Schlagwort-Archive: Fernmeldegeheimnis

(Un-)zulässigkeit der Deep Packet Injection, Aufsatz „Freund oder Feind auf meiner Leitung?“ in MMR 1/2015

Im aktuellen Heft 1/2015 der Zeitschrift Multimedia und Recht (MMR) ist ein Aufsatz von mir zur Frage der Zulässigkeit der Deep Packet Injection, also des (schreibenden) Eingriffs in den Datenstrom der Nutzer durch den TK-Anbieter erschienen (MMR 2015, 8 ff.). Der volle Titel lautet „Freund oder Feind auf meiner Leitung? – (Un-)Zulässigkeit des Eingriffs in den Datenstrom durch TK-Anbieter mittels Deep Packet Injection“.

Der Beitrag befasst sich mit dem Umstand, dass manche TK-Anbieter in den HTTP-Datenstrom ihrer Kunden zusätzliche HTML-Tags einfügen bzw. einfügten (z.B. Comcast), die Werbung einblenden oder Tracking ermöglichen können, also statt Deep Packet Inspection „Deep Packet Injection“. Dieses Vorgehen verschiedener Anbieter schon mehrfach bekannt geworden, „Stichworte“ dazu sind Comcast X-Finity, Phorm und Nebuad, wenn auch (noch?) nicht in Deutschland. Erst kürzlich wurde berichtet, dass Verizon und AT&T eine eindeutige ID in den HTTP-Header einfügen. Ich bin in meinem Aufsatz der Frage nachgegangen, ob das Einspeisen von Code vor dem Hintergrund des Fernmeldegeheimnisses, des TK-Datenschutzes sowie wettbewerbsrechtlich zulässig ist und welche Ansprüche die Beteiligten (Endnutzer, Wettbewerber, Webseitenbetreiber, Verbraucherschutzverbände) haben.

Auszug aus dem Beitrag:

(Internet-)Zugangsanbieter versorgen ihre Kunden mit dem Zugang ins Internet. Der Datenstrom der Nutzer fließt daher zwangsläufig durch ihre Anlagen und Netzwerke. Diese strategisch günstige Stellung wollen manche Anbieter für neue Geschäftsmodelle nutzen. Eine Möglichkeit ist der Eingriff in den Datenstrom der Kunden, u.a. um hier Werbung zu platzieren.

Der folgende Beitrag betrachtet die (zivil- und strafrechtliche) Zulässigkeit sowie Rechtsfolgen solcher Eingriffe in den Datenstrom. Dabei sollen zunächst der technische Hintergrund solcher Eingriffe (II.) und die wegen dieses Vorgehens angestrengten Verfahren gegen die Anbieter (III.) dargestellt werden. Daran schließt sich die rechtliche Analyse insbesondere zur Frage der Haftung des TK-Anbieters (IV.) an.
I. Einleitung
TK-Diensteanbieter, die ihren Kunden den Zugang zum Internet verschaffen (im Folgenden: TK-Anbieter bzw. Access-Provider), sind Vermittler zwischen ihren Kunden und dem Internet. Als Folge der technologischen und ökonomischen Entwicklungen der letzten Jahre bieten sich TK-Anbietern durch ihre Mittlerrolle neue Geschäftsfelder, die ihnen quasi als Nebenprodukt zum Internetzugang zufallen.

So wurde Ende 2012 bekannt, dass der TK-Anbieter Telefónica plante, in Deutschland Standortdaten der eigenen Kunden zu sammeln, zu aggregieren und für Werbezwecke an Dritte zu verkaufen. Während dieses Modell in England bereits in die Tat umgesetzt wurde, nahm Telefónica auf Grund der öffentlichen Entrüstung – und wohl auch, weil dieses Vorgehen wahrscheinlich unzulässig ist – hiervon Abstand.

Ein weiteres Beispiel ist die Praxis einiger TK-Anbieter in den USA, Brasilien und möglicherweise auch Großbritannien, mittels „Deep Packet Injection” in den Datenstrom ihrer Kunden aktiv einzugreifen und dadurch bei ihren Kunden Werbung zu schalten oder Cookies zu platzieren und nebenbei das Surfverhalten ihrer Kunden zu analysieren. Dabei schalteten die TK-Anbieter die Werbung nicht zwangsläufig selbst, sondern arbeiteten hierfür mit Werbenetzwerken oder anderen Unternehmen zusammen. Erst 2014 wurde bekannt, dass auch der amerikanische Access-Provider ComCast Hinweise und Werbung in den Datenstrom der Nutzer seiner „XFinity”-WLAN-Hotspots einspeist. Im Zusammenhang mit diesen Eingriffen in den Datenstrom kam es in den USA, Großbritannien und Brasilien zu Verfahren gegen die betroffenen TK-Anbieter. Nicht bekannt ist bisher, ob deutsche TK-Anbieter bereits heute ähnlich vorgehen, oder ob sie dies planen. I.E. kann davon allerdings nur abgeraten werden.

