Schlagwort-Archive: Vorratsdatenspeicherung

Gesetz zur Vorratsdatenspeicherung: Keine Speicherpflicht für WLANs (Update)

Ich hatte am 20.5.2015 hier im Blog unter dem Titel „Die geplante Vorratsdatenspeicherung und WLAN-Hotspots – (Kein) Untergang für WLANs?“ schon einmal zum Anwendungsbereich des neuen Vorratsdatenspeicherungsgesetzes geschrieben und war damals zum Schluss gekommen, dass (der Großteil der) Betreiber von WLANs wohl nicht nach § 113a TKG speichern müsste.

Nun hat der Bundestag heute in namentlicher Abstimmung den „Entwurf eines Gesetzes zur Einfu?hrung einer Speicherpflicht und einer Ho?chstspeicherfrist fu?r Verkehrsdaten“ (mit geringen Änderungen) verabschiedet.

Meine damals geäußerte Auffassung ist nun durch den Bundestag bestätigt worden. In der Gesetzesbegründung wird nämlich auf S. 37 ausdrücklich auf die Mitteilung Nr. 149/15 der Bundesnetzagentur Bezug genommen (zu deren Auswirkungen Sassenberg/Mantz, MMR 2015, 428). Darin heißt es (Hervorhebungen hier):

„Zu § 113a TKG-E

Die Vorschrift beschreibt den Kreis der zur Speicherung Verpflichteten. Nach Absatz 1 Satz 1 richten sich die Speicherpflichten an diejenigen, die öffentlich zugängliche Telekommunikationsdienste im Sinne von § 3 Nr. 6 a) TKG erbringen, also nicht an diejenigen, die lediglich daran mitwirken. Erbringer zeichnen sich dadurch aus, dass den Kunden regelmäßig ein eigener, in der Regel auf unbestimmte Dauer angelegter, Telekommunikationsanschluss zur selbständigen Verwendung überlassen wird. Nicht verpflichtet sind demnach Anbieter, die ihren Kunden nur eine kurzzeitige Nutzung des Telekommunikationsanschlusses ermöglichen, zum Beispiel Betreiber von Hotels, Restaurants und Cafés, die ihren Kunden eine Telefon- oder Internetnutzung zur Verfügung stellen (zur näheren Bestimmung des Begriffs des „Erbringens“ vergleiche die Mitteilung Nr. 149/2015 im Amtsblatt der Bundesnetzagentur). Die Regelung des Satzes 2 umfasst im Vergleich zu § 113a Absatz 1 Satz 2 TKG a. F. nunmehr sowohl den Fall, dass der Erbringer öffentlich zugänglicher Telekommunikationsdienste keine der nach dieser Vorschrift zu speichernden Daten selbst erzeugt und verarbeitet, als auch den Fall, dass er nur einige, aber nicht alle der zu speichernden Daten selbst erzeugt und verarbeitet. Die Verpflichtung zur Sicherstellung der Speicherung nach Satz 2 besteht jedoch nur, soweit die Daten bei der Erbringung des Dienstes erzeugt oder verarbeitet werden.“

Damit gilt wohl als sicher, was ich im letzten Beitrag geschrieben hatte:

„Dabei sieht die Bundesnetzagentur die Betreiber von WLAN-Hotspots in Cafés, Hotels etc., die lediglich ihren Internetanschluss mit anderen teilen und den Nutzern nicht einen eigenen Telekommunikationsanschluss zur Verfügung stellen, nicht als „Erbringer“ an, sondern lediglich als „Mitwirkende“ an einem Telekommunikationsdienst. Es ist ein wenig komplizierter als hier dargestellt – wer mag, schaue sich das im Amtsblatt an –  aber im Grunde sagt die Bundesnetzagentur, dass Betreiber von WLAN-Hotspots (in der Regel) keinen TK-Dienst „erbringen“. Man kann das dogmatisch kritisieren und es hat möglicherweise auch Folgen, die die Bundesnetzagentur vielleicht nicht bedacht hat.

Wenn man allerdings die Auslegung der Bundesnetzagentur ernst nimmt (und sie ist diejenige, die auf die Durchsetzung der Regeln des TKG, also auch der Vorratsdatenspeicherung nach § 113a TKG achtet, siehe § 115 TKG), dann findet § 113a TKG-E bzw. die gesamte Pflicht zur Vorratsdatenspeicherung auf WLANs keine Anwendung!“

Kein großer Sieg, aber jedenfalls ein Wermutstropfen für alle WLAN-Betreiber.

 

Update (16.10.2015, 21:30h): Mir ist mitgeteilt worden, dass Mitglieder der Regierungsparteien auch die Auswirkungen für Freifunk schon erfasst haben:

„Nutzer der Freifunk-Idee gelten nach Auffassung der BNetzA demnach in der Regel nicht als Erbringer von TK-Diensten. Inwieweit der Freifunker e.V. als Erbringer einzustufen ist, wird von der Bundesnetzagentur derzeit untersucht.“

Auf dem Fast-Track: Bundesregierung notifiziert EU-Kommission über Entwurf zur (neuen) Vorratsdatenspeicherung

Nach der Europäischen Richtlinie 98/34/EG müssen Mitgliedsstaaten „Technische Vorschriften“ im Sinne von Art. 1 Nr. 11 RL 98/34/EG  bei der EU-Kommission notifizieren (mehr dazu vom Wissenschaftlichen Dienst des Bundestages hier, PDF). Zu diesen „technischen Vorschriften“ gehören auch Normen, die Dienste der Informationsgesellschaft betreffen, also vereinfacht gesagt insbesondere Regelungen im Zusammenhang mit Telekommunikation und Telemedien.

Diese sogenannte TRIS-Notifizierung hat die Bundesregierung nun am 5.6.2015 vorgenommen (der gemeldete Gesetzestext findet sich hier) und damit die Weichen für das Gesetz zur Wiedereinführung der Vorratsdatenspeicherung weiter auf „Vorwärts“ geschaltet.

Aus der Notifizierung:

„8. Inhaltszusammenfassung
Das Gesetz führt eine Pflicht für die Erbringer öffentlich zugänglicher Telekommunikationsdienste ein, bestimmte Verkehrsdaten für eine Dauer von vier Wochen (Standortdaten) bzw. zehn Wochen (Verbindungsdaten) zu speichern und macht Vorgaben, die die Sicherheit der gespeicherten Daten gewährleisten sollen.

9. Kurze Begründung
Seitdem das deutsche Gesetz zur Umsetzung der Richtlinie 2006/24/EG von dem Bundesverfassungsgericht für nichtig erklärt worden ist (Urteil vom 2. März 2010, BVerfGE 125, 260) gibt es in Deutschland keine Pflicht für Erbringer öffentlich zugänglicher Telekommunikationsdienste, Verkehrsdaten ihrer Kunden zu speichern. Um Schutzlücken bei der Strafverfolgung und der Gefahrenabwehr zu schließen, führt das Gesetz eine solche ein. Das Gesetz macht von der Ermächtigung in Artikel 15 Absatz 1 der Richtlinie 2002/58/EG Gebrauch und setzt die Vorgaben des Gerichtshofs der Europäischen Union (Urteil vom 8. April 2014) um.

15. Folgenabschätzung
Für die Erbringer öffentlich zugänglicher Telekommunikationsdienste entsteht durch die Erfüllung der im Gesetz vorgesehenen Speicherpflicht und die damit verbundenen Regelungen zur Verwendung der Daten, zur Gewährleistung der Datensicherheit und Datenqualität, zur Protokollierung der Zugriffe auf die Daten sowie zur Aufnahme bestimmter Angaben in das zu erstellende Sicherheitskonzept ein zusätzlicher Aufwand. Dieser ist derzeit nicht bezifferbar. Vgl. im Einzelnen S. 3 f. und 31 ff. des Entwurfs.“

Die EU-Kommission und die u?brigen EU-Mitgliedsstaaten haben nach der Notifizierung drei Monate Zeit, um Bemerkungen vorzubringen (Art. 8 Abs. 2, 9 Abs. 1 RL 98/34/EG). Während dieser Zeit, also bis zum 7.9.2015 gilt eine Stillhaltefrist, in der das Gesetz nach Art. 9 Abs. 1 RL 98/34/EG nicht „angenommen“ werden darf. Demensprechend könnte das Gesetz frühestens im September 2015 in Kraft treten.

Es bleibt abzuwarten, ob die EU-Kommission oder die anderen Mitgliedsstaaten hier Einwände erheben werden. Dies ist nicht ganz fernliegend, da der Wissenschaftliche Dienst des Europäischen Parlaments im Januar 2015 herausgestellt hatte, dass auch nationale Regelungen zur Vorratsdatenspeicherung mit dem EuGH-Urteil, mit dem die entsprechende Richtlinie gekippt worden war, nicht mit europäischem Recht vereinbar sein dürften. Auf der anderen stehen aber wohl zumindest einige Mitgliedsstaaten einer (jeweils) nationalen Neuregelung eher positiv gegenüber. Die Bundesregierung stellt sich ja letztlich auch auf den Standpunkt, dass der Entwurf die gerichtlichen Vorgaben beachtet, was ihr viel Kritik eingebracht hat.

Wenn aber im Rahmen des Notifizierungsverfahrens Einwände erhoben werden, könnte dies für die Bundesregierung unangenehm werden, da sie dann noch weiter in Erklärungsdruck kommten würde. Grundsätzlich sieht die RL 98/34/EG sogar vor, dass nationale Gesetzesentwürfe für 12 oder 18 Monate blockiert werden können. Voraussetzung dafür wäre aber, dass die EU eine Richtlinie plant, die den Gegenstand des nationalen Gesetzes betrifft. Das ist aber derzeit wohl eher nicht der Fall.

Die Notifizierung zeigt also jedenfalls den Zeitplan der Bundesregierung. Immerhin drei Monate bleiben aber, um noch Einfluss zu nehmen.

Die geplante Vorratsdatenspeicherung und WLAN-Hotspots – (Kein) Untergang für WLANs?

Netzpolitik.org hat den derzeitigen Regierungsentwurf zur Wiedereinführung der Vorratsdatenspeicherung (euphemistisch als Höchstspeicherfrist bezeichnet) veröffentlicht (PDF). Bei Zeit-Online werden die Folgen der Vorratsdatenspeicherung diskutiert.

Zeit-Online sieht WLANs in der Pflicht zur Einrichtung der Vorratsdatenspeicherung, Rechtsanwalt Härting prophezeit im Interview das endgültige Aus für WLANs:

„Hat der Entwurf Auswirkungen auf andere Personen? Ja. Neben den Whistleblowern könnte er Anbietern von freien WLAN-Zugängen erhebliche Schwierigkeiten bereiten. Denn er verpflichtet alle „Erbringer öffentlich zugänglicher Telekommunikationsdienste“, solche Daten zu speichern. Das sind nicht nur Telekommunikationsunternehmen. Im Zweifel betrifft das Gesetz jeden Cafébetreiber, der einen öffentlichen WLAN-Knoten zur Verfügung stellt. Verfassungsrechtler Härting sagt: „Das wäre das endgültige Aus für WLAN im öffentlichen Raum.“

Es stellt sich allerdings die Frage, ob das tatsächlich der Fall ist. Um es gleich vorweg zu nehmen: Eine eindeutige Antwort kann ich hier nicht geben. Es gibt aber – auch wenn die Vorratsdatenspeicherung kommt – guten Grund zur Hoffnung:

1. Der Gesetzesentwurf: Verpflichtet sind „Erbringer“ von öffentlichen TK-Diensten

§ 113a Abs. 1 TKG-E soll nach dem VDS-Entwurf u.a. lauten (Hervorhebung hier):

„Die Verpflichtungen zur Speicherung von Verkehrsdaten, zur Verwendung der Daten und zur Datensicherheit nach den §§ 113b bis 113g beziehen sich auf Erbringer öffentlich zugänglicher Telekommunikationsdienste. Wer öffentlich zugängliche Telekommunikationsdienste erbringt, aber nicht alle der nach Maßgabe der nachstehenden Regelungen zu speichernden Daten selbst erzeugt oder verarbeitet, hat (1) sicherzustellen, dass die nicht von ihm selbst bei der Erbringung seines Dienstes erzeugten oder verarbeiteten Daten gemäß § 113b Absatz 1 gespeichert werden, und (2) der Bundesnetzagentur auf deren Verlangen unverzüglich mitzuteilen, wer diese Daten speichert.“

Nun ist die Frage, wer „Erbringer öffentlicher TK-Dienste“ ist. Nach bisheriger, eindeutiger Auffassung in der Literatur wohl auch der Betreiber eines WLAN-Hotspots (Sassenberg/Mantz, WLAN und Recht, 2014, Rn. 33 m.w.N.).

