Archiv der Kategorie: Artikel etc.

Kommentar zu BGH, Beschl. v. 15.5.2014 – I ZB 71/13 – Deus Ex – Erstattung der Kosten aus Auskunftsverfahren nach § 101 UrhG erschienen

Schreibe eine Antwort

Ich habe für die Zeitschrift Kommunikation & Recht (K&R) einen Kommentar zu BGH, Beschl. v. 15.5.2014 – I ZB 71/13 – Deus Ex verfasst, der nun im aktuellen Heft erschienen ist (K&R 2014, 798).

In dem Beschluss des BGH ging es darum, ob (und inwieweit) die Kosten des Auskunftsverfahrens nach § 101 Abs. 9 UrhG in einem nachfolgenden Prozess (z.B. gegen den Anschlussinhaber) ersatzfähig sind. Dabei war unklar, ob die Erstattung auf die prozessuale Kostenvorschrift des § 91 ZPO oder alternativ auf einen materiell-rechtlichen Schadensersatzanspruch zu stützen ist. Der BGH hat nun die Erstattung aus § 91 ZPO angenommen.

Aus dem Kommentar (K&R 2014, 798 ff.):

Werden Rechtsverletzungen über das Internet begangen, muss der möglicherweise verletzte Rechteinhaber zunächst anhand der ermittelten IP-Adresse die Identität des möglichen Verletzers ermitteln.[1] Hierfür sieht der im Rahmen des „Zweiten Korbes“ 2008 neu gefasste § 101 UrhG ein spezielles Verfahren vor: Nach § 101 Abs. 9 UrhG ist zunächst eine richterliche Anordnung herbeizuführen, dass der betroffene Internet Provider Auskunft erteilen darf. Mit dieser richterlichen Anordnung kann anschließend der Rechteinhaber nach § 101 Abs. 2 UrhG vom Internet Provider Auskunft verlangen. § 101 Abs. 9 S. 5 UrhG sieht diesbezüglich pauschal vor, dass „die Kosten der richterlichen Anordnung der Verletzte“ zu tragen habe. Die vorliegende Entscheidung des BGH klärt – soweit ersichtlich zum ersten Mal höchstgerichtlich – wie und in welchem Umfang diese Kostenerstattung erfolgen kann.

1. Hintergrund

Der neugefasste § 101 UrhG hat bisher zu einer regen Betätigung in der Rechtsprechung geführt.[2] Dabei ging es bisher aber entweder um formelle Fragen im Verfahren zur Erlangung der richterlichen Anordnung nach § 101 Abs. 9 UrhG, z.B. ob die Frage einer materiellen Rechtsverletzung im Verfahren nach § 101 Abs. 9 UrhG überhaupt zu klären ist,[3] welche Gebühren für das Verfahren anfallen,[4] um die materiellen Voraussetzungen des § 101 Abs. 2 UrhG, dort insbesondere die Erforderlichkeit eines „gewerblichen Ausmaßes“ der Rechtsverletzung[5] oder Nachweisfragen im Zusammenhang mit IP-Adressen.[6]

Fest steht jedenfalls, dass im Rahmen der Durchführung des Verfahrens nach § 101 Abs. 9 UrhG Kosten anfallen, namentlich Anwaltskosten, Gerichtskosten nach Nr. 15213 Ziff. 4 KV GNotKG i.H.v. € 200,- sowie anschließend die Kosten, die der Internet Provider dem anfragenden Rechteinhaber in Rechnung stellt. Diese Kosten soll der Rechteinhaber vom Rechtsverletzer ersetzt bekommen. Auf welcher materiellen oder prozessualen Grundlage und im welchen Umfang dies der Fall ist, war nun Gegenstand des vorliegenden Verfahrens. Insbesondere im Hinblick auf die Höhe des Ersatzes ist zu berücksichtigen, dass sich das Verfahren nach § 101 Abs. 9 UrhG zu einem Massenverfahren entwickelt hat. Häufig wird eine richterliche Anordnung nicht jeweils nur für eine IP-Adresse beantragt, sondern für eine Vielzahl, teilweise mehrere tausend.[7]

S. auch:

OLG Saarbrücken: Störerhaftung des Domain-Registrars für Bittorrent-Tracker unter der Domain

Schreibe eine Antwort

Ich habe bei Telemedicus ein aktuelles Urteil des OLG Saarbrücken kommentiert. Das OLG Saarbrücken hatte angenommen, dass der Registrar für die unter einer von ihm vergebenen Domain erfolgte Urheberrechtsverletzung als Störer haftet. Es damit als wohl erstes oberinstanzliches Gericht die ambiente.de-Rechtsprechung des BGH zur Störerhaftung des Domain-Registrars in den Bereich des Urheberrechts übertragen.

Weiterlesen bei Telemedicus.info

Lesetipp: Breyer, Personenbezug von IP-Adressen – Internetnutzung und Datenschutz, ZD 2014, 400

Schreibe eine Antwort

Patrick Breyer (@patrickbreyer) hat in Heft 8/2014 der Zeitschrift für Datenschutz (ZD) einen sehr lesenswerten Aufsatz zum seit Jahren streitigen Thema des Personenbezuges von IP-Adressen mit dem Titel „Personenbezug von IP-Adressen – Internetnutzung und Datenschutz“ veröffentlicht (ZD 2014, 400). Die Thematik habe ich hier im Blog und in Zeitschriften ebenfalls bereits aufgegriffen (z.B. in der ZD 2013, 605; hier; hier; s. auch Tag „Personenbezug“).

Die mittlerweile wohl h.M. tendiert in diesem Zusammenhang zum sog. Begriff des relativen Personenbezuges. Patrick Breyer geht in seinem Beitrag nun ganz grundsätzlich an die Frage des Personenbezuges heran:

Umstritten ist, ob uns die Datenschutzgesetze vor einer solchen „Surf-Protokollierung“ schützen. Einen Schutz gewähren Datenschutzgesetze grundsätzlich nur für personenbezogene Daten, also Daten, die einer bestimmten oder bestimmbaren Person zugeordnet werden können (§ 3 Abs. 1 BDSG). Ist die IP-Adresse ein personenbezogenes Datum, das unmittelbar nach Ende der Nutzung einer Website wieder zu löschen ist (§§ 13 Abs. 4, 15 Abs. 4 TMG)?

Spannend ist in diesem Zusammenhang insbesondere die Frage, ob bei der Bewertung auch Zusatzwissen einzubeziehen ist, das die verantwortliche Stelle unzulässigerweise erworben hat bzw. erwerben kann. Mit der Menge an Daten, die Unternehmen über ihre Nutzer sammeln (Stichwort „Big Data“) und der Vielzahl an Datenbrokern, bei denen weitere Mengen von Daten erlangt werden können, ist es – eine ausreichend große Datenmenge vorausgesetzt – in vielen Fällen nicht schwer, an Zusatzwissen zu gelangen, das eine Identifizierung von einzelnen Personen ermöglicht (vgl. auch Narayanan/Felten, No silver bullet: De-identification still doesn’t work – zur Frage der effektiven Anonymisierung von Daten). Das LG Berlin, Urt. v. 31.1.2013 – 57 S 87/08 (Volltext) hatte dazu tendiert, unzulässig erworbenes Wissen nicht zu beachten und so den Personenbezug eher eng zu verstehen.