Verwendung von „anonymen Daten“ durch TK-Anbieter für Werbezwecke

In den letzten Tagen ist mehrfach über die Pläne des US-amerikanischen TK- und Mobilfunkanbieters Verizon berichtet worden, seine Kunden demnächst nicht nur bei der Nutzung des Mobilfunkzugangs, sondern auch bei der Nutzung von WLANs und Desktop-Rechnern zu überwachen und diese Daten für Werbung zu nutzen – und mit Werbeanbietern zu teilen. Das ist schon für sich beängstigend – wenn auch fast schon normal. Interessant ist aber auch, sich die Idee und deren Hintergründe näher anzusehen.

Verizon berichtet selbst über diese Pläne:

We’re enhancing our Relevant Mobile Advertising program in a way that can help marketers reach you with messages that may be more interesting to you.

In addition to the customer information that’s currently part of the program, we will soon use an anonymous, unique identifier we create when you register on our websites. This identifier may allow an advertiser to use information they have about your visits to websites from your desktop computer to deliver marketing messages to mobile devices on our network.

The Verge konkretisiert die Datenerhebung und deren Folgen:

The program works by seeding tracking cookies whenever a customer logs into the MyVerizon site, a typical tactic to follow a given user from page to page. In Verizon’s case, that data is also combined with detailed data on each user’s physical movements, taken every time the phone pings back to a cell tower for a signal. The result is a much fuller portrait than tracking cookies alone could provide. The end result is a tailored ad, delivered direct to your phone, representing a lucrative new profit stream for carriers at large.

Schon die Ankündigung verrät mehr als genug über das Angebot: Verizon vergibt ein „eindeutiges Identikationszeichen“ (unique identifier) an jeden Nutzer. Das bedeutet natürlich, dass Verizon alle Aktivitäten des Kunden diesem auch zuordnen kann: Das ist das Gegenteil von „anonym“ – oder mit anderen Worten: Glatt gelogen!

Der „unique identifier“ wird voraussichtlich auch für die Werbeanbieter nicht anonym sein oder bleiben. Denn die Werbeanbieter sollen die Kunden ja kontaktieren können. Oder sie erfahren über einen längeren Zeitraum so viel über den Kunden, dass sie Verizon nicht mehr brauchen, um den Schleier zu lüften. Wie man es dreht und wendet, der Kunde ist nicht anonym (unabhängig von der Frage eines relativen oder absoluten Personenbezuges, dazu hier, hier und hier).

Interessant wird es, wenn deutsche Anbieter so etwas versuchen. Die Daten, die TK-Anbieter über ihre Kunden erheben, wecken ohnehin vielfältige Begehrlichkeiten. Der TK-Anbieter sitzt sozusagen an der Quelle der vollständigen Online- (und bei Mobilfunk durch den Standort auch Offline-)Aktivitäten seiner Nutzer. Wertvolle Datenbestände können so aufgehäuft und gewinnbringend genutzt werden. So nutzt Telefónica/O2 bereits Standortdaten in Großbritannien. Pläne, diese auch in Deutschland zu Werbezwecken zu nutzen (s. auch hier), sind nach großem Aufschrei zurückgezogen worden.

Jedenfalls in Deutschland sollten TK-Anbieter von solchen Plänen von vornherein Abstand nehmen. Denn Telekommunikationsdaten (also alle Umstände der Telekommunikation) unterliegen einem strengen, durch das Fernmeldegeheimnis in Art. 10 GG und § 88 TKG abgesicherten, Schutzniveau, das seine Grundlage in §§ 91 ff. TKG findet. Ohne konkrete (informierte und freiwillige) Einwilligung des Kunden geht da wenig in Richtung einer Nutzung von Daten für Werbung. Auch die für TK-Anbieter relativ weitreichenden Ausnahmeregelungen z.B. für die Erkennung und Beseitigung von Störungen etc. nach §§ 100 ff. TKG unterliegen allesamt einer strengen Zweckbindung.

Dabei findet der TK-Datenschutz allerdings – genauso wie der „normale“ Datenschutz nach dem BDSG – keine Anwendung auf anonyme Daten. Das ist – neben der Augenwischerei, um die Kunden zu beschwichtigen – auch der Grund, warum TK-Anbieter immer wieder von „anonymen Daten“ oder „anonymisierten Daten“ reden. Wer sich aber dann mit dem jeweiligen Modell näher beschäftigt, wird in 99,99% der Fälle nur zu dem Ergebnis kommen können, dass es sich lediglich um eine Pseudonymisierung handelt.

