Schlagwort-Archive: BGH

BGH ändert seine Rechtsprechung zu WLAN-Schlüsseln

Der BGH hat gestern ein Urteil verkündet, in dem es um die Störerhaftung des Anschlussinhabers ging, der einen unsicheren WLAN-Router mit dem voreingestellten, aber individuellen Passwort gesichert hat (BGH, Urt. v. 24.11.2016 – I ZR 220/15; Pressemitteilung).

Die Gründe liegen noch nicht vor, hier der Inhalt der Pressemitteilung:

„Der unter anderem für das Urheberrecht zuständige I. Zivilsenat hat sich im Zusammenhang mit der Haftung für Urheberrechtsverletzungen mit den Anforderungen an die Sicherung eines Internetanschlusses mit WLAN-Funktion befasst.

Die Klägerin ist Inhaberin von Verwertungsrechten an dem Film „The Expendables 2“. Sie nimmt die Beklagte wegen des öffentlichen Zugänglichmachens dieses Filmwerks im Wege des „Filesharing“ auf Ersatz von Abmahnkosten in Anspruch. Der Film ist im November und Dezember 2012 zu verschiedenen Zeitpunkten über den Internetanschluss der Beklagten durch einen unbekannten Dritten öffentlich zugänglich gemacht worden, der sich unberechtigten Zugang zum WLAN der Beklagten verschafft hatte. Die Beklagte hatte ihren Internet-Router Anfang 2012 in Betrieb genommen. Der Router war mit einem vom Hersteller vergebenen, auf der Rückseite des Routers aufgedruckten WPA2-Schlüssel gesichert, der aus 16 Ziffern bestand. Diesen Schlüssel hatte die Beklagte bei der Einrichtung des Routers nicht geändert. Das Amtsgericht hat die Klage abgewiesen. Die Berufung der Klägerin ist ohne Erfolg geblieben.

Der Bundesgerichtshof hat die Revision der Klägerin zurückgewiesen. Er hat angenommen, dass die Beklagte nicht als Störerin haftet, weil sie keine Prüfungspflichten verletzt hat. Der Inhaber eines Internetanschlusses mit WLAN-Funktion ist zur Prüfung verpflichtet, ob der eingesetzte Router über die im Zeitpunkt seines Kaufs für den privaten Bereich marktüblichen Sicherungen, also einen aktuellen Verschlüsselungsstandard sowie ein individuelles, ausreichend langes und sicheres Passwort, verfügt. Die Beibehaltung eines vom Hersteller voreingestellten WLAN-Passworts kann eine Verletzung der Prüfungspflicht darstellen, wenn es sich nicht um ein für jedes Gerät individuell, sondern für eine Mehrzahl von Geräten verwendetes Passwort handelt. Im Streitfall hat die Klägerin keinen Beweis dafür angetreten, dass es sich um ein Passwort gehandelt hat, das vom Hersteller für eine Mehrzahl von Geräten vergeben worden war. Die Beklagte hatte durch Benennung des Routertyps und des Passworts sowie durch die Angabe, es habe sich um ein nur einmal vergebenes Passwort gehandelt, der ihr insoweit obliegenden sekundären Darlegungslast genügt. Da der Standard WPA2 als hinreichend sicher anerkannt ist und es an Anhaltspunkten dafür fehlt, dass im Zeitpunkt des Kaufs der voreingestellte 16-stellige Zifferncode nicht marktüblichen Standards entsprach oder Dritte ihn entschlüsseln konnten, hat die Beklagte ihre Prüfungspflichten nicht verletzt. Sie haftet deshalb nicht als Störerin für die über ihren Internetanschluss von einem unbekannten Dritten begangenen Urheberrechtsverletzungen. Eine bei dem Routertyp bestehende Sicherheitslücke ist in der Öffentlichkeit erst im Jahr 2014 bekannt geworden.“

Kurze Analyse:

Es gilt nun noch, die Gründe abzuwarten. Schon jetzt lässt sich aber sagen, dass das Urteil eine Neuerung darstellen dürfte. Der BGH hatte im viel beachteten Urteil „Sommer unseres Lebens“ (dazu hier, hier, hier, hier, hier und meine Anmerkung in MMR 2010, 568) einen ähnlichen Fall zu entscheiden gehabt. Auch dort hatte der Anschlussinhaber einen WLAN-Router mit dem voreingestellten Passwort betrieben. Damals hatte der BGH allerdings eine Störerhaftung angenommen, weil – so die damalige Argumentation – der Anschlussinhaber den WLAN-Schlüssel habe ändern müssen.

Ich hatte damals recherchiert und hatte herausgefunden, dass es sich auch damals um ein Modell handelte, das einen individuellen Schlüssel aufwies (s. hier und Mantz, MMR 2010, 568, 569). Der Unterschied in den beiden Fällen könnte darin bestehen, dass im jetzt entschiedenen vorliegenden Fall „WLAN-Schlüssel“ zusätzlich vorgetragen worden war, dass der WLAN-Router unsicher ist, was 2010 noch keine Rolle gespielt hatte. Vielleicht handelt es sich also nicht um eine Änderung, sondern nur um eine Anreicherung der BGH-Rechtsprechung.

Es gab in den letzten Jahren mehrere Entscheidungen, die sich mit dieser Konstellation befasst haben, insbesondere LG Braunschweig, 1.7.2015 – 9 S 433/14 (59); AG Frankfurt, 6.3.2015 – 30 C 1443/14 (68) (PDF); AG Augsburg, 21.04.2015, 72 C 4157/14 und LG Frankfurt, 2.2.2016 – 2-03 O 74/15; anderer Auffassung war das AG Schweinfurt, 30.6.2015, 3 C 848/14.

Erwähnenswert ist im neuen Fall „WLAN-Schlüssel“ des BGH noch, dass der BGH die sekundäre Darlegungslast als erfüllt angesehen hat, obwohl die angebliche Rechtsverletzung aus dem Jahr 2012 stammte, die Lücke aber wohl erst 2014 bekannt wurde.

Schlussfolgerungen und Fragen nach den Tauschbörse-Entscheidungen des BGH

Vor wenigen Tagen sind die Entscheidungsgründe zu den „Tauschbörse“-Entscheidungen des BGH auch offiziell veröffentlicht worden (Az. I ZR 7/14, I ZR 19/14, I ZR 75/14 – Tauschbörse I-III). (Man könnte auch davon sprechen, dass der BGH eine Umnummerierung beim Sequel „Tauschbörse“ vorgenommen hat, da eigentlich „Morpheus“ Tauschbörse I und „BearShare“ Tauschbörse II hätte heißen können.)

Ich möchte hier nur auf ein paar wenige Gesichtspunkte eingehen und der Frage nachgehen, was die Folgerungen aus den Entscheidungen sein könnten Außerdem werde ich die aus meiner Sicht weiter offenen Fragen benennen.

Zunächst muss aber vorweggeschickt werden, dass die Fälle des BGH alle einen starken Einzelfallbezug aufweisen. Die dort entschiedenen Konstellationen sind in ihren Details eher ungewöhnlich. Zu einem Großteil waren die relevanten Weichenstellung schon in der Vorinstanz getroffen worden, da die Beweiswürdigung grundsätzlich Sache des Tatrichters ist, also vom BGH nur eingeschränkt überprüft werden kann. Gerade im Fall „Tauschbörse III“ sind die Entscheidung des OLG Köln ebenso wie die Entscheidung des BGH davon geprägt, dass der Vortrag des Anschlussinhabers nicht glaubhaft war.

1. IP-Adressermittlung

Ein Knackpunkt bei Filesharing-Fällen ist die Ermittlung des Anschlussinhabers. Hierfür werden spezialisierte Unternehmen eingesetzt. Der Vortrag ist dabei nicht immer aus den Unterlagen nachvollziehbar. Als Beweismittel für die Ermittlung werden häufig der Entwickler der Software oder die ermittelnden Mitarbeiter als Zeugen benannt. Es ist letztlich auch nicht auszuschließen, dass – aus welchen Gründen auch immer – bei der Ermittlung einer IP-Adresse etwas schief gehen kann. Dementsprechend gehört es fast schon zur Standardverteidigung für Anschlussinhaber, die korrekte Ermittlung der IP-Adressen zu bestreiten.

Der BGH hat sich in der „Tauschbörse I“-Entscheidung (BGH, Urt. v. 11.6.2015 – I ZR 19/14 – Tauschbörse I) teilweise eindeutig zur Frage der IP-Adressermittlung geäußert. Danach ist es zum Beweis der korrekten Ermittlung der IP-Adresse ausreichend, wenn Screenshots vorgelegt und Zeugen angeboten werden, die Schritt für Schritt den regelmäßigen Ablauf darstellen.

Es ist hingegen nicht ausreichend, wenn der Anschlussinhaber lediglich pauschal bestreitet, dass die IP-Adresszuordnung im Verfahren nach § 101 Abs. 9 UrhG (also durch den TK-Anbieter) fehlerhaft war. Um mit dem Bestreiten erfolgreich zu sein, müsste der Anschlussinhaber daher konkrete Fehler darlegen, nur ein falscher Buchstabe reicht nicht.

Nicht ganz klar ist, wie die Instanzgerichte künftig mit einem Bestreiten der korrekten IP-Adressermittlung umgehen müssen. Der BGH hat angenommen, dass sich die dortigen Vorinstanzen hauptsächlich auf die vorgelegten Unterlagen gestützt haben. Die Zeugenaussagen der Ermittler hätten nur der Erläuterung gedient. Daraus könnte man den Schluss ziehen, dass sich die Instanzgerichte auf die Unterlagen stützen dürfen, so lange der Anschlussinhaber nicht konkrete Fehler darin erkennt und darlegt. Möglicherweise werden die Gerichte aber in solchen Fällen auch stets die angebotenen Zeugen vernehmen, um so auf einer sicheren Grundlage entscheiden zu können.

Offen bleibt, wie der Anschlussinhaber überhaupt darlegen soll, dass Fehler bei der IP-Adressermittlung aufgetreten sind. Da dieser Vorgang vollständig außerhalb seiner Wahrnehmungssphäre liegt, müsste eigentlich ein Bestreiten mit Nichtwissen gestattet sein. Das ist nach den Ausführungen des BGH aber nur noch schwer vorstellbar.

Die Entscheidung des LG Berlin (Urt. v. 30.6.2015 – 15 0 558/14 – Guardaley), in der das Gericht vom Rechteinhaber sehr konkreten Vortrag verlangt und vor diesem Hintergrund auch eine Zeugenvernehmung abgelehnt hat, dürfte jedenfalls in der Berufung keinen Bestand haben. Das KG Berlin wird in der Berufung den angebotenen Zeugen vernehmen (oder hierfür zurückverweisen) oder sich mit anderen Fragen beschäftigen müssen.

2. Sekundäre Darlegungslast

Die Frage, wie mit der in den BGH-Entscheidungen „Morpheus“ und „BearShare“ aufgestellten Grundsätzen der sekundären Darlegungslast umzugehen ist, hat in der Vergangenheit zu großen Problemen in der Rechtsprechung geführt. Insoweit bestand die Hoffnung, dass die Entscheidungen des BGH hier größere Klarheit erbringen.