2. Die neue Auslegung der Bundesnetzagentur

Hier kommt nun aber eine am 4.3.2015 veröffentlichte Mitteilung der Bundesnetzagentur zur Meldepflicht nach § 6 TKG (Nr. 149/2015) (PDF) in Spiel (s. dazu kurz hier). Dr. Thomas Sassenberg und ich haben uns diese Mitteilung vor kurzem genauer angesehen, das Ergebnis wird im Juni- oder Juli-Heft der Zeitschrift Multimedia und Recht (MMR) in einem Beitrag unter dem Titel „Die Meldepflicht nach § 6 TKG – Die Mitteilung Nr. 149/2015 der Bundesnetzagentur und ihre Folgen“ erscheinen.

Warum ist diese Mitteilung hier relevant? Nun, die Bundesnetzagentur hat in der Mitteilung Nr. 149/2015 festgelegt, wie sie in Zukunft den Begriff des „Erbringens“ von Telekommunikationsdiensten auslegen will.

Dabei sieht die Bundesnetzagentur die Betreiber von WLAN-Hotspots in Cafés, Hotels etc., die lediglich ihren Internetanschluss mit anderen teilen und den Nutzern nicht einen eigenen Telekommunikationsanschluss zur Verfügung stellen, nicht als „Erbringer“ an, sondern lediglich als „Mitwirkende“ an einem Telekommunikationsdienst. Es ist ein wenig komplizierter als hier dargestellt – wer mag, schaue sich das im Amtsblatt an –  aber im Grunde sagt die Bundesnetzagentur, dass Betreiber von WLAN-Hotspots (in der Regel) keinen TK-Dienst „erbringen“. Man kann das dogmatisch kritisieren und es hat möglicherweise auch Folgen, die die Bundesnetzagentur vielleicht nicht bedacht hat.

Wenn man allerdings die Auslegung der Bundesnetzagentur ernst nimmt (und sie ist diejenige, die auf die Durchsetzung der Regeln des TKG, also auch der Vorratsdatenspeicherung nach § 113a TKG achtet, siehe § 115 TKG), dann findet § 113a TKG-E bzw. die gesamte Pflicht zur Vorratsdatenspeicherung auf WLANs keine Anwendung!

Das WLAN-Sterben wird also – jedenfalls aufgrund der Vorratsdatenspeicherung im aktuellen Entwurf – voraussichtlich nicht einsetzen. Problematischer ist insoweit der Referentenentwurf zur Änderung von § 8 TMG.

Im Übrigen ist das auch tatsächlich kein echtes Problem, denn der „echte Erbringer des TK-Dienstes“, also derjenige, der z.B. den DSL-Anschluss zur Verfügung stellt, der über WLAN geteilt wird, der muss ja nach § 113a TKG-E speichern. Eine Schutzlücke gibt es – ähnlich wie das ja auch in dem Zusammenspiel von § 113a Abs. 1 Satz 1 und Satz 2 TKG-E ersichtlich wird (siehe dazu S. 40/41 der Begründung zum Referentenentwurf) – nicht.

Unklar ist, ob die Bundesregierung hieran gedacht hat. Es ist allerdings damit zu rechnen bzw. zu hoffen, dass sie sich mit der Bundesnetzagentur abgestimmt hat, und die hätte wohl darauf hingewiesen.

3. Verbindlichkeit der Auslegung der Bundesnetzagentur auch für § 113a TKG-E

Eines ist noch zu beachten: Eigentlich hat sich die Bundesnetzagentur in der Mitteilung Nr. 149/2015 nur mit der Meldepflicht nach § 6 TKG auseinandergesetzt und nicht mit anderen Normen. Allerdings nutzt sie hierfür eben eine andere Auslegung eines Begriffs, der sich in einer Vielzahl von Normen des TKG wiederfindet, nämlich des „Erbringers von öffentlichen TK-Diensten“. Und es gibt aus meiner Sicht keinen logischen und rechtsdogmatisch haltbaren Grund, die Auslegung des Begriffs in § 6 TKG anders zu handhaben als in anderen Normen. In diese Richtung gehen auch Äußerungen von Mitarbeitern der Bundesnetzagentur, von denen ich gehört habe. Hier wurde auf einem Treffen im Hinblick auf die Verpflicht zur TK-Überwachung (nach § 110 TKG) wohl geäußert, dass die TK-Überwachung WLAN-Hotspots nicht treffe, die gar keinen öffentlichen TK-Dienst „erbringen“. Dementsprechend will die Bundesnetzagentur den Begriff wohl über das gesamte TKG  einheitlich auslegen.

EuGH erklärt Vorratsdatenspeicherungsrichtlinie für ungültig – kurze Analyse

Mit Urteil vom 8.4.2014 hat der Europäische Gerichtshof (EuGH) die Richtlinie 2006/24/EG zur Vorratsdatenspeicherung (VSRL) für ungültig erklärt (Volltext hier).

Der Tenor (der im Urteil am Ende steht) hier gleich vorab:

Die Richtlinie 2006/24/EG … über die Vorratsspeicherung von Daten … ist ungültig.

Auf die Vorlagefragen des österreichischen Verfassungsgerichtshofs und des irischen High Court möchte ich hier nicht näher eingehen. Sie lassen sich – zumindest nach dem eindeutigen Ergebnis des EuGH – zusammenfassen als: Ist die Richtlinie 2006/24/EG mit den in der EU-Grundrechte-Charta (GRC) niedergelegten Grundrechten vereinbar?

1. Einführung und Auswirkungen

Der EuGH hat sich hier auf die Prüfung von Art. 7 und 8 GRC beschränkt. Diese lauten:

Art. 7 GRC:

Jede Person hat das Recht auf Achtung ihres Privat- und Familienlebens, ihrer Wohnung sowie ihrer Kommunikation.

Art. 8 GRC:

(1) Jede Person hat das Recht auf Schutz der sie betreffenden personenbezogenen Daten.

(2) Diese Daten dürfen nur nach Treu und Glauben für festgelegte Zwecke und mit Einwilligung der betroffenen Person oder auf einer sonstigen gesetzlich geregelten legitimen Grundlage verarbeitet werden. Jede Person hat das Recht, Auskunft über die sie betreffenden erhobenen Daten zu erhalten und die Berichtigung der Daten zu erwirken. …

Zunächst stellt der EuGH fest, um was für Daten es sich bei den nach der VSRL handelt (Rn. 26):

… bei den Daten, die …  auf Vorrat zu speichern sind, [handelt es sich] u. a. um die zur Rückverfolgung und Identifizierung der Quelle und des Adressaten einer Nachricht sowie zur Bestimmung von Datum, Uhrzeit, Dauer und Art einer Nachrichtenübermittlung, … benötigten Daten handelt, zu denen Name und Anschrift des Teilnehmers oder registrierten Benutzers, die Rufnummer des anrufenden Anschlusses und des angerufenen Anschlusses sowie bei Internetdiensten eine IP-Adresse gehören. Aus diesen Daten geht insbesondere hervor, mit welcher Person ein Teilnehmer oder registrierter Benutzer auf welchem Weg kommuniziert hat, wie lange die Kommunikation gedauert hat und von welchem Ort aus sie stattfand. Ferner ist ihnen zu entnehmen, wie häufig der Teilnehmer oder registrierte Benutzer während eines bestimmten Zeitraums mit bestimmten Personen kommuniziert hat.

Diesen Daten spricht der EuGH – in Übereinstimmung mit allen in den letzten Jahren gewonnenen Erkenntnissen – eine hohe Bedeutung zu, auch wenn es sich „nur“ um sog. Metadaten handelt (Rn. 27):

Aus der Gesamtheit dieser Daten können sehr genaue Schlüsse auf das Privatleben der Personen, deren Daten auf Vorrat gespeichert wurden, gezogen werden, etwa auf Gewohnheiten des täglichen Lebens, ständige oder vorübergehende Aufenthaltsorte, tägliche oder in anderem Rhythmus erfolgende Ortsveränderungen, ausgeübte Tätigkeiten, soziale Beziehungen dieser Personen und das soziale Umfeld, in dem sie verkehren.

Dabei sieht der EuGH auch Auswirkungen auf die Ausübung der Meinungsfreiheit (Rn. 28),  der Privatheit und des Datenschutzes (Rn. 29):

Unter solchen Umständen ist es … nicht ausgeschlossen, dass die Vorratsspeicherung der fraglichen Daten Auswirkungen auf die Nutzung der … Kommunikationsmittel durch die Teilnehmer oder registrierten Benutzer und infolgedessen auf deren Ausübung der durch Art. 11 der Charta gewährleisteten Freiheit der Meinungsäußerung hat.

Die in der Richtlinie 2006/24 vorgesehene Vorratsspeicherung der Daten … betrifft unmittelbar und speziell das Privatleben und … fällt zudem unter Art. 8 der Charta …

2. Eingriff

Anschließend stellt der EuGH fest, dass die Speicherung einen Eingriff in Art. 7 und Art. 8 GRC darstellt (Rn. 34-36). Dabei ist bemerkenswert, dass der EuGH hier ausdrücklich differenziert: Schon die Speicherung der Daten stellt einen Eingriff dar. Der Zugriff auf die Daten ist ein weiterer, separater Eingriff! Dieser Befund des EuGH kann nicht genug hervorgehoben werden. Immer wieder hört man nämlich Argumente ähnlich folgender Zusammenfassung:

Die Speicherung von Daten stellt kein Problem dar. Erst durch den Zugriff auf die gespeicherten entsteht ein Grundrechtseingriff. Daher ist es ausreichend, wenn wir den Zugriff auf die Daten erheblich beschränken und sichern.

Diesem Argumentsweg hat der EuGH (hoffentlich endgültig) den Boden entzogen und klargestellt, dass bereits die Speicherung von Daten einer grundrechtlichen Rechtfertigung bedarf (Rn. 34, 35):

Daraus folgt, dass die … Pflicht, … Daten über das Privatleben einer Person und ihre Kommunikationsvorgänge … auf Vorrat zu speichern, als solche einen Eingriff in die durch Art. 7 der Charta garantierten Rechte darstellt.

Zudem stellt der Zugang der zuständigen nationalen Behörden zu den Daten einen zusätzlichen Eingriff in dieses Grundrecht dar …

Diese Eingriffe sieht der EuGH als schwerwiegend an, außerdem könne bei den Betroffenen ein Gefühl der ständigen Überwachung entstehen, wobei die Folgen davon generell auch als „chilling effect“ bezeichnet werden (Rn. 37):

Der … Eingriff … ist … von großem Ausmaß und als besonders schwerwiegend anzusehen. Außerdem ist der Umstand, dass die Vorratsspeicherung der Daten und ihre spätere Nutzung vorgenommen werden, ohne dass der Teilnehmer oder der registrierte Benutzer darüber informiert wird, geeignet, bei den Betroffenen … das Gefühl zu erzeugen, dass ihr Privatleben Gegenstand einer ständigen Überwachung ist.

