensteanbieter würde sich rechtswidrig verhalten.

10. Gesamteindruck

Das Werk „Modernes Filesharing“ geht die Frage der Haftung von Anonymisierungsdiensten an, wirft interessante Fragen auf und bewertet diese. Dabei ist auch die Darstellung des Einflusses der europäischen Richtlinien und die Bewertung der entsprechenden Entscheidungen des EuGH spannend. Von daher ist die Lektüre des Buchs definitiv empfehlenswert.

Beachten sollte man aber, dass schon der Titel auf das „Filesharing“ abzielt und dementsprechend die Verletzung von Urheberrechten durch Filesharing im Vordergrund steht. Dementsprechend werden vornehmlich die Gefahren der Anonymisierung adressiert. Die politischen und sozialen Vorzüge werden erkannt, aber insgesamt eher gering gewichtet – was unter der Prämisse einer Anonymisierung praktisch nur für Rechtsverletzungen verständlich ist.

Dies zeigt sich dann auch bei der jeweiligen Abwägung, bei der man die Meinung des Autors nicht teilen muss. Beachtlich ist aber, dass Scheder-Bieschin trotzdem zu dem Ergebnis kommt, dass Betreibern von Anonymisierungsdiensten inklusive TOR und AN.ON lediglich geringe Pflichten obliegen, nämlich die Hinweispflicht und die Pflicht zu nicht intrusiven Websperren.

In einer Zeit, in der die Überwachung des Internet praktisch komplett zu sein scheint, und in denen selbst die politisch Verantwortlichen zu Gegenmaßnahmen durch Verschlüsselung etc. raten, kann man über die Bedeutung von Anonymität im Internet streiten, hier sind einfach verschiedene Ansichten vertretbar, die sich dann eben auch bei der Bewertung auswirken.

Etwas abseits vom eigentlichen Thema bleibt leider die Rolle etwas im Unklaren, die offenen WLANs zukommt. Offene WLANs ohne Registrierung können faktisch Anonymität bewirken, sind aber zunächst einmal rein neutrale Dienste. Eine Gefahrneigung ist nicht ohne Weiteres erkennbar. Da allein der Umstand, dass eine Anonymisierung stattfindet nicht zu einer Gefahrgeneigtheit führt, dürften ihnen auch nach der Analyse im Buch keine Pflichten auferlegt werden, die der Autor von Anonymisierungsdiensten verlangt.

 

(Disclosure: Dr. Felix Scheder-Bieschin hat mir freundlicherweise ein Exemplar seiner Arbeit für die Rezension zur Verfügung gestellt.)

Send to Kindle

Wo bleibt das Gesetz zur Regelung der Störerhaftung beim Betrieb eines WLANs?

Im Juli wurde ein Gesetz zur Regelung der Störerhaftung beim Betrieb eines WLANs für August angekündigt. In der Verkündung der digitalen Agenda wurde die Regelung umrissen, wobei dies für viel Kritik gesorgt hat. Bemerkenswert fand ich vor allem die Frage einer Journalistin der New York Times, warum man in Deutschland glaubt, führend zu werden, wenn man derzeit überhaupt kein offenes WLAN findet. Diese Kritik greift das auf und bringt es auf den Punkt, was die Netzgemeinde seit Jahren kritisiert: Die Rechtsunsicherheit behindert den (digitalen und analogen) Standort Deutschland.

Nun ist der August vorbei und der Gesetzesentwurf ist noch immer nicht bekannt geworden. Möglicherweise ist er in der Abstimmung zwischen den Ressorts (… viele Köche brauchen einfach länger …), möglicherweise kursiert er aber auch bereits z.B. in Journalistenkreisen in Berlin, vielleicht gibt es ihn aber noch gar nicht (in endgültiger Fassung).

Die Ankündigung für August klang schon ziemlich definitiv. Die Frage ist – und da kann ich nur spekulieren – was es bedeutet, dass der Entwurf noch nicht veröffentlicht worden ist. Vielleicht (!) heißt das ja, dass die intensive Kritik von allen Seiten gefruchtet hat und die Bundesregierung ihren bisherigen Ansatz noch einmal überdenkt. Eine Verschlimmbesserung wird nämlich der rechtlichen Situation für WLANs nicht helfen. Wünschenswert wäre es. So könnte/sollte Politik ja auch funktionieren.

Es bleibt also weiter dabei: Warten, und nach Möglichkeit nicht über den Inhalt spekulieren.

Wer etwas vom Gesetzesentwurf hört, gerne hier in den Kommentaren oder per E-Mail an mich :)

Send to Kindle

Anmerkung zu AG Hamburg, 10.6.2014 – 25b C 431/13: Anwendbarkeit von § 8 TMG auf WLAN – erschienen

In eigener Sache:

Mittlerweile ist meine Anmerkung zum Urteil des AG Hamburg, Urt. v. 10.6.2014 – 25b C 431/13, CR 2014, 536 (und zugleich Urt. v. 24.6.2014 – 25b C 924/13) in der Zeitschrift Computer und Recht (CR) erschienen (CR 2014, 538). Ich habe beide Urteile bereits hier im Blog kurz besprochen (hier und hier), nun ist zusätzlich eine längere Anmerkung in der CR erschienen.