Leider hat der BGH die Chance nun nicht (wirklich) ergriffen, Klarheit bei der sekundären Darlegungslast zu schaffen. Im Grunde hat er gegenüber „BearShare“ nur eineinhalb Sätze zur Erhellung hinzugefügt (BGH, Urt. v. 11.6.2015 – I ZR 75/14 Rn. 42 – Tauschbörse III – hier hervorgehoben):

„Den Beklagten als Inhaber des Internetanschlusses trifft im Hinblick auf die Frage, ob zum Zeitpunkt der Rechtsverletzung andere Personen den Anschluss nutzen konnten, eine sekundäre Darlegungslast, der er nur genügt, wenn er vorträgt, ob andere Personen und gegebenenfalls welche anderen Personen selbständigen Zugang zu seinem Internetanschluss hatten und als Täter in Betracht kommen. In diesem Umfang ist der Anschlussinhaber im Rahmen des Zumutbaren zu Nachforschungen sowie zur Mitteilung verpflichtet, welche Kenntnisse er dabei über die Umstände einer eventuellen Verletzungshandlung gewonnen hat (vgl. BGHZ 200, 76 Rn. 20 – BearShare; BGH, Urteil vom 11. April 2013 – I ZR 61/12, TransportR 2013, 437 Rn. 31). Diesen Anforderungen wird die pauschale Behauptung der bloß theoretischen Möglichkeit des Zugriffs von im Haushalt des Beklagten lebenden Dritten auf seinen Internetanschluss nicht gerecht.“

Damit dürfte feststehen, dass der Anschlussinhaber Nachforschungen anstellen muss, wobei es aber allein darum gehen dürfte, wer Zugang zum Internetanschluss hatte und deshalb als Täter in Betracht kommt.  Der Anschlussinhaber kann sich daher nicht darauf zurückziehen, nur allgemein vorzutragen. Was genau der Anschlussinhaber tun muss, bleibt allerdings unklar und wird die Gerichte in den nächsten Monaten beschäftigen

Ich denke, dass vom Anschlussinhaber hier erwartet werden kann, dass er die Familienmitglieder befragt, ob sie im fraglichen (groben) Zeitraum Zugriff auf den Internetanschluss hatten.

Das Ergebnis der Ermittlungen muss der Anschlussinhaber „mitteilen“. Dabei wird nicht von ihm verlangt werden können, dass er „den Täter“ benennt. Es wird wohl ausreichend sein, wenn er darlegt, wer im fraglichen Zeitraum Zugriff hatte und welche weiteren Nachforschungen er angestellt hat. Nach meiner persönlichen Auffassung kann vom Anschlussinhaber nicht verlangt werden, dass er konkret ermittelt, ob und wer genau zum Tatzeitpunkt eine Zugriffsmöglichkeit hatte. Gerade wenn dies länger zurückliegt, müsste es ausreichen, konkret vorzutragen, dass auch im Zeitraum rund um die Tat ein Zugang möglich war (vgl. zu der Thematik auch sehr anschaulich AG Bielefeld, 5.2.2015 – 42 C 1001/14).

Die ermittelten Umstände muss der Anschlussinhaber allerdings nicht beweisen, das hat der BGH noch einmal klargestellt. Die Linie des LG München I (z.B. LG München I, 1.7.2015 – 37 O 5394/14), wonach der der Anschlussinhaber „ggf. beweisbelastet“ ist, wird sich daher nicht halten lassen.

Trotzdem bergen die neuen Ausführungen des BGH immer noch viel Potential für Diskussionen:

  • Was muss der Anschlussinhaber nun konkret tun?
  • Muss der Anschlussinhaber evtl. die im Haus vorhandenen Computer auf Filesharing-Software untersuchen? Dazu enthält die Entscheidung keine konkreten Hinweise. Da aber die Nachforschungspflicht nur in Bezug auf die anderen Mitnutzer besteht, dürfte eine solche Pflicht wohl nicht bestehen.
  • Was muss er dann mitteilen?
  • Wie muss er es mitteilen?
  • Wann muss er es mitteilen (schon auf die Abmahnung hin oder erst im Prozess, zu letzterem AG Bielefeld, 5.2.2015 – 42 C 1001/14)?

Bei volljährigen Mitnutzern ergibt sich gegenüber „BearShare“ keine Veränderung. Offen ist leider weiterhin, wie mit Mitnutzern des Anschlusses umgegangen werden soll, die nicht zur Familie gehören (z.B. bei WG-Mitgliedern, Untermietern etc., s. z.B. AG Bielefeld, 15.10.2015 – 42 C 922/14). Auch die Frage, ob die Vermutung zu Lasten des Anschlussinhabers auch bei zwei Anschlussinhabern (z.B. Internet-Vertrag auf Eheleute gemeinsam) greift, bleibt offen (für eine Vermutung LG München I, 1.7.2015 – 37 O 5394/14; gegen eine Vermutung LG Frankfurt, 8.7.2015 – 2-06 S 8/15; LG Frankfurt, 2.11.2015 – 2-03 S 36/15; kritisch generell zur Vermutung anlässlich der Entscheidungen des BGH Thomas Stadler).

3. Haftung bei minderjährigen Tätern und Belehrung

Eine dritte Schlussfolgerung lässt sich aus „Tauschbörse II“ (BGH, Urt. v. 11.6.2015 – I ZR 7/14 – Tauschbörse II)  ziehen: Wer ein minderjähriges Kind nicht korrekt belehrt, der haftet nach § 832 BGB wegen der Verletzung der Aufsichtspflicht nicht nur als Störer auf Unterlassung, sondern für den vollen Schaden. Dies ist ein Paradigmenwechsel zu vorher. Zusätzlich dürfte die Beweislast für die Belehrung des Minderjährigen beim Anschlussinhaber liegen. So hatte das zumindest die Vorinstanz gesehen und der BGH hat keine andere Tendenz erkennen lassen.

Der BGH verlangt nun ziemlich viel von Vater und Mutter: Sie sollen ihr Kind wohl über die Rechtswidrigkeit von Tauschbörsen informieren und ihnen die Teilnahme daran verbieten (BGH, Urt. v. 11.6.2015 – I ZR 7/14 Rn. 32 – Tauschbörse II). Schwierig ist, wie damit umzugehen ist, wenn die Eltern gar nicht wissen, was Filesharing ist. Und Tauschbörsen sind ja auch nicht per se rechtswidrig. Linux-Distributionen und andere freie Software werden über Tauschbörsen verteilt. Sogar Microsoft nutzt für seine Updates mittlerweile über die gleichen Mechanismen wie bei Tauschbörsen. Und Netflix überlegt, ob es künftig seine Streams über WebTorrent verteilen soll.

4. Schadensschätzung

Relativ klar ist der BGH in seinen Urteilen, was die Schadensschätzung angeht. 200,- Euro pro Song sieht er als angemessen an, wobei er von 400 Abrufen à 0,50 Euro ausgeht. Ich vermute, dass die Gerichte sich in Zukunft daran orientieren werden. Wie die Schätzung bei Filmen aussieht, lässt sich dem natürlich nicht entnehmen, insoweit war eine Entscheidung des BGH aber auch nicht gefragt.

5. Dateifragmente und das Tonträgerherstellerrecht

Auch den häufig erbrachten Einwand, dass der Anschlussinhaber nur Dateifragmente angeboten habe, weist der BGH eindeutig zurück. Das Tonträgerherstellerrecht nach § 85 Abs. 1 UrhG sei auch in diesen Fällen bereits verletzt.

6. Fazit, tl;dr

Die Entscheidungen des BGH beantworten einige der Fragen, die die Instanzgerichte in den letzten Jahren umgetrieben haben. Sie lassen aber auch weiter einiges offen.

Das Sequel ist also noch nicht zu Ende.

Websperren ante portas? – Der BGH nimmt Zugangsanbieter in die Pflicht in c’t 27/2015

In eigener Sache:

Im aktuellen Heft des Computermagazins c’t ist ein Beitrag von mir zu den Entscheidungen des BGH „Goldesel“ und „3dl.am“ mit dem Titel „Websperren ante portas? – Der BGH nimmt Zugangsanbieter in die Pflicht“ erschienen (c’t, Heft 27/2015, S. 32).

Die Entscheidungen hatte ich (anhand der Pressemitteilungen) auch schon hier im Blog besprochen.

Access Provider und Netzsperren – eine (erste) Analyse zu BGH „3dl.am“ und „Goldesel“ (Update)

(Update 27.11.2015 zu WLANs s.u.)

Gestern hat der BGH die Urteile in Sachen „3dl.am“ (OLG Hamburg, 21.11.2013 – 5 U 68/10, GRUR-RR 2014, 140 – 3dl.am) und „goldesel“ (OLG Köln, 18.7.2014, GRUR 2014, 1081 – 6 U 192/11 – Goldesel) verkündet (Urteile vom 26.11.2015 – I ZR 3/14 und I ZR 174/14) . Die Entscheidungsgründe liegen noch nicht vor, sondern bisher nur die Pressemitteilung.

In den beiden Urteilen ging es um das Begehren von Rechteinhabern, Access Provider im Wege der Störerhaftung zur Einrichtung von Netzsperren (in Form von DNS-Sperren, IP-Sperren, URL-Sperren und hybriden Sperren) zu verpflichten. OLG Hamburg und OLG Köln hatten dies zurückgewiesen, wobei das OLG Köln dabei schon auf die kurz zuvor ergangene EuGH-Entscheidung „UPC Telecabel ./. Constantin Film – kino.to“-Entscheidung (GRUR 2014, 468) zurückgreifen konnte. Beide Instanzgerichte hatten eine umfassende Grundrechtsabwägung vorgenommen und im Ergebnis alle Pflichten der Access Provider abgelehnt.

Im Wesentlichen ging es bei beiden Fällen darum, dass die Kläger von den Beklagten wollten, dass der Zugang zu Webseiten mit Linklisten (auf Filehoster wie rapidshare oder auf Edonkey-Links) gesperrt wird. Es sollte daher nicht das Angebot der Linklisten abgestellt werden. Vielmehr sollten die Access Provider nur den Zugang dazu sperren.

Der BGH hat die Revisionen zwar zurückgewiesen, hat aber grundsätzlich – unter weiteren Voraussetzungen – eine Sperrpflicht von Access Providern angenommen.

Da die Entscheidungsgründe noch nicht vorliegen, möchte ich nur oberflächlich ein paar Punkte analysieren und ein paar Fragen stellen (und möglicherweise teilweise beantworten). Von den Entscheidungsgründen wird einiges abhängen. Es lassen sich der Pressemitteilung aber schon jetzt Hinweise entnehmen, wobei diese mit starker Vorsicht zu genießen sind, da sich zwischen Pressemitteilund und Entscheidungsgründen durchaus noch Unterschiede ergeben können, wie manchem noch vom Fall „Sommer unseres Lebens“ bekannt sein dürfte.

Vorab ist eines festzustellen: Die Entscheidungen des BGH bedeuten eine ganz deutliche Veränderung im Rahmen der Störerhaftung. Nicht unbedingt im Hinblick auf die Zumutbarkeit, hier war durch den offenen Abwägungsprozess viel Raum in jede Richtung. Massiv ist jedoch die Veränderung, was die Subsidiarität angeht. Auch sonst müssen wir abwarten, wie der BGH die Entscheidungen begründet, denn dogmatisch wird das Ergebnis nicht vollständig in den bisherigen Entscheidungskanon passen.

1. Von der Pflicht zum Sperren: Die schlechte Nachricht

Zunächst einmal lässt sich festhalten: Access Provider müssen künftig ihre Systeme so einrichten, dass sie Filter und Sperren vorsehen können. Der BGH hat zwar Voraussetzungen vor eine solche Filterpflicht geschaltet, diese aber nicht vollständig und grundsätzlich abgelehnt.

Welche Filter und Sperren das sein werden (DNS-Sperren, IP-Sperren, URL-Sperren oder hybride Sperren), lässt sich noch überhaupt nicht absehen. Wer den Unterschied zwischen diesen Maßnahmen sehen will und wie man damit in der Abwägung umgeht, dem lege ich die Lektüre der OLG Köln-Entscheidung „Goldesel“ (Achtung: 192 Seiten!) nahe.

Zu Filtern des Datenverkehrs mittels Deep Packet Inspection verhält sich die Pressemitteilung nicht. Ich gehe davon aus, dass die selbst dem BGH zu weit gehen dürfte. Wir werden sehen müssen.

Interessant ist auch, welche Argumente der BGH in der Abwägung wohl nicht gelten lassen will:

„Die aufgrund der technischen Struktur des Internet bestehenden Umgehungsmöglichkeiten stehen der Zumutbarkeit einer Sperranordnung nicht entgegen, sofern die Sperren den Zugriff auf rechtsverletzende Inhalte verhindern oder zumindest erschweren.“

Insoweit geht der BGH mit dem EuGH, der auch formuliert hat, dass es ausreicht, wenn der Zugriff auf rechtsverletzende Inhalte erschwert wird. Es stellt sich aber die Frage, wo man hier die Grenze zieht. Sind DNS-Sperren wirksam? Mit dem BGH wohl schon, obwohl die Umgehung denkbar einfach ist.

