Schlagwort-Archive: § 3 BDSG

Lesetipp: Breyer, Personenbezug von IP-Adressen – Internetnutzung und Datenschutz, ZD 2014, 400

Schreibe eine Antwort

Patrick Breyer (@patrickbreyer) hat in Heft 8/2014 der Zeitschrift für Datenschutz (ZD) einen sehr lesenswerten Aufsatz zum seit Jahren streitigen Thema des Personenbezuges von IP-Adressen mit dem Titel „Personenbezug von IP-Adressen – Internetnutzung und Datenschutz“ veröffentlicht (ZD 2014, 400). Die Thematik habe ich hier im Blog und in Zeitschriften ebenfalls bereits aufgegriffen (z.B. in der ZD 2013, 605; hier; hier; s. auch Tag „Personenbezug“).

Die mittlerweile wohl h.M. tendiert in diesem Zusammenhang zum sog. Begriff des relativen Personenbezuges. Patrick Breyer geht in seinem Beitrag nun ganz grundsätzlich an die Frage des Personenbezuges heran:

Umstritten ist, ob uns die Datenschutzgesetze vor einer solchen „Surf-Protokollierung“ schützen. Einen Schutz gewähren Datenschutzgesetze grundsätzlich nur für personenbezogene Daten, also Daten, die einer bestimmten oder bestimmbaren Person zugeordnet werden können (§ 3 Abs. 1 BDSG). Ist die IP-Adresse ein personenbezogenes Datum, das unmittelbar nach Ende der Nutzung einer Website wieder zu löschen ist (§§ 13 Abs. 4, 15 Abs. 4 TMG)?

Spannend ist in diesem Zusammenhang insbesondere die Frage, ob bei der Bewertung auch Zusatzwissen einzubeziehen ist, das die verantwortliche Stelle unzulässigerweise erworben hat bzw. erwerben kann. Mit der Menge an Daten, die Unternehmen über ihre Nutzer sammeln (Stichwort „Big Data“) und der Vielzahl an Datenbrokern, bei denen weitere Mengen von Daten erlangt werden können, ist es – eine ausreichend große Datenmenge vorausgesetzt – in vielen Fällen nicht schwer, an Zusatzwissen zu gelangen, das eine Identifizierung von einzelnen Personen ermöglicht (vgl. auch Narayanan/Felten, No silver bullet: De-identification still doesn’t work – zur Frage der effektiven Anonymisierung von Daten). Das LG Berlin, Urt. v. 31.1.2013 – 57 S 87/08 (Volltext) hatte dazu tendiert, unzulässig erworbenes Wissen nicht zu beachten und so den Personenbezug eher eng zu verstehen.

Breyer nimmt nun in seinem Beitrag eine intensive und spannende dogmatische Auslegung von § 3 BDSG vor dem Hintergrund der europäischen Datenschutzrichtlinie 95/46/EG vor und geht anschließend auf Widersprüche der Theorie des relativen Personenbezugs ein.

Handynummern sind personenbezogene Daten: Belege durch Metaphone-Sample

1 Antwort

Studenten der Stanford University haben im November 2013 eine Studie ins Leben gerufen, um zu belegen, dass Metadaten (speziell Telefoniedaten) im Rahmen von Überwachungsprogrammen relevant sind. Hierfür haben sie die Android-App „Metaphone“ entwickelt, die nach der Beschreibung folgendes tut:

MetaPhone is a project to understand call and text privacy. Researchers at Stanford University’s Department of Computer Science are studying metadata to estimate the reach of National Security Agency surveillance.

This study is open to all members of the public 18 or older. An Android smartphone and a Facebook account are required to participate. Participation ordinarily takes under five minutes.

Additional details and contact information are available on the study website. In the course of the study, you will provide mobile phone and social network data to Stanford researchers. Please carefully review the study explanation before electing to participate. The study is entirely voluntary and does not guarantee any benefits.

Rund 6 Wochen später haben die Initiatoren die bisher gesammelten Daten mit öffentlichen Verzeichnissen abgeglichen. Dabei haben sie herausgefunden, dass sie allein mit den – öffentlich zugänglichen – Quellen Yelp, Google Places und Facebook 27,1% der gesammelten Telefonnummern ihren jeweiligen Inhabern zuordnen konnten:

So, just how easy is it to identify a phone number?