3. Rechtfertigung

Nächster Schritt ist die Prüfung der Rechtfertigung der Eingriffe. Zunächst stellt der EuGH fest, dass trotz des schwerwiegenden Eingriffs die betroffenen Grundrechte nicht in ihrem Wesensgehalt betroffen sind (Rn. 38-40).

Anschließend beschäftigt sich der EuGH damit, ob der Eingriff gerechtfertigt ist. Dafür prüft er in dem vom EuGH bekannten Drei-Schritt (Legitimer Zweck, Geeignetheit, Erforderlichkeit), wobei die aus der deutschen Prüfung („Angemessenheit“) bekannte Verhältnismäßigkeitsprüfung Teil der Erforderlichkeitsprüfung ist.

Als Ziel der Richtlinie sieht der EuGH die Bekämpfung schwerer Kriminalität und den Schutz der öffentlichen Sicherheit (Rn. 41). Dies ist interessant, weil nach den Erwägungsgründen der VSRL Zielsetzung die Harmonisierung war (zur Rechtsgrundlage der VSRL s. hier). Der EuGH sieht das Ziel als einen legitimen Zweck der Richtlinie an, wobei er auch auf das in Art. 6 GRC niedergelegte Recht auf Freiheit und Sicherheit verweist (Rn. 42-44).

Die Vorratsdatenspeicherung sieht der EuGH auch als geeignet zur Erreichung des Zwecks an (Rn. 46, 49 f.).

Zu der Frage, ob die Vorratsspeicherung … geeignet ist, ist festzustellen, dass … die … auf Vorrat zu speichernden Daten den für die Strafverfolgung zuständigen nationalen Behörden zusätzliche Möglichkeiten zur Aufklärung schwerer Straftaten bieten und insoweit daher ein nützliches Mittel für strafrechtliche Ermittlungen darstellen. Die Vorratsspeicherung solcher Daten kann somit als zur Erreichung des mit der Richtlinie verfolgten Ziels geeignet angesehen werden.

Dabei sollte man nicht vergessen, dass die Geeignetheitsprüfung im Zusammenhang mit Grundrechten keine allzu strengen Anforderungen stellt. Der Umstand, dass bisher in Studien nicht nachgewiesen werden konnte, dass die Vorratsdatenspeicherung einen spürbaren Effekt auf die Kriminalitätsbekämpfung hatte, spielt hier praktisch keine Rolle. Solange auch in Einzelfällen die Vorratsdatenspeicherung bei der Bekämpfung von Kriminalität hilfreich ist/war, dürfte Geeignetheit in diesem Sinne vorliegen. Die generelle Spürbarkeit, die in den Studien verneint wird, ist daher eher ein Element der Erforderlichkeits-/Verhältnismäßigkeitsprüfung.

Die Erforderlichkeit und Verhältnismäßigkeit sieht der EuGH allerdings insgesamt nicht als gegeben an, insbesondere da die VSRL – im Lichte eines erheblichen Eingriffs in die Grundrechte aller EU-Bürger – keinerlei effektive Einschränkungen enthält, wobei der EuGH insbesondere die Gefahr der automatischen Verarbeitung der Daten hervorhebt (Rn. 51 ff.):

Die Bekämpfung schwerer Kriminalität, insbesondere der organisierten Kriminalität und des Terrorismus …  kann … für sich genommen die Erforderlichkeit einer Speicherungsmaßnahme … für die Kriminalitätsbekämpfung nicht rechtfertigen.

Der Schutz des Grundrechts auf Achtung des Privatlebens verlangt …, dass sich die Ausnahmen vom Schutz personenbezogener Daten und dessen Einschränkungen auf das absolut Notwendige beschränken müssen. … Daher muss die fragliche Unionsregelung klare und präzise Regeln für die Tragweite und die Anwendung der fraglichen Maßnahme vorsehen und Mindestanforderungen aufstellen, so dass die Personen, deren Daten auf Vorrat gespeichert wurden, über ausreichende Garantien verfügen, die einen wirksamen Schutz ihrer personenbezogenen Daten vor Missbrauchsrisiken sowie vor jedem unberechtigten Zugang zu diesen Daten und jeder unberechtigten Nutzung ermöglichen.

Das Erfordernis, über solche Garantien zu verfügen, ist umso bedeutsamer, wenn die personenbezogenen Daten … automatisch verarbeitet werden und eine erhebliche Gefahr des unberechtigten Zugangs zu diesen Daten besteht.

… nach Art. 3 dieser Richtlinie in Verbindung mit ihrem Art. 5 Abs. 1 [werden] alle Verkehrsdaten betreffend Telefonfestnetz, Mobilfunk, Internetzugang, Internet-E-Mail und Internet- Telefonie auf Vorrat zu speichern sind. … Außerdem erfasst die Richtlinie … alle Teilnehmer und registrierten Benutzer. Sie führt daher zu einem Eingriff in die Grundrechte fast der gesamten europäischen Bevölkerung.

[Die Speicherung wird] generell auf alle Personen und alle elektronischen Kommunikationsmittel sowie auf sämtliche Verkehrsdaten erstreckt, ohne irgendeine Differenzierung, Einschränkung oder Ausnahme anhand des Ziels der Bekämpfung schwerer Straftaten vorzusehen. …

… Zudem sieht [die Richtlinie] keinerlei Ausnahme vor, so dass sie auch für Personen gilt, deren Kommunikationsvorgänge nach den nationalen Rechtsvorschriften dem Berufsgeheimnis unterliegen.

Zum anderen soll die Richtlinie zwar zur Bekämpfung schwerer Kriminalität beitragen, verlangt aber keinen Zusammenhang zwischen den Daten, deren Vorratsspeicherung vorgesehen ist, und einer Bedrohung der öffentlichen Sicherheit; insbesondere beschränkt sie die Vorratsspeicherung weder auf die Daten eines bestimmten Zeitraums und/oder eines bestimmten geografischen Gebiets und/oder eines bestimmten Personenkreises, der in irgendeiner Weise in eine schwere Straftat verwickelt sein könnte, noch auf Personen, deren auf Vorrat gespeicherte Daten aus anderen Gründen zur Verhütung, Feststellung oder Verfolgung schwerer Straftaten beitragen könnten.

Überdies enthält die Richtlinie 2006/24 keine materiell- und verfahrensrechtlichen Voraussetzungen für den Zugang der zuständigen nationalen Behörden zu den Daten und deren spätere Nutzung.

… sieht die Richtlinie 2006/24 kein objektives Kriterium vor, das es erlaubt, die Zahl der Personen, die zum Zugang zu den auf Vorrat gespeicherten Daten und zu deren späterer Nutzung befugt sind, auf das angesichts des verfolgten Ziels absolut Notwendige zu beschränken. Vor allem unterliegt der Zugang der zuständigen nationalen Behörden zu den auf Vorrat gespeicherten Daten keiner vorherigen Kontrolle durch ein Gericht oder eine unabhängige Verwaltungsstelle, deren Entscheidung den Zugang zu den Daten und ihre Nutzung auf das zur Erreichung des verfolgten Ziels absolut Notwendige beschränken soll …

Anschließend kommt einer der Kernsätze des Urteils (Rn. 65):

Aus dem Vorstehenden folgt, dass die Richtlinie 2006/24 keine klaren und präzisen Regeln zur Tragweite des Eingriffs in die in Art. 7 und Art. 8 der Charta verankerten Grundrechte vorsieht. Somit ist festzustellen, dass die Richtlinie einen Eingriff in diese Grundrechte beinhaltet, der in der Rechtsordnung der Union von großem Ausmaß und von besonderer Schwere ist, ohne dass sie Bestimmungen enthielte, die zu gewährleisten vermögen, dass sich der Eingriff tatsächlich auf das absolut Notwendige beschränkt.

Außerdem seien keinerlei Vorkehrungen dafür getroffen, dass die von den TK-Unternehmen gespeicherten Daten auch wirklich sicher sind (Rn. 66 ff.) und nach Ablauf der Speicherfrist unwiderruflich vernichtet werden. Die Richtlinie hätte nach Ansicht des EuGH klare Vorgaben zur sicheren Speicherung der Daten enthalten müssen. Angesichts der in den letzten Jahren vielen bekannt gewordenen Datenlecks ist allerdings unklar, ob solche Sicherungsmaßnahmen dann einen solchen interessanten Honeypot wie die Sammlung von Verkehrsdaten von Millionen von Menschen überhaupt wirksam werden schützen können. Im Grunde müssten – neben anderen Sicherungsvorkehrungen – die Daten – ähnlich wie bei Passwörtern – so stark verschlüsselt werden, dass ein Angreifer selbst bei einem Zugriff auf den Datenpool damit nichts anfangen kann …

Da ein Verstoß gegen Art. 7 und 8 GRC feststand, hat sich der EuGH mit Art. 11 GRC gar nicht mehr befasst.

4. Fazit und Ausblick

Ich persönlich bin von der Klarheit des Urteils überrascht. Wer die Ausführungen des Generalanwalts (s. hier) studiert hat, wird vermutlich ähnlich wie ich die Möglichkeit einer Aufrechterhaltung der Richtlinien unter Vorlagen für möglich oder gar wahrscheinlich gehalten haben. Die VSRL ist nun erst einmal vom Tisch. Allerdings ist nicht zu vergessen, dass der EuGH festgestellt hat, dass die Regelung einer Vorratsdatenspeicherung den Wesensgehalt von Art. 7, 8 GRC nicht so wesentlich antastet, dass sie per se unzulässig ist! Mit den entsprechenden Vorkehrungen – die der EuGH für den Gesetzgeber dankenswerter Weise zumindest beispielhaft konkretisiert hat – könnte eine Vorratsdatenspeicherung also wieder eingeführt werden.

Andererseits ist es schwierig, sich eine Regelung vorzustellen, die den Anforderungen des EuGH genügt. Denn der EuGH hat nicht nur festgestellt, dass der Zugriff auf die Daten geregelt werden muss. Dann hätte der (europäische und nationale) Gesetzgeber viele schöne Einschränkungen vorgesehen, um Personengruppen (wie Geheimnisträger und Unschuldige) auszunehmen, hätte verfahrensrechtliche Anforderungen stellen können (Richtervorbehalt oder ähnliches), Sicherheit der Daten ins Gesetz aufgenommen und in Kürze hätten wir eine neue Richtlinie oder ein neues (nationales) Gesetz. Nein, nach dem Urteil des EuGH muss bereits die Speicherung selbst mit klaren Einschränkungen versehen sein, da sie bereits in hohem Maße und schwerwiegend in die Grundrechte der Bürger eingreift. Mit Spannung dürfen wir daher erwarten, ob die Kommission (alternativ die nationalen Gesetzgeber) sich Lösungswege ausdenkt, die

  • eine Speicherung der Daten nur von Personen vorsieht, die mit schweren Straftaten in Zusammenhang stehen (Rn. 56-58),
  • keine Speicherung von Daten von Berufsgeheimnisträgern vorsieht (Rn. 58),
  • Speicherung nur von Daten vorsieht, die im Zusammenhang mit der öffentlichen Sicherheit stehen, z.B. in einem bestimmten Zeitraum, einem bestimmten geografischen Gebiet oder einem bestimmten Personenkreis (Rn. 59).

Es fällt mir derzeit schwer, mir Normen vorzustellen, die diesen Anforderungen genügen. Denn für die oben dargestellten (eingeschränkten) Situationen, also „punktuelle Überwachungen“, existieren insbesondere in den nationalen Gesetzen schon Normen, in Deutschland z.B. in StPO und TKG. Inwiefern eine „punktuelle Vorratsdatenspeicherung“ darüber hinaus gehen soll/kann/darf, bleibt doch unklar.

Von daher ist das Urteil des EuGH ein klarer Erfolg für die Gegner der Vorratsdatenspeicherung.