2. Voraussetzungen der Sperrpflicht – Gesamtverhältnis, Overblocking und Subsidiarität.

a. Das Gesamtverhältnis

Eine Frage, die sich sowohl im Verfahren des EuGH als auch des OLG Köln gestellt hatte, war, wann eine Webseite als „so rechtsverletzend“ anzusehen ist, dass sie sperrwürdig ist.

Der BGH hat in der Pressemitteilung eine nicht eindeutige Formulierung gewählt:

„Eine Sperrung ist nicht nur dann zumutbar, wenn ausschließlich rechtsverletzende Inhalte auf der Internetseite bereitgehalten werden, sondern bereits dann, wenn nach dem Gesamtverhältnis rechtmäßige gegenüber rechtswidrigen Inhalten nicht ins Gewicht fallen.“

Zu Recht verweist Ansgar Koreng im Interview mit Netzpolitik.org darauf, dass im Grunde der Rechteinhaber bei Inanspruchnahme des Access Providers die gesamte Seite analysieren und eruieren müsste, zu welchem Anteil legale und illegale Inhalte angeboten werden. Dass das von außen extrem schwierig ist, ist klar.

Außerdem dürfte „nicht ins Gewicht fallen“ schon eine bestimmte Richtung vorgeben. Ob es aber im Verhältnis „illegal/legal“ 80/20 oder 95/5 bedeutet, werden am Ende die Gerichte klären müssen.

Auf der anderen Seite ist dies aber wohl auch eine gute Nachricht. Denn nur wenn sich dieses Gesamtverhältnis zu Gunsten des Rechteinhabers leicht feststellen lässt, dürfte eine Seite auch wirklich zu sperren sein. Bei den hier in Frage stehenden Webseiten dürfte das einfach gewesen sein. Der Großteil der eDonkey-Linklisten dürfte auf illegal eingestellte Inhalte verweisen.

Bei Seiten wie YouTube, Twitter, Instagram etc. dürfte aber unstreitig sein, dass im Verhältnis die rechtsverletzenden Inhalte nicht ins Gewicht fallen. Hier ist eine Sperrung also nicht zu erwarten.

Ein Gedanke am Rande: Als Betreiber solcher Linklisten könnten als Folge des Urteils Foren und Webseiten ihre Inhalte mit Links auf rechtmäßig eingestellte Werke (bei Wikipedia oder unter Creative Commons stehend) anreichern und es so schwieriger machen, eine im Gesamtverhältnis eindeutig rechtsverletzende Handlung festzustellen … Das könnte aber wiederum die Attraktivität solcher Seiten senken – wir müssen sehen, was passiert.

b. Overblocking

Nicht klar ist mir, wie der BGH der Problematik des Overblocking begegnen will. Wenn eine Seite 90% illegale Inhalte aufweist und damit eventuell sperrwürdig wäre, werden immer noch 10% legale Inhalte geblockt. Dem könnte man damit begegnen, dass nur zielgerichtete Sperren (URL-Sperren, hybride Sperren) verlangt werden könnten. Die sind aber wiederum aufgrund eines Eingriffs in das Fernmeldegeheimnis hochproblematisch.

Der EuGH hat hier eine Abwägung der betroffenen Interessen verlangt. Ich bin gespannt, wie die beim BGH aussehen wird.

c. Adäquate Kausalität

Der BGH hat die adäquate Kausalität der Mitwirkungshandlung des Access Providers bejaht. Das ist – so z.B. von Thomas Stadler – in Frage gestellt worden. Stadler ist dabei in guter Gesellschaft, in der Vorinstanz zur BGH „Sommer unseres Lebens“-Entscheidung hatte das OLG Frankfurt am Main eine solche adäquate Kausalität verneint (OLG Frankfurt, 1.7.2008 – 11 U 52/07, MMR 2008, 603).

Stadler meint, dass die Adäquanz fehlt, weil die Rechtsverletzung ja auch mit der Sperre fortdauert. Das ist nach meiner Einschätzung leider nur halb richtig. Der BGH hat in „Sommer unseres Lebens“ (und auch hier) die Adäquanz wohl zu Recht angenommen. Denn zwar bleibt es dabei, dass der Host Provider trotz Sperre eine Rechtsverletzung begeht, aber auch der Nutzer des Access Providers, der ein geschütztes Werk herunterlädt, begeht eine Rechtsverletzung – nämlich durch die Vervielfältigung. Und an dieser Rechtsverletzung wirkt der Access Provider adäquat-kausal mit.

d. Subsidiarität

Der BGH verlangt vom Rechteinhaber, dass er zunächst gegen den unmittelbaren Verletzer und gegen den Host Provider vorgeht. Erst dann soll der Access Provider überhaupt haften können. Der BGH begründet hier eine Subsidiarität der Störerhaftung. Diese war dem deutschen System bisher fremd (vgl. BGH, Urt. v. 5.12.1975 – I ZR 122/74, GRUR 1976, 256 (257) – Rechenscheibe; BGH, Urt. v. 5.4.1995 – I ZR 133/93, GRUR 1995, 605 (608) – Franchise-Nehmer; Ahlberg/Götting in Ahlberg/Götting, Beck’scher Online-Kommentar UrhG, § 97 UrhG Rn. 46; Teplitzky, Wettbewerbsrechtliche Ansprüche und Verfahren, 10. Aufl. 2011, Kap. 14 Rn. 12 m.w.N.; für Art. 10 EMRK ebenso EGMR, Urt. v. 10.10.2013 – 64569/09 – Delfi As v. Estonia.).

Hier findet eine erhebliche Verschiebung des Haftungssystems statt. Auch da bin ich gespannt, wie der BGH die Abkehr von der bisherigen Systematik begründet und ob er dies als allgemeines Prinzip stehen lässt oder klarstellt, dass es sich um eine Einzelfallentscheidung nur bei Access Providern handelt. Die Folgefragen mag ich mir ehrlich gesagt gar nicht ausmalen.

Die fehlende Subsidiarität war übrigens schon vorher in der Literatur in Frage gestellt worden (Ahrens, WRP 2007, 1281 (1288)), häufig aber  mit einem anderen Hintergrund verbunden worden: Es wurde geglaubt, dass der Access Provider sich aus der Störerhaftung befreien könne, wenn er Auskunft über den Verletzer erteilt (soweit ihm das möglich ist) (s. dazu eingehend Sassenberg/Mantz, WLAN und Recht, 2014, Rn. 241).

Auch hier müssen wir die Gründe abwarten. Nach der Pressemitteilung erteilt der BGH einer solchen Auslegung aber eine klare Absage: Denn der Rechteinhaber muss selbst Nachforschungen anstellen und versuchen, den Verletzer und den Host Provider in Anspruch zu nehmen. Erst dann kann die Störerhaftung des Access Providers greifen. Dementsprechend dürfte die „Auskunft, dann alles gut“-Lösung auch nach den Entscheidungen des BGH nicht die richtige sein.

e. Von kerngleichen Rechtsverletzungen: Enge Auslegung = „nur der konkrete Fall“

Eine weitere – prozessual – interessante Folge dürften die hohen Anforderungen haben, die der BGH aufgestellt hat. Nach dieser Entscheidung dürften in einen Verbotstenor sogenannte „kerngleiche Rechtsverletzungen“ nämlich kaum noch fallen.

Bei solchen „kerngleichen Rechtsverletzungen“ geht es darum, dass derjenige, der zur Unterlassung einer bestimmten Rechtsverletzung verpflichtet worden ist, andere aber ganz ähnliche Rechtsverletzungen von sich aus verhindern soll.

Das ist nach den Entscheidungen des BGH aber kaum noch denkbar. Denn der Access Provider kann nicht wissen, ob der Rechteinhaber bereits versucht hat, den Verletzer und den Host Provider in Anspruch zu nehmen. Wenn der Rechteinhaber also einen Link auf das selbe geschützte Werk gesperrt wissen möchte, dieser aber auf einer anderen Webseite liegt, dann muss er nach der Pressemitteilung des BGH erst den Host Provider in Anspruch genommen haben. Solange er das nicht gemacht hat, ist eine Haftung des Access Providers nicht begründet. Damit kann eine Sperrverpflichtung sich aber immer nur auf die ganz konkrete, mitgeteilte Rechtsverletzung beziehen – Kerngleichheit ist praktisch unmöglich.

3. Vorprozessuales Verhalten

Wie oben schon angesprochen, muss der Rechteinhaber seinerseits erst alles tun, um den Verletzer und den Host Provider in Anspruch zu nehmen.

Der BGH führt dazu aus:

„Eine Störerhaftung des Unternehmens, das den Zugang zum Internet vermittelt, kommt unter dem Gesichtspunkt der Verhältnismäßigkeit allerdings nur in Betracht, wenn der Rechteinhaber zunächst zumutbare Anstrengungen unternommen hat, gegen diejenigen Beteiligten vorzugehen, die – wie der Betreiber der Internetseite – die Rechtsverletzung selbst begangen haben oder – wie der Host-Provider – zur Rechtsverletzung durch die Erbringung von Dienstleistungen beigetragen haben. Nur wenn die Inanspruchnahme dieser Beteiligten scheitert oder ihr jede Erfolgsaussicht fehlt und deshalb andernfalls eine Rechtsschutzlücke entstünde, ist die Inanspruchnahme des Access-Providers als Störer zumutbar. Betreiber und Host-Provider sind wesentlich näher an der Rechtsverletzung als derjenige, der nur allgemein den Zugang zum Internet vermittelt. Bei der Ermittlung der vorrangig in Anspruch zu nehmenden Beteiligten hat der Rechtsinhaber in zumutbarem Umfang – etwa durch Beauftragung einer Detektei, eines Unternehmens, das Ermittlungen im Zusammenhang mit rechtswidrigen Angeboten im Internet durchführt, oder Einschaltung der staatlichen Ermittlungsbehörden – Nachforschungen vorzunehmen.“

4. Rechtsfolgen

Wichtig sind natürlich die Folgen für Access Provider.

a. Sperrmechanismen

Und das ist die wirklich schlechte Nachricht: Access Provider müssen nun Listen anlegen und Sperrmechanismen einrichten. Problematisch ist, dass wir bis die Entscheidungsgründe vorliegen nicht wissen, welche Sperren denn verlangt werden können. Dann aber könnten Link-, Domain- und IP-Listen anzulegen sein, die gesperrt werden müssen.

Allerdings sind vor der Aufnahme einer URL, Domain oder IP in die Liste hohe Anforderungen zu beachten: Erstens muss der Rechteinhaber vorher versucht haben, den Verletzer oder Host Provider in Anspruch zu nehmen. Es reicht nicht aus, dass er das behauptet, er muss das konkret darlegen. Zweitens muss feststehen, dass im Gesamtverhältnis unter der zu sperrenden IP, Domain oder Webseite hauptsächlich rechtsverletzende Inhalte hinterlegt sind. Erst dann darf der Access Provider sperren.

Sperrt der Access Provider zu früh, dürfte er sich Regressansprüchen ausgesetzt sehen: Nämlich einerseits seiner Kunden (warum komme ich auf heise-online nicht mehr drauf?) und andererseits der Host Provider. Ganz wichtig wird das bei IP- und Domain-Sperren. Denn hier ist die Gefahr des Overblocking extrem groß. Wenn der Access Provider hier nicht aufpasst, sieht er sich hohen Haftungsrisiken ausgesetzt.