Der „Vorteil“ für die Kunden ist übrigens, dass er endlich auf ihn zugeschnittene Werbung bekommt. Dazu Robert L. Mitchell von Computerworld:

What’s in it for you? Ads. You receive ads that are potentially more relevant to your interests instead of the normal ones you’d see.

What’s in it for Verizon Wireless? Money. It receives a premium for helping to deliver ads to a more targeted segment of its subscriber base who presumably are more likely to buy.

Money talks. If I’m going to allow the sharing of my personal information by Verizon Wireless — and I consider my browsing history to be very personal — I’d like something more than just seeing targeted ads in return. How about an offer to waive airtime or data overcharges for one month of my choice every six months? Or how about 700 free airtime minutes? Or an extra 2GB per month on my data plan?

Großzügigerweise sieht Verizon übrigens die Möglichkeit zum Opt-Out aus der Überwachung und Weitergabe von Daten vor, entweder über die Homepage oder per Telefon:

Yes, you can notify us that you do not want us to use your information for Relevant Mobile Advertising by visiting www.vzw.com/myprivacy or by calling (866) 211-0874.

Note: if you have a multi-line account, you must indicate your privacy choices with respect to each individual line.

In addition, if you would like to prevent third party advertising entities from using information they have about your web browsing across sites unrelated to Verizon, including the use of this information in the Relevant Mobile Advertising program, you can opt-out at www.aboutads.info.

@LossOfPrivacy gibt diesbezüglich den richtigen Tipp:

The best way to opt-out remains with your wallet.

Daher gilt:

  • Für TK-Anbieter: Hände weg von solchen Modellen.
  • Für Kunden: Hände weg von TK-Anbietern, die solche Modelle verfolgen.

Bild: Mike MozartCC BY 2.0

Anmerkung zu OLG Hamburg, Urt. v. 21.11.2013 – 5 U 68/10: Keine Sperrpflichten für Access Provider

Das OLG Hamburg hat Ende letzten Jahres zur Störerhaftung des Access Providers Stellung genommen (Urt. v. 21.11.2013 – 5 U 68/10 – 3dl.am). Dem Urteil ging eine Entscheidung des LG Hamburg voraus (Urt. v. 12.3.2010 – 308 O 640/08).

1. Sachverhalt und Verfahrensgang

Der Sachverhalt ist schnell erzählt: Die GEMA verlangte von der Beklagten, den Zugriff auf die nach ihrem Vortrag rechtsverletzende Webseite 3dl.am zu sperren. Dabei formulierte sie ihren Antrag offen, es sollte also im Wesentlichen dem verklagten Access Provider obliegen, die richtigen Maßnahmen zur Sperrung zu wählen. Diskutiert wurden URL-Sperren über Zwangsproxy, IP-Sperren, DNS-Sperren und Filter.

Schon das LG Hamburg hatte die Klage abgewiesen und festgestellt, dass Sperren von Access Providern nicht verlangt werden können.

2. Kernaussagen und Bewertung

Das OLG Hamburg hat die Entscheidung des LG Hamburg bestätigt und die Berufung zurückgewiesen. In einem langen, ausführlichen Urteil hat es dabei gründlich die Bewertung von Sperrmaßnahmen durchexerziert.

a. Grundsätze der Störerhaftung, Kausalität

Das OLG Hamburg hat zunächst die Grundsätze und die Anwendbarkeit der Störerhaftung auf Access Provider behandelt. Dabei stellt es fest, dass auch Access Provider der Störerhaftung unterliegen können und stützt sich hierfür auch auf das Urteil „LSG vs. Tele2“ des EuGH (EuGH GRUR 2009, 579 Rn. 46 – LSG/Tele2). Die Haftungsprivilegierungen der §§ 8 – 10 TMG hingegen seien nicht unmittelbar auf Access Provider anwendbar. Aber sie finden im Rahmen der Beurteilung der einem möglichen Störer abzuverlangenden Pflichten Berücksichtigung.

Mit dieser Linie folgt das OLG Hamburg der derzeitigen Rechtsprechung des BGH. Während der BGH früher durchgehend Unterlassungsansprüche von §§ 8 – 10 TMG ausgenommen hatte, was vor dem Hintergrund der Rechtsprechung des EuGH fraglich ist, wendet der BGH die Haftungsprivilegierungen gleichsam auf der Rechtsfolgenseite doch auf Access Provider an, indem er sie bei der Bewertung der aus der Störerhaftung möglicherweise resultierenden Prüf- und Überwachungspflichten einbezieht.

