Schlagwort-Archive: § 44 BDSG

Redtube-Abmahnungen und Datenschutzstrafrecht

Ulf Buermeyer (@vieuxrenard) hat auf heise-online eine sehr lesenswerte strafrechtliche Analyse der Redtube-Abmahnungen vorgenommen. Er kommt zu dem Ergebnis, dass eine Strafbarkeit der abmahnenden Anwälte der Kanzlei Urmann + Collegen wegen (versuchten und vermutlich in vielen Fällen auch vollendeten Betruges) vorliegen kann.

Aus strafrechtlicher Perspektive bedeutet das: Wenn man die urheberrechtliche Lage so einschätzt wie dargestellt, dann enthalten Abmahnungen wegen Streaming von legalen Portalen schon deswegen objektiv eine Täuschung. […]

Und je unzuverlässiger die Daten, umso eher wird sich ein Gericht davon überzeugen können, dass der Abmahnanwalt wenigstens ahnte, dass etwas nicht mit rechten Dingen zuging, er also wenigstens bedingt vorsätzlich handelte.

Er bezeichnet die beschriebenen Massenabmahnungen zusätzlich treffend als den „Enkeltrick des Internet-Zeitalters“. Er hofft, …

dass gegen Streaming-Abmahner engagiert ermittelt wird, denn hier geht es um ein Massenphänomen, das erheblichen gesellschaftlichen Schaden anrichtet. Bei unberechtigten Abmahnungen werden unter Missbrauch des Urheberrechts abwegige Vorwürfe erhoben; dadurch wird das Urheberrecht insgesamt weiter diskreditiert. Es ist kein Geheimnis, dass breite Kreise der Bevölkerung manche Aspekte des deutschen Urheberrechts ohnehin für fragwürdig halten. Windige Abmahnungen wegen Streamings sind daher blankes Gift für die gesellschaftliche Akzeptanz dieses Rechts.

Außerdem richten Streaming-Abmahnungen erheblichen wirtschaftlichen Schaden an – sie sind quasi der „Enkeltrick“ des Internet-Zeitalters: Die Hintermänner setzen gezielt auf die Unbedarftheit ihrer Opfer und versuchen, sie zu unbegründeten Zahlungen bringen, zumal wenn es um peinliche Vorwürfe geht. Diese Masche sollte entsprechend energisch verfolgt werden.

Die Analyse von Ulf Buermeyer bietet einen Anlass, auch über den Tellerrand des Strafgesetzbuches hinauszublicken und einen Blick ins Nebenstrafrecht zu werfen, namentlich ins Datenschutzstrafrecht.

1. Der Sachverhalt

Um eine strafrechtliche Analyse vornehmen zu können, ist zunächst festzuhalten, auf welcher Grundlage dieser erfolgt. Dies gestaltet sich allerdings sehr schwierig, da in Bezug auf die Redtube-Abmahnungen noch sehr vieles im Dunkeln liegt. Der nachfolgende Sachverhalt beruht auf den bisher bekannten Tatsachen, erhebt aber keinen Anspruch auf Richtigkeit und Vollständigkeit. Er dient lediglich der Vorbereitung der nachfolgenden juristischen Analyse.

a. Die Beteiligten
Vorliegend gab es – soweit ersichtlich – vier Beteiligte:
  • den angeblichen Rechteinhaber, The Archive AG,
  • das Unternehmen, das die IP-Adressen ermittelt haben will, itGuard Inc.,
  • den Rechtsanwalt, der beim LG Köln nach § 101 UrhG Auskunft über die hinter den IP-Adressen stehenden Anschlussinhaber beantragt (und in großem Umfang erhalten) hat (RA Sebastian), und
  • die Anwaltskanzlei, die die Abmahnungen versandt hat (nachfolgend „U+C“).