Eine weitere – vermutlich auch weiterhin unbeantwortete Frage – ist die nach der Dauer einer Sperre. Angenommen die Domain www.goldesel.to wird gesperrt. Einige Jahre später wird die Domain aufgegeben und ein neuer Anbieter betreibt die Domain – mit ausschließlich legalen Inhalten. Dann müsste die Sperre wieder aufgehoben werden – aber nach welchem Verfahren? Wer kann hier gegen wen vorgehen? Ist der Access Provider haftbar, wenn er die Sperre rückgängig macht und dann wiederum Jahre später erneut die Webseite überwiegend für Rechtsverletzungen genutzt wird? Der BGH hat hier ein ganzes Fass an neuen Fragen aufgemacht.

b. Access Provider als Gate-Keeper

Aus diesem Grunde hoffe ich, dass die Access Provider nicht einfach alles sperren, was ihnen zugerufen wird. Access Provider sind jetzt – ähnlich wie Google beim „Recht auf Vergessenwerden“ bzw. „Recht auf De-Listing“ in einer unangenehmen Rolle: Sie müssen sperren, wozu sie verpflichtet sind, dürfen aber nicht sperren, wozu sie nicht verpflichtet sind. Eine extrem problematisch Lösung, für die der BGH hoffentlich Anhaltspunkte zu einer Lösung entwickelt hat und uns aufzeigen wird.

c. Missbrauchsgefahr

Denn die Missbrauchsgefahr solcher Sperren ist natürlich extrem hoch. Sind Sperrmechanismen erst einmal eingerichtet, wird sicher auch versucht, sie für andere Inhalte nutzbar zu machen, z.B. missliebige Meinungen. Die Diskussion um Domain-Sperren über den Registrar bei möglicherweise schmähenden Äußerungen haben kürzlich LG Frankfurt und OLG Frankfurt thematisiert und eine Haftung des Domain-Registrars abgelehnt.

d. Network Provider

Ich bin auch gespannt, ob der BGH Andeutungen machen wird, inwiefern seine Entscheidungen nur für Access Provider gelten. Denn mir sind aus der Praxis Einzelfälle bekannt, in denen gegen Network Provider vorgegangen wird, also solche Provider, die nur Datenverkehr durchleiten.

Wenn man allerdings die Entscheidungen des BGH (nach den Pressemitteilungen) weiterdenkt, dürfte hier wohl vorrangig der Access Provider in Anspruch zu nehmen sein, denn schließlich ist der an der Rechtsverletzung „näher dran“ als der Network Provider. Spannende Fragen …

e. Abmahnungen

Und nun wenigstens eine kleine gute Nachricht. Die Anforderungen an die Sperrpflicht des Access Providers hat der BGH hoch gehängt.

Vor Kenntnis von einer Rechtsverletzung kann daher eine Störerhaftung gar nicht begründet sein, das war schon zuvor die eindeutige Linie des BGH. Zusätzlich muss der Rechteinhaber aber in der Mitteilung oder Abmahnung mitteilen, ob und wie er bereits versucht hat, den Verletzer und den Host Provider in Anspruch zu nehmen. Fehlt es daran, besteht auch keine Sperrpflicht.

Jedenfalls im Urheberrecht wird dies nach § 97a UrhG auch erhebliche Auswirkungen für die Abmahnung und die Pflicht zur Kostenerstattung haben. Denn wenn es an diesen Anforderungen fehlt, ist die Abmahnung unwirksam.

Außerdem – da erhoffe ich mir auch klare und erläuternde Worte des BGH – muss nach der „Sommer unseres Lebens“-Entscheidung der Rechteinhaber ganz deutlich machen, was denn der Access Provider überhaupt tun soll, also welche Seite er (und möglicherweise auch wie?) sperren soll.

5. Folgen für WLANs?

In diesem Blog darf natürlich ein Blick auf die Folgen für WLANs nicht fehlen und ich möchte meine Leser nicht enttäuschen.

Leider muss ich konstatieren, dass alles, was ich oben geschrieben habe, auch für WLAN-Betreiber gilt. WLANs müssen daher zukünftig wohl – jedenfalls ab der ersten Aufforderung, die den oben beschriebenen Voraussetzungen entspricht – Sperren einrichten und unterhalten. Man sollte aber jedenfalls die Entscheidungsgründe abwarten und nicht in Panik verfallen. Bisher ist noch unklar, was genau verlangt werden kann und was nicht. Geht es um Sperren, sind Kosten für Abmahnungen wohl eher nicht zu erwarten, da die Anforderungen sehr hoch sind und Sperren zwingend erst nach der Mitteilung der Rechtsverletzung eingerichtet werden können. Ein Haftungsrisiko besteht auch bei WLANs also nur, wenn der Betreiber nach einer hinreichend konkreten und den obigen Anforderungen genügenden Aufforderung keine Sperre einrichtet.

Bei WLANs ist darüber hinaus in der Abwägung die häufig geringe Leistungsfähigkeit der Betreiber und der Geräte zu beachten. Wie sich das auswirken wird, lässt sich aber noch nicht absehen (s. aber sogleich zum Ausblick).

Nachtrag 27.11.2015:

Ich möchte nach verschiedenen Rückfragen zu den Folgen für WLANs noch etwas Wichtiges nachtragen, was ich vorher vergessen hatte. Die oben Ausführungen zu WLANs beziehen auf den Stand heute!

Wenn das TMG-Änderungsgesetz mit seinen Änderungen in § 8 TMG zu WLANs kommt – ich hatte darüber hier im Blog mehrfach berichtet – dann sieht das Ganze schon wieder anders aus, da nach den Vorgaben der Bundesregierung (BT-Drs. 18/6745) und des Bundesrats (BR-Drs. 440/15) § 8 TMG  auf jeden Fall Anwendung auf WLANs finden wird.

Kommt der Bundesrats-Entwurf durch, sind die vorliegenden Urteile des BGH für Betreiber von WLANs schlicht ohne Auswirkung.

Wird es der Entwurf der Bundesregierung, dann wird man diskutieren müssen, ob die vom BGH vorgesehenen Netzsperren als „angemessene Maßnahme zur Sicherung gegen Rechtsverletzungen“ anzusehen sind, die nach dem neuen § 8 Abs. 4 TMG gefordert werden können. Und genau dagegen gibt es ein gewichtiges Argument: Der Gesetzgeber hat ausweislich der Gesetzesbegründung ausdrücklich auf andere Maßnahmen abgestellt, obwohl er wusste, dass der BGH über die Frage der Access Provider-Haftung entscheiden wird und dort Netzsperren im Gespräch waren.

6. Ausblick

Generell und für WLANs ist noch ein anderer Aspekt von erheblicher Bedeutung: Das LG München I hat – darüber hatte ich hier berichtet – dem EuGH eine Menge Fragen vorgelegt, die für die Entscheidung des BGH von hoher Bedeutung sind. Das LG München I hat den EuGH insbesondere gefragt, welche Maßnahmen (also auch Sperren) überhaupt zumutbar sind (s. dazu hier und hier).

Es ist noch unklar, ob der EuGH sich dazu überhaupt äußern wird, oder ob er auf die nationalen Gerichte und Gesetzgeber verweisen wird. Hier ist jedenfalls noch Musik drin.

Außerdem dürfte klar sein, dass die Entscheidungen des BGH eine Menge an Rechtsfragen aufwerfen, die durch die Gerichte erst noch geklärt werden müssen. Und wie ich oben dargestellt habe, wird das nicht leicht. Die Rechtsunsicherheit bleibt also, auch wenn sich die Fragestellungen verschieben werden.

Ich werde hier jedenfalls weiter berichten …

Anmerkung zu BGH „Meilensteine der Psychologie“ (28.11.2013 – I ZR 76/12, MMR 2014, 616) online

In eigener Sache:

Meine Anmerkung zum Urteil des BGH v. 28.11.2013 – I ZR 76/12 – „Meilensteine der Psychologie“ (MMR 2014, 616) ist nun auch online verfügbar (PDF). Ich hatte mich vor der Anmerkung bereits im Zusammenhang mit der Frage des Begriffs „nicht-kommerzielle Nutzung“ (bei Creative Commons-Lizenzen) mit dem Urteil befasst und es anschließend im Rahmen einer Anmerkung für die Zeitschrift Multimedia und Recht (MMR) näher beleuchtet (MMR 2014, 623-624).

In dem Fall ging es im Wesentlichen darum, unter welchen Voraussetzungen (nach § 52a UrhG) Hochschulen ihren Studenten Teile von Werken zur Veranschaulichung und Unterstützung des Unterrichts online zur Verfügung stellen dürfen. Da war eine ganze Menge umstritten, wohl auch, weil klar widerstreitende Interessen aufeinander trafen. Der BGH hat eine Menge der bisher offenen Fragen geklärt.

Aus der Anmerkung (MMR 2014, 623):

Die 2003 eingeführte Regelung des § 52a UrhG stellt eine Privilegierung für die Durchführung von Unterricht und Forschung zur Verfügung, durch die es möglich wird, im Rahmen von Unterricht und Forschung Teile eines Werks in digitaler Form zum Abruf zur Verfügung zu stellen. Sie transferiert damit einen in der analogen Welt üblichen Vorgang – die Kopiervorlage in der Lehrstuhlbibliothek – in den digitalen Kontext. Dabei ist zu berücksichtigen, dass auch hier widerstreitende Interessen der Beteiligten bestehen. Und wie bei fast allen solchen Transfers vom Analogen ins Digitale werden Fragen aufgeworfen, die zu gesetzgeberischem Handeln und reger Aktivität in Literatur (und Rechtsprechung) führen können, dies häufig auch im Wechselspiel.

  1. Privilegierung

Der vorliegend im Streit stehende § 52a Abs. 1 Nr. 1 UrhG gestattet das öffentliche Zugänglichmachen unter bestimmten Voraussetzungen, namentlich können (1) kleine Teile eines Werkes, Werke geringen Umfangs sowie einzelne Beiträge (2) im Unterricht und zu dessen Zweck (3) auschließlich für den bestimmt abgegrenzten Kreis von Teilnehmern öffentlich zugänglich gemacht werden, soweit dies (4) geboten und (5) zur Verfolgung nicht kommerzieller Zwecke gerechtfertigt ist. Unschwer ist zu erkennen, dass jedes dieser Merkmale auslegungsbedürftig ist. …

Download der Anmerkung

S. auch:

Kommentar zu BGH, 8.1.2014 – I ZR 169/12 – Bearshare (Haftung des Anschlussinhabers) – online

In eigener Sache:

Nun ist auch mein Kommentar zum BGH-Urteil „Bearshare“ zur Haftung des Internetanschlussinhabers (veröffentlicht in K&R 2014, 516) online verfügbar (PDF, 0,2 MB).

In dem Fall ging es im Wesentlichen darum, ob der Anschlussinhaber für die Rechtsverletzungen eines seiner volljährigen Familienmitglieder haftet – als Täter/Teilnehmer oder Störer. Hier im Blog hatte ich das Urteil bereits kurz besprochen.

 

Aus dem Kommentar:

Der BGH hatte in letzter Zeit eine Reihe von Fragen rund um die Haftung bei Filesharing-Konstellationen zu entscheiden. Dazu gehörte auch die Frage, inwiefern der Inhaber eines Internetanschlusses für die durch Mitnutzer begangenen Rechtsverletzungen einzustehen hat, und welche prozessualen Pflichten ihn treffen. Das vorliegende Urteil, das insbesondere die Grundsätze der Entscheidungen Sommer unseres Lebens[1] und Morpheus[2] weiterführt, bringt insoweit nur teilweise neue Erkenntnisse. Der BGH hat es erneut – vermutlich bewusst – vermieden, die mit der Haftung des Anschlussinhabers zusammenhängenden Fragen umfassend zu klären, oder wenigstens Hinweise für die Behandlung anderer Fallkonstellationen als der vorliegenden zu geben.

  1. Hintergrund

Werden Verletzungen (nicht nur) des Urheberrechts über das Internet begangen, führt die meist durch den Rechteinhaber ermittelte IP-Adresse zunächst nur zum Inhaber des Internetanschlusses. Klassisches Beispiel hierfür ist – wie im vorliegenden Fall – das sogenannte Filesharing. Aufgrund der ermittelten IP-Adresse kann der Rechteinhaber nach § 101 Abs. 9 UrhG Auskunft vom Internetzugangsdiensteanbieter über die Identität des Anschlussinhabers erlangen und anschließend von diesem Unterlassung und Schadensersatz fordern. Da es aber zur Lebenswirklichkeit gehört, dass solche Internetanschlüsse z. B. durch Familien geteilt werden, verteidigen sich Anschlussinhaber häufig mit dem Verweis auf die Möglichkeit der Rechtsverletzung durch die anderen Familienmitglieder. In dieser Situation ist nach den beiden vom Rechteinhaber geltend gemachten Ansprüchen zu unterscheiden: Auf der einen Seite die Haftung als Täter der Rechtsverletzung unter Geltendmachung von Schadensersatz, auf der anderen Seite die Frage einer Haftung auf Unterlassen nach den Grundsätzen der Störerhaftung aufgrund Verletzung von „Sicherungspflichten“. An beide schließt sich i.d.R. die Forderung nach Ersatz von Abmahnkosten an.