Störerhaftung für WLAN begrenzen: Protokoll der SV-Anhörung im Landtag NRW online

Wie berichtet, fand am 3.7.2013 eine Sachverständigenanhörung im Wirtschaftsausschuss des Landtages Nordrhein-Westfalen zum Antrag der Piratenpartei (Drs. 16/2284) zur Thematik der Störerhaftung beim Betrieb von WLANs statt, zu der verschiedene Sachverständige bzw. Verbände geladen waren, nämlich

  • Chaos Computer Club e.V. (erschienen: Dr. Julius Mittenzwei, @mittenzwei)
  • Ulf Buermeyer (@vieuxrenard)
  • Dr. Frey von FREY Rechtsanwälte
  • GEMA
  • Verband freier Deutscher Künstler e.V.
  • Verbraucherzentrale NRW
  • eco-Verband
  • VG Wort
  • ich

Es gab acht schriftliche Stellungnahmen, die online verfügbar sind. Die Diskussion dreht sich auch um den im Bundestag durchgefallenen  Gesetzesentwurf des Digitale Gesellschaft e.V., nach dem in § 8 TMG folgende Absätze 3 und 4 angefügt werden sollten:

(3) Der Ausschluss der Verantwortlichkeit (Absatz 1) umfasst auch gewerbliche und nichtgewerbliche Betreiber von Funknetzwerken, die sich an einen nicht im Voraus namentlich bestimmten Nutzerkreis richten (öffentliche Funknetzwerke).
(4) Der Ausschluss der Verantwortlichkeit (Absatz 1) umfasst auch Ansprüche auf Unterlassung.

Nun ist auch das Wortlautprotokoll der Ausschusssitzung online verfügbar (Ausschussprotokoll APr 16/288, 03.07.2013).

Ich hatte bereits in einem früheren Artikel über den Verlauf der Sitzung geschrieben. Das Wortlautprotokoll gibt diesen nun auf 27 Seiten genau wieder. Zur kurzen Erläuterung: Es gab mehrere Fragerunden, bei denen zunächst alle Fragen gestellt wurden, und dann alle Sachverständigen nacheinander die an sie gerichteten Fragen beantworten konnten.

Statt alles nochmal zusammenzufassen, hier nur ein paar Highlights (in der Reihenfolge der ersten Fragerunde):

Prof. Rotert (eco):

Um ein kleines Beispiel zu geben: Ein Hotel hat eine Abmahnung bekommen und dann sofort alles wieder abgebaut und gesagt, das sei eine Fehlinvestition gewesen, es wolle damit nichts mehr zu tun haben, und dies aufgrund der Tatsache, dass diese Abmahnung praktisch eine Vorverurteilung enthielt. – Auf dem Weg hierher kam eine Mail von einem Hotelier herein, der vor drei Jahren eine Abmahnung bekam, der er widersprochen hat; er hat auch nichts bezahlt. Jetzt kommt ein Inkassounternehmen und sagt, wenn er nicht sofort bezahle, gebe es Einträge bei der Schufa. Hier wird also durchaus extremer wirtschaftlicher Druck ausgeübt. …

Zur wirtschaftlichen Bedeutung sagen mir die Hotels: Wenn sie heute kein kostenloses WLAN anbieten können – gerade die kleineren Häuser, weniger die Fünf-Sterne- Häuser –, brauchen sie erst gar nicht anzutreten, werden sie gemieden, insbesonde- re von den Geschäftsreisenden. Angesichts der Anzahl der Häuser kann man sich ausrechnen, welches Potenzial dahintersteht.

Verfolgbarkeit über Mobilfunk funktioniert gar nicht. Schon die Vorratsdatenspeiche- rung hat beim Mobilfunk genau aus dem Grunde nicht funktioniert, weil die Zuord- nung Telefonnummer/IP-Adresse schlichtweg aufgrund der Mobilität nicht gegeben ist. Es kommt aber noch ein anderer Punkt hinzu: Die Software zum Feststellen der IP-Adresse wurde von Abmahnanwälten – ich bezeichne sie jetzt einmal so leger – oder von Firmen, die diesen Anwälten gehören, selbst entwickelt. In der Schweiz ist diese Software übrigens verboten. Sie müsste eigentlich, wenn man es genau nimmt, denselben Verordnungsrichtlinien zur Telekommunikationsüberwachung unterliegen wie die bei einer ganz normalen Überwachung überhaupt. Ob die Software Fehler hat oder ob sie richtig funktioniert, weiß also kein Mensch. Ob die Adressen auch stimmen, für die dann angefragt wird – es werden pro Monat 300.000 IP-Adressen bei den Providern angefragt –, ob sie alle in Ordnung sind, weiß niemand. Die Aus- schussrate ist nach dem, was die Provider sagen, eigentlich sehr hoch, weil manche Adressen überhaupt keinen Sinn machen.

Dr. Frey (FREY Rechtsanwälte):

Es ist in der Tat so, dass die Rechtsprechung die Regeln der §§ 7 ff. Telemediengesetz nicht auf Sachverhalte anwendet, die sie nach den Regeln der Sto?rerhaftung beurteilt. Dies halte ich fu?r grundlegend falsch und fu?r mit europa?ischem Recht auch so nicht vereinbar, weil der Europa?ische Gerichtshof, wenn er die Richtlinien u?ber den elektronischen Ge- scha?ftsverkehr auslegt, auch diese Regeln u?ber die Haftungsprivilegierung der Provider auf Unterlassungssituationen anwendet. …

Aus meiner praktischen Erfahrung kann ich besta?tigen, dass die Pflichten oder potenziellen Pflichten eben an der Stelle nicht klar sind, wo kleine Hotelbetreiber, wo Internet-Cafe?s, wo Kommunen in die Rolle des Telekommunikationsdiensteanbieters schlu?pfen. Deswegen halte ich diese Klarstellung fu?r wichtig.

… hier muss sich wiederum der Gesetzgeber fragen, ob er Jahre der Rechtsstreitigkeiten abwarten will, um zu einer Klarheit, zu einer Rechtssicherheit zu kommen, die dem adressierten Ziel wahrscheinlich nicht gerecht wu?rde.

Sehr spannend war auch, dass Dr. Frey eine de minimis-Regelung im TKG für Kleinstanbieter verlangt:

Die Pflichten nach dem TKG sind sehr aufwendig. Ich kann es kurz skizzieren. Der Anbieter muss zum Beispiel sicherstellen, dass das Fernmeldegeheimnis, ein ganz wichtiges Thema, auch hier gewährleistet wird. Es muss Datenschutz gewährleistet werden. Dafür müssen Anbieter von Telekommunikationsdiensten bei der Bundes- netzagentur ein Sicherheitskonzept vorlegen. Es besteht eine Meldepflicht bei der Bundesnetzagentur. Das würde kleine Anbieter, denen wir mit diesem Schritt der Anwendung des § 8 TMG im Bereich der Störerhaftung etwas Gutes tun wollten, strukturell überfordern. Also müsste man auch in diesem Bereich so etwas wie eine [de minimis]-Lösung finden, damit diese sehr komplexen Regeln des Telekommunikationsgesetzes nicht ohne Weiteres auch in diesem Bereich zur Anwendung kämen. Das muss unbedingt mit bedacht werden.

Iwona Husemann (Verbraucherzentrale Düsseldorf):

Für uns, die wir das ausschließlich aus Verbrau- chersicht beurteilen, ist eher die Frage, inwieweit man Verbraucher – wenn es politisch gewünscht und gewollt ist, dass sie sich daran beteiligen, dass flächendeckend WLAN-Netze verfügbar sein sollen – zu den bisherigen gesetzlichen Regelungen und angesichts der Problematiken mit der Störerhaftung daran beteiligen kann oder will. Deswegen halten wir es für einen gangbaren Weg, den § 8 Telemediengesetz dann auch auf private WLAN-Betreiber anzuwenden, gerade damit sie dann auch diese Haftungserleichterungen erfahren können.

Ulf Buermeyer (@vieuxrenard):

Jedenfalls die deutsche Handhabung des § 8 TMG, der be- stimmte Access-Provider aus dieser Haftungsprivilegierung ausnimmt, ist aus meiner Sicht eindeutig europarechtswidrig. Würde also diese Frage dem EuGH einmal von einem deutschen Gericht vorgelegt, müsste man mit größter Wahrscheinlichkeit davon ausgehen, dass der EuGH sagte: Eine Handhabung der deutschen Normen, die Privatleute und kleine Gewerbetreibende, also diese Nebenbei-Provider, von der Haftungsfreistellung ausnimmt, ist unzulässig. …

Meines Erachtens ist es in der Tat ein Problem für den einen oder anderen Kollegen – ich argumentiere jetzt küchenpsychologisch –, eine Haftungsfreistellung anzuerkennen, weil die Intuition ist: Da gibt es eine Rechtsverletzung, und es muss doch sein, dass irgendwer dafür haftet. Derjenige, der wirklich verantwortlich ist, zum Beispiel der Filesharer, ist nicht greifbar. Aber irgendwer muss doch haftbar sein. Das ist natürlich Küchenpsychologie; das hat mit Rechtswissenschaft nicht so wahnsinnig viel zu tun. Aber es erklärt im Hintergrund, warum der eine oder andere Kollege intuitiv, also noch bevor er in die Rechtsprüfung einsteigt, zu dem Ergebnis kommt: Es kann doch nicht sein, dass da eine Haftungsfreistellung Platz greift.

Wenn man eine Abmahnung über 500 oder 1.000 € bekommt, dann ist das natürlich eine ganze Menge Geld; nur wäre das Kostenrisiko, das bei einer gerichtlichen Entscheidung möglicherweise auf denjenigen zukäme, noch signifikant höher. Deswegen gehen eben sehr viele Verbraucherinnen und Verbraucher das Risiko gar nicht erst ein, ebenso sehr viele Gewerbetreibende, sondern zahlen lieber zähneknirschend und schalten anschließend möglicherweise ihr WLAN ab.

as ist genau das Problem: Hier gibt es eine abschreckende Wirkung. Ich habe vor dem Deutschen Bundestag so schön gesagt: Bei den deutschen WLAN-Providern geht die Angst um, sodass man im Zweifel lieber abschaltet. Die Rechtslage wird letzten Endes gar nicht richtig geklärt. Das ist das Kernproblem. Die Abmahnenden machen sich eine etwas unklare Rechtslage zunutze, und im Zweifel spielt ihnen das in die Hände. …

Ich habe gerade kurz gegoogelt, wie das Zahlenverhältnis ist. Wir haben in Deutschland etwa 40 Millionen Internetzugänge, aber nur rund 400.000 Gaststätten und Hotels. Das heißt, allenfalls 1 % der Anschlussinhaber sind Hotels oder Gaststätten. Selbst wenn man davon ausgeht, dass Privatleute und Gäste in Hotels etwa gleich viel dazu neigen, Urheberrechte zu verletzen, kann man davon ausgehen, dass maximal 1 % der Urheberrechtsverletzungen über Anschlüsse von Hotels und Gaststätten vorgenommen werden. …

Die Kritik an der derzeitigen Auslegung von § 8 TMG nimmt vor allem die Verbrau- cher in den Blick, die zum Beispiel in den Freifunknetzen letzten Endes aus Altruismus für ihre Mitmenschen einen Internetzugang zur Verfügung stellen und sich damit großen Haftungsrisiken aussetzen. Es werden jetzt Gruppenlösungen gefunden, indem man die Daten einen Umweg über Schweden nehmen lässt, weil es in Schweden eben keine Störerhaftung gibt. Das ist zwar eine technische Möglichkeit, ist aber sehr komplex. Ich muss ganz ehrlich sagen: Wenn jemand schon so viel Bürgersinn an den Tag legt, dass er anderen Leuten einen Internetzugang bietet, diesen be- rühmten digitalen Schluck Wasser anbietet, dann sollte die Rechtsgemeinschaft das akzeptieren. Sie sollte das sogar unterstützen und fördern und sollte diese Menschen nicht auch noch mit Haftungsrisiken strafen. …