Quasi im Wege eines (wohl durch die Parteien angeregten) Exkurses geht das OLG Hamburg im Übrigen auch auf die verwaltungsrechtliche Bewertung der §§ 8 – 10 TMG ein. Es stellt fest, dass im Verwaltungsrecht ein anderer Störerbegriff gelte. Dennoch spricht sich das OLG Hamburg in Bezug auf § 59 Abs. 4 RStV quasi für eine einheitliche Auslegung aus:

Im Sinne einer einheitlichen Rechtsordnung dürften allerdings auch die in § 59 Abs. 4 RStV sowie der verwaltungsgerichtlichen Rechtsprechung zum Ausdruck kommenden Wertungen bei der Frage der Zumutbarkeit der Inanspruchnahme des Access-Providers im Rahmen der Störerhaftung Berücksichtigung zu finden haben; es ist aber nicht ersichtlich, dass dies zu einem anderen Ergebnis führen würde als die nach den vorstehenden Ausführungen ohnehin erforderliche Berücksichtigung der gesetzgeberischen Wertungen der §§ 7-10 TMG.

Ganz wesentlich ist an dem Urteil, dass das OLG feststellt, dass die Pflichten eines Access Providers anders zu bewerten sind als diejenigen eines Host Providers. Der Access Provider betreibe nämlich ein „ohne Einschränkung gebilligtes Rechtsmodell“. Die Rechtsprechung zu eBay & Co. kann daher auf Access Provider nicht übertragen werden, es gelten ganz andere Grundsätze:

Die Rechtsprechung des BGH zur möglichen Inanspruchnahme von Host-Providern nach den Grundsätzen der Störerhaftung ist auf den vorliegenden Fall nicht ohne Weiteres übertragbar. … Im Gegensatz zu dem – jedenfalls teilweise auf die Begehung von Rechtsverletzungen angelegten Geschäftsmodellen von Sharehosting-Diensten – ist bei der Beurteilung der Zulässigkeit und Zumutbarkeit von Prüfpflichten der hiesigen Bekl. aber zu berücksichtigen, dass diese ohne jeden Zweifel ein von der Rechtsordnung ohne Einschränkung gebilligtes Geschäftsmodell betreibt, welches in weit überwiegendem Umfang zu rechtmäßigen Zwecken genutzt wird.

Anschließend geht das OLG Hamburg auf die Frage der adäquaten Kausalität ein. Mit der wohl h.M. dürfte der Access Provider adäquat-kausal an der Rechtsverletzung seiner Endnutzer mitwirken, indem er den Zugang zu den Webseiten herstellt. Anders hatte dies 2008 noch das OLG Frankfurt gesehen (OLG Frankfurt, Urt. v. 1.7.2008 – 11 U 52/07 m. Anm. Mantz/Gietl, PDF).

b. Wirksamkeit von Sperrmaßnahmen

Das OLG Hamburg hinterfragt auch die Wirksamkeit von Sperrmaßnahmen. Dabei stellt es zunächst fest, dass zwischen den Parteien unstreitig ist, dass die von der Klägerin verlangten Sperrmaßnahmen allesamt grundsätzlich technisch möglich, aber auch relativ leicht zu umgehen sind. Auch der Gesetzgeber gehe davon aus, dass Internetsperren leicht zu umgehen seien, was sich am – mittlerweile wieder aufgehobenen – Zugangserschwerungsgesetz zeige (vgl. BT-Drs. 17/6644, 7).

Zuletzt hatte der niederländische Gerechtshof Den Haag Stellung zur Wirksamkeit von Sperrmaßnahmen genommen (Urt. v. 28.1.2014 – 200.105.418/01). Der Gerechtshof hatte dabei – unter Bezugnahme auf die sog. „Baywatch“-Studie (Poort et al., Baywatch: Two approaches to measure the effects of blocking access to The Pirate Bay, PDF) – festgestellt, dass DNS-Sperren (hier zur Sperre von The Pirate Bay) unwirksam seien. Schon auf dieser Grundlage hatte der Gerechtshof Den Haag die Verpflichtung zu Sperrmaßnahmen als unzulässig angesehen: Was nicht wirksam sei, könne auch nicht verlangt werden (ebenso die hiesige Vorinstanz LG Hamburg, Urt. v. 12.3.2010 – 308 O 640/08).

Das OLG stützt diese Auffassung ausdrücklich, nimmt aber – auf tatsächlicher Ebene – selbst zur Wirksamkeit der Sperrmaßnahmen dennoch keine Stellung (Hervorhebung durch Verfasser):

Der Senat selbst vermag indes die Frage der Effektivität der angesprochenen Sperrmethoden nicht abschließend zu beurteilen. Auch wenn die Einschätzung des LG, nach der gerade junge, internetaffine Menschen über hinreichende Fähigkeiten und Kenntnisse verfügen, um die jeweiligen Sperrmaßnahmen innerhalb kurzer Zeit zu umgehen, vom Senat geteilt wird und sich zahlreiche Anleitungen hierzu im Internet finden, handelt es sich hierbei letztlich um (komplexe) technische Vorgänge. Es kann nicht eingeschätzt werden, wie viele der potenziellen Nutzer der streitgegenständlichen Website einen derartigen Umweg in Kauf nähmen, um an die rechtsverletzenden Links zu gelangen.