Bisher ist nicht erkennbar, dass Redtube irgendwie involviert war. Im Gegenteil hat Redtube erklärt, dass sie keine IP-Adressen weitergegeben hätten. Mittlerweile hat Redtube auch gegen

b. Die „Tathandlungen“

Zu unterscheiden sind verschiedene mögliche „Tathandlungen“:

  • die Ermittlung der IP-Adressen – wie auch immer dies erfolgt sein soll,
  • die Übermittlung der IP-Adressen an RA Sebastian,
  • die Übermittlung der IP-Adressen an das LG Köln zusammen mit einem Antrag nach § 101 UrhG,
  • die Übermittlung der IP-Adressen mitsamt der beauskunfteten Informationen des LG Köln an U+C und
  • die Aussprache der Abmahnung durch U+C,

sowie verschiedene Formen der Beteiligung, z.B. eine mittelbare Täterschaft, Anstiftung oder Beihilfe zu den einzelnen „Tathandlungen“.

c. „Tathergang“

Nach dem bisherigen Stand soll ein Unternehmen mit Hilfe der Software „GladII“ die IP-Adressen ermittelt haben. Dabei bleibt weiter völlig unklar, wie dies passiert sein soll. Es gibt Theorien, dass die IP-Adressen ermittelt wurden durch

Zu dem gesamten Vorgang hat sich mittlerweile RA Urmann in einem Interview geäußert. Auch RA Sebastian hat eine Pressemitteilung herausgegeben.

2. Mögliche Straftatbestände und (kurze) Analyse

Ulf Buermeyer ist schon auf den Straftatbestand des Betruges nach § 263 StGB eingegangen. Aus dem Datenschutzstrafrecht kommen verschiedene Tatbestände nach §§ 43, 44 BDSG in Betracht. Denken könnte man zudem auch an Straftaten aus dem Telekommunikationsbereich, namentlich §§ 89 Abs. 1, 148 TKG, denken.

Aus dem StGB kommt auch eine Strafbarkeit wegen des Ausspähens von Daten nach § 202a StGB, des Abfangens von Daten nach § 202b StGB, beim Einsatz von Trojanern auch Datenveränderung und Computersabotage nach §§ 303a, 303b StGB in Betracht. Diese sind aber nicht Gegenstand dieses Beitrages.

Nun zum Datenschutzstrafrecht:

a. Personenbezogene Daten

Als erste Frage ist zu klären, ob es sich bei den IP-Adressen in den verschiedenen Stadien um personenbezogene Daten nach § 3 BDSG handelt. Man könnte daran zweifeln, weil z.B. das LG Berlin dynamische IP-Adressen i.d.R. nicht als personenbezogen ansieht – außer beim Access Provider. Die Datenschutzaufsichtsbehörden sehen das allerdings anders. Ermittelt wurden die IP-Adressen durch die itGuard Inc. Diese hatte zunächst noch keine weiteren Informationen, insbesondere die später durch die Gerichtsbeschlüsse erwirkten Daten der jeweiligen Anschlussinhaber. Man könnte die Daten also bei itGuard Inc. als nicht personenbezogen ansehen. Dann wäre nach der Auffassung des LG Berlin zumindest die Sammlung der Daten nicht datenschutzrechtlich relevant.

Zu beachten ist jedoch, dass die Daten später durch die (vom LG Köln angeordnete) Auskunft der Telekom einzelnen Personen zugeordnet wurden und zugeordnet werden sollten, so dass die IP-Adressen in einem späteren Stadium zu personenbezogenen Daten wurden.

Dabei ist nach allgemeiner Auffassung die Übermittlung von nicht-personenbezogenen Daten an jemanden, der Zusatzwissen hat, und dadurch einen Personenbezug herstellen kann, also Übermittlung i.S.v. § 3 Abs. 4 Nr. 3 BDSG anzusehen.