Ich lege als denkbare Änderung den Gesetzentwurf des Digitale Gesellschaft e. V. zugrunde, der auch schon im Deutschen Bundestag verhandelt worden ist, einfach deshalb, weil es bislang der einzige ist, den es jedenfalls nach meiner Kenntnis gibt, der eine konkrete Regelung zur Abschaffung der Störerhaftung vorschlägt. Wenn man diesen Gesetzentwurf zugrunde legt, dann sind überhaupt keine Kollate- ralschäden zu erwarten, weil dieser Entwurf mit zwei Absätzen einfach nur ganz präzise die zwei rechtlichen Zweifelsfragen, ganz freundlich gesagt, adressiert, die zu der derzeit unzuträglichen Rechtslage führen. …

Aber das ist heute auch in UMTS-Netzen bereits so; denn diese Netze – das hat Dr. Mantz auch kurz angeschnitten – setzen weitgehend auf dieselbe Technologie. Auch in UMTS-Netzen bekommen Sie heute, wenn Sie sich da einwählen, in aller Regel keine IP mehr, die quasi direkt im Internet auftritt. Vielmehr werden Sie auch da über einen Router beim Provider geleitet und sind da mit vielen hundert anderen Nutzern desselben UMTS-Netzes über diesen selben Router über dieselbe öffentliche IP im Internet unterwegs. … Mit anderen Worten: Es gibt diese Haftungsfreistellung im UMTS-Netz sowieso schon. Das heißt, es gibt ohnehin schon massenhafte und völlig unproblematische Möglichkeiten, das Internet anonym zu nutzen. Darüber hinaus gibt es natürlich noch reihenweise andere – Internet-Cafés möchte ich nennen – oder selbstverständlich auch technisch komplexe Verfahren wie Anonymisierungssysteme im Internet und so etwas.

Der Punkt zum Mitnehmen ist einfach nur: Identifikationspflichten sind machbar, datenschutzrechtlich heikel, aber technisch sinnlos.

Dr. Reto Mantz (@offenenetze):

Die wirtschaftliche Auswirkung der derzeitigen Rechtsunsicherheit ist zum einen, dass Pri- vatpersonen solche WLANs nicht machen, aber eben auch, dass bei Hotels eine prohibitive Wirkung eintritt. Das hat aber auch zur Folge, dass klassische Access-Provider wie die Telekom oder Kabel Deutschlandhier bevorteilt werden. Die Telekom plant derzeit das sogenannte WLAN to go: Privatpersonen sollen quasi im Rahmen ihres normalen Telekom-Vertrages einen öffentlich zugänglichen WLAN-Hotspot aufspannen. Die Telekom sagt hier: Wir stellen dich von der Haftung frei. Warum kann die Telekom so agieren? Weil sie durch § 8 TMG nicht nur rechtlich, sondern auch praktisch privilegiert ist. Die derzeitige Auswirkung der Rechtslage ist als negativ zu betrachten. …

Der zweite Grund, warum Nebenbei-Provider wie Hotels, Gaststätten, aber auch Ju- gendheime, Schulen, Kommunen etc. eigentlich nicht durch Urheberrechtsverletzun- gen auffallen, aber dennoch von der prohibitiven Wirkung betroffen sind, besteht da- rin, dass sich öffentliche WLANs für Filesharing schlicht und einfach nicht gut eignen; denn die Bandbreite ist heutzutage doch begrenzt, da sehr viele WLANs überall aufgespannt sind. Wenn zwei Leute in einem Café Filesharing betrieben, wenn das gut funktionierte, dann wäre der Kanal schon dicht, sodass das auch nichts tatsächlich Attraktives ist. …

Von der Telekom verlangt man nichts. Man verlangt weder eine Registrierung noch eine Belehrung noch Filtermaßnahmen noch Portsperren noch irgendetwas, gar nichts. Die Telekom muss einfach gar keine Maßnahmen ergreifen. Die Frage ist: Warum soll der Hotelbetreiber, der nach dem Gesetz nichts anderes als das tut, was auch die Telekom macht, hierbei anders behandelt werden? Wir haben es schon gesagt: Das wird in der Rechtsprechung eben ohne Stütze im Gesetz anders behandelt. …

Das Landgericht München hat im Jahr 2012 sehr deutlich gesagt: Es besteht keine Pflicht, Nutzer in WLANs zu identifizieren. Das Landgericht München hat buchmäßig alle möglichen rechtlichen Grundlagen durchgeprüft und immer gefragt: Erwächst hieraus die Pflicht, den Nutzer zu identifizieren und dann im Zweifelsfall auch benennen zu können? … In technischer Hinsicht muss man sagen: Die Tatsache, dass man jemanden identifiziert, und die Möglichkeit, anschließend sagen zu können, dass der Betreffende der Täter war, sind zwei vollkommen unterschiedliche Dinge. Aber selbst wenn wir das einmal unterstellen, dass man denjenigen identifiziert und den Namen herausgibt, dann muss man sagen: Als Störer würde man ja immer noch haften. Diejenigen, die die Rechte verfolgen, also in diesem Fall die Abmahnkanzleien, werden sich davon nicht beeindrucken lassen, sondern weiterhin aus den Grundsätzen der Störerhaftung gegen den Anbieter vorgehen und möglicherweise zusätzlich aus dem Hintergrund der Täterhaftung gegen den eigentlichen Täter. Das heißt, hier ist eine Registrierung definitiv kontraproduktiv. …

Die letzte Frage bezog sich auf die Verfolgbarkeit. Sie haben es schon angesprochen: Im UMTS-Netz ist auch heute tatsächlich bei vielen Providern eine Verfolgbarkeit nicht gewährleistet, weil im Nachhinein nicht festgestellt werden kann, wer denn der Rechtsverletzer ist. Das heißt, wenn ich heute ins Internet gehe, mich unter einem falschen Namen in ein Forum einlogge und dann einen der hier Anwesenden auf übelste Art und Weise beleidigen sollte, drohte mir da vermutlich nicht allzu viel. Das ist schon heute so, und daran ändert sich dann auch später nichts. …

Die Sicherheitsmaßnahmen oder das Sicherheitskonzept könnten schon eher ein Problem sein. Aber auch hier gilt: Wenn ich nur ein oder zwei WLAN-Hotspots – dazu wird vielleicht Herr Rotert etwas sagen können – betreibe, dann brauche ich auch kein wahnsinnig großes Sicherheitskonzept. Das ist tatsächlich meines Erachtens keine so große Hürde, auch wenn ich hierfür die Minimize-Regeln durchaus befürworte, wie sie zum Beispiel bei der TK-Überwachung bereits existieren: TK- Überwachung erst ab 10.000 Nutzer; WLANs werden das kaum erreichen können. …

UMTS reicht nicht, um arbeiten zu kön- nen. Das ist richtig. Was die Bundesregierung meines Erachtens ebenfalls verkannt hat, ist die Tatsache, dass ganz besonders die großen Provider, Telekom etc., ganz stark auf WLAN setzen. In den nächsten Jahren haben wir eine Vervielfachung des Datenverkehrs zu erwarten. Auch wenn wir alle jetzt sofort LTE zur Verfügung hätten, würde LTE hierfür nicht ausreichen, ganz und gar nicht.

Dr. Julius Mittenzwei (Chaos Computer Club e.V., @mittenzwei):

Ich brauche breitbandiges Internet, um kreativ zu sein, um arbeiten zu können. Es gibt zwar schon in den Großstädten UMTS und so etwas, aber es ist einfach mühsam, über das Handynetz zu gehen, und man kann einfach nicht effektiv arbeiten, kreativ sein und alles Weitere. Deshalb nehme ich an, dass es sich vermutlich nicht irgendwie in Wirtschaftswachstum niederschlagen wird. Aber für die gesamte Internetkreativwirtschaft ist freies WLAN eine Conditio sine qua non, ohne die man einfach nicht arbeiten kann. Ich sage es einmal überspitzt: Es wird in Deutschland nichts mit einem deutschen Silicon Valley, wenn es schon am Internet fehlt. Das ist eigentlich die Grundvoraussetzung für alles Weitere. …

Als Letztes kam die Frage zu der Neuregelung, die in der letzten Woche im Bundestag beschlossen wurde. Meines Erachtens wird auch hiermit an der Rechtsfolgenseite herumgedoktert. Trotzdem ist man erst einmal Verletzer oder wird auf Unterlas- sung oder Ähnliches in Anspruch genommen, und dann ist nur hinten herum die Kos- tenseite begrenzt. Selbst dies schafft nicht die klare Regelung, die eigentlich notwendig wäre, um freie WLANs an allen Orten zu ermöglichen, an denen man sich aufhält. …

Zu der Frage, ob eine Registrierungspflicht überhaupt praktikabel wäre: Ich bin da skeptisch, gerade dann, wenn diese Registrierungspflicht irgendwie eine ernst zu nehmende Sicherung darstellen soll. Man müsste irgendwelche Zertifikatsinfrastruktur oder Ähnliches schaffen. Das alles ist technisch schwierig. Selbst solche Regelungen, dass man irgendetwas akzeptieren muss oder Ähnliches, bilden eigentlich nur eine psychologische Hürde, wenn beispielsweise Nutzer aufgerufen werden, dass man in einem offenen WLAN ist, möglicherweise jemand anderes Ärger bekommt und dass man sich bitte dementsprechend zu benehmen hat. An sich bewegt man sich einfach innerhalb dieses WLANs, wo man sich nicht wie bei einem UMTS-Netz – das betrifft den zweiten Teil der Frage – irgendwie mit einer SIM-Card anmeldet. Vielmehr meldet sich jeder Rechner nur mit seiner Netzwerkkennung an, von seiner Karte, die aber nirgendwo zentral registriert ist und die man auch, wenn man sich auskennt, in seinem Laptop beliebig ändern kann. Meines Erachtens ist irgendeine Registrierungspflicht nicht praktikabel….

Die stete Gegenreaktion, dass man bei Straftaten wie Urheberrechtsverletzungen, die im Internet – wie im normalen Leben auch – begangen werden, immer nach tota- ler Kontrolle schreit, ist eigentlich ein Reflex, den man durchaus hinterfragen muss. Wenn man dann aber die Statistik liest, sind die Aufklärungsquoten von Straftaten im Internet – ich nehme an, das wird bei Urheberrechtsverletzungen ähnlich sein – einfach viel höher als von allen anderen Straftaten, die irgendwie im täglichen Leben offline begangen werden. Man wird also damit leben müssen, dass man dann gewisse Sachen einfach nicht verfolgen kann, weil Registrierungspflicht und Ähnliches nicht praktikabel sind.

Zur Frage der politischen Bedeutung: Ich teile die Auffassung, dass man das lieber früher als später regeln und klarstellen sollte, statt noch einmal weitere Jahre zu warten, bis das durch alle Instanzen hin und zurück entschieden ist. Es sollte bessere jetzt eine Regelung getroffen werden, weil die Bevölkerung jetzt und nicht in zehn Jahren schnelles Internet braucht.

Wir werden sehen, ob in das Thema in der nächsten (Bundes-)Legislaturperiode wieder aufkommt. Es wäre zu hoffen, dass hier eine Regelung gefunden wird.