Nach Auffassung des Senats kann diese Frage jedoch auch dahinstehen. Sollte es sich so verhalten, dass die Auffassung der Bekl. zutrifft, nach der die genannten Sperrmöglichkeiten letztlich weitgehend unwirksame, weil leicht zu umgehende Mittel sind, wäre ihr die von der Kl. begehrte Zugangsverhinderung bzw. Zugangserschwerung bereits aus diesem Grunde nicht zumutbar. Eine Inanspruchnahme der Bekl. scheitert jedoch selbst dann an der Zumutbarkeit, wenn es sich – wie von der Kl. vertreten – bei den Sperrmöglichkeiten um äußerst effektive Mittel handelte.

Es ist wichtig, sich diese Unterscheidung deutlich zu machen: Es ist im Ergebnis egal, ob Sperrmaßnahmen wirksam sind oder nicht. Selbst wenn man unterstellt, dass Sperrmaßnahmen „äußerst effektiv“ sind, sind sie trotzdem unzulässig.

c. Unzulässigkeit von Sperrmaßnahmen ohne gesetzliche Grundlage

Der Kernpunkt der Entscheidung des OLG Hamburg ist denn auch die Bewertung von Sperrmaßnahmen – namentlich URL-Sperren durch Zwangsproxy, IP-Sperren, URL-Sperren und Filter. Diese sieht das OLG Hamburg ohne gesetzliche Grundlage vollständig als unzulässig an.

aa. Overblocking

Zunächst adressiert das OLG die Frage des Overblocking. Durch die Sperren könnte auch der Zugriff auf rechtmäßige Inhalte blockiert werden.

Overblocking geht mit Sperrmaßnahmen praktisch zwangsläufig einher. Wenn eine IP-Adresse gesperrt wird, werden alle Webseiten und alle Server unter dieser Adresse gesperrt. Wird eine URL gesperrt, können auf der URL rechtmäßige und rechtsverletzende Werke enthalten sein. Auch kann sich der Inhalt unter der URL ändern.

So führt das OLG Hamburg aus, dass urheberrechtlich geschützte Werke  gemeinfrei geworden sein und deshalb rechtmäßig auf der Webseite verfügbar sein könnten. Diese Argumentation kann durchaus noch dadurch erweitert und gestützt werden, dass auf einer geblockten Webseite Werke unter einer freien Lizenz, z.B. der GPL oder einer Creative Commons-Lizenz, angeboten werden könnten.

Overblocking kann im Übrigen praktisch zwangsläufig auch zu Schadensersatzansprüchen führen:

Erfolgte gleichwohl eine Sperrung dieser Angebote, so hätte dies eine nachhaltige Beeinträchtigung der Rechte Dritter zur Folge. Die Bekl. setzte sich in derartigen Fällen unter Umständen sogar Schadensersatz- sowie Unterlassungsansprüchen von Dritter Seite aus.

bb. Sperrmaßnahmen als Eingriff in Grundrechte

Das OLG Hamburg sieht denn auch in Sperrmaßnahmen einen klaren Eingriff in grundrechtlich geschützte Positionen. Dabei subsummiert es im Ergebnis nur unter das in Art. 10 GG und §§ 88 ff. TKG geregelte Fernmeldegeheimnis, stellt aber auch die Möglichkeit von Eingriffen in Art. 5 Abs. 1 GG (Meinungsfreiheit), Art. 12 Abs. 1 GG (Berufsfreiheit) und Art. 14 Abs. 1 GG (Eigentumsfreiheit) in den Raum.

Nach richtiger Auffassung des OLG Hamburg gehören alle mit dem Übertragungsvorgang zusammenhängenden Daten zu den Umständen der Telekommunikation und unterfallen daher dem Schutzbereich von Art. 10 GG. Dabei sieht das OLG Hamburg keinerlei Unterschied darin, ob der Zugriff manuell oder automatisiert geschieht. Die Ausführungen sind vermutlich entsprechendem Vortrag der Klägerin geschuldet. Immer wieder wird (insbesondere in den USA) behauptet, dass eine automatisierte Verarbeitung von Daten nicht zu einer Rechtsverletzung führen könne. Jedenfalls in Deutschland dürfte diese Auffassung kaum zu halten sein. Schon im Rahmen des Volkszählungsurteils hatte das Bundesverfassungsgericht die automatisierte Verarbeitung von Daten als besonders gefährlich bezeichnet. Es kann auch für den Betroffenen nicht darauf ankommen, ob seine Daten von einem Mensch oder einer Maschine zur Kenntnis genommen werden. Eine solche Einschränkung des Schutzbereichs sieht das auch das Gesetz nicht vor:

Dass ein Eingriff in das Fernmeldegeheimnis ausgeschlossen sein soll, wenn die dem Schutz der Norm unterliegenden Informationen lediglich im Rahmen automatisierter Vorgänge zur Erschwerung des Zugriffs auf ein Internetangebot genutzt werden, vermag der Senat der gesetzlichen Regelung des § 88 Abs. 3 TKG nicht zu entnehmen. Auch die Gesetzesbegründung zu § 82 TKG aF ist zu diesem Gesichtspunkt unergiebig (BT-Drs. 13/3609, 53).