Es kann davon ausgegangen werden, dass itGuard Inc. und The Archive AG wussten, dass der Empfänger einen Personenbezug herstellen will – das war ja gerade der Zweck der Datensammlung! Daher dürfte die Weitergabe der Daten unter das BDSG fallen. Im Ergebnis sind die IP-Adressen somit für alle Beteiligten als personenbezogene Daten anzusehen.

Im Übrigen ist nach dem Vorgenannten auch der Umstand „Nutzer XY hat zum Zeitpunkt Z den Film ABC angesehen“ ebenfalls ein personenbezogenes Datum.

b. Ungerechtfertigte Nutzung der Daten

Nach § 4 BDSG ist jede Verwendung von Daten unzulässig, sofern sie nicht gerechtfertigt ist. In Betracht kommt im Grunde hier nur eine Rechtfertigung nach § 28 BDSG. Im Einzelnen wären das § 28 Abs. 1 Nr. 1 BDSG, weil durch die Abmahnung möglicherweise ein Rechtsverhältnis nach den Grundsätzen der Geschäftsführung ohne Auftrag begründet werden soll, § 28 Abs. 2 Nr. 2 BDSG zur Wahrung berechtigter Interessen eines Dritten bzw. zur Verfolgung von Straftaten.

Grundsätzlich wird man davon ausgehen können, dass die Verwendung von IP-Adressen nach diesen Regeln gerechtfertigt ist, wenn dies zur Verfolgung der Rechte des Rechteinhabers dient. Bestehen allerdings von vornherein kein Rechte, wie dies im Fall der Redtube-Abmahnungen nahe liegt, dann können auch die Rechtfertigungstatbestände nicht greifen. Auch kann in einem solchen Fall kein Rechtsverhältnis durch die Abmahnung entstehen. Im Falle der Redtube-Abmahnungen war die Datennutzung daher vermutlich nicht durch § 28 BDSG gerechtfertigt.

Es ist darauf hinzuweisen, dass – anders als RA Urmann  in seinem Interview geäußert hat – die Gerichtsbeschlüsse des LG Köln (s. Pressemeldung des LG Köln) keinesfalls zu einer Rechtfertigung führen. Das LG Köln hat lediglich auf Grundlage des Vortrages von RA Sebastian geprüft, ob die Voraussetzungen von § 101 Abs. 9 UrhG vorliegen und danach in der Mehrzahl der Fälle (Beispiel eines ablehnenden Beschlusses hier) der Telekom Gegenüber die Herausgabe der Daten angeordnet. Dafür, dass die rechtlichen und tatsächlichen Voraussetzungen der Datenherausgabe tatsächlich vorliegen, ist weiterhin der Antragsteller, hier The Archive AG, verantwortlich.

c. Ordnungswidrigkeit, § 43 BDSG

In Betracht kommen auf dieser Grundlage zunächst verschiedene Ordnungswidrigkeitstatbestände nach § 43 BDSG, wonach

(2) Ordnungswidrig handelt, wer vorsätzlich oder fahrlässig
1. unbefugt personenbezogene Daten, die nicht allgemein zugänglich sind, erhebt oder verarbeitet,
4. die Übermittlung von personenbezogenen Daten, die nicht allgemein zugänglich sind, durch unrichtige Angaben erschleicht, …

Datei fällt unter das „Verarbeiten“ in § 43 Abs. 2 Nr. 1 BDSG auch die Übermittlung.

Der Vorsatz und die Fahrlässigkeit beziehen sich auch auf das Tatbestandsmerkmal „unbefugt“. Nach derzeitigem Stand dürfte hier jedenfalls Fahrlässigkeit in Betracht kommen, vermutlich auch Vorsatz mindestens in Form des sog. bedingten Vorsatzes, weil die Beteiligten die fehlende Befugnis für möglich gehalten und billigend in Kauf genommen haben (vgl. dazu auch die Ausführungen von Ulf Buermeyer).

d. Strafbarkeit, § 44 BDSG

Nächste Stufe ist die Strafbarkeit nach § 44 BDSG, der in Abs. 1 lautet:

(1) Wer eine in § 43 Abs. 2 bezeichnete vorsätzliche Handlung gegen Entgelt oder in der Absicht, sich oder einen anderen zu bereichern oder einen anderen zu schädigen, begeht, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft.