Trivial, we found. We randomly sampled 5,000 numbers from our crowdsourced MetaPhone dataset and queried the Yelp, Google Places, and Facebook directories. With little marginal effort and just those three sources—all free and public—we matched 1,356 (27.1%) of the numbers. Specifically, there were 378 hits (7.6%) on Yelp, 684 (13.7%) on Google Places, and 618 (12.3%) on Facebook.

Zusätzlich haben die Studenten aus ihrem Datensatz 100 zufällig ausgewählte Nummern mit einer kommerziellen Datenquelle abgeglichen und erzielten 74 Treffer. Zusammen mit den öffentlichen Quellen kamen sie auf eine Trefferrate von 91%!

What about if an organization were willing to put in some manpower? To conservatively approximate human analysis, we randomly sampled 100 numbers from our dataset, then ran Google searches on each. In under an hour, we were able to associate an individual or a business with 60 of the 100 numbers. When we added in our three initial sources, we were up to 73.

How about if money were no object? We don’t have the budget or credentials to access a premium data aggregator, so we ran our 100 numbers with Intelius, a cheap consumer-oriented service. 74 matched.1 Between Intelius, Google search, and our three initial sources, we associated a name with 91 of the 100 numbers.

Dazu muss gesagt werden, dass die Argumentation in den USA etwas anders ist als hier in Deutschland, da der „Privacy“-Begriff nicht mit der deutschen Definition der „personenbezogenen Daten“ nach § 3 Abs. 1 BDSG übereinstimmt. Nach § 3 Abs. 1 BDSG sind personenbezogene Daten nämlich „Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person.“ Auf Telefonnummern trifft das in der Regel zu.

Interessant ist die Studie trotzdem auch aus der deutschen Sicht. In Bezug auf IP-Adressen brennt nämlich noch immer der Streit, ob der Personenbezug relativ oder absolut zu bestimmen ist. Absolut heißt hierbei, dass Daten, die auch nur eine Person (bspw. der Access Provider) einer konkreten Person zuordnen kann, unter § 3 Abs. 1 BDSG fallen, während nach dem relativen Begriff zu unterscheiden ist: Wer selbst nicht mit zumutbarem Aufwand die Daten einer konkreten Person zuordnen kann, operiert danach nicht mit personenbezogenen Daten (so zuletzt LG Berlin, Urt. v. 31.1.2013; dazu s. auch meine Anmerkung in der Zeitschrift für Datenschutz (ZD), Heft 12/2013, S. 625 ff.).

Die Metaphone-Studie zeigt nun, dass die öffentlichen Quellen immer relevanter werden – wenn durch Zugriff auf öffentliche Quellen die zu den Daten gehörige Person bestimmt werden kann, handelt es sich für jedermann um personenbezogene Daten, der Streit zwischen relativem und absolutem Personenbezug wird daher im Ergebnis immer weniger relevant.

Dementsprechend düster ist auch das Fazit des Blog-Eintrags:

If a few academic researchers can get this far this quickly, it’s difficult to believe the NSA would have any trouble identifying the overwhelming majority of American phone numbers.

Das gilt selbstverständlich auch für große kommerzielle Unternehmen wie Google, Facebook etc. Um es mit dem Bundesverfassungsgericht zu formulieren: Es gibt (praktisch) keine nicht-personenbezogenen Daten mehr.

(via @FBorgesius)

Aufsatz „Verwertung von Standortdaten und Bewegungsprofilen durch Telekommunikationsdiensteanbieter – Der Fall Telefónica/O2“, K&R 2013, 7, erschienen

Schreibe eine Antwort

In eigener Sache:

Mein Aufsatz mit dem Titel „Verwertung von Standortdaten und Bewegungsprofilen durch Telekommunikationsdiensteanbieter – Der Fall Telefónica/O2“ ist mittlerweile in der Zeitschrift Kommunikation & Recht (K&R), Heft 1/2013, S. 7 ff., erschienen.

Der Aufsatz beschäftigt sich mit der Absicht von Telefonica/O2, Standortdaten und Bewegungsprofile seiner Kunden zu verkaufen, ich hatte am 30.10.2012 bereits eine kurze Bewertung abgegeben.