In beiden Fällen ging es um die Haftung des Betreibers eines WLANs, einmal ein Hotel, einmal eine Ferienwohnung. Das AG Hamburg hat – als erstes Gericht in Deutschland – § 8 TMG im Zusammenhang mit WLAN thematisiert und auch angewandt.

Aus der Anmerkung (CR 2014, 538 ff.):

Bereits seit 2006 befassen sich die Gerichte immer wieder mit Rechtstreitigkeiten um urheberrechtliche Abmahnungen, bei denen die zugrundeliegende Rechtsverletzung von einem Nutzer eines WLANs ausging. Dabei standen hauptsächlich Fälle im Vordergrund, bei denen Privatpersonen das WLAN zu privaten Zwecken betrieben.[1] Bis vor kurzem waren überhaupt nur drei Fälle des LG Frankfurt und des AG München bekannt geworden, die die Haftung des Betreibers eines „gewerblichen“ WLANs betrafen: ein Hotel-WLAN[2], ein WLAN, das ein Vermieter von Ferienwohnungen seinen Gästen zur Verfügung stellte,[3] und ein vom Vermieter betriebenes WLAN.[4] LG Frankfurt und AG München waren in beiden Fällen im Wege der Einzelfallprüfung zu dem Schluss gekommen, dass der Betreiber des WLAN-Hotspots weder auf Schadensersatz noch auf Unterlassung in Anspruch genommen werden könne. Allerdings waren beide Gerichte jeweils nicht auf die Privilegierungsregelung des § 8 TMG eingegangen, obwohl diese nach allgemeiner Auffassung in der Literatur auf WLANs Anwendung findet.[5]

Das AG Hamburg hat nun – spannenderweise wiederum zu WLAN-Hotspots eines Hotels und eines Vermieters von Ferienwohnungen – als soweit ersichtlich erstes Gericht in Deutschland die Privilegierung des § 8 TMG auf WLAN-Hotspots überhaupt geprüft – und angenommen.

1. Keine Haftung auf Schadensersatz

Unter Verweis auf § 8 TMG hat das AG Hamburg zunächst eine Haftung auf Schadensersatz konsequent abgelehnt. Dennoch – möglicherweise im Hinblick auf eine eventuelle Berufung – ist das AG Hamburg in einer eigentlich unnötigen Hilfsbegründung darauf eingegangen, dass eine Haftung als Täter oder Teilnehmer auch ohne Anwendung der Privilegierung ausscheidet …

Weitere Publikationen hier.

 

Send to Kindle

Die “Digitale Agenda” der Bundesregierung und die Haftung bei WLANs

Während wir alle noch auf den für August in Aussicht gestellten Gesetzesentwurf zur Regelung von WLANs warten, hat Netzpolitik.org heute den möglicherweise endgültigen Stand der Digitalen Agenda der Bundesregierung veröffentlicht.

Darin heißt es zum Thema WLAN:

Wir werden die Verbreitung und Verfügbarkeit von mobilem Internet über WLAN verbessern. Dabei werden wir darauf achten, dass die IT-Sicherheit gewahrt bleibt und keine neuen Einfallstore für anonyme Kriminalität entstehen. Wir werden Rechtssicherheit für die Anbieter solcher WLANS im öffentlichen Bereich, beispielsweise Flughäfen, Hotels, Cafés, schaffen. Diese sollen grundsätzlich nicht für Rechtsverletzungen ihrer Kunden haften. Einen entsprechenden Gesetzesentwurf werden wir in Kürze vorlegen.

1. Einschränkung des persönlichen Anwendungsbereichs?

Der Abschnitt bringt keine Klarheit darüber, für wen die geplante gesetzliche Regelung Rechtssicherheit schaffen soll. Ausdrücklich sind “WLANS im öffentlichen Bereich” genannt. Nur (?) als Beispiel werden Flughäfen, Hotels und Cafés angeführt. Es bleibt also unklar, was mit dem Rest ist.

2. Anonyme Kriminalität?

Die nächste Frage ist, was mit dem Hinweis auf anonyme Kriminalität gemeint ist. Es steht zu befürchten, dass WLANs eine Registrierungspflicht auferlegt wird.

3. Vorläufiges Fazit

Ich wurde vor einigen Tagen gefragt, ob der angekündigte Gesetzesentwurf die bisherige Situation der Rechtsunsicherheit, die die Rechtsprechung mittlerweile zu lösen beginnt, insofern negativ beeinflussen könnte, dass WLANs praktisch kaum noch öffentlich angeboten werden können. Das kann leider passieren. Die Bundesregierung plant hier möglicherweise eine erheblich Verschlimmbesserung … Warten wir auf den Gesetzesentwurf, dann mehr hier im Blog …

Send to Kindle