Hier dürfte folgendes gelten:

  • Die itGuards Inc. wird für ihre Dienste bezahlt worden sein => (+)
  • The Archive AG wollte – davon können wir ausgehen – mit den Abmahnungen Geld verdienen und sich dadurch bereichern => (+)
  • RA Sebastian ist für seine Tätigkeit bezahlt worden und wollte seiner Mandantin helfen, sich zu bereichern => (+)
  • Die Kanzlei U+C ist für ihre Tätigkeit bezahlt worden und wollte ihrer Mandantin helfen, sich zu bereichern => (+)
3. Telekommunikations-Strafnormen (§§ 89, 148 TKG)

Eine Strafbarkeit nach §§ 89, 148 TKG scheidet aus, da nicht ersichtlich ist, dass die Beteiligten eine Funkanlage i.S.v. § 89 TKG eingesetzt haben.

4. jeweils: Beteiligung

Wenn man davon ausgeht, dass die Beteiligten um den gesamten Vorgang wussten, dürften sie jeweils für ihre Tathandlung Täter sein. Alternativ kommt – mit entsprechendem Vorsatz – auch eine Strafbarkeit als Gehilfe (§ 27 StGB) oder „mittelbarer Täter“ (dazu Ulf Buermeyer) in Betracht.

 

(Bild von tpsdave, Quelle: http://pixabay.com/en/hawaii-volcano-hot-fire-night-142138/, Lizenz: CC0)

 

 

 

 

Aufsatz „Verwertung von Standortdaten und Bewegungsprofilen durch Telekommunikationsdiensteanbieter – Der Fall Telefónica/O2“, K&R 2013, 7, erschienen

In eigener Sache:

Mein Aufsatz mit dem Titel „Verwertung von Standortdaten und Bewegungsprofilen durch Telekommunikationsdiensteanbieter – Der Fall Telefónica/O2“ ist mittlerweile in der Zeitschrift Kommunikation & Recht (K&R), Heft 1/2013, S. 7 ff., erschienen.

Der Aufsatz beschäftigt sich mit der Absicht von Telefonica/O2, Standortdaten und Bewegungsprofile seiner Kunden zu verkaufen, ich hatte am 30.10.2012 bereits eine kurze Bewertung abgegeben.

Die Aus- und Verwertung von vorhandenen Datenbeständen wird auch in der Zukunft weiter aktuelles Thema bleiben. Dies zeigt nicht zuletzt der vor einigen Tagen erschienen Artikel von Fischermann und Hamann mit dem Titel „Wer hebt das Datengold?“. Der nun in der K&R erschienene Aufsatz behandelt die Problematik speziell im Hinblick auf die Verwertung von Daten durch Telekommunikationsdiensteanbieter, die bereits durch die reine Diensterbringung die Möglichkeit haben, relevante und sensitive Datensammlungen über ihre Kunden anzulegen (und dies wie das Beispiels Telefonica/O2 zeigt offenbar wenigstens teilweise auch tun).

Dabei gehe ich in dem Aufsatz insbesondere auf den Telekommunikationsdatenschutz der §§ 91 ff. TKG und den allgemeinen Datenschutz des BDSG, aber auch die Verletzung des Fernmeldegeheimnisses nach § 206 StGB ein.

Siehe auch:

Telefonica will Standortdaten seiner Kunden verkaufen – Eine kurze Bewertung

Wie heute berichtet wird, plant Telefonica (u.a. O2), die Standortdaten seiner Kunden als Produkt namens „Smart Steps“ in Form von Bewegungsprofilen an gewerbliche Kunden zu verkaufen.