Die Rechtsprechung befasst sich nun schon seit Jahren mit diesen Fragen im Rahmen von Filesharing-Fällen. …

 

BGH-Vorlagebeschluss zum EuGH zum Personenbezug von IP-Adressen (Volltext), BGH, Beschl. v. 24.10.2014 – VI ZR 135/13

Der BGH hatte mit Beschluss vom 24.10.2014 die seit Jahren umstrittene Frage, ob (dynamische) IP-Adressen (inkl. Abrufzeitpunkt) als personenbezogene Daten anzusehen sind (näher dazu hier und Mantz, ZD 2013, 625 m.w.N., PDF), dem EuGH zur Entscheidung vorgelegt. Mittlerweile liegt auch der Volltext (PDF) der Entscheidung vor.

(BGH, Beschl. v. 24.10.2014 – VI ZR 135/13)

Leitsätze (des Verfassers):

1. Ist Art. 2 Buchstabe a der Datenschutz-Richtlinie 95/46/EG dahin auszulegen, dass eine Internetprotokoll-Adresse (IP-Adresse), die ein Diensteanbieter im Zusammenhang mit einem Zugriff auf seine Internetseite speichert, für diesen schon dann ein personenbezogenes Datum darstellt, wenn ein Dritter (hier: Zugangsanbieter) über das zur Identifizierung der betroffenen Person erforderliche Zusatzwissen verfügt?

2. Steht Art. 7 Buchstabe f der Datenschutz-Richtlinie einer Vorschrift des nationalen Rechts entgegen, wonach der Diensteanbieter personenbezogene Daten eines Nutzers ohne dessen Einwilligung nur erheben und verwenden darf, soweit dies erforderlich ist, um die konkrete Inanspruchnahme des Telemediums durch den jeweiligen Nutzer zu ermöglichen und abzurechnen, und wonach der Zweck, die generelle Funktionsfähigkeit des Telemediums zu gewährleisten, die Verwendung nicht über das Ende des jeweiligen Nutzungsvorgangs hinaus rechtfertigen kann?

Tenor

I. Das Verfahren wird ausgesetzt.

II. Dem Gerichtshof der Europäischen Union werden gemäß Art. 267 AEUV folgende Fragen zur Auslegung des Unionsrechts vorgelegt:

1. Ist Art. 2 Buchstabe a der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Abl. EG 1995, L 281/31) – Datenschutz-Richtlinie – dahin auszulegen, dass eine Internetprotokoll-Adresse (IP-Adresse), die ein Diensteanbieter im Zusammenhang mit einem Zugriff auf seine Internetseite speichert, für diesen schon dann ein personenbezogenes Datum darstellt, wenn ein Dritter (hier: Zugangsanbieter) über das zur Identifizierung der betroffenen Person erforderliche Zusatzwissen verfügt?

2. Steht Art. 7 Buchstabe f der Datenschutz-Richtlinie einer Vorschrift des nationalen Rechts entgegen, wonach der Diensteanbieter personenbezogene Daten eines Nutzers ohne dessen Einwilligung nur erheben und verwenden darf, soweit dies erforderlich ist, um die konkrete Inanspruchnahme des Telemediums durch den jeweiligen Nutzer zu ermöglichen und abzurechnen, und wonach der Zweck, die generelle Funktionsfähigkeit des Telemediums zu gewährleisten, die Verwendung nicht über das Ende des jeweiligen Nutzungsvorgangs hinaus rechtfertigen kann?

Gründe

A.

1

Der Kläger macht gegen die beklagte Bundesrepublik Deutschland einen Unterlassungsanspruch wegen der Speicherung von Internetprotokoll-Adressen (im Folgenden: IP-Adressen) geltend. IP-Adressen sind Ziffernfolgen, die vernetzten Computern zugewiesen werden, um deren Kommunikation im Internet zu ermöglichen. Beim Abruf einer Internetseite wird die IP-Adresse des abrufenden Computers an den Server übermittelt, auf dem die abgerufene Seite gespeichert ist. Dies ist erforderlich, um die abgerufenen Daten an den richtigen Empfänger zu übertragen.

2

Zahlreiche Einrichtungen des Bundes betreiben allgemein zugängliche Internetportale, auf denen sie aktuelle Informationen bereitstellen. Mit dem Ziel, Angriffe abzuwehren und die strafrechtliche Verfolgung von Angreifern zu ermöglichen, werden bei den meisten dieser Portale alle Zugriffe in Protokolldateien festgehalten. Darin werden jeweils der Name der abgerufenen Datei bzw. Seite, in Suchfelder eingegebene Begriffe, der Zeitpunkt des Abrufs, die übertragene Datenmenge, die Meldung, ob der Abruf erfolgreich war, und die IP-Adresse des zugreifenden Rechners über das Ende des jeweiligen Nutzungsvorgangs hinaus gespeichert.

3

Der Kläger rief in der Vergangenheit verschiedene solcher Internetseiten auf. Mit seiner Klage begehrt er, die Beklagte zu verurteilen, es zu unterlassen, die IP-Adresse des zugreifenden Hostsystems des Klägers, die im Zusammenhang mit der Nutzung öffentlich zugänglicher Telemedien der Beklagten im Internet – mit Ausnahme eines bestimmten Portals, für das der Kläger bereits einen Unterlassungstitel erwirkt hat – übertragen wird, über das Ende des jeweiligen Nutzungsvorgangs hinaus zu speichern oder durch Dritte speichern zu lassen, soweit die Speicherung nicht im Störungsfall zur Wiederherstellung der Verfügbarkeit des Telemediums erforderlich ist. Das Amtsgericht hat die Klage abgewiesen. Auf die Berufung des Klägers hat das Berufungsgericht das erstinstanzliche Urteil unter Zurückweisung des weitergehenden Rechtsmittels teilweise abgeändert und die Beklagte verurteilt, es zu unterlassen, die IP-Adresse des zugreifenden Hostsystems des Klägers, die im Zusammenhang mit der Nutzung öffentlich zugänglicher Telemedien der Beklagten im Internet – mit Ausnahme eines Internetportals – übertragen wird, in Verbindung mit dem Zeitpunkt des jeweiligen Nutzungsvorgangs über das Ende des jeweiligen Nutzungsvorgangs hinaus zu speichern oder durch Dritte speichern zu lassen, sofern der Kläger während eines Nutzungsvorgangs seine Personalien, auch in Form einer die Personalien ausweisenden E-Mail-Anschrift, angibt und soweit die Speicherung nicht im Störungsfall zur Wiederherstellung der Verfügbarkeit des Telemediums erforderlich ist.

4

Gegen dieses Urteil haben beide Parteien die vom Berufungsgericht zugelassene Revision eingelegt. Der Kläger begehrt die Verurteilung der Beklagten ohne die vom Berufungsgericht ausgesprochenen Beschränkungen. Mit der Revision verfolgt die Beklagte ihren Antrag auf vollständige Klageabweisung weiter.

B.

5

Die für die Entscheidung des Rechtsstreits maßgebenden Bestimmungen des deutschen Rechts lauten:

§ 12 Telemediengesetz (TMG)

6

(1) Der Diensteanbieter darf personenbezogene Daten zur Bereitstellung von Telemedien nur erheben und verwenden, soweit dieses Gesetz oder eine andere Rechtsvorschrift, die sich ausdrücklich auf Telemedien bezieht, es erlaubt oder der Nutzer eingewilligt hat.

7

(2) Der Diensteanbieter darf für die Bereitstellung von Telemedien erhobene personenbezogene Daten für andere Zwecke nur verwenden, soweit dieses Gesetz oder eine andere Rechtsvorschrift, die sich ausdrücklich auf Telemedien bezieht, es erlaubt oder der Nutzer eingewilligt hat.

8

(3) Soweit nichts anderes bestimmt ist, sind die jeweils geltenden Vorschriften für den Schutz personenbezogener Daten anzuwenden, auch wenn die Daten nicht automatisiert verarbeitet werden.

§ 15 Telemediengesetz (TMG)

9

(1) Der Diensteanbieter darf personenbezogene Daten eines Nutzers nur erheben und verwenden, soweit dies erforderlich ist, um die Inanspruchnahme von Telemedien zu ermöglichen und abzurechnen (Nutzungsdaten). Nutzungsdaten sind insbesondere

1. Merkmale zur Identifikation des Nutzers,

2. Angaben über Beginn und Ende sowie des Umfangs der jeweiligen Nutzung   und

3. Angaben über die vom Nutzer in Anspruch genommenen Telemedien.

10

(2) Der Diensteanbieter darf Nutzungsdaten eines Nutzers über die Inanspruchnahme verschiedener Telemedien zusammenführen, soweit dies für Abrechnungszwecke mit dem Nutzer erforderlich ist.

11

(3) Der Diensteanbieter darf für Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien Nutzungsprofile bei Verwendung von Pseudonymen erstellen, sofern der Nutzer dem nicht widerspricht. Der Diensteanbieter hat den Nutzer auf sein Widerspruchsrecht im Rahmen der Unterrichtung nach § 13 Abs. 1 hinzuweisen. Diese Nutzungsprofile dürfen nicht mit Daten über den Träger des Pseudonyms zusammengeführt werden.

12

(4) Der Diensteanbieter darf Nutzungsdaten über das Ende des Nutzungsvorgangs hinaus verwenden, soweit sie für Zwecke der Abrechnung mit dem Nutzer erforderlich sind (Abrechnungsdaten). Zur Erfüllung bestehender gesetzlicher, satzungsmäßiger oder vertraglicher Aufbewahrungsfristen darf der Diensteanbieter die Daten sperren. …

§ 3 Bundesdatenschutzgesetz (BDSG)

13

(1) Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener). …

C.

14

Das Berufungsgericht, dessen Urteil unter anderem in ZD 2013, 618 veröffentlicht ist, hat im Wesentlichen ausgeführt, analog § 1004 Abs. 1 Satz 2 BGB und gemäß § 823 BGB, Art. 1 Abs. 1, Art. 2 Abs. 1 GG, § 4 Abs. 1 BDSG, § 12 Abs. 1 TMG bestehe der geltend gemachte Unterlassungsanspruch nur insoweit, als er Speicherungen von IP-Adressen in Verbindung mit dem Zeitpunkt des jeweiligen Nutzungsvorgangs betreffe und der Kläger während eines Nutzungsvorgangs seine Personalien angebe.

15

In diesem Fall sei die dynamische IP-Adresse des Klägers in Verbindung mit dem Zeitpunkt des Nutzungsvorgangs ein personenbezogenes Datum. Die dazu erforderliche Bestimmbarkeit des Betroffenen sei relativ zu verstehen. Die Bestimmung der Person müsse gerade für die verarbeitende Stelle technisch und rechtlich möglich sein und dürfe keinen Aufwand erfordern, der außer Verhältnis zu dem Nutzen der Information für diese Stelle stehe. Danach sei in Fällen, in denen der Nutzer seinen Klarnamen offen lege, ein Personenbezug dynamischer IP-Adressen zu bejahen, weil die Beklagte den Klarnamen mit der IP-Adresse verknüpfen könne.

16

Die Verwendung des Datums über das Ende des Nutzungsvorgangs hinaus sei nach § 12 Abs. 1 TMG unzulässig, da nicht von einer Einwilligung des Klägers auszugehen sei und ein Erlaubnistatbestand nicht vorliege. § 15 Abs. 1 TMG greife jedenfalls deshalb nicht, weil die Speicherung der IP-Adresse über das Ende des Nutzungsvorgangs hinaus für die Ermöglichung des Angebots (für den jeweiligen Nutzer) nicht erforderlich sei. Der Begriff der Erforderlichkeit sei eng auszulegen und umfasse nicht den sicheren Betrieb der Seite. Ansonsten wäre die von der Bundesregierung zunächst beabsichtigte Einführung eines Erlaubnistatbestandes zwecks Abwehr von Angriffen zum Schutz der Systeme nicht erforderlich gewesen. § 5 BSIG sei nicht einschlägig, da die Beklagte die Internetseiten nicht betreibe, um den Nutzern zur Kommunikation mit den jeweiligen Behörden zu dienen.