Breyer nimmt nun in seinem Beitrag eine intensive und spannende dogmatische Auslegung von § 3 BDSG vor dem Hintergrund der europäischen Datenschutzrichtlinie 95/46/EG vor und geht anschließend auf Widersprüche der Theorie des relativen Personenbezugs ein.

Lesetipp: Roggenkamp/Ballhausen, Verantwortlichkeit gewerblicher Hotspot-Betreiber, AnwZert-IT-Recht 18/2014, Anm. 2 – und zur Zumutbarkeit der Verschlüsselung von WLANs

Schreibe eine Antwort

Prof. Dr. Jan Dirk Roggenkamp (@rajdr) und Dr. Miriam Ballhausen (@Miriam_B) haben in der Online-Zeitschrift Anwalt-Zertifikat-IT-Recht einen lesenwerten Beitrag mit dem Titel „Verantwortlichkeit gewerblicher Hotspot-Betreiber“ veröffentlicht (AnwZert-IT-Recht 18/2014, Anm. 2), der insgesamt lesenswert ist (im Augenblick ist der Artikel – ohne Fußnoten – online, es ist aber gut möglich, dass er demnächst nicht mehr verfügbar sein wird).

Die Autoren nehmen u.a. die Urteile des AG Hamburg zur Anwendbarkeit von § 8 TMG auf WLANs (und auch hier und hier) zum Anlass, sich mit der Rechtslage bei gewerblichen Hotspots zu befassen. Dabei gehen sie auf Fragen der Darlegungs- und Beweislast und der Störerhaftung ein. Insbesondere befassen sie sich damit, welche Maßnahmen den Betreibern von WLANs im Rahmen der Prüfungs- und Überwachungspflichten bei der Störerhaftung zuzumuten sind, wobei sie auf Verschlüsselung, Sperren, Registrierung und Belehrung eingehen.

1. Verschlüsselung als zumutbare Pflicht?

Eine Verschlüsselung sehen Roggenkamp und Ballhausen entgegen meiner Auffassung (s. Sassenberg/Mantz, WLAN und Recht, Rn. 228) als zumutbar an. Sie schreiben dazu:

Die Notwendigkeit der Passworteingabe vor Nutzung eines Hotspots ist in der Praxis üblich. Die Auffassung, die Pflicht zur Verschlüsselung schaffe bereits „eine Hürde, die das Geschäftsmodell zu beeinträchtigen vermag“ überzeugt vor diesem Hintergrund nicht.

Ich halte diese Argumentation nicht für richtig. Denn bei (insbesondere entgeltlichen) Hotspots mag zwar die Eingabe einer Nutzer/Passwort-Kombination z.B. auf einer Splash-Page durchaus üblich sein. Die Frage der Verschlüsselung, die der BGH in der Entscheidung „Sommer unseres Lebens“ angesprochen hat, und die hier diskutiert wird, betrifft aber bereits die Ebene des Zugangs zum WLAN, z.B. durch WPA2-Verschlüsselung.

Wenn ein WLAN durch eine solche Verschlüsselung gesichert ist, kann der Nutzer ohne Kenntnis des Kennworts überhaupt keinen Zugang zum WLAN erhalten, er kann also auch keinerlei Kommunikation mit dem WLAN aufnehmen.Wer sich kommerzielle Hotspots, z.B. der Telekom genau ansieht, kann erkennen, dass das WLAN an sich unverschlüsselt ist. Wenn sich der Nutzer in das (unverschlüsselte) WLAN einloggt, erhält er aber keinen Zugang zum Internet, sondern nur zur lokalen Informationsplattform mit Möglichkeit der Eingabe der Nutzer/Passwort-Kombination oder dem Erwerb der Zugangsberechtigung z.B. mit Kreditkarte.

Ganz wichtig ist nach meiner Auffassung, dass zu verschlüsselten WLANs nur Nutzer Zugang erhalten können, die ihren Zugang bereits vorher erworben und dabei den WLAN-Schlüssel erhalten haben. Neue Kunden, die sich z.B. auf einer Splash-Page registrieren und dann ihre Nutzer/Passwort-Kombination erhalten, können aber – mangels Zugangsmöglichkeit zum WLAN – nicht gewonnen werden. Im typischen Fall eines Touristen, der durch eine fremde Stadt läuft und ein WLAN nutzen will, ohne z.B. am Kiosk oder im Mobilfunkgeschäft einen Zugang zum WLAN zu erwerben, wird die Gewinnung des Kunden praktisch unmöglich.

Auch die Modelle, bei denen das WLAN zunächst 30-60 Minuten kostenlos angeboten wird und danach nur gegen Entgelt weiter zur Verfügung steht, basieren darauf, dass der Zugang zum WLAN selbst erst einmal ohne Verschlüsselung möglich ist. Nach Ablauf der kostenlosen Nutzungszeit muss der Nutzer dann – aber innerhalb des WLANs – die Berechtigung für die weitere Nutzung erwerben.

Auch in einem Café mit verschlüsseltem WLAN wird der Kunde erst die Bedienung ansprechen müssen, wie man denn Zugang zum WLAN erhält. Dies stellt nach meiner Auffassung einen klaren Wettbewerbsnachteil zum unverschlüsselten WLAN des Cafés nebenan dar.

Letztlich sollen WLANs auch als Informationsplattformen dienen. Die Stadt Berlin bspw. überlegt seit langer Zeit, ein WLAN im Stadtkern aufzubauen bzw. aufbauen zu lassen. Dabei sollen Nutzer nicht nur die ersten 30 Minuten kostenlos im Internet surfen können. Sie sollen zusätzlich auch nach den 30 Minuten auf eine Informationsplattform gelangen, wo sie Informationen über Berlin, zu aktuellen Veranstaltungen etc. erhalten können. Auch dies ist bei Verschlüsselung des WLANs nur möglich, wenn der Nutzer bereits vor Zugang zum WLAN den Schlüssel kennt.

Eine Verschlüsselung ist auch aus diesen Gründen dem gewerblichen Betreiber eines Hotspots unzumutbar.

2. Weitere Pflichten

Weitere Pflichten sehen die Autoren mit der wohl mittlerweile h.M. als nicht zumutbar an. Eine Belehrung sehen sie – zumal vor dem Hintergrund der Entscheidung BGH „BearShare“ – als praktisch unwirksam an:

Nach hier vertretener Auffassung dürfte der tatsächliche Effekt einer solchen Belehrung gegen Null tendieren.

Auch Sperren lehnen sie rundheraus ab (zu den verschiedenen Arten der Sperren s. z.B. Sassenberg/Mantz, WLAN und Recht, Rn. 231 ff.). Insoweit sind Roggenkamp und Ballhausen in guter Gesellschaft, z.B. das OLG Köln hat kürzlich Sperren als unzumutbar abgelehnt.