Die Tagesschau erläutert dazu:

Durch ihre Bewegungsdaten erfährt der Geschäftsbesitzer von Telefónica nicht nur, dass Sie vor seinem Schaufenster stehen geblieben sind. Er erfährt auch, aus welcher Richtung Sie kamen, wie lang Sie stehen geblieben sind, wie alt Sie sind und welchem Geschlecht Sie angehören. Wertvolle Informationen – die, so Telefónica, allerdings anonymisiert werden.

Wann der Dienst in Deutschland starten soll, ist noch unklar. Allerdings kündigt Telefonica/O2 bereits jetzt an, auch die deutschen Datenschutzbestimmungen einhalten zu wollen. Möglich machen soll es eine Anonymisierung plus Einwilligung des Kunden. In den AGB soll zudem eine entsprechende Einwilligungserklärung vorhanden sein.

Ich bin gespannt, wie Telefonica/O2 diese Ankündigungen möglich machen will. Denn datenschutzrechtlich bewegt sich der Konzern auf sehr unsicherem Grund. Insbesondere sieht § 98 TKG einen sehr speziellen und weitgehenden Schutz von Standortdaten vor, um den Telefonica nur schwerlich herumkommen wird.

Anonymisierung

Schon die behauptete Anonymisierung ist kaum das Allheilmittel, das Telefonica sich davon erhofft. Denn nach den derzeitigen Produktbeschreibungen ordnet Telefonica die Standortdaten eindeutig einer Person zu. Wenn Telefonica behauptet, die Daten seien anonymisiert, dann ist wohl gemeint, dass derjenige, der die Daten kauft, nicht den Namen des Kunden erfährt. Das soll eine Anonymisierung darstellen. Dazu sind zwei Dinge zu beachten:

1. Rechtswidrige Erhebung der Daten bei Telefonica

Um ein Bewegungsprofil zu erhalten, müssen die Daten bei Telefonica selbst nicht-anonymisiert vorliegen. Wenn die Daten anonymisiert wären, könnte Telefonica ab dem Zeitpunkt der Anonymisierung das Bewegungsprofil nicht mehr fortführen. Damit dürfte die Behauptung widerlegt sein, dass die Daten (bei Telefonica/O2) überhaupt anonymisiert werden.

Für diese Erhebung und das Anlegen eines Bewegungsprofils benötigt Telefonica nach § 4a Abs. 1 BDSG eine Rechtfertigung. Diese kann praktisch nur in einer Einwilligung liegen. Es dürfte kaum möglich sein, dass Telefonica eine solche Einwilligung vom Kunden in der erforderlichen Form (insb. klar, verständlich, deutlich hervorgehoben (nicht versteckt in AGB) und ohne Verstoß gegen das Kopplungsverbot) einholen können wird. Auch Thilo Weichert vom Unabhängigen Landesdatenschutzzentrum Schleswig-Holstein hat bereits Zweifel am Vorgehen von Telefonica zu erkennen gegeben.

Damit wäre bereits die Erhebung der Daten datenschutzrechtswidrig. Das betrifft dann natürlich auch die weitere Verwendung. Daten, die rechtswidrig erhoben werden, müssen nach § 35 Abs. 2 S. 2 BDSG unverzüglich gelöscht werden – sie können also gar nicht erst für den Käufer anonymisiert und verkauft werden.

2. Anonyme Daten für den Käufer?

Vermutlich ist Telefonica/O2 der Auffassung, dass die Daten an den Abnehmer anonymisiert weitergegeben werden, indem Name etc. nicht mit übermittelt werden. Das dürfte ein Trugschluss sein. Anonym sollen Daten nach § 3 Abs. 6 BDSG in folgenden Fällen sein:

Anonymisieren ist das Verändern personenbezogener Daten derart, dass die Einzelangaben über persönliche oder sachliche Verhältnisse nicht mehr oder nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können.