Die Aus- und Verwertung von vorhandenen Datenbeständen wird auch in der Zukunft weiter aktuelles Thema bleiben. Dies zeigt nicht zuletzt der vor einigen Tagen erschienen Artikel von Fischermann und Hamann mit dem Titel „Wer hebt das Datengold?“. Der nun in der K&R erschienene Aufsatz behandelt die Problematik speziell im Hinblick auf die Verwertung von Daten durch Telekommunikationsdiensteanbieter, die bereits durch die reine Diensterbringung die Möglichkeit haben, relevante und sensitive Datensammlungen über ihre Kunden anzulegen (und dies wie das Beispiels Telefonica/O2 zeigt offenbar wenigstens teilweise auch tun).

Dabei gehe ich in dem Aufsatz insbesondere auf den Telekommunikationsdatenschutz der §§ 91 ff. TKG und den allgemeinen Datenschutz des BDSG, aber auch die Verletzung des Fernmeldegeheimnisses nach § 206 StGB ein.

Siehe auch:

Telefonica will Standortdaten seiner Kunden verkaufen – Eine kurze Bewertung

6 Antworten

Wie heute berichtet wird, plant Telefonica (u.a. O2), die Standortdaten seiner Kunden als Produkt namens „Smart Steps“ in Form von Bewegungsprofilen an gewerbliche Kunden zu verkaufen.

Die Tagesschau erläutert dazu:

Durch ihre Bewegungsdaten erfährt der Geschäftsbesitzer von Telefónica nicht nur, dass Sie vor seinem Schaufenster stehen geblieben sind. Er erfährt auch, aus welcher Richtung Sie kamen, wie lang Sie stehen geblieben sind, wie alt Sie sind und welchem Geschlecht Sie angehören. Wertvolle Informationen – die, so Telefónica, allerdings anonymisiert werden.

Wann der Dienst in Deutschland starten soll, ist noch unklar. Allerdings kündigt Telefonica/O2 bereits jetzt an, auch die deutschen Datenschutzbestimmungen einhalten zu wollen. Möglich machen soll es eine Anonymisierung plus Einwilligung des Kunden. In den AGB soll zudem eine entsprechende Einwilligungserklärung vorhanden sein.

Ich bin gespannt, wie Telefonica/O2 diese Ankündigungen möglich machen will. Denn datenschutzrechtlich bewegt sich der Konzern auf sehr unsicherem Grund. Insbesondere sieht § 98 TKG einen sehr speziellen und weitgehenden Schutz von Standortdaten vor, um den Telefonica nur schwerlich herumkommen wird.

Anonymisierung

Schon die behauptete Anonymisierung ist kaum das Allheilmittel, das Telefonica sich davon erhofft. Denn nach den derzeitigen Produktbeschreibungen ordnet Telefonica die Standortdaten eindeutig einer Person zu. Wenn Telefonica behauptet, die Daten seien anonymisiert, dann ist wohl gemeint, dass derjenige, der die Daten kauft, nicht den Namen des Kunden erfährt. Das soll eine Anonymisierung darstellen. Dazu sind zwei Dinge zu beachten:

1. Rechtswidrige Erhebung der Daten bei Telefonica

Um ein Bewegungsprofil zu erhalten, müssen die Daten bei Telefonica selbst nicht-anonymisiert vorliegen. Wenn die Daten anonymisiert wären, könnte Telefonica ab dem Zeitpunkt der Anonymisierung das Bewegungsprofil nicht mehr fortführen. Damit dürfte die Behauptung widerlegt sein, dass die Daten (bei Telefonica/O2) überhaupt anonymisiert werden.

Für diese Erhebung und das Anlegen eines Bewegungsprofils benötigt Telefonica nach § 4a Abs. 1 BDSG eine Rechtfertigung. Diese kann praktisch nur in einer Einwilligung liegen. Es dürfte kaum möglich sein, dass Telefonica eine solche Einwilligung vom Kunden in der erforderlichen Form (insb. klar, verständlich, deutlich hervorgehoben (nicht versteckt in AGB) und ohne Verstoß gegen das Kopplungsverbot) einholen können wird. Auch Thilo Weichert vom Unabhängigen Landesdatenschutzzentrum Schleswig-Holstein hat bereits Zweifel am Vorgehen von Telefonica zu erkennen gegeben.