3. Fazit

Der Beitrag fasst kurz und lesenswert wichtige Punkte im Hinblick auf die Haftung der Betreiber von gewerblichen WLANs zusammen. Schön (mit Ausnahme des Punkts zur Verschlüsselung) ist jedenfalls das Fazit des Beitrags:

Betreiber gewerblicher Hotspots sind als Access-Provider zu behandeln und genießen die gleichen Haftungsprivilegien wie „richtige“ Access-Provider wie die DTAG, Telefonica, Versatel etc. Maßnahmen die über die Verschlüsselung29 und ggf. eine Nutzerbelehrung hinausgehen, sind unzumutbar und ihr Nichtergreifen kann keine Störerhaftung begründen.

Anmerkung zu AG Frankfurt, Urt. v. 14.6.2013 – 30 C 3078/12 (75), MMR 2013, 607: WLAN-Schlüssel – jetzt online

1 Antwort

In eigener Sache:

Meine in der MMR 2013, S. 607 ff. erschienene Anmerkung zur Entscheidung des AG Frankfurt, Urt. v. 14.6.2013 – 30 C 3078/12 (75) (Volltext hier) zur Frage, ob der Inhaber eines WLAN-Routers immer den WEP/WPA-Schlüssel ändern muss ist nun auch online verfügbar (PDF).

Aus der Anmerkung:

Das Urteil des AG Frankfurt ist ein Beleg dafür, dass in Teilbereichen der Störerhaftung der privaten Internetanschlussinhaber Rechtssicherheit einkehrt. Es enthält aber zusätzlich begrüßenswerte Klarstellungen.

  1. Insbesondere mit seiner Entscheidung „Morpheus“ (BGH MMR 2013, 388 m. Anm. Hoffmann) im Hinblick auf die Aufsichtspflichten von Eltern für ihre (zumindest jugendlichen) Kinder hat der BGH eine klare Linie dahingehend aufgezeigt, dass Eltern ihre Kinder belehren, aber ohne konkrete Hinweise nicht überwachen müssen. Diese Linie ist von den Instanzgerichten nun übernommen worden. Das OLG Frankfurt hat die Rechtsprechung kürzlich insoweit ergänzt, dass Ehepartner sich nicht gegenseitig überwachen müssen (OLG Frankfurt GRUR-RR 2013, 246). Diesen Vorgaben der höheren Rechtsprechung ist das AG in überzeugender Weise gefolgt.

2. Von Interesse ist an dem Urteil insbesondere der letzte Abschnitt …

Lesetipp: Hügel, Haftung von Inhabern privater Internetanschlüsse für fremde Urheberrechtsverletzungen

Schreibe eine Antwort

Im Mai 2014 ist die Dissertation von Dr. Alina Hügel mit dem Titel „Haftung von Inhabern privater Internetanschlüsse für fremde Urheberrechtsverletzungen – Zugleich eine Evaluation der Störerhaftung und konkurrierender Haftungskonzepte“ in der Reihe „Information und Recht“ des Beck-Verlages erschienen. Die Arbeit befasst sich – wie der Titel schon sagt – mit der Haftung von Inhabern privater Internetanschlüsse. Sie umfasst 200 Seiten und kostet 43,- EUR.

Dabei untersucht Hügel insbesondere die Haftungskonzepte „Verletzung von Verkehrspflichten“ und „Störerhaftung“, um die seit einigen Jahren Streit besteht (dazu s. auch Scheder-Bieschin, Modernes Filesharing und Anonymisierungsdienste, Rezension hier) und evaluiert diese anhand herausgearbeiteter Kriterien.

Die Arbeit enthält eine gute Übersicht des Standes der Rechtsprechung zur Haftung von Inhabern privater Internetanschlüsse, wobei – anhand der Pressemitteilung – auch das BGH-Urteil „BearShare“ (K&R 2014, 513, s. auch hier und hier) eingearbeitet ist. Damit ist das Werk insbesondere für diejenigen hilfreich, die sich konkret mit Urheberrechtsverletzungen durch Private z.B. im Rahmen von Filesharing befassen, wobei die Analyse der verschiedenen Haftungskonzepte und der rechtspolitische Ausblick eher für Wissenschaftler und ggf. politische Referenten von Interesse sein werden.

Hügel untersucht auch die unterschiedlichen, von der Rechtsprechung teils verlangten Prüfungs- und Überwachungs- bzw. Verkehrspflichten wie Sperren, Datenerhebung, Belehrung, Auskunft etc.

Dabei sieht sie grundsätzlich auch Inhaber privater Internetanschlüsse als Diensteanbieter i.S.d. TMG an (eingehend dazu auch Mantz, Rechtsfragen offener Netze (PDF), S. 55 ff. und 291 ff.; Sassenberg/Mantz, WLAN und Recht, 2014, Rn. 216 m.w.N.):

Inhaber privater Internetanschlüsse, die bestimmten Dritten ihren Anschluss zur Nutzung bereitstellen, sind als Diensteanbieter i.S.v. §§ 8, 2 Nr. 1 TMG (Access Provider) einzuordnen.

Hier noch ein paar unsortierte „Findings“ aus dem Werk:

Eine Gefahr für fremde Urheberrechtsverletzung erwächst nicht aus dem Internetanschluss an sich, sondern aus dem Verhalten Dritter, welche den bereitgestellten Internetzugang missbrauchen (S. 85).

Eine Informationssicherungspflicht, die sich in der Erstellung von Routerprotokollen konkretisiert, ist ohne Einwilligung der betroffenen Mitnutzer unzumutbar (S. 108).

Ein Auskunftsanspruch gegen Inhaber privater Internetanschlüsse scheidet von vornherein aus, wenn der bereitgestellte Internetzugang von Familienmitgliedern missbraucht worden ist, da dann im Prozess das Zeugnisverweigerungsrecht nach §§ 383 ff. ZPO geltend gemacht werden kann. (S. 171).

Lesetipp: Narayanan/Felten, No silver bullet: De-identification still doesn’t work – zur Frage der effektiven Anonymisierung von Daten

5 Antworten

Im Juli 2014 haben Arvind Narayanan (@random_walker) und Edward Felten (@EdFelten) (beide Princeton University) ein Paper mit dem Titel „No silver bullet: De-identification still doesn’t work“ veröffentlicht, das im Wesentlichen eine Replik auf ein Paper von Cavoukian/Castro (Big Data and Innovation, Setting the Record Straight: Deidentification Does Work) darstellt. Cavoukian und Castro hatten in ihrem Paper im Kern dargestellt, dass es wirksame Techniken gibt, die eine Anonymisierung von Datensätzen ermöglichen. Narayanan und Felten wenden sich sehr überzeugend gegen diese Theorie.