17

Ein weitergehender Unterlassungsanspruch bestehe nicht. Soweit der Kläger seinen Klarnamen nicht angebe, könne nur der Zugangsanbieter die IP-Adresse einem bestimmten Anschlussinhaber zuordnen. In den Händen der Beklagten sei die IP-Adresse hingegen – auch in Verbindung mit dem Zeitpunkt des Zugriffs – kein personenbezogenes Datum, weil der Anschlussinhaber bzw. Nutzer für die Beklagte nicht bestimmbar sei. Maßgeblich sei, dass der Zugangsanbieter die IP-Adressen nur für einen begrenzten Zeitraum speichern und nur in bestimmten Fällen an Dritte übermitteln dürfe. Dass die Beklagte im Zusammenhang mit einem strafrechtlichen Ermittlungsverfahren oder der Verfolgung von Urheberrechtsverletzungen unter bestimmten Voraussetzungen an die für die Herstellung des Personenbezugs erforderlichen Informationen gelangen könnte, sei unerheblich, weil das Interesse an der Verfolgung von Straftaten und Urheberrechtsverletzungen das Persönlichkeitsrecht des Betroffenen regelmäßig überwiege. Es komme auch nicht auf die theoretische Möglichkeit an, dass der Zugangsanbieter der Beklagten unbefugt Auskunft erteile. Denn eine illegale Handlung könne nicht als normalerweise und ohne großen Aufwand durchzuführende Methode angesehen werden.

D.

18

Gemäß Art. 267 Abs. 1 Buchstabe b und Abs. 3 AEUV ist von Amts wegen eine Vorabentscheidung des Gerichtshofs der Europäischen Union über die Auslegung des Art. 2 Buchstabe a und des Art. 7 Buchstabe f der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Abl. EG 1995, L 281/31) – Datenschutz-Richtlinie – einzuholen, da davon der Erfolg bzw. Misserfolg der Revisionen der Parteien abhängt.

19

Der Kläger könnte von der Beklagten beanspruchen, es zu unterlassen, die für den Abruf ihrer Internetseiten durch den Kläger übermittelten IP-Adressen in Verbindung mit der Zeit des jeweiligen Abrufs über das Ende des jeweiligen Nutzungsvorgangs hinaus zu speichern oder durch Dritte speichern zu lassen (mit Ausnahme eines Störfalles zur Wiederherstellung der Verfügbarkeit des Telemediums). Das setzt voraus, dass es sich bei dem Speichern der (hier allein in Frage stehenden dynamischen) IP-Adresse um einen nach dem Datenschutzrecht unzulässigen Eingriff in das allgemeine Persönlichkeitsrecht – in seiner Ausprägung als Recht auf informationelle Selbstbestimmung – des Klägers handelte (§ 1004 Abs. 1, § 823 Abs. 1 BGB i. V. mit Artt. 1 und 2 GG). Davon wäre auszugehen, wenn die IP-Adresse – jedenfalls zusammen mit dem Zeitpunkt des Zugriffs auf eine Internetseite – zu den „personenbezogenen Daten“ im Sinne von Art. 2 Buchstabe a in Verbindung mit Erwägungsgrund 26 Satz 2 der Datenschutz-Richtlinie bzw. § 12 Abs. 1 und 3 TMG i. V. mit § 3 Abs. 1 BDSG zählte (I.) und ein Erlaubnistatbestand im Sinne von Art. 7 Buchstabe f der Datenschutz-Richtlinie bzw. § 12 Abs. 1 und 3, § 15 Abs. 1 und 4 TMG nicht vorläge (II.).

20

I. Zur Vorlagefrage II. 1.

21

1. Nach § 12 Abs. 1 TMG darf „der Diensteanbieter […] personenbezogene Daten zur Bereitstellung von Telemedien nur erheben und verwenden, soweit dieses Gesetz oder eine andere Rechtsvorschrift, die sich ausdrücklich auf Telemedien bezieht, es erlaubt oder der Nutzer eingewilligt hat.“ Diese Vorschrift ist anwendbar, da die in Rede stehenden Portale als Telemedien (§ 1 Abs. 1 Satz 1 TMG), die Beklagte als Diensteanbieter (§ 2 Satz 1 Nr. 1 TMG) und der Kläger als Nutzer (§ 11 Abs. 2 TMG) anzusehen sind.

22

2. Personenbezogene Daten sind nach der auch für das Telemediengesetz maßgeblichen (KG, K&R 2011, 418; Moos in Taeger/Gabel, BDSG, 2. Aufl., § 12 TMG Rn. 5) Legaldefinition in § 3 Abs. 1 BDSG „Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener).“ Die von der Beklagten gespeicherten dynamischen IP-Adressen sind jedenfalls im Kontext mit den weiteren in den Protokolldateien gespeicherten Daten als Einzelangaben über sachliche Verhältnisse anzusehen, da die Daten Aufschluss darüber gaben, dass zu bestimmten Zeitpunkten bestimmte Seiten bzw. Dateien über das Internet abgerufen wurden (vgl. Simitis/Dammann, BDSG, 8. Aufl., § 3 Rn. 10; Sachs, CR 2010, 547, 548). Diese sachlichen Verhältnisse waren solche des Klägers; denn er war Inhaber des Anschlusses, dem die IP-Adressen zugewiesen waren (vgl. BGH, Urteil vom 12. Mai 2010 – I ZR 121/08, BGHZ 185, 330 Rn. 15), und hat die Internetseiten im Übrigen auch selbst aufgerufen. Da die gespeicherten Daten aber aus sich heraus keinen unmittelbaren Rückschluss auf die Identität des Klägers zuließen, war dieser nicht „bestimmt“ im Sinne des § 3 Abs. 1 BDSG (vgl. Schulz in Roßnagel, BeckRTD-Komm., § 11 TMG Rn. 22; Gola/Schomerus, BDSG, 11. Aufl., § 3 Rn. 10). Für den Personenbezug kommt es deshalb darauf an, ob er „bestimmbar“ war.

23

a) Die Bestimmbarkeit einer Person setzt voraus, dass grundsätzlich die Möglichkeit besteht, ihre Identität festzustellen (Buchner in Taeger/Gabel, BDSG, 2. Aufl., § 3 Rn. 11; Plath/Schreiber in Plath, BDSG, § 3 Rn. 13). Umstritten ist, ob bei der Prüfung der Bestimmbarkeit ein objektiver oder ein relativer Maßstab anzulegen ist.

24

aa) Nach einer Auffassung kommt es auf die individuellen Verhältnisse der verantwortlichen Stelle nicht an (so etwa Pahlen-Brandt, K&R 2008, 286, 289; dies., DuD 2008, 34 ff.; Karg, MMR 2011, 345, 346; Schaar, Datenschutz im Internet, Kap. 3 Rn. 153, 174 f.; ähnlich Weichert in Däubler/Klebe/Wedde/ders., BDSG, 4. Aufl., § 3 Rn. 13, 15; vgl. auch Schweizer BVG, Urteil vom 27. Mai 2009 – A-3144/2008 – BeckRS 2009, 22471 unter J.2.2.1). Danach kann ein Personenbezug auch dann anzunehmen sein, wenn ausschließlich ein Dritter in der Lage ist, die Identität des Betroffenen festzustellen.

25

bb) Die überwiegende Auffassung vertritt demgegenüber einen relativen Ansatz. Ein Personenbezug ist danach zu verneinen, wenn die Bestimmung des Betroffenen gerade für die verantwortliche Stelle mit einem unverhältnismäßigen Aufwand an Zeit, Kosten und Arbeitskraft verbunden ist, so dass das Risiko einer Identifizierung als praktisch irrelevant erscheint. Dies wird, da das Gesetz die Begriffe des Personenbezugs und des Anonymisierens komplementär verwendet, aus § 3 Abs. 6 BDSG hergeleitet (Simitis/Dammann, BDSG, 8. Aufl., § 3 Rn. 23, 196; Weichert in Däubler/Klebe/Wedde/ders., BDSG, 4. Aufl., § 3 Rn. 13; Moos in: Taeger/Gabel, BDSG, 2. Aufl., § 12 TMG Rn. 8; Mantz, ZD 2013, 625). Dies könnte bei einer entsprechenden Auslegung in Einklang stehen mit der Datenschutz-Richtlinie, nach deren Erwägungsgrund 26 bei der Beurteilung der Bestimmbarkeit alle Mittel berücksichtigt werden sollten, die „vernünftigerweise“ eingesetzt werden könnten, um die betreffende Person zu bestimmen (Artikel-29-Datenschutzgruppe, WP 136 S. 15, www.ec.europa.eu/justice/data-protection/article-29; Buchner in Taeger/Gabel, aaO, § 3 BDSG Rn. 12; Simitis/Dammann, aaO Rn. 24).

26

cc) Stellte man mit dem relativen Ansatz auf die Kenntnisse, Mittel und Möglichkeiten der die IP-Adressen speichernden Stelle ab, könnten dieselben Daten für eine Stelle – etwa für den Zugangsanbieter (vgl. EuGH, Slg. 2011, I-12006 Rn. 51 – Scarlet Extended) – personenbezogen und für eine andere Stelle – etwa für den Anbieter einer Internetseite (hier: die Beklagte) – nicht personenbezogen sein (so etwa LG Frankenthal, MMR 2008, 687, 689; LG Wuppertal, K&R 2010, 838, 839; AG München, K&R 2008, 767 m. zust. Anm. Eckhardt; ders., CR 2011, 339, 342 ff.; Meyerdierks, MMR 2009, 8, 10 ff.; Krüger/Maucher, MMR 2011, 433, 436 ff.; Simitis/Dammann, BDSG, 8. Aufl., § 3 Rn. 32 f.; Plath/Schreiber in Plath, BDSG, § 3 Rn. 14 f.; Gola/Schomerus, BDSG, 11. Aufl., § 3 Rn. 10; Bergmann/Möhrle/Herb, Datenschutzrecht, § 3 BDSG Rn. 32 [Stand: Januar 2012]; Spindler/Nink in Spindler/Schuster, Recht der elektronischen Medien, 2. Aufl., § 11 TMG Rn. 5b; Moos in: Taeger/Gabel, BDSG, 2. Aufl., § 12 TMG Rn. 8; Schulz in Roßnagel, BeckRTD-Komm., § 11 TMG Rn. 23; Bizer/Hornung, ebd., § 12 TMG Rn. 44; Müller-Broich, TMG, § 11 Rn. 5; Schmitz in Hoeren/Sieber/Holznagel, Hdb. Multimedia-Recht, Kap. 16.2 Rn. 76 [Stand: Dezember 2009]; Härting, Internetrecht, 5. Aufl., Kap. B Rn. 276).

27

b) Für die Auslegung des nationalen Rechts (§ 12 Abs. 1 TMG) ist maßgebend, wie der Personenbezug in Art. 2 Buchstabe a der – diesen Bereich betreffenden – Datenschutz-Richtlinie zu verstehen ist.

28

aa) Der Wortlaut der Richtlinienbestimmung scheint nicht eindeutig zu sein. Nach dem Erwägungsgrund 26 Satz 2 der Richtlinie sollen bei der Entscheidung, ob eine Person bestimmbar ist, auch Mittel berücksichtigt werden, die „von einem Dritten“ eingesetzt werden könnten, um die betreffende Person zu bestimmen. Das könnte so zu verstehen sein, dass der Personenbezug auch für einen Verantwortlichen, der eine Information lediglich speichert, schon dann zu bejahen ist, wenn ausschließlich ein Dritter, läge diesem die Information vor, den Betroffenen ohne unverhältnismäßigen Aufwand identifizieren könnte; jedenfalls könnte ein Personenbezug dann anzunehmen sein, wenn vernünftigerweise nicht auszuschließen ist, dass die Information zukünftig an den Dritten übermittelt wird (vgl. Pahlen-Brandt, DuD 2008, 34, 38; Sachs, CR 2010, 547, 550 f.). Andererseits könnte ein solches Verständnis des Erwägungsgrundes nicht zwingend sein. Berücksichtigt man bei der Beurteilung der Bestimmbarkeit nur Mittel, die „vernünftigerweise“ eingesetzt werden könnten, um die betreffende Person zu bestimmen (Artikel-29-Datenschutzgruppe, WP 136 S. 15, www.ec.europa.eu/justice/data-protection/article-29; Buchner in Taeger/Gabel, BDSG, 2. Aufl., § 3 BDSG Rn. 12; Simitis/Dammann, BDSG, 8. Aufl., § 3 Rn. 24), wäre auch ein relatives Verständnis der Bestimmbarkeit und damit des Personenbezugs möglich.