Damit wäre bereits die Erhebung der Daten datenschutzrechtswidrig. Das betrifft dann natürlich auch die weitere Verwendung. Daten, die rechtswidrig erhoben werden, müssen nach § 35 Abs. 2 S. 2 BDSG unverzüglich gelöscht werden – sie können also gar nicht erst für den Käufer anonymisiert und verkauft werden.

2. Anonyme Daten für den Käufer?

Vermutlich ist Telefonica/O2 der Auffassung, dass die Daten an den Abnehmer anonymisiert weitergegeben werden, indem Name etc. nicht mit übermittelt werden. Das dürfte ein Trugschluss sein. Anonym sollen Daten nach § 3 Abs. 6 BDSG in folgenden Fällen sein:

Anonymisieren ist das Verändern personenbezogener Daten derart, dass die Einzelangaben über persönliche oder sachliche Verhältnisse nicht mehr oder nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können.

Das Gegenteil von anonymen Daten sind personenbezogene Daten nach § 3 Abs. 1 BDSG:

Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener).

Dabei ist zu beachten, dass es ausreicht, wenn Daten personenbeziehbar sind, wenn also unter Verwendung z.B. von anderen Daten herausgefunden werden kann, welcher natürlichen Person die Daten zuzuordnen wären.

Nach der Ankündigung will Telefonica dem Käufer der Daten ermöglichen, z.B. herauszufinden, wann und wie lange ein Kunde in seinem Geschäft verweilt hat, aus welcher Richtung er kam etc. Es ist nicht schwer sich vorzustellen, dass der Käufer – auch ohne, dass er den Namen seines Kunden von Telefonica erfährt, in vielen Fällen herausfinden können wird, auf welchen seiner Kunden sich die von Telefonica erworbenen Daten beziehen. In einem Extrembeispiel einer kleinen Boutique mit wenigen Stammkunden muss der Inhaber des Geschäfts im Grunde nur die Kreditkartenabrechnung (Zeitpunkt eines Einkaufs) mit den Daten von Telefonica abgleichen, um herauszufinden, auf welchen Kunden sich die Daten von Telefonica beziehen.

Dieses Beispiel mag zunächst sehr speziell wirken. Es sollte aber nicht vergessen werden, dass auch in Geschäften heutzutage eine Vielzahl von Daten erhoben werden. So ließen sich die Bewegungsdaten nicht nur mit den Abrechnungsdaten, sondern z.B. auch mit Videoaufnahmen kombinieren und so ein eindeutiger Personenbezug herstellen.

Dieser Befund lässt sich im Übrigen ohne weiteres allein auf die Normen des BDSG stützen – der spezielle und weitreichende Schutz des § 98 TKG untermauert ihn zusätzlich.

Fazit und Ausblick

Nach meiner Auffassung wird es Telefonica kaum möglich sein, einen solchen Dienst in Übereinstimmung mit deutschem Recht einführen zu können. Es ist schwer vorstellbar, dass Telefonica eine wirksame Einwilligung seiner Kunden in das Vorgehen erhalten wird, zumal eine solche Einwilligung nachträglich für Bestandskunden eingeholt werden müsste. Auf § 28 BDSG kann sich Telefonica kaum stützen. Das Anlegen und Verkaufen von Bewegungsprofilen gehört nun einmal nicht zu den vertraglich erforderlichen Datennutzungen bei einem Mobilfunkvertrag.

Es ist zu hoffen, dass Telefonica/O2 diese Fragen vor Einführung durch die Rechtsabteilung/externe Kanzleien klären lassen wird – wenn dies nicht bereits erfolgt ist. Es ist wie gesagt schwer vorstellbar, dass ein solches Gutachten zum Ergebnis kommen kann, dass „Smart Steps“ mit deutschem Recht vereinbar ist.

Kunden von Telefonica/O2 können vermutlich bereits nach der jetzt erfolgten Ankündigung rechtlich gegen Smart Steps vorgehen. Telefonica hat im Grunde angekündigt, über seine Kunden Daten unter Verstoß gegen §§ 43, 44 BDSG zu erheben. §§ 43, 44 BDSG stellen Schutzgesetze im Sinne des § 823 Abs. 2 BGB dar. Daher bestehen gute Aussichten, dass ein vorbeugender Unterlassungsanspruch der Kunden von Telefonica/O2 nach § 823 Abs. 2 BGB besteht, die Ankündigung begründet jedenfalls die Wiederholungsfahr. Des Weiteren dürften die Verbraucherzentralen ein Interesse daran haben, gegen solche Modelle frühzeitig vorzugehen.