1. Hintergrund

Zunächst kurz zum Hintergrund:

Wir befinden uns vermutlich noch am Anfang des Big Data-Zeitalters. Über jede einzelne Person werden immer mehr und immer genauere Daten erhoben und gespeichert (näher z.B. Kurz/Rieger, Die Datenfresser, 2012). Wer sich die Daten von/über Malte Spitz ansieht, die im Zuge der Kritik an der (deutschen und europäischen) Vorratsdatenspeicherung erhoben wurden, erhält eine leichte Idee davon. Man stelle sich zusätzlich vor, dass auch alle anderen Tätigkeiten von uns digital erfasst werden. Wenn sich alle diese Daten zusammenführen ließen und dann auch noch jeweils einer einzelnen Person zugeordnet werden kann, entsteht ein sehr genaues Bild über diese eine Person. Diesen Zustand soll unser Datenschutzrecht verhindern bzw. die Kontrolle über den Vorgang zumindest teilweise der jeweiligen Person erhalten.

Sollen nun Daten ohne konkrete Einwilligung oder gesetzlichen Erlaubnistatbestand erhoben und genutzt werden, bleibt dem Verarbeitungswilligen nur die Variante, die Daten dem Schutz des Datenschutzrechts vollständig zu entziehen. Das ist – möchte man meinen – eigentlich ganz einfach: Die Daten müssen ja „einfach nur“ anonymisiert werden. Wie das geht, sagt uns (in der Theorie) z.B. § 3 Abs. 6 BDSG:

Anonymisieren ist das Verändern personenbezogener Daten derart, dass die Einzelangaben über persönliche oder sachliche Verhältnisse nicht mehr oder nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können.

Es gibt eine Menge Literatur dazu (s. nur Simitis-Scholz, BDSG, 8. Aufl. 2014, § 3 Rn. 205 ff.), wie § 3 Abs. 6 BDSG zu verstehen ist. In dieser wird u.a. darauf hingewiesen, dass man klar zwischen Anonymisierung und Pseudonymisierung unterscheiden muss. Und Daten, die – wie es hier Narayanan und Felten darstellen de-anonymisiert werden können, sind schlicht nur pseudonymisierte und damit personenbezogene Daten.

2. Broken Promises of Privacy

Im Jahr 2009 hat Paul Ohm (@paulohm) in einem denkwürdigen Aufsatz namens „Broken promises of privacy: Responding to the surprising failure of anonymization” dargestellt, dass sich (eigentlich anonymisierte) Daten immer häufiger “de-anonymisieren” lassen – und zwar ohne so erheblichen Aufwand, dass von einer effektiven Anonymisierung nach § 3 Abs. 6 BDSG gesprochen werden kann. Die Frage und Möglichkeit der De-Anonymisierung ist daher eine tatsächliche Frage, die unmittelbar erhebliche rechtliche Konsequenzen nach sich zieht.

Vermutlich weil ein großes Interesse daran besteht, mit solche „anonymisierten“ Daten weiter zu arbeiten, gibt es auch Stimmen, die die Effektivität der Anonymisierung bzw. die Ineffektivität von Angriffen hiergegen hervorheben – wie z.B. den von Narayanan und Felten kritisierten Aufsatz von Cavoukian und Castro.

Narayanan und Felten zeigen in ihrem Aufsatz nun eindrucksvoll auf, dass die Ergebnisse von Cavoukian und Castro nicht nur auf Sand gebaut, sondern vermutlich einfach schlicht falsch sind. Hier nur ein paar Zitate aus dem Paper:

Let’s be clear about why the authors of the study didn’t actually re-identify anyone: because they didn’t set out to. …

The [Netflix]-study shows in detail that if someone knows just a little bit about the movie preferences of a user in the Netflix dataset (say, from Facebook or a water-cooler conversation), there’s an upwards of 80% chance of identifying that user’s record in the dataset. …

They mostly ignore the possibility of re-identification by a spouse, friend, nosey neighbor, or investigator based on specific knowledge about the victim, as well as a data-broker applying re-identification based on their existing datasets to enrich their dossiers …

The authors claim that data brokers’ databases “are often incomplete, making it difficult to positively identify someone with a high degree of confidence.” This is cold comfort to a person who is re-identified because they do appear in the database. And it doesn’t consider that a realistic adversary often can just buy access to another database if the first one doesn’t meet their needs. …

It is very tempting to look for an assurance that (say) only 1% of individuals in a dataset can be re-identified. But there is simply no scientific basis for interpreting re-identification probabilities of de-identified high-dimensional datasets as anything more than (weak) lower bounds, and we urge the reader to be wary of false promises of security.

Was kann man also Personen und Unternehmen, die große Datenmengen erheben, nutzen und weitergeben möchten, raten? Die einzig (noch?) effektive Methode scheint eine Aggregation von Daten: Wenn Daten so zusammengewürfelt werden, dass sie immer eine Gruppe von Personen betreffen, entzieht sie des Personenbezugs. Allerdings darf die Gruppe nicht zu klein geraten – und dadurch wird natürlich die Nützlichkeit der Daten stark eingeschränkt (s. näher zu Anonymisierungstechniken Simitis-Scholz, BDSG, 8. Aufl. 2014, § 3 Rn. 205 ff.). Sehr interessant fand ich in diesem Zusammenhang, dass Narayanan und Felten auch zeigen, dass die Technik , die bisher als halbwegs effektiv angesehen wurde, nämlich die Veränderung von Daten, so dass sie ungenauer werden (z.B. statt eines Datums nur das Jahr) angesichts der zunehmenden Datenmengen von Angreifern ebenfalls versagt.

Indeed, a key finding of the de Montjoye et al. study is that the main technique one might hope to use — making the data more coarse-grained — has only a minimal impact on uniqueness. …

making the adversary’s auxiliary dataset more specific has the equal and opposite impact! Of course, with high-dimensional datasets, there are strong limits to how much the data can be generalized without destroying utility, whereas auxiliary information has the tendency to get more specific, accurate, and complete with each passing year.

Wer sich mit Anonymisierungstechniken beschäftigt und selbst Daten anonymisieren möchte, oder mit anonymisierten Daten arbeiten will (oder jemanden berät, der das tut), sollte sich im Übrigen darüber klar sein, dass es (rechtlich) völlig unbeachtlich ist, ob sich nur ein kleiner Teil der Daten einer bestimmten Person zuordnen lässt. Denn für jeden einzelnen dieser Fälle liegt aller Voraussicht nach eine unzulässige Datenverarbeitung vor. Dementsprechend kann man eigentlich nur empfehlen, „anonymisierte“ Daten, bei denen man nicht ganz und absolut sicher ist, ob sie wirklich anonym sind, als personenbezogene Daten zu behandeln.