29

3. Die Frage ist im Streitfall entscheidungserheblich.

30

a) Folgt man dem objektiven Ansatz, so waren die dem Anschluss des Klägers zugewiesenen und von der Beklagten gespeicherten dynamischen IP-Adressen auch über das Ende der einzelnen Nutzungsvorgänge hinaus personenbezogen. Denn das Berufungsgericht hat angenommen, dass der Zugangsanbieter des Klägers die für dessen Identifizierung anhand der IP-Adressen erforderlichen Daten über das Ende der einzelnen Internetverbindungen hinaus gespeichert hat (zur Befugnis des Anbieters vgl. BGH, Urteile vom 13. Januar 2011 – III ZR 146/10, NJW 2011, 1509 und vom 3. Juli 2014 – VI ZR 391/13, NJW 2014, 2500). Mit diesem Zusatzwissen hätten die von der Beklagten gespeicherten Daten ohne unverhältnismäßigen Aufwand dem Kläger als Anschlussinhaber zugeordnet werden können.

31

b) Folgt man demgegenüber dem relativen Ansatz, so ist der Personenbezug im Streitfall zu verneinen. Denn die Stellen der Beklagten, die die IP-Adressen des Klägers gespeichert haben, hätten den Kläger nicht ohne unverhältnismäßigen Aufwand identifizieren können. Nach den getroffenen Feststellungen ist davon auszugehen, dass ihnen – die Nichtangabe der Personalien vorausgesetzt – keine Informationen vorlagen, die dies ermöglicht hätten. Anders als es bei statischen IP-Adressen der Fall sein kann, lässt sich die Zuordnung dynamischer IP-Adressen zu bestimmten Anschlüssen keiner allgemein zugänglichen Datei entnehmen (Gerlach, CR 2013, 478, 480).

32

c) Der Zugangsanbieter des Klägers durfte den Stellen der Beklagten, welche die IP-Adressen speichern (sog. verantwortliche Stellen), keine Auskunft über dessen Identität erteilen, weil es dafür keine gesetzliche Grundlage gibt (§ 95 Abs. 1 Satz 3 TKG). Alleine die Befugnisse der zuständigen Stellen nach § 113 TKG (etwa die Staatsanwaltschaft im Rahmen eines Ermittlungsverfahrens) rechtfertigen es noch nicht, die auf Grund dieser Befugnisse beschaffbaren Informationen auch für andere staatliche Stellen (etwa die Stellen der Beklagten, welche die IP-Adressen speichern), an die diese Informationen nicht weitergegeben werden dürfen, als zugänglich anzusehen. Illegale Handlungen können – erst recht bei staatlichen Stellen – nicht als Mittel der Informationsbeschaffung angesehen werden.

33

II. Zur Vorlagefrage II. 2.

34

Wäre davon auszugehen, dass es sich bei der IP-Adresse im Zusammenhang mit den Daten des Zugriffs um personenbezogene Daten handelte, wäre die Speicherung über den Zugriff hinaus nach § 12 Abs. 1 TMG nur zulässig, soweit dieses Gesetz oder eine andere Rechtsvorschrift, die sich ausdrücklich auf Telemedien bezieht, es erlaubt oder der Nutzer eingewilligt hat. Eine solche Einwilligung liegt hier nicht vor. Es kommt aber eine Erlaubnis nach § 15 Abs. 1 TMG in Betracht. Auch insoweit ist eine Vorabentscheidung des Gerichtshofs der Europäischen Union über die Auslegung des Art. 7 Buchstabe f der Datenschutz-Richtlinie einzuholen.

35

1. Nach § 15 Abs. 1 TMG darf der Diensteanbieter personenbezogene Daten eines Nutzers nur erheben und verwenden, soweit dies erforderlich ist, um die Inanspruchnahme von Telemedien zu ermöglichen und abzurechnen (Nutzungsdaten). Nutzungsdaten sind dabei insbesondere Merkmale zur Identifikation des Nutzers, Angaben über Beginn und Ende sowie des Umfangs der jeweiligen Nutzung und Angaben über die vom Nutzer in Anspruch genommenen Telemedien.

36

a) Für die rechtliche Prüfung ist nach dem Vortrag der Beklagten davon auszugehen, dass die Speicherung der IP-Adressen zur Gewährleistung und Aufrechterhaltung der Sicherheit und Funktionsfähigkeit ihrer Telemedien erforderlich ist. Dies gilt insbesondere für die Erkennung und Abwehr häufig auftretender „Denial-of-Service“-Attacken, bei denen die TK-Infrastruktur durch gezieltes und koordiniertes Fluten einzelner Webserver mit einer Vielzahl von Anfragen lahm gelegt wird.

37

b) Fraglich ist, ob dadurch die Voraussetzungen des § 15 Abs. 1 TMG erfüllt sein können. Eine solche Auslegung wäre mit dem Wortlaut der Vorschrift vereinbar. Denn die behaupteten „Denial-of-Service“-Attacken führen dazu, dass das Telemedium nicht mehr erreichbar und seine Inanspruchnahme somit nicht mehr möglich ist. Wenn und soweit Maßnahmen des Diensteanbieters erforderlich sind, um solche Angriffe abzuwehren, könnten die Maßnahmen deshalb als erforderlich angesehen werden, „um die Inanspruchnahme von Telemedien zu ermöglichen“ (vgl. Meyerdierks/Gendelev, ZD 2013, 626, 627).

38

c) In der Literatur wird allerdings überwiegend die Auffassung vertreten, dass die Datenerhebung und -verwendung nur erlaubt ist, um ein konkretes Nutzungsverhältnis zu ermöglichen und die Daten, soweit sie nicht für Abrechnungszwecke benötigt werden, mit dem Ende des jeweiligen Nutzungsvorgangs zu löschen sind. Dafür spricht insbesondere § 15 Abs. 4 Satz 1 TMG, der eine Verwendung der Daten zu Abrechnungszwecken auch über das Ende des Nutzungsvorgangs hinaus ausdrücklich erlaubt und der im Fall einer weiten Auslegung des § 15 Abs. 1 TMG nur klarstellende Bedeutung hätte (vgl. Zscherpe in Taeger/Gabel, BDSG, 2. Aufl., § 15 TMG Rn. 32, 40; jurisPK-Internetrecht/Heckmann, 4. Aufl., Kap. 9 Rn. 362; Schmitz in Hoeren/Sieber/Holznagel, Hdb. Multimedia-Recht, Kap. 16.2 Rn. 204 [Stand: Dezember 2009]). Dieses Verständnis des § 15 Abs. 1 TMG würde einer Erlaubnis zur Speicherung der IP-Adressen zur (generellen) Gewährleistung und Aufrechterhaltung der Sicherheit und Funktionsfähigkeit von Telemedien entgegenstehen.

39

2. Da für das Verständnis des § 15 Abs. 1 TMG der diesen Bereich regelnde Art. 7 Buchstabe f der Datenschutz-Richtlinie maßgebend ist, stellt sich die Frage, wie diese Richtlinienbestimmung auszulegen ist.

40

a) Nach Art. 7 Buchstabe f der Datenschutz-Richtlinie ist die Verarbeitung personenbezogener Daten rechtmäßig, wenn sie erforderlich ist zur Verwirklichung des berechtigten Interesses, das von dem für die Verarbeitung Verantwortlichen oder von dem bzw. den Dritten wahrgenommen wird, denen die Daten übermittelt werden, sofern nicht das Interesse oder die Grundrechte und Grundfreiheiten der betroffenen Person, die gemäß Art. 1 Abs. 1 der Richtlinie geschützt sind, überwiegen. Nach dem Urteil des Europäischen Gerichtshofs vom 24. November 2011 in Sachen ASNEF und FECEMD (Slg. 2011, I-12181 Rn. 29 ff.) führt die Datenschutz-Richtlinie zu einer grundsätzlich umfassenden Harmonisierung der nationalen Rechtsvorschriften. Deshalb steht Art. 7 Buchstabe f der Datenschutz-Richtlinie hinsichtlich der Verarbeitung personenbezogener Daten jeder nationalen Regelung entgegen, die bei Fehlen der Einwilligung der betroffenen Person neben den beiden in der Vorschrift genannten kumulativen Voraussetzungen zusätzliche Erfordernisse aufstellt. Zwar dürfen die Mitgliedstaaten in der Ausübung ihres Ermessens gemäß Art. 5 der Datenschutz-Richtlinie Leitlinien für die geforderte Abwägung aufstellen. Eine nationale Regelung darf jedoch nicht die Verarbeitung bestimmter Kategorien personenbezogener Daten ausschließen, indem sie für diese Kategorien das Ergebnis der Abwägung abschließend vorschreibt, ohne Raum für ein Ergebnis zu lassen, das auf Grund besonderer Umstände des Einzelfalls anders ausfällt (EuGH, aaO).

41

b) Nach diesen Maßstäben könnte das vom Berufungsgericht befürwortete enge Verständnis des § 15 Abs. 1 TMG nicht in Einklang mit Art. 7 Buchstabe f der Datenschutz-Richtlinie stehen (Drewes, ZD 2012, 115, 118; vgl. auch Meyerdierks/Gendelev, ZD 2013, 626, 627 und BGH, Urteil vom 4. Juni 2013 – 1 StR 32/13, BGHSt 58, 268 Rn. 70 ff.). Denn nach dieser Auslegung dürfte der Diensteanbieter personenbezogene Daten des Nutzers ohne dessen Einwilligung über das Ende des jeweiligen Nutzungsvorgangs hinaus nur zu einem bestimmten Zweck, nämlich dem der Abrechnung, verwenden; für andere Zwecke dürften die Daten nach Ende des Nutzungsvorgangs unabhängig von einer Abwägung der im Einzelfall berührten Interessen nicht verwendet werden.

42

c) Danach stellt sich die Frage, ob § 15 Abs. 1 TMG richtlinienkonform dahin ausgelegt werden muss, dass auch der von dem Diensteanbieter verfolgte Zweck, die Funktionsfähigkeit des Telemediums zu gewährleisten, die Verwendung personenbezogener Daten des Nutzers auch über das Ende des jeweiligen Nutzungsvorgangs hinaus rechtfertigen kann, wenn, soweit und solange die Verwendung zu diesem Zweck erforderlich ist.

43

3. Die Frage ist auch entscheidungserheblich.

44

Wenn nach der Entscheidung des Gerichtshofs zu Art. 2 Buchstabe a der Datenschutz-Richtlinie der Personenbezug der gespeicherten IP-Adressen zu bejahen sein sollte, könnte der Anspruch des Klägers gleichwohl entfallen, wenn der Erlaubnistatbestand des § 15 Abs. 1 TMG – bei einem von der Datenschutz-Richtlinie geforderten weiteren Verständnis – eingriffe.

Vorinstanzen:?AG Berlin-Mitte, Entscheidung vom 13.08.2008 – 2 C 6/08 – LG Berlin, Entscheidung vom 31.01.2013 – 57 S 87/08

 

Kommentar zu BGH, Beschl. v. 15.5.2014 – I ZB 71/13 – Deus Ex – Erstattung der Kosten aus Auskunftsverfahren nach § 101 UrhG erschienen

Ich habe für die Zeitschrift Kommunikation & Recht (K&R) einen Kommentar zu BGH, Beschl. v. 15.5.2014 – I ZB 71/13 – Deus Ex verfasst, der nun im aktuellen Heft erschienen ist (K&R 2014, 798).