Das Gegenteil von anonymen Daten sind personenbezogene Daten nach § 3 Abs. 1 BDSG:

Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener).

Dabei ist zu beachten, dass es ausreicht, wenn Daten personenbeziehbar sind, wenn also unter Verwendung z.B. von anderen Daten herausgefunden werden kann, welcher natürlichen Person die Daten zuzuordnen wären.

Nach der Ankündigung will Telefonica dem Käufer der Daten ermöglichen, z.B. herauszufinden, wann und wie lange ein Kunde in seinem Geschäft verweilt hat, aus welcher Richtung er kam etc. Es ist nicht schwer sich vorzustellen, dass der Käufer – auch ohne, dass er den Namen seines Kunden von Telefonica erfährt, in vielen Fällen herausfinden können wird, auf welchen seiner Kunden sich die von Telefonica erworbenen Daten beziehen. In einem Extrembeispiel einer kleinen Boutique mit wenigen Stammkunden muss der Inhaber des Geschäfts im Grunde nur die Kreditkartenabrechnung (Zeitpunkt eines Einkaufs) mit den Daten von Telefonica abgleichen, um herauszufinden, auf welchen Kunden sich die Daten von Telefonica beziehen.

Dieses Beispiel mag zunächst sehr speziell wirken. Es sollte aber nicht vergessen werden, dass auch in Geschäften heutzutage eine Vielzahl von Daten erhoben werden. So ließen sich die Bewegungsdaten nicht nur mit den Abrechnungsdaten, sondern z.B. auch mit Videoaufnahmen kombinieren und so ein eindeutiger Personenbezug herstellen.

Dieser Befund lässt sich im Übrigen ohne weiteres allein auf die Normen des BDSG stützen – der spezielle und weitreichende Schutz des § 98 TKG untermauert ihn zusätzlich.

Fazit und Ausblick

Nach meiner Auffassung wird es Telefonica kaum möglich sein, einen solchen Dienst in Übereinstimmung mit deutschem Recht einführen zu können. Es ist schwer vorstellbar, dass Telefonica eine wirksame Einwilligung seiner Kunden in das Vorgehen erhalten wird, zumal eine solche Einwilligung nachträglich für Bestandskunden eingeholt werden müsste. Auf § 28 BDSG kann sich Telefonica kaum stützen. Das Anlegen und Verkaufen von Bewegungsprofilen gehört nun einmal nicht zu den vertraglich erforderlichen Datennutzungen bei einem Mobilfunkvertrag.

Es ist zu hoffen, dass Telefonica/O2 diese Fragen vor Einführung durch die Rechtsabteilung/externe Kanzleien klären lassen wird – wenn dies nicht bereits erfolgt ist. Es ist wie gesagt schwer vorstellbar, dass ein solches Gutachten zum Ergebnis kommen kann, dass „Smart Steps“ mit deutschem Recht vereinbar ist.

Kunden von Telefonica/O2 können vermutlich bereits nach der jetzt erfolgten Ankündigung rechtlich gegen Smart Steps vorgehen. Telefonica hat im Grunde angekündigt, über seine Kunden Daten unter Verstoß gegen §§ 43, 44 BDSG zu erheben. §§ 43, 44 BDSG stellen Schutzgesetze im Sinne des § 823 Abs. 2 BGB dar. Daher bestehen gute Aussichten, dass ein vorbeugender Unterlassungsanspruch der Kunden von Telefonica/O2 nach § 823 Abs. 2 BGB besteht, die Ankündigung begründet jedenfalls die Wiederholungsfahr. Des Weiteren dürften die Verbraucherzentralen ein Interesse daran haben, gegen solche Modelle frühzeitig vorzugehen.

Es ist abzuwarten, ob entsprechende Abmahnungen (und einstweilige Verfügungen) in naher Zukunft bei Telefonica/O2 eintreffen werden.