Es ist abzuwarten, ob entsprechende Abmahnungen (und einstweilige Verfügungen) in naher Zukunft bei Telefonica/O2 eintreffen werden.

Anmerkung zu LG München I, Urt. v. 12.1.2012 – 7 HK O 1398/11, CR 2012, 603: Identifikationspflicht beim Betrieb von WLAN-Hotspots

1 Antwort

In eigener Sache: In Heft 9 der Computer und Recht ist (S. 603) meine Anmerkung zum Urteil des LG München I, Urt. v. 12.1.2012 – 7 HK O 1398/11, zur Identifikationspflicht beim Betrieb von WLAN-Hotspots erschienen. Ich hatte das Urteil auch hier im Blog kurz besprochen.

Fundstelle: CR 2012, 605

Weitere Publikationen hier

US-Gericht: IP-Adresse identifiziert nicht Person – (k)ein Beitrag für die Diskussion um den Personenbezug einer IP-Adresse und das Verhältnis zur Störerhaftung

3 Antworten

Nach einer Meldung des Blogs Torrentfreak (inklusive Volltext) ist in den letzten Tagen mehrfach über eine Entscheidung des United States District Court of the Eastern District of New York berichtet worden (s. nur hier und hier). Teilweise wurde auch schon der Zusammenhang mit der deutschen Diskussion des Personenbezugs von IP-Adressen diskutiert (s. Blog Datenschutzbeauftragter-info).

In diesem Beitrag soll (1) die Bedeutung des Urteils für die deutsche Diskussion um den Personenbezug von IP-Adressen und  (2) der Zusammenhang mit Verfahren wegen der Verbreitung von urheberrechtlich geschützten Werken durch Filesharing in Deutschland beleuchtet werden.

Auszüge der Entscheidung des Gerichts

Zunächst einige Auszüge aus der Bewertung der Tatsachen durch das Gericht:

The putative defendants are identified only by Internet Protocol („IP“) addresses. …

This Order addresses (1) applications by plaintiffs in three of these actions for immediatediscovery, consisting of Rule 45 subpoenas directed at non-party Internet Service Providers(„ISPs“)to obtain identifying information about subscribers to the named IP addresses …

BitTorrent also uses a „tracker“ computer that tracks thepieces of the files as those pieces are shared among various computers. This tracking feature [allows] the plaintiffs to identify the IP addresses from which the films were downloaded, the subscribers towhich have become the defendants in these actions. …

The complaints assert that the defendants – identified only by IP address – were theindividuals who downloaded the subject „work“ and participated in the BitTorrent swarm.However, the assumption that the person who pays for Internet access at a given location is thesame individual who allegedly downloaded a single sexually explicit film is tenuous, and one thathas grown more so over time. An IP address provides only the location at which one of anynumber of computer devices may be deployed, much like a telephone number can be used for anynumber of telephones. …

Thus, it is no more likely that the subscriber to an IP address carried out a particular computerfunction – here the purported illegal downloading of a single pornographic film – than to say anindividual who pays the telephone bill made a specific telephone call.

Indeed, due to the increasingly popularity of wireless routers, it much less likely. While adecade ago, home wireless networks were nearly non-existent, 61% of US homes now havewireless access. Several of the ISPs at issue in this case provide a complimentary wireless routeras part of Internet service. As a result, a single IP address usually supports multiple computer devices – which unlike traditional telephones can be operated simultaneously by differentindividuals.See U.S. v. Latham, 2007 WL 4563459, at *4 (D.Nev. Dec. 18, 2007). Different family members, or even visitors, could have performed the alleged downloads. Unless the wireless router has been appropriately secured (and in some cases, even if it has been secured), neighbors or passersby could access the Internet using the IP address assigned to a particular subscriber and download the plaintiff’s film. …

Some of these IP addresses could belong to businesses or entities which provide accessto its employees, customers and sometimes (such as is common in libraries or coffee shops) members of the public.