OLG Düsseldorf, 7.3.2013 – I 20 W 121/12: Keine Speicherpflicht des Access Providers „auf Zuruf“ nach § 101 UrhG (Volltext)

(ebenso bzw. ähnlich: OLG Düsseldorf, Beschlüsse vom 07.03.2013, Az. I-20 W 118/12, I-20 W 123/12, I-20 W 124/12, I-20 W 126/12, I-20 W 128/12, I-20 W 142/12, I-20 W 143/12, I-20 W 162/12), K&R 2013, 344

Leitsätze (des Verfassers):

1. Gegen einen Access Provider besteht kein Anspruch auf Sicherung (Erhebung und Speicherung) von im System für die Dauer der Verbindung vorhandenen IP-Adressen. Dieser Anspruch ergibt sich insbesondere nicht aus § 101 Abs. 9 UrhG.

2. Löscht der Access Provider dynamische IP-Adressen unmittelbar nach Ende der Verbindung oder vergibt sie neu, so erfüllt er mit der Auskunft, dass er keine Information habe, seine Auskunftspflichten nach § 101 Abs. 9 UrhG.

Volltext:

In dem Anordnungsverfahren nach § 101 Abs. 9 UrhG

hat der 20. Zivilsenat des Oberlandesgerichts Düsseldorf durch … am 7. März 2013

beschlossen:

Auf die Beschwerden der Beteiligten werden die Beschlüsse der 212. Zivilkammer des Landgerichts Düsseldorf vom 27. August und 16. Oktober 2012 aufgehoben und der auf ihren Eriass gerichtete Antrag zurückgewiesen,

Gründe:

Die zula?ssigen Beschwerden der Beteiligten vom …, mit der sie sich gegen die einstweilige Anordnung der Sicherung der Verkehrsdaten laufender Verbindungen und die nachfolgende Gestattung der Auskunftserteilung wendet, haben auch in der Sache Erfolg.

Der Anspruch auf Auskunft nach § 101 Abs. 2 Nr. 3 UrhG, dessen Sicherung die Antragstellerin vorliegend im Wege der einstweiligen Anordnung erstrebt, scheitert bereits daran, dass die Beteiligte die verlangte Auskunft tatsa?chlich nicht geben kann. Die Beteiligte speichert im Hinblick auf das Urteil des Bundesverfassungsgerichts zur „Vorratsdatenspeicherung“ (NJW 2010, 833 ff) keine dynamischen IP-Adressen mehr. Die fu?r den Aufbau einer Internetverbindung beno?tigten IP-Adressen sind in ihren Systemen nur fu?r die Dauer der Verbindung vorhanden, sie werden in einem vollautomatisierten Verfahren nach dem Ende der Verbindung wieder abgebaut und einer nächsten Verbindung zugewiesen. Eine Erfassung, Kontrolle oder Beobachtung der IP-Adressen erfolgt nicht. Diese Praxis der Beteiligten ist dem Senat auch aus anderen Verfahren bekannt.

Ein Anspruch auf Sicherung dieser im System für die Dauer der Verbindung vorhandenen IP- Adressen besteht nicht, eine Speicherung von Daten kann von der Beteiligten auf der Grundlage von § 101 UrhG nicht verlangt werden.

Der Senat hat sich mit der Problematik der Speicherung von IP-Adressen nach dem Urteil des Bundesverfassungsgerichts zur Vorratsdatenspeicherung bereits in seinem Urteil vom 15. März 2011, I-20 U 136/10, ausführlich, auseinandergesetzt (BeckRS 2011, 06223). Die Pflicht zur sogenannten Drittauskunft, wie sie § 101 UrhG statuiert, geht nicht über das hinaus, was der Schuldner ermitteln kann. Die Auskunft ist eine Wissenserklärung. Der Schuldner muss in zumutbarem Umfang alle ihm zur Verfügung stehenden Möglichkeiten der Information ausschöpfen (Wimmers in Schricker/Loewenheim, Urheberrecht, 4. Auflage, § 101 Rn. 75 mit Nachweisen der Rechtsprechung). Auch wenn der Auskunftsschuldner sich also nicht damit begnügen darf, sein präsentes Wissen preiszugeben, sondern gegebenenfalls auch Nachforschungen in seinem eigenen Bereich anzustellen hat (z.B. anhand von Geschäftsunterlagen, Erkundigungen bei Vertragspartnern), ist die Schuld mit der Mitteilung des dann vorhandenen Wissens erfüllt (für das Markenrecht Hacker in Ströbele/Hacker, Markengesetz, 9. Auflage, § 19 Rn. 4 9 m it Nachweisen der Rechtsprechung). Der Schuldner ist nicht verpflichtet, Unterlagen und Belege, derer er für die ordnungsgemäße Führung seines Unternehmens nicht bedarf, nur deshalb zu erstellen, damit er Auskunftsverlangen, denen er sich einmal ausgesetzt sehen mag, nachkommen kann. Die gesetzliche Pflicht, unter bestimmten Bedingungen einmal eine Wissenserklärung abzugeben, begründet nicht zugleich die sofort zu erfüllende Pflicht, für die Ansammlung des Wissens zu sorgen.

In Fortführung dieses Urteils hat sich der Senat in einer weiteren Entscheidung (Beschl. v. 30. Mai 2011, I-20 W 127/10) der Auffassung des Oberlandesgerichts Frankfurt (GRUR-RR 2010, 91) angeschlossen, dass es mangels gesetzlicher Grundlage keinen Anspruch des Auskunftsgläubigers nach § 101 Abs. 1 und 2 Nr. 3 UrhG auf die die Auskunft erst ermöglichende Speicherung gibt (so auch OLG Hamm GRUR-Prax 2011, 61). Ein Löschungsverbot zu dem Zweck, auf dieser Grundlage ein Anordnungsverfahren nach § 101 Abs. 9 UrhG durchzuführen, ist im Gesetz nicht vorgesehen (OLG München, Beschl. v. 21. Nov. 2011, 29 W 1939/11, ZUM 2012, 592 Rn. 5). Die Annahme einer Pflicht zur Speicherung dynamischer IP-Adressen im Interesse der Inhaber gewerblicher Schutzrechte und Urheberrechte bedarf aber – gerade vor dem Hintergrund des Urteils des Bundes Verfassungsgerichts zur „Vorratsdatenspeicherung“ – einer gesetzlichen Grundlage.

Die Speicherung der IP-Adressen stellt einen Eingriff in die Grundrechte der Nutzer auf Wahrung des Fernmeldegeheimnisses, Art. 10 Abs. 1 GG, und auf informationelle Selbstbestimmung, Art. 1 Abs. 1, Art. 2 Abs. 1 GG, dar, mag der Eingriff auch nicht schwerwiegend sein (BGH, MMR 2011, Tz. 27, Tz. 28). Die Richtlinien zum Schutz des geistigen Eigentums einerseits und des Datenschutzes andererseits gebieten es nicht, die Pflicht zur Mitteilung personenbezogener Daten im Rahmen eines zivilrechtlichen Verfahrens vorzusehen (EuGH, GRUR 2008, 241 Tz. 70 Promusicae; BVerfG, Beschl. v. 17. Feb. 2011, 1 BvR 3050/10, BeckRS 2011, 48780, Nichtannahme der gegen die Entscheidung des OLG Hamm gerichteten Verfassungsbeschwerde). Dieser Grundrechtseingriff bedarf einer legitimierenden gesetzlichen Grundlage (vgl. BVerfG, NJW 2012,1419 Rn. 110, Rn. 164). Es kommt allein dem Gesetzgeber zu, einen Ausgleich herzustellen zwischen den Interessen dieser Inhaber privater Rechte, die von Verfassung wegen zu schützen sind, und den datenschutzrechtlichen Belangen der Internetnutzer, die ihrerseits verfassungsrechtlich geschützt sind (Senat, Besch!, v. 30. Mai 2011, I-20 W 127/10; OLG München, Beschl. v. 21. Nov. 2011, 29 W 1939/11, ZUM 2012, 592 Rn. 5). Das insoweit bestehende Spannungsverhältnis verdeutlicht gerade das zur Untermauerung des Anspruchs angeführte Argument, Urheberrechtsverletzungen stellten eine Straftat dar. Der Gesetzgeber hat im Bereich der Strafverfolgung genau geregelt, wann Straftaten einen Eingriff in das Fernmeldegeheimnis und das Recht auf informelle Selbstbestimmung rechtfertigen. Zu den in § 100a Abs. 2 StPO genannten Katalogtaten gehören Urheberrechtsverletzungen nicht.

Entgegen der Auffassung der Antragstellerin unterscheidet sich der vorliegende Sachverhalt von dem durch Beschluss vom 30. Mai 2011 beschiedenen im Grunde nicht. Auch vorliegend müsste die Beteiligte Unterlagen, derer sie für die ordnungsgemäße Führung ihres Unternehmens nicht bedarf, nur deshalb erstellen, damit sie dem Auskunftsverlangen der Antragstellerin nachkommen kann. Der Senat hat sich in seiner eingangs zitierten Grundsatzentscheidung vom 15. März 2011 bereits mit der von der Antragstellerin begehrten Sicherung im System vorhandener, aber nicht gespeicherter Daten auseinandergesetzt. Es geht bei dem von der Antragstellerin begehrten Verbot der Löschung nicht um ein Unterlassen, sondern um ein Handeln, da Daten, die bisher nicht automatisch abgerufen werden können, erstmals in dieser Weise gespeichert werden sollen. Eine Pflicht zur Datensicherung ohne gesetzliche Grundlage ist jedoch zu verneinen (Senat, Urt. v. 15. März 2011, U20U 136/10).

Erst die Speicherung und die ihr notwendig vorgelagerte Ermittlung der Daten wären eine Erhebung im Sinne von § 3 Abs. 3 BDSG, die den Eingriff in den Schutzbereich des Telekommunikationsgeheimnisses begründet. Nach § 3 Abs. 3 BDSG ist Erheben das Beschaffen von Daten über den Betroffenen. Die Datenerhebung setzt folglich ein aktives, von einem entsprechenden Willen getragenes Handeln voraus, während die bloße objektive Begründung der Verfügung über die Daten nicht ausreicht (Dammann in Simitis, Bundesdatenschutzgesetz, 7. Aufl., § 3 Rn. 102). Erforderlich ist ein zielgerichtetes Handeln der fraglichen Stelle, die sich hierdurch Kenntnis von den Daten verschafft; es genügt nicht, wenn die Informationen ihr ohne eigenes Zutun zugehen (OLG Frankfurt, NStZ-RR 2004, 316). Von daher stellt das reine Vorhandensein der IP-Adressen im System der Beteiligten noch keine Erhebung der Daten da, die hierfür erforderliche willentliche Kenntnisnahme durch aktives Handeln würde erst im Zuge ihrer (manuellen) Ermittlung zum Zwecke der Speicherung erfolgen. Jede Kenntnisnahme, Aufzeichnung und Verwertung von Kommunikationsdaten sowie jede Auswertung ihres Inhalts oder sonstige Verwendung stellt einen Grundrechtseingriff dar, weshalb in der Erfassung von Telekommunikationsdaten, ihrer Speicherung, ihrem Abgleich mit anderen Daten, ihrer Auswertung, ihrer Selektierung zur weiteren Verwendung oder ihrer Übermittlung an Dritte je eigene Eingriffe in das Telekommunikationsgeheimnis liegen (BVerfG, NJW 2010, 833 Rn. 190).

Hieran vermag der Umstand, dass die Antragstellerin sich nicht direkt an die Beteiligte wendet, sondern ihr Ziel über den Erlass einer Sicherungsanordnung zu erreichen sucht, nichts zu ändern. So oder so sollen die Voraussetzungen für eine spätere Auskunftserteilung erst geschaffen werden, obwohl das Gesetz einen Anspruch auf Schaffung der Voraussetzungen gerade nicht vorsieht. Die Beteiligte soll ad hoc das leisten, wofür sie in Ermangelung einer gesetzlichen Bestimmung die Grundlagen gerade nicht legen muss und darf.