Weiter führt das OLG Hamburg aus, dass dies zudem der Auffassung des Gesetzgebers entspreche, der bei DNS-Sperren ausweislich der Gesetzesformulierung von einem Eingriff in das Fernmeldegeheimnis ausgegangen sei.

Die Filterung von Datenverkehr sieht das OLG Hamburg übrigens als einen unmittelbaren Eingriff in den Kernbereich von Art. 10 GG. Die Filterung ist daher besonders sensibel.

Nach den vorstehenden Grundsätzen kommt eine Verpflichtung der Bekl. zur Filterung des Datenverkehrs erst recht nicht in Betracht. Denn dabei müsste die Bekl. nicht nur Kenntnis von Informationen über Umstände eines Telekommunikations-Vorgangs nehmen, sondern – darüber hinausgehend – auch von dessen Inhalt. Eine solche Maßnahme ginge mithin noch weiter als die dargestellten Sperrmaßnahmen und würde einen unmittelbaren Eingriff in den Kernbereich der durch Art. 10 Abs. 1 GG geschützten Vertraulichkeit der Telekommunikation darstellen.

Es ist vor diesem Hintergrund fraglich, ob die Auferlegung einer Pflicht zur Filterung des Datenverkehrs überhaupt gerechtfertigt werden kann. Diesen Abschnitt im Urteil des OLG Hamburg sollten alle Telekommunikationsdiensteanbieter, die sich der sog. Deep Packet Inspection bedienen, also der automatisierten Analyse von Paketinhalten, berücksichtigen. Er könnte dafür sprechen, dass der Einsatz von Deep Packet Inspection grundsätzlich unzulässig ist und jedenfalls ohne ausdrückliche Einwilligung des Nutzers nicht vorgenommen werden darf. Da die Kenntnisnahme von Inhalten des Telekommunikations-Datenverkehrs höchst sensibel ist, lässt sich nicht ausschließen, dass sich Telekommunikationsdiensteanbieter mit solchem Verhalten einem erheblichen Schadensersatzrisiko aussetzen. Wenn für die Durchführung einer Videoüberwachung heutzutage schon erhebliche Beträge an Schmerzensgeld angemessen sind, dann dürften ähnliche, wenn nicht höhere Beträge auch bei Einblick in den Datenverkehr auszusprechen sein. Auch eine außerordentliche Kündigung durch den Nutzer könnte mit dem Einsatz von Deep Packet Inspection beim Anbieter durchaus begründet werden.

cc. Rechtfertigung des Eingriffs nur durch Gesetz – nicht durch die Störerhaftung

Da die Verpflichtung zur Einrichtung von Sperrmaßnahmen wie dargestellt in Grundrechte der Nutzer eingreift, bedarf es nach richtiger Auffassung des OLG Hamburg einer gesetzlichen Grundlage für solche Maßnahmen. Eine gesetzliche Regelung müsste insbesondere mit Blick auf den Grundsatz der Verhältnismäßigkeit die Voraussetzungen einer Maßnahme im Einzelnen bestimmen.

Die Störerhaftung – begründet auf §§ 1004 BGB, 97 UrhG – stellt jedenfalls keine solche taugliche Grundlage dar.

3. Europarechtlicher Kontext

Die Entscheidung ist auch im Lichte der Entscheidung des EuGH, Urt. v. 27.3.2014 – C-314/12 – UPC vs. Constantin, zu sehen. In dieser Entscheidung hatte der EuGH die grundsätzliche Rechtmäßigkeit von Sperrmaßnahmen zu bewerten. Der EuGH hat entschieden dass die europäischen Grundrechte einer Anordnung von Sperrmaßnahmen gerade nicht grundsätzlich entgegen stehen. Dabei hat der EuGH insbesondere festgestellt, dass allein die Unwirksamkeit einer Maßnahme nicht dazu führt, dass sie nicht angeordnet werden darf. Schon die Erschwerung des Zugangs reiche hierfür aus.