In sum, although the complaints state that IP addresses are assigned to „devices“ and thus by discovering the individual associated with that IP address will reveal „defendants“ trueidentity,”this is unlikely to be the case.  Most, if not all, of the IP addresses will actually reflect a wireless router or other networking device, meaning that while the ISPs will provide the name of its subscriber, the alleged infringer could be the subscriber, a member of his or her family, an employee, invitee, neighbor or interloper.

(Hervorhebungen durch Verfasser)

1. Die Frage des Personenbezugs von IP-Adressen

a. Personenbezug und Bestimmbarkeit

In der deutschen Literatur ist bereits seit längerer Zeit umstritten, ob IP-Adressen ein personenbezogenes Datum i.S.d. § 3 BDSG darstellen. Dabei muss man sich den Gesetzestext vor Augen führen. § 3 Abs. 1 BDSG lautet:

Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person

(Hervorhebung durch Verfasser)

Für den Personenbezug reicht es demnach aus, dass eine Person „bestimmbar“ ist. Über gerade dieses Merkmal herrscht Streit. Teilweise wird der sogenannte „relative Personenbezug“ vertreten (so z.B. AG München, Urteil vom 30.09.2008 – 133 C 5677/08). Danach soll ein Datum nur dann personenbezogen sein, wenn derjenige, der das Datum speichert, den Personenbezug selbst herstellen kann, z.B. weil in seiner Datenbank auch den Namen des Betroffenen gespeichert ist.  Kein Personenbezug soll vorliegen, wenn nur ein Dritter diesen Identitätsbezug herstellen kann (daher „relativ“).

Auf der anderen Seite vertreten vor allem die Datenschutzaufsichtsbehörden den sogenannten „absoluten“ Personenbezug (ebenso LG Berlin, K&R 2007, 601; LG Hamburg CR 2005, 136, 140; AG Berlin Mitte K&R 2007, 600; Hoeren, Skript Internetrecht (Stand September 2008), 439; Kitz, GRUR 2003, 1014, 1018; Nordemann/Dustmann, CR 2004, 380, 386; Tinnefeld in: Roßnagel, Handbuch Datenschutzrecht, Kap. 4.1 Rn. 21; Spindler/Dorschel, CR 2005, 38, 44; Wüstenberg, TKMR 2003, 105, 107). Danach soll ein Datum, das sich auf eine bestimmbare Person bezieht, in jedem Fall ein personenbezogenes Datum sein, also auch dann, wenn nur ein Dritter diesen Identitätsbezug herstellen kann.

Dies hat in Bezug auf IP-Adressen erhebliche Auswirkungen. Denn wie im Fall des US-Gerichts kennt der Rechtsinhaber nur die IP-Adresse und den Zeitpunkt der Nutzung. Der Access Provider hingegen kann auf Anfrage aus IP-Adresse und Zeitpunkt der Nutzung in seiner Nutzungsdatenbank (sofern er eine solche ausreichend lange vorhält), klar bestimmen, wer zu diesem Zeitpunkt diese IP-Adresse genutzt hat.

Nach der Theorie des absoluten Personenbezugs ist die IP-Adresse bereits beim Rechtsinhaber ein personenbezogenes Datum nach § 3 Abs. 1 BDSG, nach der Theorie des relativen Personenbezugs hingegen nicht.

Ich will hier auf den Streit und das jeweilige Für und Wider nicht näher eingehen. Allerdings ist das Merkmal „bestimmbar“ nach allgemeiner Auffassung so definiert, dass ein Personenbezug gegeben ist, wenn ohne unzumutbaren Aufwand die Identität der Person herausgefunden werden kann.

Nach meiner Meinung ist vor diesem Hintergrund der Streit wenigstens bei Filesharing-Fällen nicht so beachtlich. Denn die zehntausendfachen Anfragen nach § 101 UrhG belegen, dass es für Rechtsinhaber relativ unproblematisch ist, die erforderliche Auskunft zu erhalten. Wenn also der Rechtsinhaber eine IP-Adresse erhebt, ist ziemlich sicher, dass er die Identität des Anschlussinhabers ermitteln kann. Demnach kann – durch Rückgriff auf die Daten des Access Providers mittels § 101 UrhG – mit nicht unzumutbarem Aufwand aus der IP-Adresse auf die Identität des Anschlussinhabers geschlossen werden, auch wenn dafür auf Daten eines Dritten zugegriffen werden muss.