Auf § 96 TKG kann der Eingriff nicht gestützt werden, da die Vorschrift die Telekommunikationsdiensteanbieter nur zur Speicherung von Daten zu den in diesem Abschnitt des Telekommunikationsgesetzes genannten Zwecken ermächtigt, wozu eine Speicherung zur Erteilung der Auskunft nach § 101 Abs. 2 Nr. 3 UrhG nicht gehört. Mit § 113 TKG kann eine Speicherung zum Zwecke der Auskunftserteilung an Private schon?deswegen nicht begründet werden, weil die Norm lediglich eine Auskunftserteilung an staatliche Stellen regelt. Zudem ist § 113 TKG verfassungskonform dahingehend einschränkend auszulegen, dass er für sich allein Auskunftspflichten der Telekommunikationsunternehmen noch nicht begründet. Vielmehr setzt er für die abschließende Begründung einer Auskunftspflicht eigene fachrechtliche Ermächtigungsgrundlagen voraus, die eine Verpflichtung der Telekommunikationsdiensteanbieter gegenüber den jeweils abrufberechtigten Behörden aus sich heraus normenklar begründen. Überdies darf § 113 Abs. 1 TKG nicht so ausgelegt werden, dass er eine Zuordnung dynamischer IP-Adressen erlaubt (BVerfG, NJW 2012, 1419 Rn. 164).

Vor diesem Hintergrund kann auch die Gestattung der Erteilung der Auskunft unter Verwendung der gesicherten Verkehrsdaten keinen Bestand haben, da hierdurch der legitimationslose Grundrechtseingriff perpetuiert würde.

Die Anordnung einer Kostenerstattung unterbleibt. Fu?r das Verfahren gelten die Vorschriften des Gesetzes u?ber das Verfahren in Familjensachen und in den Angelegenheiten der freiwilligen Gerichtsbarkeit entsprechend, § 101 Abs. 9 Satz 4 UrhG. Gema?ß § 81 Abs. 1 Satz 1 FamFG kann das Gericht die Kosten des Verfahrens nach billigem Ermessen den Beteiligten ganz oder zum Teil auferlegen. Nach der Auffassung des Senats entspricht es im vorliegenden Fall nicht billigem Ermessen, die Kosten in einem u?ber § 101 Abs. 9 Satz 5 UrhG hinausgehenden Umfang der Antragstellerin aufzuerlegen. Das bloße Unterliegen der Antragstellerin in der Sache rechtfertigt kein abweichendes Ergebnis. Der Gesetzgeber hat – anders als in Bereich der Zivilprozessordnung – gerade nicht allein auf diesen Aspekt abgestellt. Um der Antragstellerin weitere Kosten des Verfahrens aufzuerlegen, mu?ssten besondere Umsta?nde hinzukommen, die die Belastung nach billigem Ermessen rechtfertigen ko?nnten (vgl. a. OLG Frankfurt, Beschl. v. 22. Dez.2010, Az. 11 W11/10). Hieran fehlt es vorliegend. Insbesondere liegt kein Fall des § 81 Abs. 2 Nr. 2 FamFG vor. Danach soll das Gericht die Kosten des Verfahrens ganz oder teilweise einem Beteiligten auferlegen, wenn der Antrag des Beteiligten von vornherein keine Aussicht auf Erfolg hatte und der Beteiligte dies erkennen musste. Angesichts der anstehenden Rechtsfragen kann von einer erkennbaren Erfolglosigkeit noch nicht die Rede sein.

Die Zulassung der Rechtsbeschwerde kommt nicht in Betracht, da die zentrale Rechtsfrage der Zula?ssigkeit der Anordnung der Sicherung der Verkehrsdaten eine einstweilige Anordnung betrifft. Gema?ß § 70 Abs. 4 FamFG findet gegen einen Beschluss im Verfahren u?ber die Anordnung, Aba?nderung oder Aufhebung einer einstweiligen Anordnung die Rechtsbeschwerde nicht statt.

S. auch

 

(Keine) Auswirkungen des Vorratsdatenspeicherungsurteils auf Filesharing-Fälle

IP-Notiz hat einen Beitrag zu den Auswirkungen des Urteils des BVerfG zur Zulässigkeit der Vorratsdatenspeicherung veröffentlicht. Denn teilweise wurde als Schlussfolgerung aus dem Urteil gezogen, dass auch die Daten (=IP-Adressen), die für die Ermittlung der Bestandsdaten von Filesharing-Nutzern verwendet werden, z.B. durch den Auskunftsanspruch nach § 101 UrhG (s. dazu hier), betroffen seien. Diese Auffassung habe ich im privaten Umkreis auch mehrfach gehört.

Der Beitrag bei IP-Notiz erläutert richtigerweise, dass dies nicht der Fall ist. Denn die Auskunft durch den Access Provider in Filesharingfällen erfolgt in aller Regel aufgrund von Daten, die nach §§ 96 ff. TKG zur Abrechnung oder zur Vermeidung von Missbrauch durch die Provider gespeichert werden (s. dazu Gietl/Mantz, CR 2008, 810, 812; zum Auskunftsanspruch ausführlich Welp, Auskunftspflicht von Access-Providern, 2009). Es handelt sich also (idealerweise) um vollkommen getrennte Datenpools (so auch die Ergebnisse einer Bitkom-Umfrage unter deutschen Providern, s. dazu hier).

Damit hat das Urteil des BVerfG auf Filesharing-Fälle keinerlei Auswirkung.

Links:

Vortrag: Rechtliche Gefahren offener WLANs am 4.2.2010 in Mainz

Die Freifunk-Initiative Mainz und der Arbeitskreis Vorratsdatenspeicherung Rhein-Main bieten am 4.2.2010 um 19h im Pengland in Mainz einen Vortrag mit dem Titel „Rechtliche Gefahren offener WLANs“. Der Eintritt ist frei.

Weitere Informationen hier.

Lesetipp: Rau/Behrens, Catch me if you can … Anonymisierungsdienste und die Haftung für mittelbare Rechtsverletzungen, K&R 2009, 766

Im aktuellen Heft der K&R ist ein Aufsatz von Marco Rau und Martin Behrens mit dem Titel „Catch me if you can … Anonymisierungsdienste und die Haftung für mittelbare Rechtsverletzungen“ (K&R 2009, 766) erschienen.

Die Autoren beschreiben zunächst technische Grundlagen von Anonymisierungsdiensten wie TOR und AN.ON (Test von Anonymisierungsdiensten hier). Anschließend untersuchen sie, ob Anonymisierungsdienste als Telekommunikations- oder Telemediendienste anzusehen sind, wobei sie im Ergebnis eine Differenzierung vornehmen: Teile des Dienstes seien als TK-Dienst, andere als Telemediendienst zu behandeln.

Anschließend wird betrachtet, ob Anonymisierungsdienste der Vorratsdatenspeicherung unterfallen, wobei sie auf die Unterschiede der europäischen Richtlinie und der deutschen Regelung in § 113a TKG hinweisen. Insbesondere bezweifeln Rau und Behrens, dass die Vorratsdatenspeicherung geeignet und erforderlich ist und verweisen auf die ausstehende Entscheidung des BVerfG.

Schließlich untersuchen die Autoren das zivilrechtliche Haftungsregime. Dabei stellen sie insbesondere den Schwenk der BGH-Rechtsprechung von der Störerhaftung zur „Verletzung wettbewerbsrechtlicher Verkehrssicherungspflichten“ heraus (s. insbesondere BGH – Jugendgefährdende Medien bei eBay (GRUR 2007, 890), dazu Meldung bei heise-online). Diese Rechtsprechung sei aber auf Anonymisierungsdienste nicht übertragbar. Stattdessen sei eine Haftung weiter nach den Grundsätzen der Störerhaftung zu beurteilen. Dabei sehen die Autoren Prüfungspflichten zwar grundsätzlich als problematisch, aber insbesondere Blockadelisten für IPs als zumutbar an.

Insgesamt ein lesenswerter Artikel. Was die Zumutbarkeit der Prüfungspflichten bei der Störerhaftung angeht, bleiben allerdings noch Fragen offen. Als zumutbare Pflicht sehen die Autoren Access Control Lists an. Im Artikel heißt es dazu:

„Als Filter ausgestaltete Prüfungspflichten erscheinen damit zumutbar. Die Ansiedlung bei den Diensteanbietern trägt dem Grundsatz Rechnung, dass derjenige, der in seinem Herrschaftsbereich eine Gefahrenquelle eröffnet, Vorkehrungen zum Schutz der Rechtsgüter Dritter treffen muss. Hierdurch wird derjenige verpflichtet, der die Risiken am besten beherrschen kann.“

Bezug nehmen die Autoren auf die Access Control Lists von Squid. Allerdings betreffen diese wohl nur die Zieladresse einer Kommunikation. Denn dem Rechtsinhaber ist nur die Adresse des Exit-Nodes bekannt, dieser kennt aber die IP-Adresse des Nutzers nicht. Damit dürfte es sich nur um eine Lösung handeln, die den Internetsperren vergleichbar ist und den Zugriff auf bestimmte Seiten verhindert. Damit können also Quellen von rechtswidrigen Inhalten im Internet blockiert werden. Es kann aber nicht verhindert werden, dass der Nutzer rechtswidrige Inhalte verbreitet.

Außerdem ziehen Rau und Behrens „Hinweis-, Informationssicherungs- und Auskunftspflichten“ in Betracht. Zudem seien Auskunftspflichten für den Verletzten günstiger, die „eine Sicherung der zur Auskunft vorgesehenen Informationen voraussetzen“. Unklar ist, ob damit eine Pflicht zur Erhebung und Speicherung von Informationen einhergehen soll (was datenschutzrechtlich bedenklich wäre). Denn ohne Erhebung und Speicherung gibt es auch nichts zum Herausgeben.

Näher dazu

LG Hamburg, Urt. v. 11.03.2009 – 308 O 75/09 – Vorhalten von Verkehrsdaten „auf Zuruf“

LG Hamburg, Urt. v. 11.03.2009 – 308 O 75/09 – Vorhalten von Verkehrsdaten „auf Zuruf“

Leitsätze und Volltext finden sich in der JurPC, Web-Dok. 124/2009.

Wieder einmal ein Urteil, das an der (Rechts-)Wirklichkeit vorbei geht. Insbesondere die Figur eines „gesetzlichen Schuldverhältnisses“ zwischen Access Provider und Rechtsinhaber, aufgrund dessen gespeichert werden soll, ist überhaupt nicht gesetzlich begründbar. Ganz im Gegenteil: Nach meiner Auffassung resultiert diese Ansicht gerade in einer Umkehr der gesetzlichen Regelungen in TKG und BDSG, nach denen eine Speicherung nur aufgrund einer gesetzlichen Grundlage und nicht aufgrund eines wie auch immer gearteten gesetzlichen Schuldverhältnisses gespeichert werden darf (zur fehlenden Verpflichtung zur Erhebung von Daten bei Access Providern, die ähnlich der Pflicht zur Datenspeicherung zu bewerten ist s. auch eingehend Mantz, Rechtsfragen offener Netze, S. 273 ff., Download hier). Selbst wenn man ein solches gesetzliches Schuldverhältnis annehmen würde, würde die Speicherung vermutlich trotzdem unter dem Vorbehalt der Einwilligung nach §§ 4, 4a BDSG stehen, denn ein „gesetzliches Schuldverhältnis“ ist noch lange keine „gesetzliche Regelung“ i.S.d. § 4 BDSG.