Im Ergebnis kommt aber auch der EuGH zu dem Ergebnis, dass Sperrmaßnahmen im konkreten Einzelfall aufgrund nationaler Regelungen erfolgen müssen (EuGH, Rn. 43 ff.). Es ist nämlich Sache der Mitgliedsstaaten kollidierende Grundrechte miteinander in Einklang zu bringen (EuGH, Rn. 46). Dabei hat der EuGH interessanterweise auf Seiten der Internetnutzer nur auf die Informationsfreiheit, nicht aber auf das Fernmeldegeheimnis abgestellt (EuGH, Rn. 47, 56).

Eine solche Gesetzesgrundlage müsste zudem auch Rechte der betroffenen Internetnutzer vorsehen, Sperrmaßnahmen angreifen zu können. Auch hier gilt also: Ohne Gesetz keine Sperrmaßnahme – in einer Linie mit der Entscheidung des OLG Hamburg.

4. Ausblick

Das OLG Hamburg hat die Revision zugelassen, da Fragen grundsätzlicher Bedeutung berührt seien. Der BGH wird sich also möglicherweise demnächst zu diesen Fragen äußern. Die Revision ist beim BGH unter dem Az. I ZR 3/14 anhängig.

Der BGH wird daher endlich den Fall eines Access Providers verhandeln und entscheiden und hoffentlich zur (Nicht-)Anwendbarkeit der Rechtsprechung zur Störerhaftung des Host Providers auf den Access Provider Stellung nehmen.

Es lässt sich verständlicherweise nur schwer vorhersagen, wie der BGH urteilen wird. Allerdings hat der BGH wiederholt die Rechte der Internet Service Provider nach §§ 7 ff. TMG hoch bewertet – und in Ausgleich mit den Interessen der betroffenen Rechteinhaber zu stellen versucht. Es ist jedoch nicht ausgeschlossen, dass der BGH der Linie des OLG Hamburg folgt und für Sperrmaßnahmen eine gesetzliche Grundlage verlangt. Das Tauziehen um eine solche gesetzliche Grundlage dürfte dann erst richtig losgehen, ähnliche Kämpfe sind aus den vielen Reformen im Urheberrecht ja bekannt.

Die Entscheidung des EuGH in Sachen UPC vs. Constantin dürfte im Übrigen auf das zu erwartende Urteil des BGH keinen wesentlichen Einfluss haben. Denn zum einen verlangt auch der EuGH eine gesetzliche Grundlage für Sperranordnungen, zum anderen stützt das OLG Hamburg seine Entscheidung gerade nicht darauf, dass die verlangten Sperrmaßnahmen technisch ineffektiv sind. Und letztlich hat der EuGH in seiner Entscheidung das Fernmeldegeheimnis überhaupt nicht thematisiert. Der BGH wird dieses aber – auch aufgrund der starken Vorarbeit des OLG Hamburg – in seine Abwägung mit einbeziehen müssen.

 

Update: Zu dem Urteil hat auch Dr. Carlo Piltz in seinem Blog eine Anmerkung verfasst.

Aufsatz „Die (private) E-Mail-Nutzung im Unternehmen“ (Betriebs-Berater 2013, 889) erschienen

In eigener Sache:

Heute ist ein Aufsatz von Dr. Thomas Sassenberg und mir mit dem Titel „Die (private) E-Mail-Nutzung im Unternehmen“ in der Zeitschrift Betriebs-Berater (BB) 2013, S. 889 ff. erschienen.

Der Aufsatz beschäftigt sich insbesondere mit der Frage, welche Folgen es (in telekommunikations- und datenschutzrechtlicher Hinsicht) nach sich zieht, wenn der Arbeitergeber seinen Mitarbeitern die private Nutzung des betrieblichen E-Mail-Accounts gestattet. Diese Frage ist in Rechtsprechung und Literatur derzeit noch immer umstritten, wobei es maßgeblich auch um die Frage geht, wann bei E-Mails der Schutzbereich des Fernmeldegeheimnisses des Art. 10 GG (und §§ 88 ff. TKG) endet. Der Aufsatz geht auch auf einzelne typische Problembereiche und Lösungsansätze hierfür ein.

  • Weitere Publikationen s. hier.

Lesetipp: Kondziela: Staatsanwälte als Erfüllungsgehilfen der Musik- und Pornoindustrie? – Akteneinsicht in Filesharing-Verfahren, MMR 2009, 295

Andreas Kondziela, Oberstaatsanwalt in Darmstadt, hat in der MMR (2009, Heft 5, S. 295 ff.) einen Aufsatz zur Abwägung im Rahmen der Gewährung von Akteneinsicht nach § 406e StPO mit dem Titel „Staatsanwälte als Erfüllungsgehilfen der Musik- und Pornoindustrie? – Akteneinsicht in Filesharing-Verfahren“ veröffentlicht.