Die IP-Adresse ist also ein personenbezogenes Datum nach § 3 Abs. 1 BDSG.

b. Die Entscheidung des US-Gerichts

Nun hat das US-Gericht in seiner Entscheidung, wie sich auch aus den Auszügen oben ergibt, scheinbar relativ eindeutig geurteilt, dass eine IP-Adresse eine Person nicht identifiziert. Es stellt sich die Frage, ob dies auf die obige Diskussion des Personenbezugs von IP-Adressen irgendeine Auswirkung hat. Das Blog Datenschutzbeauftragter-info hat dies überschrieben mit: „Klarheit durch neues Urteil?

Eine solche Klarheit bringt die Entscheidung des US-Gerichts nach meiner Auffassung aber nicht.

Denn das Gericht hat sich mit der Frage beschäftigt, ob sich aus der IP-Adresse eindeutig auf den Täter einer hinter einer IP-Adresse tätigen Rechtsverletzung schließen lässt und hat diese Frage verneint.

Dies hat aber keinerlei Einfluss darauf, dass sich aus der IP-Adresse auf den Anschlussinhaber schließen lässt. Das Gericht hat diesen Umstand auch erkannt und erläutert, dass es zwischen dem „Subscriber“ eines Internet-Anschlusses und dem Täter („alleged infringer“) unterscheidet:

… while the ISPs will provide the name of its subscriber, the alleged infringer could be the subscriber, a member of his or her family, an employee, invitee, neighbor or interloper.

(Hervorhebungen durch Verfasser)

2. Zusammenhang mit Verfahren wegen der Verbreitung von urheberrechtlich geschützten Werken durch Filesharing

Dennoch ist der Entscheidung des US-Gerichts – auch mit Blick auf die rechtliche Situation in Deutschland – zuzustimmen. Denn auch in Deutschland ist die vom US-Gericht aufgeworfene und beantwortete Frage relevant, z.B. in Verfahren wegen der Verletung urheberrechtlich geschützter Werke.

Bei Verfahren wegen der Verletzung von Urheberrechten über das Internet muss zwischen zwei Anspruchskomplexen unterschieden werden: (a) Anspruch auf Schadensersatz nach § 97 Abs. 2 UrhG und (b) Anspruch auf Unterlassung nach §§ 97 Abs. 1 UrhG, 1004 BGB nach den Grundsätzen der sogenannten Störerhaftung.

a. Schadensersatz

In § 97 Abs. 1, 2 UrhG heißt es:

(1) Wer das Urheberrecht oder ein anderes nach diesem Gesetz geschütztes Recht widerrechtlich verletzt …

(2) Wer die Handlung vorsätzlich oder fahrlässig vornimmt, ist dem Verletzten zum Ersatz des daraus entstehenden Schadens verpflichtet.

Schadensersatzhaftung ist eine klassische Täterverantwortlichkeit. Der Rechtsinhaber muss belegen können, dass der angebliche Verletzer sein Urheberrecht verletzt hat – und zwar vorsätzlich oder fahrlässig und zusätzlich schuldhaft. Dafür muss er den Täter konkret benennen und darlegen, dass dieser Täter die Urheberrechtsverletzung begangen hat.

Hier setzt die Entscheidung des US-Gerichts an: Mittels der IP-Adresse kann nicht der Täter einer Urheberrechtsverletzung (mit ausreichender Sicherheit) identifiziert werden.

… while the ISPs will provide the name of its subscriber, the alleged infringer could be the subscriber, a member of his or her family, an employee, invitee, neighbor or interloper.

(Hervorhebungen durch Verfasser)

Ebenso argumentiert grundsätzlich auch der BGH (BGH MMR 2010, 565 – Sommer unseres Lebens m. Anm. Mantz):