3. Fazit

Obwohl der Aufsatz von Narayanan und Felten nur eine „Replik“ darstellt, ist er absolut lesenswert. Er enthält zudem eine Reihe von weiterführenden Links und Hinweisen. Es empfieht sich auch, das Paper von Cavoukian und Castro zu lesen. Im Übrigen hat auch Cory Doctorow die Diskussion zusammengefasst.
(Bild: Chris HartmanCC BY 2.0)

 

Rezension zu Dr. Felix Scheder-Bieschin: „Modernes Filesharing: Störerhaftung und Auskunftspflicht von Anonymisierungsdiensten“

1 Antwort

Eine Rezension zu:

Felix Scheder-Bieschin

Modernes Filesharing: Störerhaftung und Auskunftspflicht von Anonymisierungsdiensten

Schriften zum Zivil- und Wirtschaftsrecht, Oldenburger Verlag für Wirtschaft, Informatik und Recht, Edewecht 2014, 379 Seiten, 59,80 €, ISBN 978-3-95599-000-8

Zugleich Dissertation, München, LMU, 2013

„Anonymität begünstigt Rechtsverletzer. Anonymität begünstigt freie politische Meinungsäußerung. Anonymität ist dem Internet immanent …“

Mit diesen Worten beginnt die Dissertation von Dr. Felix Scheder-Bieschin mit dem Titel „Modernes Filesharing: Störerhaftung und Auskunftspflicht von Anonymisierungsdiensten“, die in der von Prof. Dr. Taeger herausgegebenen Reihe „Schriften zum Zivil- und Wirtschaftsrecht“ des Oldenburger Verlags für Wirtschaft, Informatik und Recht im Jahr 2014 erschienen ist.

1. Aufbau

Die Arbeit ist in vier Kapitel unterteilt:

1. Einleitung und Problemstellung, 2. Technische Funktionsweise des anonymen Filesharings, 3. Rechtliche Würdigung und 4. Zusammenfassung und Fazit.

2. Einleitung

Bevor die wissenschaftliche Analyse beginnen kann, sollte der Leser sich zunächst die Frage- und Problemstellung der Arbeit sowie diejenigen Grundlagen, auf denen Dr. Felix Scheder-Bieschin seine Analysen erstellt hat, vergewärtigen.

Hierfür stellt der Autor am Anfang die rechtsverletzende Verteilung von Inhalten in Filesharing-Netzwerken, Usenet etc. dar. Daran schließt sich eine Diskussion der politischen Bedeutung und der Potentiale des anonymen Datenaustauschs an. Hier geht der Autor auf die Nutzung des Internet in autoritären Regimen, den Schutz der Beobachtung vor Kriminellen (z.B. in WLANs), Schutz vor Datensammlung und das Interesse an einer frei zugänglichen Netzwerkstruktur durch offene WLANs ein (S. 18-21).

Anschließend widmet er sich der Frage der Anonymität und deren (rechtlichen/verfassungsmäßigen) Schutzes. Als Ergebnisse hiervon hält der Autor fest, dass die Wirkungen, die Anonymität für den politischen Meinungsaustausch, Selbstdatenschutz etc. hat, „auch anderweitig erreicht werden“ könne oder „praktisch nicht besonders relevant“ seien (S. 21).

Nach der Analyse des rechtlichen Schutzes von Anonymität sieht er keinen umfassenden rechtlichen oder verfassungsrechtlichen Schutz der anonymen Kommunikation und auch keine Notwendigkeit, ein solches Recht anzuerkennen (S. 47). Der Autor sieht Anonymität als eine tatsächliche Begebenheit, die auf tatsächlicher Ebene gefördert werden sollte, nicht aber als rechtlich schutzwürdiges Gut.

3. Technische Grundlagen

In Kapitel 2 werden die technischen Grundlagen für die Analyse gelegt. Es werden verschiedene anonymisierende Ansätze dargestellt, insbesondere auch TOR, AN.ON etc. Der Autor lässt offene WLANs ohne Registrierung außen vor, sieht sie aber als vergleichbare Dienstleistung, für die die Arbeit im Ergebnis ebenfalls relevant sei.

4. Einstieg in die rechtliche Analyse

a. Kategorisierung von Intermediären

In Kapitel 3 stellt der Autor zunächst eine Systematisierung der Rechtsprechung zu den Grundsätzen der Störerhaftung von Intermediären her. Hierfür greift er auf die Figuren des „gefahrgebietenden“ und des „gefahrgeneigten“ Intermediärs zurück. Vereinfacht zusammengefasst soll gefahrgebietende Intermediäre eine Haftung unmittelbar treffen, während bei gefahrgeneigten Intermediären die Verletzung von Gefahrvermeidungspflichten zu prüfen ist, die die Rechtsprechung als „Prüfungs- und Überwachungspflichten“ bezeichnet. Diese Kategorisierung findet sich später in der Wertung immer wieder.

b. Gewährung von Anonymität => Gefahrneigung?

Ein inhaltlicher Kern der Arbeit sind nach meiner Auffassung die Ausführungen zu Wertungsfaktoren für die im Einzelfall zumutbaren Gefahrvermeidungspflichten (S. 132-158) und dort wiederum die Frage, ob die Gewährung von Anonymität ein gefahrerhöhendes Element darstellt (S. 137 ff.).

In diesem Abschnitt diskutiert Scheder-Bieschin insbesondere, ob allein der Umstand, dass ein Dienst Anonymität gewährt, einen neutralen Dienst zu einem gefahrgeneigten Dienst macht. Anders als es der Anfang von Kapitel 3 andeutet, gibt es also noch eine dritte Kategorie: Den weder gefahrgeneigten noch gefahrgebietenden Dienst. Dieser findet sich allerdings nur selten in der Arbeit wieder, dabei wäre diese Abgrenzung (neutral vs. gefahrgeneigt) auch spannend gewesen.

Scheder-Bieschin führt hier weiter aus, dass allein aus dem Interesse von Dritten nach Identifikation nicht auf die Unzumutbarkeit der Gewährung von Anonymität geschlossen werden darf. Vielmehr sei im konkreten Einzelfall zu prüfen, ob die Anonymität gefahrerhöhend wirke (S. 140).

Mit anderen Worten: Allein aus dem Umstand, dass ein Dienst anonymisierende Wirkung hat, lässt sich eben nicht darauf schließen, dass eine Gefahrneigung vorliegt. Dem ist zuzustimmen. Es wäre auch seltsam, wenn Gesetzgeber und Verwaltung Datensparsamkeit und Anonymität (rechtlich und tatsächlich z.B. im Rahmen des AN.ON-Projekts) fördern, aber dieses Verhalten gleichzeitig als per se gefährlich ansähen.

5. Verantwortlichkeit einzelner Diensteanbieter (insb. kommerzielle ip-adressverschleiernde Dienste)

Auf dieser Grundlage geht Scheder-Bieschin dann ab S. 159 auf die Verantwortlichkeit einzelner Diensteanbieter ein, wobei er sich zunächst den „kommerziellen ip-adressverschleiernden Diensten“ widmet. Unter diesen Begriff subsummiert er sowohl den anonymisierenden VPN-Anbieter als (wohl) auch den Betreiber von Mix-Kaskaden (bspw. AN.ON) oder von TOR-Nodes.

Dabei geht er ab S. 182 er auf einzelne Gefahrvermeidungspflichten ein, u.a. Sperrung von Webseiten, Protokoll- und Portblockaden, Deep Packet Inspection etc. (vgl. dazu zuletzt auch OLG Köln, Urt. v. 18.7.2014 – 6 U 192/11). Dieser Teil ist absolut lesenswert, da Scheder-Bieschin die einzelnen Pflichten genau analysiert. Dabei muss man nicht in allen Punkten seiner Meinung sein, aber die Argumentation ist nachvollziehbar. Für Access Provider hatte das OLG Köln kürzlich ausgeführt, dass z.B. URL-Sperren grundsätzlich möglich sind, diese aber im Ergebnis unzumutbar sind.

a. Pflicht zur Registrierung?