In dem Beschluss des BGH ging es darum, ob (und inwieweit) die Kosten des Auskunftsverfahrens nach § 101 Abs. 9 UrhG in einem nachfolgenden Prozess (z.B. gegen den Anschlussinhaber) ersatzfähig sind. Dabei war unklar, ob die Erstattung auf die prozessuale Kostenvorschrift des § 91 ZPO oder alternativ auf einen materiell-rechtlichen Schadensersatzanspruch zu stützen ist. Der BGH hat nun die Erstattung aus § 91 ZPO angenommen.

Aus dem Kommentar (K&R 2014, 798 ff.):

Werden Rechtsverletzungen über das Internet begangen, muss der möglicherweise verletzte Rechteinhaber zunächst anhand der ermittelten IP-Adresse die Identität des möglichen Verletzers ermitteln.[1] Hierfür sieht der im Rahmen des „Zweiten Korbes“ 2008 neu gefasste § 101 UrhG ein spezielles Verfahren vor: Nach § 101 Abs. 9 UrhG ist zunächst eine richterliche Anordnung herbeizuführen, dass der betroffene Internet Provider Auskunft erteilen darf. Mit dieser richterlichen Anordnung kann anschließend der Rechteinhaber nach § 101 Abs. 2 UrhG vom Internet Provider Auskunft verlangen. § 101 Abs. 9 S. 5 UrhG sieht diesbezüglich pauschal vor, dass „die Kosten der richterlichen Anordnung der Verletzte“ zu tragen habe. Die vorliegende Entscheidung des BGH klärt – soweit ersichtlich zum ersten Mal höchstgerichtlich – wie und in welchem Umfang diese Kostenerstattung erfolgen kann.

1. Hintergrund

Der neugefasste § 101 UrhG hat bisher zu einer regen Betätigung in der Rechtsprechung geführt.[2] Dabei ging es bisher aber entweder um formelle Fragen im Verfahren zur Erlangung der richterlichen Anordnung nach § 101 Abs. 9 UrhG, z.B. ob die Frage einer materiellen Rechtsverletzung im Verfahren nach § 101 Abs. 9 UrhG überhaupt zu klären ist,[3] welche Gebühren für das Verfahren anfallen,[4] um die materiellen Voraussetzungen des § 101 Abs. 2 UrhG, dort insbesondere die Erforderlichkeit eines „gewerblichen Ausmaßes“ der Rechtsverletzung[5] oder Nachweisfragen im Zusammenhang mit IP-Adressen.[6]

Fest steht jedenfalls, dass im Rahmen der Durchführung des Verfahrens nach § 101 Abs. 9 UrhG Kosten anfallen, namentlich Anwaltskosten, Gerichtskosten nach Nr. 15213 Ziff. 4 KV GNotKG i.H.v. € 200,- sowie anschließend die Kosten, die der Internet Provider dem anfragenden Rechteinhaber in Rechnung stellt. Diese Kosten soll der Rechteinhaber vom Rechtsverletzer ersetzt bekommen. Auf welcher materiellen oder prozessualen Grundlage und im welchen Umfang dies der Fall ist, war nun Gegenstand des vorliegenden Verfahrens. Insbesondere im Hinblick auf die Höhe des Ersatzes ist zu berücksichtigen, dass sich das Verfahren nach § 101 Abs. 9 UrhG zu einem Massenverfahren entwickelt hat. Häufig wird eine richterliche Anordnung nicht jeweils nur für eine IP-Adresse beantragt, sondern für eine Vielzahl, teilweise mehrere tausend.[7]

S. auch:

Anmerkung zu BGH, Urt. v. 28.11.2013 – I ZR 76/12 – Meilensteine der Psychologie erschienen

In eigener Sache:

Mittlerweile ist meine zum Urteil des BGH v. 28.11.2013 – I ZR 76/12 – „Meilensteine der Psychologie“ (MMR 2014, 616) erschienen. Ich hatte mich mit dem Urteil bereits im Zusammenhang mit der Frage des Begriffs „nicht-kommerzielle Nutzung“ (bei Creative Commons-Lizenzen) befasst, nun habe ich eine kurze Anmerkung für die Zeitschrift Multimedia und Recht (MMR) dazu geschrieben (MMR 2014, 623-624).

In dem Fall ging es im Wesentlichen darum, unter welchen Voraussetzungen (nach § 52a UrhG) Hochschulen ihren Studenten Teile von Werken zur Veranschaulichung und Unterstützung des Unterrichts online zur Verfügung stellen dürfen. Da war eine ganze Menge umstritten, wohl auch, weil klar widerstreitende Interessen aufeinander trafen. Der BGH hat nun eine Menge der bisher offenen Fragen geklärt.

Aus der Anmerkung (MMR 2014, 623):

Die 2003 eingeführte Regelung des § 52a UrhG stellt eine Privilegierung für die Durchführung von Unterricht und Forschung zur Verfügung, durch die es möglich wird, im Rahmen von Unterricht und Forschung Teile eines Werks in digitaler Form zum Abruf zur Verfügung zu stellen. Sie transferiert damit einen in der analogen Welt üblichen Vorgang – die Kopiervorlage in der Lehrstuhlbibliothek – in den digitalen Kontext. Dabei ist zu berücksichtigen, dass auch hier widerstreitende Interessen der Beteiligten bestehen. Und wie bei fast allen solchen Transfers vom Analogen ins Digitale werden Fragen aufgeworfen, die zu gesetzgeberischem Handeln und reger Aktivität in Literatur (und Rechtsprechung) führen können, dies häufig auch im Wechselspiel.

  1. Privilegierung

Der vorliegend im Streit stehende § 52a Abs. 1 Nr. 1 UrhG gestattet das öffentliche Zugänglichmachen unter bestimmten Voraussetzungen, namentlich können (1) kleine Teile eines Werkes, Werke geringen Umfangs sowie einzelne Beiträge (2) im Unterricht und zu dessen Zweck (3) auschließlich für den bestimmt abgegrenzten Kreis von Teilnehmern öffentlich zugänglich gemacht werden, soweit dies (4) geboten und (5) zur Verfolgung nicht kommerzieller Zwecke gerechtfertigt ist. Unschwer ist zu erkennen, dass jedes dieser Merkmale auslegungsbedürftig ist. …

S. auch:

Gedanken zu: Borges, Die Haftung des Internetanschlussinhabers für Urheberrechtsverletzungen durch Dritte, NJW 2014, 2305

Im aktuellen Heft 32/2014 der Neuen Juristischen Wochenschrift (NJW) nimmt Prof. Dr. Borges das BGH-Urteil „BearShare“ (K&R 2014, 513; s. dazu hier) zum Anlass, noch einmal zur „Haftung des Internetanschlussinhabers für Urheberrechtsverletzungen durch Dritte“ Stellung zu nehmen (NJW 2014, 2305; zu weiteren Anmerkungen zu dem Urteil s. hier, hier, hier und hier).

Der lesenswerte Beitrag enthält aus meiner Sicht – sehr kurz gefasst – über die Frage der Pflichten im Familienkreis hinaus zwei wichtige Überlegungen:

Zum einen geht es um die Pflicht zur Absicherung des Internetzugangs. Hierbei will Borges unterscheiden. Jedenfalls Private müssten ihr WLAN schützen, was sich aus der BGH-Entscheidung „Sommer unseres Lebens“ aus dem Jahre 2010 ergebe:

Insoweit kann man gegebenenfalls noch unterscheiden, ob das WLAN bewusst zur Nutzung durch jedermann zur Verfügung gestellt wird oder ob lediglich faktisch diese Möglichkeit besteht.

In dieser Fallgruppe wurde bisher weitgehend einhellig angenommen, dass irgendeine Art von Schutz gegen Nutzung des Internetanschlusses zu illegalem Filesharing oder vergleichbaren Rechtsverletzungen erforderlich ist. Bei privaten Internetanschlüssen ist, entsprechend dem Sommer unseres Lebens-Urteil, nach herrschender Auffassung ein Zugangsschutz (Passwort) erforderlich …

Zum anderen geht Borges – unter Anwendung der Prämisse, dass § 8 TMG dem Wortlaut nach auch auf Anschlussinhaber Anwendung findet – jedenfalls „im Fall des Anschlussinhabers“ von einer teleologischen Reduktion des § 8 TMG aus (NJW 2014, 2305, 2310):

Danach wären Inhaber privater wie geschäftlicher Internetanschlüsse auch als Zugangsprovider iSd § 8 TMG anzusehen mit der Folge, dass die Verantwortlichkeit auch an § 8 TMG zu messen wäre. Die starke Haftungsbeschränkung nach 8 TMG ist im Fall des Anschlussinhabers wohl nicht angemessen. Daher kommt möglicherweise eine teleologische Reduktion des Anwendungsbereichs in Betracht, wovon die Rechtsprechung, die § 8 TMG durchgehend nicht erwähnt, offenbar stillschweigend ausgeht. Insgesamt erscheint eine gesetzliche Klarstellung der Haftungsbeschränkung für den Bereich der Zugangsvermittlung durch eigene Funknetze (WLAN) und Internetanschlüsse erforderlich.

Der Ansatz von Borges stellt eine mögliche Erklärung für die bisherige Rechtsprechung dar, die § 8 TMG bisher erwähnt. Es gibt hierfür allerdings noch eine weitere – einfachere – Erklärung: Die bisher mit solcherlei Fällen befassten Gerichte dürften § 8 TMG schlicht übersehen haben – vermutlich, weil keine der Parteien die Norm thematisiert hat. Das AG Hamburg hat dies kürzlich in seinem Urteil vom 10.6.2014 ausdrücklich zu erkennen gegeben, ähnlich könnte/dürfte es auch in den bisherigen Fällen gewesen sein (AG Hamburg, Urt. v. 10.6.2014 – 25b C 431/13):

Auf die Anwendbarkeit des § 8 TMG, die von den Parteien nicht ausdrücklich thematisiert wurde, musste das Gericht nicht gesondert hinweisen

Dogmatisch scheint der Ansatz von Borges klar. Unklar ist aber, was Borges mit der teleologischen Reduktion „beim Anschlussinhaber“ meint, wie also der personelle Anwendungsbereich der teleologischen Reduktion zu sehen ist. Ich verstehe ihn so, dass er damit zumindest auch die bewusst offenen WLANs z.B. in Hotels und Ferienwohnungen meint, da er Bezug nimmt auf die Fälle, bei denen die Rechtsprechung § 8 TMG bisher nicht erwähnt hat.

Es dürfte aber ganz generell vor dem Hintergrund der Wortlautauslegung von § 8 TMG fraglich sein, ob sich eine teleologische Reduktion mit Art. 12 der E-Commerce-Richtlinie vereinbaren ließe. Denn § 8 TMG ist lediglich eine Umsetzung dieser Regelung, worauf auch Borges unter Bezugnahme auf die EuGH-Urteile „L’Oréal vs. eBay“ (u.a. dazu hier) und „Scarlet vs. SABAM“ hinweist. Eine den Wortlaut einschränkende Auslegung müsste also am europarechtlichen Grundsatz des „effet utile“ gemessen werden, also einer Auslegung folgen, die eine effektive Anwendbarkeit von Art. 12 der E-Commerce-Richtlinie sicher stellt. Die teleologische Reduktion auf klar dem Wortlaut unterfallende Anschlussinhaber dürfte daher dem Ziel der effektiven Rechtsanwendung widersprechen.

Zudem ist die teleologische Auslegung eine „dem Sinn und Zweck der Norm“ nach. Leider nennt Borges den Zweck seiner einschränkenden teleologischen Auslegung nicht. Zu berücksichtigen könnte auch in diesem Zusammenhang sein, dass das Teilen von Internetanschlüssen nicht nur faktisch bereits seit Jahren erfolgt, sondern politisch und wirtschaftlich gewollt ist, was sich insbesondere aus den Regelungen in Art. 14 des Entwurfs der Single Market-Verordnung der EU ergibt (dazu eingehend Mantz/Sassenberg, CR 2014, 370).

Zu beachten ist im Übrigen, dass Teile der Rechtsprechung mittlerweile § 8 TMG anwenden (AG Hamburg, Urt. v. 10.6.2014 – 25b C 431/13 und Urt. v. 24.6.2014 – 25b C 924/13). Es bleibt abzuwarten, ob weitere Gerichte sich dem anschließen werden.