S. dazu auch:

Auszug aus dem Urteil:

a) Der Auskunftsanspruch nach § 101 Abs. 2 UrhG und damit das gesetzliche Schuldverhältnis zwischen dem Verletzten und dem Provider als Grundlage der Pflicht der Antragsgegnerin zur Vorhaltung der Verbindungsdaten über das Verbindungsende hinaus entsteht bereits mit der rechtsverletzenden Verbindung über eine von dem Provider einem Kunden zugewiesene IP-Adresse und sie konkretisiert sich auch für den Provider mit der Kenntniserlangung von der Verletzung; so dass dieser von dem Zeitpunkt an verpflichtet ist, entsprechend der vorstehenden Ausführungen die Daten für eine Auskunft vorzuhalten, um der Auskunftspflicht auch nachkommen zu können. Dass die Zulässigkeit der Verwendung der Verkehrsdaten – und damit die Überprüfung aller Anspruchsvoraussetzungen – einem Richtervorbehalt unterliegt, ändert daran nichts. Denn dadurch soll einerseits der besonderen Schutzbedürftigkeit von Verkehrsdaten bei der Verwendung gegenüber Dritten im Zusammenhang mit der Auskunft Rechnung getragen werden und andererseits sollen Internet-Provider und Telekommunikationsunternehmen von Anspruchsprüfung entlastet werden (BT-Drucks. 16/5048, S. 40). Eine konstitutive Bedeutung für das Entstehen des Auskunftsschuldverhältnisses kommt dem Verfahren nach § 101 Abs. 9 UrhG damit nicht zu.

b) Die begehrte Vorhaltung der Verkehrsdaten ist datenschutzrechtlich zulässig. Zwar sind Verkehrsdaten grundsätzlich gemäß § 96 Abs. 2 Satz 2 TKG nach Beendigung einer Verbindung zu löschen. Hier besteht aber eine Ermächtigung zur weiteren Vorhaltung der Daten zum Zwecke der Auskunft gemäß § 96 Abs. 2 Satz 1 TKG i.V.m. § 101 Abs. 2, 9 UrhG.

aa) Die datenschutzrechtlichen Regeln des Telekommunikationsgesetzes (TKG) sind grundsätzlich anwendbar, da die Antragsgegnerin einen reinen Zugangsdienst anbietet (vgl. § 1 Abs. 1 Telemediengesetz). Ferner stellt nach Auffassung der Kammer nicht nur die dynamische IP-Adresse als solche ein Verkehrsdatum im Sinne von § 3 Nr. 30 TKG dar, sondern auch die Verknüpfung der dynamischen IP-Adresse (zu einem bestimmten Zeitpunkt) mit Namen und Adressen der Kunden (Bestandsdaten) unterfällt den Regeln über Verkehrsdaten (siehe hierzu Fromm/Nordemann/Czychowski, a.a.O., § 101 Rn. 66).

bb) Nach § 96 Abs. 2 Satz 1 TKG dürfen diese Daten über das Ende der Verbindung hinaus verwendet werden, soweit sie zum Aufbau weiterer Verbindungen oder für die in den §§ 97, 99, 100und 101 TKG genannten oder für die durch andere gesetzliche Vorschriften begründeten Zwecke erforderlich sind. Bei der Auskunftserteilung nach § 101 Abs. 2 i.V.m. Abs. 9 UrhG handelt es sich um einen solchen durch eine andere gesetzliche Vorschrift begründeten Zweck. Dementsprechend enthält § 101 Abs. 10 UrhG auch den aufgrund des Zitiergebots des Artikel 19 Abs. 1 Satz 2 GG erforderlichen ausdrücklichen Hinweis, dass durch § 101 Abs. 2 in Verbindung mit Abs. 9 das Fernmeldegeheimnis (Art. 10 GG) eingeschränkt wird. Dieses Verständnis der Regelungen des § 101 UrhG wird bestätigt durch die Begründung des Regierungsentwurfs zum Gesetz zur Verbesserung der Durchsetzung der Rechte des geistigen Eigentums zur Parallelvorschrift des § 140b PatG (BT-Drucksache 16/5048 Seite 39 f). Dort wird zunächst dargestellt, dass die Verkehrsdaten nach bisheriger Rechtslage aufgrund des einfachgesetzlich (§ 88 TKG) und verfassungsrechtlich (Art. 10 Absatz 1 GG) geschützten Fernmeldegeheimnisses trotz bestehenden Bedürfnisses von Rechtsinhabern keinen zivilrechtlichen Auskunftsanspruch gegen einen Accessprovider ermöglichten. Die Regelung des Absatzes 9 mit dem Richtervorbehalt wird dann als Lösung dargestellt, die allen beteiligten Interessen am besten gerecht wird, wobei abschließend ausdrücklich auf die damit verbundene Einschränkung des Fernmeldegeheimnisses hingewiesen wird.

cc) Soweit § 96 Abs. 2 Satz 1 TKG dem Wortlaut nach nur bereits nach § 96 Abs. 1 TKG für eigene Zwecke gespeicherte Verkehrsdaten erfasst, steht das der weiteren Vorhaltung nicht entgegen.

Wenn die Verwendung von für eigene Zwecke gespeicherter Daten für die Beauskunftung nach § 96 Abs. 2 Satz 1 TKG i.V.m. § 101 Abs. 2 i.V.m. Abs. 9 UrhG datenschutzrechtlich zulässig ist, dann muss dies erst recht für solche Daten gelten, die zwar nicht schon für eigene Zwecke vorgehalten werden, die aber zur Erfüllung der gesetzlichen Auskunftspflicht erhoben werden. Dies gilt insbesondere auch deshalb, weil die Speicherung der Daten gegenüber der Verwendung der Daten für eigene Zwecke des Access-Providers für sich genommen eine deutlich geringere datenschutzrechtliche Relevanz hat (vgl. BVerfG MMR 2008, 303, 304: „Ein besonders schwerwiegender und irreparabler Nachteil […] liegt in der Datenspeicherung allein nicht.“).

Dabei ist weiter zu berücksichtigen, dass eine kurzzeitige Speicherung für eigene Zwecke nach § 96 Abs. 2 Satz 1 TKG nach Auffassung der Kammer ohnehin generell zulässig ist (so zutreffend auch AG Bonn MMR 2008, 203). Demgemäß speichern mehrere Diensteanbieter die Daten noch sieben Tage nach Verbindungsende. Es kann nicht zu Lasten der Auskunftsberechtigten gehen, dass die Antragsgegnerin von dieser zulässigen Möglichkeit keinen Gebrauch macht.

Im übrigen verkennt die Antragsgegnerin bei ihrer Argumentation, dass die Verbindungsdaten im Zeitpunkt des weiteren Speicherbegehrens auf Zuruf bereits während der laufenden rechtverletzenden Verbindung jedenfalls für technische Zwecke, nämlich zur Aufrechterhaltung der Verbindung, rechtmäßig für eigene Zwecke vorgehalten werden.

dd) Das Recht auf informationelle Selbstbestimmung der betroffenen Kunden der Antragsgegnerin steht nicht entgegen. Dieses Recht steht hier in einem Spannungsverhältnis mit dem Eigentumsrecht der Rechteinhaber (Fromm/Nordemann/Czychowski, a.a.O., § 101 Rn. 71). Das Urheberrecht ist als geistiges Eigentum gemäß Art. 14 GG geschützt. Diese Eigentumsposition darf den Rechteinhabern nicht dadurch faktisch entzogen werden, dass sie sich mangels Kenntnis der konkreten Verletzer nicht gegen Rechtsverletzungen im Internet zur Wehr setzen können. Das Recht auf informationelle Selbstbestimmung der betroffenen Nutzer, denen die IP-Adresse jeweils zugeordnet wird, muss demgegenüber zurücktreten. Dies folgt zum einen daraus, dass die Verwendungsmöglichkeiten der Information, wem eine IP-Adresse zu einem bestimmten Zeitpunkt zugewiesen worden ist, sehr beschränkt sind. Zum anderen macht derjenige, der seinen Anschluss der Öffentlichkeit zugänglich macht, auch die ihm für diesen Zeitraum zugewiesene IP-Adresse öffentlich, so dass sein Schutzbedürfnis auch aus diesem Grund als gering zu bewerten ist (OLG Köln, GRUR-RR 2009, 9, 10 f. – Ganz anders ).

ee) Eine ausufernde Speicherung von Verkehrsdaten wird über das Erfordernis einer „offensichtlichen Rechtsverletzung“ verhindert.

ff) Eine weitergehende datenschutzrechtliche Ermächtigung zur Speicherung der Verkehrsdaten ist entgegen der Ansicht der Antragsgegnerin nicht erforderlich. Aus § 111 TKG und § 113 a TKG folgt nicht, dass Diensteanbieter nur aufgrund einer besonderen gesetzlichen Anordnung zur Speicherung von Verkehrsdaten zwecks Erfüllung gesetzlich normierter Auskunftsansprüche Dritter verpflichtet sind. Beide Regelungen betreffen nämlich Auskünfte gegenüber Behörden und nicht gegenüber Privaten. Im Verhältnis zwischen Staat und Diensteanbieter muss eine öffentlichrechtliche Pflicht zur Speicherung aufgrund des Vorbehalts des Gesetzes erst durch Gesetz geschaffen werden. Vorliegend besteht aber eine zivilrechtliche Speicherpflicht bereits aus dem gesetzlichen Schuldverhältnis des § 101 Abs. 2 UrhG. Aus diesem Grund sind auch die von der Antragsgegnerin zitierten Erwägungen des Bundesverwaltungsgerichts (Urteil vom 22.10.2003, Az.: 6 C 23.02, MMR 2004, 114 ff.) auf die hier zu beurteilende Fallgestaltung nicht unmittelbar anwendbar. So hat das Bundesverwaltungsgericht seine Entscheidung zu § 90 Abs. 1 TKG a.F., der eine Pflicht der Diensteanbieter zur Führung von Kundendateien vorsah, maßgeblich darauf gestützt, dass § 90 Abs. 1 TKG a.F. gerade nicht das Verhältnis der Diensteanbieter zu ihren Kunden anspreche, sondern die Beziehung zwischen dem Diensteanbieter und dem Staat (MMR 2004, 114, 116).

gg) Dem Gesetzgebungsverfahren zu § 101 Abs. 2, Abs. 9 UrhG kann auch nicht entnommen werden, dass eine Speicherpflicht dem Willen des Gesetzgebers widerspricht. Der Rechtsausschuss hat lediglich eine Verwendung von allein nach § 113 a TKG gespeicherten Daten im Rahmen von Bestandsdatenauskünften abgelehnt und insofern klargestellt, dass die Verwendung von diesen gespeicherten Daten grundsätzlich auf die Erteilung von Auskünften für hoheitliche Zwecke beschränkt bleiben soll (BT-Drucks. 16/6979, S. 46). Ausschließlich in diesem Zusammenhang ist auch der Verweis der Rechteinhaber auf ein Vorgehen nach § 406 e StPO i.V.m. §§ 161, 163 StPO i.V.m. § 113 TKG (BT-Drucks. 16/6979, S. 46) zu sehen. Die Frage, ob sich eine Berechtigung zur Speicherung auch aus anderen Normen als § 113 a TKG ergeben kann, wird demgegenüber vom Rechtsausschuss nicht erörtert.

hh) Schließlich steht die Speicherung der Daten selbst – anders als die Übermittlung der Daten – nicht unter dem Richtervorbehalt des § 101 Abs. 9 UrhG. Der Richtervorbehalt bezieht sich nach der insoweit klaren Regelung des § 101 Abs. 9 Satz 1 UrhG auf die Verwendung der Verkehrsdaten für die Auskunft nach § 101 Abs. 2 UrhG. Das setzt, wie die Antragsgegnerin an anderer Stelle zutreffend argumentiert, vielmehr das Vorhandensein der Verkehrsdaten voraus, also deren Speicherung, dessen Sicherung für das Auskunftsverfahren gerade Gegenstand dieses Verfahrens ist.

ii) § 96 Abs. 2 Satz 1 TKG i.V.m. §§ 101 Abs. 2, Abs. 9 UrhG stellt somit eine datenschutzrechtliche Ermächtigungsgrundlage zur Speicherung der für die Auskunft nötigten Verkehrsdaten dar.