Ab S. 207 untersucht er dann Registrierungspflichten. Der Autor stellt also die Frage, ob derjenige, der einen (kommerziellen ip-adressverschleiernden) Anonymisierungsdienst anbietet, vor der Gewährung des Zugangs eine Registrierung des Nutzers durchführen muss.

Das ist natürlich für alle Betreiber von Internetdiensten eine spannende Frage, mit der ich mich selbst auch immer wieder befasst habe (s. u.a. für WLANs Sassenberg/Mantz, WLAN und Recht, Rn. 234 m.w.N.). Für Access Provider besteht nach absolut herrschender Meinung in der Rechtsprechung eine solche Pflicht nicht (so z.B. OLG Hamburg, Urt. v. 14.1.2009 – 5 U 113/07, MMR 2009, 631). Speziell für WLANs hat das LG München I im Jahr 2012 festgestellt, dass eine Pflicht zur Identifizierung gesetzlich derzeit nicht begründbar ist (LG Mu?nchen I, Urt. v. 12.01.2012 – 7 HK O 1398/11, CR 2012, 605).

Dieser Linie folgt auch der Autor, wobei man hier die Ausführungen tatsächlich bis zum Ende lesen sollte. Nachdem er die These aufstellt, ob sich Identifizierungspflichten, die bei Sharehostern verlangt wurde, auf Anonymisierungsdienste übertragen lassen, beginnt er die Analyse, ob dieser Aussage nicht etwas entgegensteht. § 13 Abs. 6 TMG sieht Scheder-Bieschin hier zunächst als nicht anwendbar an. Außerdem entfalle ja auch bei besonders gefahrgeneigten Diensten die Zumutbarkeit der anonymen Nutzung. Er kommt dann auf Basis von § 95 TKG und dem allgemeinen Gebot der Datensparsamkeit zu dem Schluss, dass eine solche Pflicht nicht verlangt werden kann. Aus der Störerhaftung könne eine solche doch nicht hergeleitet werden (S. 211 f.). Das sei überzogen. Das Gebot der Datensparsamkeit stehe dem entgegen. Ohnehin wären die derzeit verfügbaren Möglichkeiten zur rechtssicheren Identifikation (z.B. PostIdent, Elektronischer Personalausweis) den Diensten nicht zumutbar (für WLANs s. auch Sassenberg/Mantz, WLAN und Recht, Rn. 234 m.w.N.). Auch identifizierende Zahlungsdaten, welche kostenpflichtige Diensteanbieter zwingend erheben müssen, sind von der Auskunftspflicht nicht umfasst (S. 340 ff.).

Eine Pflicht zur Registrierung sieht Scheder-Bieschin daher insgesamt nicht.

b. Warnhinweise

Anschließend widmet sich das Werk der Frage, ob Diensteanbietern eine Pflicht zu Warnhinweisen obliegen könnte. Im Ergebnis bestehe eine wirkliche Verpflichtung zwar nicht, allerdings – und das ist interessant – würde das Unterlassen eines Warnhinweises durch den Anonymisierungsdienst die Billigung von Rechtsverletzungen bedeuten. Außerdem steigere dies die Gefahrgeneigtheit des Dienstes.

Das ist in dieser Absolutheit nicht unmittelbar verständlich. Wenn ein Dienst per se nicht gefahrgeneigt, sondern neutral ist, warum soll dann das Unterlassen eines Hinweises (der eigenverantwortlich handelnden Nutzer) auf eine Tolerierung von Rechtsverletzungen hindeuten? Auch der BGH sieht zumindest im Familienkreis keine Pflicht zur Belehrung von erwachsenen Kindern (BGH K&R 2014, 513 – BearShare). Leider begründet Scheder-Bieschin diese Aussage hier nicht weiter. In der später folgenden Abwägung (S. 216-220) vertritt der Autor dann die Auffassung, dass solche Hinweise zu den Gefahrvermeidungspflichten von Anonymisierungsdiensten gehörten, wobei er einräumt, dass diese i.d.R. kaum Wirkung zeigen dürften.

Anschließend wird geprüft, ob der Diensteanbieter konkrete Warnhinweise bei erfolgter Rechtsverletzung erteilen muss (wie z.B. im Modell „Three Strikes“). Dies sieht der Autor auf der aktuellen Gesetzesgrundlage aber nicht als möglich an.

c. Fazit zu Gefahrvermeidungspflichten

Auf S. 216-220 wird dann für Anonymisierungsdienste in die eigentliche Abwägung eingestiegen. Das Fazit lautet: „neutral, aber gefährlich“. In der Konsequenz sieht Scheder-Bieschin die Pflicht zur Ergreifung von URL-Filter und die Erteilung von allgemeinen Warnhinweisen als erforderlich, aber auch hinreichend an. Weitere Pflichten könnten Anonymisierungsdiensten nicht auferlegt werden.

d. Weitere Diensteanbieter

Danach werden nach ähnlichem Muster die Anbieter von versehentlich offenen Proxy-Servern, Seed-Boxen, Botnetzen und dezentralen Diensten beleuchtet.

6. Nutzer von dezentralen anonymisierenden Filesharing-Diensten

In Teil 3 der Arbeit (S. 246 ff.) geht es um die Haftung der Nutzer von dezentralen, anonymisierenden Filesharing-Netzwerken. Klarstellend sind damit nicht TOR oder AN.ON gemeint, die als „durchleitende dezentrale Anonymisierungsdienste“ bezeichnet werden, sondern eher Netzwerke wie RetroShare.

Nutzer, die an solchen Netzwerken teilnehmen, haben zur Gefahrvermeidung nur die Möglichkeit, ihre Teilnahme einzustellen, da sie keine Kontrolle über den über ihren Anschluss ausgetauschten Datenverkehr haben. Dies sieht der Autor nach kurzer Diskussion auch als zumutbar an. Ebenso bewertet er die Lage bei anonymisierenden verschlüsselnden Online-Festplatten.

7. Störerhaftung oder Verkehrspflichten?

Ab S. 256 erneuert Scheder-Bieschin seine Kritik an der bisherigen dogmatischen Einordnung. Das Konzept Verkehrspflichtenhaftung auf der einen und Störerhaftung auf der anderen Seite hält er für wenig überzeugend. Seine Kritik ist nachvollziehbar, die Ausführungen lesenswert. Ab S. 292 stellt er die Reaktion der Rechtsprechung auf die Diskussion und die Vereinbarkeit der Umsetzung europäischer Richtlinien durch die Anwendung der Störerhaftung dar, wobei zu beachten ist, dass der BGH zumindest im Bereich des Urheberrechts weiter an dem Institut der Störerhaftung festhält.

Spannend sind dann ab S. 301 rechtsvergleichende Ausführungen, bei denen auf die Rechtssituation in Australien, USA, Irland und Frankreich eingegangen wird.