Der IP-Adresse kommt keine mit einem eBay-Konto vergleichbare Identifikationsfunktion zu. Anders als letzteres ist sie keinem konkreten Nutzer zugeordnet, sondern nur einem Anschlussinhaber, der grds. dazu berechtigt ist, beliebigen Dritten Zugriff auf seinen Internetanschluss zu gestatten. Die IP-Adresse gibt deshalb bestimmungsgemäß keine zuverlässige Auskunft über die Person, die zu einem konkreten Zeitpunkt einen bestimmten Internetanschluss nutzt. Damit fehlt die Grundlage dafür, den Inhaber eines WLAN-Anschlusses im Wege einer unwiderleglichen Vermutung so zu behandeln, als habe er selbst gehandelt (vgl. BGH, a.a.O.  – Halzband). Es ginge deshalb zu weit, die nicht ausreichende Sicherung eines WLAN-Anschlusses mit der unsorgfältigen Verwahrung der Zugangsdaten für ein eBay-Konto gleichzusetzen. Dies würde die WLAN-Nutzung im Privatbereich auch mit unangemessenen Haftungsrisiken belasten, weil der Anschlussinhaber bei Annahme einer täterschaftlichen Verantwortung unbegrenzt auf Schadensersatz haften würde, wenn außenstehende Dritte seinen Anschluss in für ihn nicht vorhersehbarer Weise für Rechtsverletzungen im Internet nutzen.

(Hervorhebungen durch Verfasser)

Allerdings wendet der BGH (und der Folge die deutschen Instanzgerichte) auch im Rahmen der Schadensersatzhaftung die sogenannte sekundäre Darlegungslast an. Es spreche eine Vermutung dafür, dass der Anschlussinhaber auch die Rechtsverletzung begangen hat. Diese Vermutung muss der Anspruchsgegner durch geeigneten Vortrag (z.B. Urlaub) entkräften. Insofern dürften das US-Gericht und die deutsche Rechtsprechung (häufig) zu sich widersprechenden Ergebnissen kommen. So hat z.B. das LG Magdeburg, Urteil vom 11.05.2011 – 7 O 1337/10, BeckRS 2011, 14490, unter Bezugnahme auf das vorgenannte BGH-Urteil erkannt:

Der Kläger hat einen Anspruch auf Schadensersatz gemäß §§ 97 Abs. 1,2, 19 a UrhG.  … Weil das geschützte Filmwerk der Öffentlichkeit von einer IP-Adresse aus zugänglich gemacht wurde, die zum fraglichen Zeitpunkt dem Beklagten zugeteilt war, spricht eine tatsächliche Vermutung dafür, dass der Beklagte für die Rechtsverletzung verantwortlich ist. Den Beklagten, der geltend macht, eine andere Person habe die Rechtsverletzung begangen, traf daher eine sekundäre Darlegungslast (vgl. BGH, Urteil vom 12.05.2010, Aktenzeichen I ZR 121/08 – Sommer unseres Lebens – zitiert nach juris). Dieser sekundären Darlegungslast ist der Beklagte nicht nachgekommen. Er hat nicht ausgeschlossen, dass sein erwachsener Sohn … der mit dem PC des Beklagten vertraut war, weil er den Router installiert hatte, oder andere Besucher der Familie am Silvestertag 2009 in der Wohnung des Beklagten waren.

Eine solche sekundäre Darlegungslast kennt das US-Recht (nach meinem Wissen) nicht, wobei zu beachten ist, dass in den USA nur ausnahmsweise der Beklagte Beweis erbringen muss – was durch die Möglichkeit einer Discovery zu Gunsten des Klägers ausgeglichen wird. Dennoch könnte im Ergebnis die Entscheidung des US-Gerichts als weiteres Argument gegen die Annahme einer Schadensersatzhaftung angeführt werden. Ob dem Erfolg zuteil wird, muss sich zeigen.

b. Störerhaftung

Auf der anderen Seite wendet die Rechtsprechung die sogenannte „Störerhaftung“ auch auf Urheberrechtsverletzungen an. Danach soll eine Haftung auf Unterlassen (nicht auf Schadensersatz) des Anschlussinhabers bestehen, wenn er ihm obliegende Prüf- und Überwachungspflichten verletzt hat und er dadurch jedenfalls an einer Rechtsverletzung (wenn auch möglicherweise unbewusst) mitgewirkt hat.

Auch hier zeigt sich erneut der Zusammenhang: Aus der IP-Adresse lässt sich zwar ggf. nicht auf den Täter schließen – aber jedenfalls auf den Anschlussinhaber. Gäbe es in den USA ein Institut ähnlich der Störerhaftung, hätte das US-Gericht dementsprechend vermutlich geurteilt:

Eine IP-Adresse identifiziert zwar nicht den Täter einer Urheberrechtsverletzung, aber auf jeden Fall den Anschlussinhaber.