Der Aufsatz stellt das Akteneinsichtsrecht in sehr guter, umfassender Form dar (dazu s. auch schon Gietl/Mantz, CR 2008, 610, 613 ff.). Besonders gelungen sind die Ausführungen zur notwendigen Interessenabwägung, die leider einige Gerichte nicht oder nicht mit der gebotenen Sorgfalt vornehmen.
Der Autor geht dabei ausführlich auf die widerstreitenden Rechte der Beteiligten ein. Dabei streiten nach Ansicht Kondzielas auf Seiten der Rechteinhaber Art. 14 (Eigentum), 12 (Berufsfreiheit) und 2 I GG (allgemeine Handlungsfreiheit). Diese sieht er aber vorliegend als weitgehend nicht anwendbar an. Von daher seien nur zivilrechtliche Ansprüche (insbesondere nach den Grundsätzen der Störerhaftung) überhaupt ernsthaft in die Abwägung einzustellen.
Auf Seiten der Beschuldigten sieht Kondziela Art. 10 GG (Fernmeldegeheimnis) und das Recht auf informationelle Selbstbestimmung aus Art. 2 I i.V.m Art. 1 I GG.
Weiter geht Kondziela auf den maximal geringen Anfangsverdacht, den die Verwendung einer IP-Adresse und die von den Rechteinhabern und ihren beauftragten Unternehmen vorgelegten Unterlagen begründen.

In der Abwägung sieht Kondziela daher die Rechte des Beschuldigten als in aller Regel höher zu bewerten an:

„Da es [das Akteneinsichtsrecht] jedoch in erheblichem Umfang die Belange des Beschuldigten oder Dritter berührt, kann es nur nach umfassender Interessenabwägung gewährt werden. Dabei muss im Grundsatz von einem Widerstreit eines grundgesetzlich nicht geschützten Interesses an Akteneinsicht mit einer grundgesetzlich garantierten Position ausgegangen werden, woraus tendenziell und in der Regel ein Vorrang des verfassungsrechtlich verbürgten Rechts folgen dürfte, zumal die mit der Akteneinsicht verfolgten zivilrechtlichen Ansprüche aus Störerhaftung von durchaus zweifelhafter Natur sind.“

Kondziela nimmt im Rahmen seines Aufsatzes (u.a.) zu zwei weiteren wesentlichen Fragen Stellung:

1. Störerhaftung
Der Autor sieht insbesondere die Begründung der Störerhaftung sehr kritisch und bezieht sich auch auf das Urteil des OLG Frankfurt (s. dazu hier; außerdem Mantz/Gietl, MMR 2008, 606):

„Die gegenteilige Ansicht, wonach allein das Betreiben einer nicht hinreichend verschlüsselten WLAN-Verbindung die zivilrechtliche Störerhaftung auslösen soll, ist viel zu weitgehend und überschreitet die Grenzen der Zumutbarkeit. Das Benutzen eines WLAN-Anschlusses ist eine äußerlich neutrale Handlung, welche ohne Hinzutreten weiterer vorwerfbarer Umstände keine Haftung auslösen kann. Ansonsten könnte man mit der gleichen Begründung auch den Eigentümer eines Hammers, welcher unverschlossen im Werkzeugkasten aufbewahrt wird und durch Diebstahl abhanden kommt, woraufhin der Dieb damit eine Sachbeschädigung begeht, mit der Störerhaftung überziehen.“

2. IP-Adresse als Verkehrsdatum

Ferner geht der Autor auf den durch Art. 10 GG gewährten Schutz im Hinblick auf die IP-Adresse ein:

„Auskunftsersuchen an Access-Provider und die daraufhin mitgeteilten und in der Ermittlungsakte dokumentierten Angaben über die Person des Inhabers einer beim Filesharing verwendeten IP-Adresse greifen daher in den Schutzbereich des Fernmeldegeheimnisses ein. Soweit die Rechtsprechung insoweit gelegentlich anführt, dass der Anbieter von Musikdateien in einer sog. Internettauschbörse selbst die IP-Adresse preisgebe, ist Letzteres technisch bedingt und sicherlich nicht i.S.e. freiwilligen Entäußerung geschützter grund- und datenschutzrechtlicher Belange zu verstehen, sodass daraus keine Abschwächung des Grundrechtsschutzes abgeleitet werden kann. Bereits im Zusammenhang mit der Einführung der sog. Online-Durchsuchung ist zu Recht darauf hingewiesen worden, dass allein durch den Anschluss an das Internet kein Grundrechtsverzicht erfolgt. I.Ü. ist zweifelhaft, ob und inwieweit der Betroffene über den Grundrechtsschutz überhaupt disponieren kann.“

Insgesamt ein sehr lesenswerter Artikel, der die strafprozessuale Sicht verdeutlicht (, die sich wie der Autor zeigt gar nicht so sehr von der zivilrechtlichen Prüfung/Abwägung unterscheidet).