8. Auskunftsansprüche und Datenspeicherung

In Teil 5 geht der Autor auf Auskunftsansprüche gegen Anonymisierungsdiensteanbieter ein, insbesondere § 101 UrhG. Hier werden alle Tatbestandsmerkmale eingehend diskutiert (vgl. dazu auch Welp, Die Auskunftspflicht von Access Providern nach dem UrhG, 2009). Das Vorliegen eines gewerblichen Ausmaßes nach § 101 Abs. 2 UrhG wird für private Teilnehmer an Anonymisierungsnetzwerken überzeugend verneint (S. 313).

9. Regelungsvorschlag für § 7 Abs. 2 S. 3 TMG

In Kapitel 4, Teil 3 (S. 353) macht Scheder-Bieschin anschließend einen Vorschlag zur Neuregelung von § 7 Abs. 2 TMG. Danach sollen Diensteanbieter von jeglichen Pflichten (inklusive Unterlassungsansprüchen) befreit werden, wenn sie Auskunft über die ladungsfähige Adresse eines Rechtsverletzers erteilen. Es handele sich um eine freiwillige Regelung, die Privilegierung wäre also nur ein Anreiz, die Nutzer zu identifizieren. Alternativ könnte der Anbieter anonyme Nutzungsmodelle anbieten, wenn er die ihm zumutbaren Gefahrmeidungsmaßnahmen ergreift.

Problematisch an dem Ansatz sehe ich u.a., dass eine zeitliche Grenze nicht vorgesehen ist. Denn wer eine ladungsfähige Anschrift mitteilen können will, muss auch eine mögliche Rechtsverletzung nachträglich einem Nutzer zuordnen können. Wer also von der Privilegierung profitieren will, muss (allein hierfür) Verkehrsdaten erheben und speichern, möglicherweise bis zur Verjährung eventueller Ansprüche gegen den Anonymisierungsdiensteanbieter. Da aber eine Speicherung von Verkehrsdaten häufig gar nicht gestattet ist (nach § 100 TKG und der Rechtsprechung des BGH allein zum Zwecke der Störungserkennung und –beseitigung maximal für sieben Tage), müsste die Ergänzung in § 7 Abs. 2 S. 3 TMG mit einer entsprechenden Gestattung einhergehen, oder der Anonymisierungsdiensteanbieter würde sich rechtswidrig verhalten.

10. Gesamteindruck

Das Werk „Modernes Filesharing“ geht die Frage der Haftung von Anonymisierungsdiensten an, wirft interessante Fragen auf und bewertet diese. Dabei ist auch die Darstellung des Einflusses der europäischen Richtlinien und die Bewertung der entsprechenden Entscheidungen des EuGH spannend. Von daher ist die Lektüre des Buchs definitiv empfehlenswert.

Beachten sollte man aber, dass schon der Titel auf das „Filesharing“ abzielt und dementsprechend die Verletzung von Urheberrechten durch Filesharing im Vordergrund steht. Dementsprechend werden vornehmlich die Gefahren der Anonymisierung adressiert. Die politischen und sozialen Vorzüge werden erkannt, aber insgesamt eher gering gewichtet – was unter der Prämisse einer Anonymisierung praktisch nur für Rechtsverletzungen verständlich ist.

Dies zeigt sich dann auch bei der jeweiligen Abwägung, bei der man die Meinung des Autors nicht teilen muss. Beachtlich ist aber, dass Scheder-Bieschin trotzdem zu dem Ergebnis kommt, dass Betreibern von Anonymisierungsdiensten inklusive TOR und AN.ON lediglich geringe Pflichten obliegen, nämlich die Hinweispflicht und die Pflicht zu nicht intrusiven Websperren.

In einer Zeit, in der die Überwachung des Internet praktisch komplett zu sein scheint, und in denen selbst die politisch Verantwortlichen zu Gegenmaßnahmen durch Verschlüsselung etc. raten, kann man über die Bedeutung von Anonymität im Internet streiten, hier sind einfach verschiedene Ansichten vertretbar, die sich dann eben auch bei der Bewertung auswirken.

Etwas abseits vom eigentlichen Thema bleibt leider die Rolle etwas im Unklaren, die offenen WLANs zukommt. Offene WLANs ohne Registrierung können faktisch Anonymität bewirken, sind aber zunächst einmal rein neutrale Dienste. Eine Gefahrneigung ist nicht ohne Weiteres erkennbar. Da allein der Umstand, dass eine Anonymisierung stattfindet nicht zu einer Gefahrgeneigtheit führt, dürften ihnen auch nach der Analyse im Buch keine Pflichten auferlegt werden, die der Autor von Anonymisierungsdiensten verlangt.

 

(Disclosure: Dr. Felix Scheder-Bieschin hat mir freundlicherweise ein Exemplar seiner Arbeit für die Rezension zur Verfügung gestellt.)

Anmerkung zu AG Hamburg, 10.6.2014 – 25b C 431/13: Anwendbarkeit von § 8 TMG auf WLAN – erschienen

1 Antwort

In eigener Sache:

Mittlerweile ist meine Anmerkung zum Urteil des AG Hamburg, Urt. v. 10.6.2014 – 25b C 431/13, CR 2014, 536 (und zugleich Urt. v. 24.6.2014 – 25b C 924/13) in der Zeitschrift Computer und Recht (CR) erschienen (CR 2014, 538). Ich habe beide Urteile bereits hier im Blog kurz besprochen (hier und hier), nun ist zusätzlich eine längere Anmerkung in der CR erschienen.

In beiden Fällen ging es um die Haftung des Betreibers eines WLANs, einmal ein Hotel, einmal eine Ferienwohnung. Das AG Hamburg hat – als erstes Gericht in Deutschland – § 8 TMG im Zusammenhang mit WLAN thematisiert und auch angewandt.

Aus der Anmerkung (CR 2014, 538 ff.):

Bereits seit 2006 befassen sich die Gerichte immer wieder mit Rechtstreitigkeiten um urheberrechtliche Abmahnungen, bei denen die zugrundeliegende Rechtsverletzung von einem Nutzer eines WLANs ausging. Dabei standen hauptsächlich Fälle im Vordergrund, bei denen Privatpersonen das WLAN zu privaten Zwecken betrieben.[1] Bis vor kurzem waren überhaupt nur drei Fälle des LG Frankfurt und des AG München bekannt geworden, die die Haftung des Betreibers eines „gewerblichen“ WLANs betrafen: ein Hotel-WLAN[2], ein WLAN, das ein Vermieter von Ferienwohnungen seinen Gästen zur Verfügung stellte,[3] und ein vom Vermieter betriebenes WLAN.[4] LG Frankfurt und AG München waren in beiden Fällen im Wege der Einzelfallprüfung zu dem Schluss gekommen, dass der Betreiber des WLAN-Hotspots weder auf Schadensersatz noch auf Unterlassung in Anspruch genommen werden könne. Allerdings waren beide Gerichte jeweils nicht auf die Privilegierungsregelung des § 8 TMG eingegangen, obwohl diese nach allgemeiner Auffassung in der Literatur auf WLANs Anwendung findet.[5]

Das AG Hamburg hat nun – spannenderweise wiederum zu WLAN-Hotspots eines Hotels und eines Vermieters von Ferienwohnungen – als soweit ersichtlich erstes Gericht in Deutschland die Privilegierung des § 8 TMG auf WLAN-Hotspots überhaupt geprüft – und angenommen.

1. Keine Haftung auf Schadensersatz

Unter Verweis auf § 8 TMG hat das AG Hamburg zunächst eine Haftung auf Schadensersatz konsequent abgelehnt. Dennoch – möglicherweise im Hinblick auf eine eventuelle Berufung – ist das AG Hamburg in einer eigentlich unnötigen Hilfsbegründung darauf eingegangen, dass eine Haftung als Täter oder Teilnehmer auch ohne Anwendung der Privilegierung ausscheidet …

Weitere Publikationen hier.

 

Gedanken zu: Borges, Die Haftung des Internetanschlussinhabers für Urheberrechtsverletzungen durch Dritte, NJW 2014, 2305

1 Antwort

Im aktuellen Heft 32/2014 der Neuen Juristischen Wochenschrift (NJW) nimmt Prof. Dr. Borges das BGH-Urteil „BearShare“ (K&R 2014, 513; s. dazu hier) zum Anlass, noch einmal zur „Haftung des Internetanschlussinhabers für Urheberrechtsverletzungen durch Dritte“ Stellung zu nehmen (NJW 2014, 2305; zu weiteren Anmerkungen zu dem Urteil s. hier, hier, hier und hier).

Der lesenswerte Beitrag enthält aus meiner Sicht – sehr kurz gefasst – über die Frage der Pflichten im Familienkreis hinaus zwei wichtige Überlegungen:

Zum einen geht es um die Pflicht zur Absicherung des Internetzugangs. Hierbei will Borges unterscheiden. Jedenfalls Private müssten ihr WLAN schützen, was sich aus der BGH-Entscheidung „Sommer unseres Lebens“ aus dem Jahre 2010 ergebe:

Insoweit kann man gegebenenfalls noch unterscheiden, ob das WLAN bewusst zur Nutzung durch jedermann zur Verfügung gestellt wird oder ob lediglich faktisch diese Möglichkeit besteht.

In dieser Fallgruppe wurde bisher weitgehend einhellig angenommen, dass irgendeine Art von Schutz gegen Nutzung des Internetanschlusses zu illegalem Filesharing oder vergleichbaren Rechtsverletzungen erforderlich ist. Bei privaten Internetanschlüssen ist, entsprechend dem Sommer unseres Lebens-Urteil, nach herrschender Auffassung ein Zugangsschutz (Passwort) erforderlich …

Zum anderen geht Borges – unter Anwendung der Prämisse, dass § 8 TMG dem Wortlaut nach auch auf Anschlussinhaber Anwendung findet – jedenfalls „im Fall des Anschlussinhabers“ von einer teleologischen Reduktion des § 8 TMG aus (NJW 2014, 2305, 2310):

Danach wären Inhaber privater wie geschäftlicher Internetanschlüsse auch als Zugangsprovider iSd § 8 TMG anzusehen mit der Folge, dass die Verantwortlichkeit auch an § 8 TMG zu messen wäre. Die starke Haftungsbeschränkung nach 8 TMG ist im Fall des Anschlussinhabers wohl nicht angemessen. Daher kommt möglicherweise eine teleologische Reduktion des Anwendungsbereichs in Betracht, wovon die Rechtsprechung, die § 8 TMG durchgehend nicht erwähnt, offenbar stillschweigend ausgeht. Insgesamt erscheint eine gesetzliche Klarstellung der Haftungsbeschränkung für den Bereich der Zugangsvermittlung durch eigene Funknetze (WLAN) und Internetanschlüsse erforderlich.

Der Ansatz von Borges stellt eine mögliche Erklärung für die bisherige Rechtsprechung dar, die § 8 TMG bisher erwähnt. Es gibt hierfür allerdings noch eine weitere – einfachere – Erklärung: Die bisher mit solcherlei Fällen befassten Gerichte dürften § 8 TMG schlicht übersehen haben – vermutlich, weil keine der Parteien die Norm thematisiert hat. Das AG Hamburg hat dies kürzlich in seinem Urteil vom 10.6.2014 ausdrücklich zu erkennen gegeben, ähnlich könnte/dürfte es auch in den bisherigen Fällen gewesen sein (AG Hamburg, Urt. v. 10.6.2014 – 25b C 431/13):

Auf die Anwendbarkeit des § 8 TMG, die von den Parteien nicht ausdrücklich thematisiert wurde, musste das Gericht nicht gesondert hinweisen

Dogmatisch scheint der Ansatz von Borges klar. Unklar ist aber, was Borges mit der teleologischen Reduktion „beim Anschlussinhaber“ meint, wie also der personelle Anwendungsbereich der teleologischen Reduktion zu sehen ist. Ich verstehe ihn so, dass er damit zumindest auch die bewusst offenen WLANs z.B. in Hotels und Ferienwohnungen meint, da er Bezug nimmt auf die Fälle, bei denen die Rechtsprechung § 8 TMG bisher nicht erwähnt hat.

Es dürfte aber ganz generell vor dem Hintergrund der Wortlautauslegung von § 8 TMG fraglich sein, ob sich eine teleologische Reduktion mit Art. 12 der E-Commerce-Richtlinie vereinbaren ließe. Denn § 8 TMG ist lediglich eine Umsetzung dieser Regelung, worauf auch Borges unter Bezugnahme auf die EuGH-Urteile „L’Oréal vs. eBay“ (u.a. dazu hier) und „Scarlet vs. SABAM“ hinweist. Eine den Wortlaut einschränkende Auslegung müsste also am europarechtlichen Grundsatz des „effet utile“ gemessen werden, also einer Auslegung folgen, die eine effektive Anwendbarkeit von Art. 12 der E-Commerce-Richtlinie sicher stellt. Die teleologische Reduktion auf klar dem Wortlaut unterfallende Anschlussinhaber dürfte daher dem Ziel der effektiven Rechtsanwendung widersprechen.

Zudem ist die teleologische Auslegung eine „dem Sinn und Zweck der Norm“ nach. Leider nennt Borges den Zweck seiner einschränkenden teleologischen Auslegung nicht. Zu berücksichtigen könnte auch in diesem Zusammenhang sein, dass das Teilen von Internetanschlüssen nicht nur faktisch bereits seit Jahren erfolgt, sondern politisch und wirtschaftlich gewollt ist, was sich insbesondere aus den Regelungen in Art. 14 des Entwurfs der Single Market-Verordnung der EU ergibt (dazu eingehend Mantz/Sassenberg, CR 2014, 370).

Zu beachten ist im Übrigen, dass Teile der Rechtsprechung mittlerweile § 8 TMG anwenden (AG Hamburg, Urt. v. 10.6.2014 – 25b C 431/13 und Urt. v. 24.6.2014 – 25b C 924/13). Es bleibt abzuwarten, ob weitere Gerichte sich dem anschließen werden.