In eigener Sache: In Heft 9 der Computer und Recht ist (S. 603) meine Anmerkung zum Urteil des LG München I, Urt. v. 12.1.2012 – 7 HK O 1398/11, zur Identifikationspflicht beim Betrieb von WLAN-Hotspots erschienen. Ich hatte das Urteil auch hier im Blog kurz besprochen.
Fundstelle: CR 2012, 605
Heute ist ein Urteil des Landgerichts München veröffentlicht worden, das sich mit der Pflicht zur Erhebung und Speicherung von Bestandsaten beim Betrieb eines kostenlosen WLAN-Hotspot beschäftigt – und solche Pflichten im Ergebnis verneint (Volltext hier und hier).
Hintergrund des Urteils war offenbar ein Rechtsstreits zwischen zwei Betreibern und Anbietern von öffentlichen WLAN-Hotspots, denn die Klägerin stützte sich insbesondere auf wettbewerbsrechtliche Unterlassungsansprüche. Ziel der Klägerin war, es der Beklagten zu untersagen
(1) Netzwerke, insbesondere WLAN-Netzwerke zur Internetnutzung zu betreiben oder betreiben zu lassen, die für die Öffentlichkeit zugänglich sind und von jedermann genutzt werden können, ohne das die Nutzer vor Zugang zum Internet identifiziert werden und ohne deren Verkehrsdaten im Sinne. von § 3 Nr. 30 TKG während der Nutzung zu speichern,
(2) identisch oder sinngemäß damit zu werben, „einen Vorratsdatenspeicherungsservice zu leisten, der allen zutreffenden Absätzen des jeweiligen Telekommunikationsgesetzes bzw. der EU-Richtlinie 2006/24/EG entspricht“ und mit der Aussage zu werben „das hoch entwickelte Back-End-System von f…-h…com ermöglicht uns, sowohl die Anforderungen der EU-Richtlinie als auch die der lokalen Gesetze der EU-Mitgliedsländern zu erfüllen oder sogar zu übertreffen“, soweit die Beklagte in den von ihr eingerichteten Netzwerken im Sinne von Ziffer 1 keine Nutzeridentifikation und Verkehrsdatenaufzeichnung im Sinne von § 3 Nr. 30 TKG durchführt.
Das LG München hat sich anschließend mit allen möglichen, von der Klägerin angebrachten Normen beschäftigt, die eine Speicherpflicht hergeben sollten – und diese sämtlich abgelehnt (siehe im Übrigen zu der Thematik Mantz, Rechtsfragen offener Netze, 2008, S. 268-277, online verfügbar):
Keine Pflicht soll sich danach aus § 111 TKG ergeben, nach dem Daten für Auskunftsersuchen der Sicherheitsbehördender gespeichert werden müssen. Allerdings erfasst § 111 TKG nur „Anschlusskennungen“ – und die (dynamische) IP-Adresse ist gerade keine solche „Anschlusskennung“.
Dabei verweist das LG München auch auf den Wortlaut der (durch das BVerfG für unwirksam erklärten) §§ 113a und 113b TKG.
Ebenso wenig sieht § 95 TKG eine Pflicht zur Speicherung von Bestandsdaten vor. Denn nach § 95 „darf“ gespeichert werden – praktisch das Gegenteil von „müssen“. Ebenso ist § 96 TKG ein Erlaubnis- und kein Verpflichtungstatbestand.
Interessant und völlig korrekt ist, dass eine Erhebung und Speicherung auch nach § 95 TKG nur gestattet ist, wenn die Daten erforderlich sind. Und bei einem kostenlosen Angebot ist eine Erforderlichkeit nicht zu ersehen.
Diese Normen wurden vom Verfassungsgericht für verfassungswidrig erklärt und können daher eine Speicherpflicht nicht rechtfertigen.
Regeln nur eine Auskunftspflicht über Daten, die bereits erhoben wurden, nicht aber eine Pflicht zur Erhebung und Speicherung.
Diese Norm betrifft technische Schutzmaßnahmen des Providers. Nach dem LG München trifft § 109 TKG
taber keine Aussage darüber, ob und ggf. in welchem Umfang ein Zugangsanbieter die Nutzung seiner Telekommunika1ionsanlagen durch berechtigte Nutzer zu rechtswidrigen Zwecken verhindern muss.
Hinzu kommt, dass unklar bleibt, wie die Identifizierung der Nutzer technischen Schutz vermitteln soll. Es ist also hier auch eine Frage der Erforderlichkeit.
Interessant wird es noch einmal, wenn das LG München auf die behauptete Speicherpflicht nach § 101 UrhG eingeht. Das LG München sieht darin eine reine Auskunfts- aber keine Erhebungs- oder Speicherungspflicht. Damit dürfte sich das LG München auf einer Linie mit der übrigen Rechtsprechung befinden.
So hat beispielsweise das OLG Düsseldorf geurteilt (und ebenso schon das OLG Frankfurt):
Vor diesem allgemeinen Hintergrund teilt der erkennende Senat in Bezug auf die vorliegend zur Entscheidung stehende Frage die Auffassung der Oberlandesgerichts Frankfurt (GRUR-RR 2010, 91), dass es mangels gesetzlicher Grundlage keinen Anspruch des Auskunftsgläubigers nach § 101 Abs. 1 und 2 Nr. 3 UrhG auf die die Auskunft erst ermöglichende Speicherung gibt (vgl. auch OLG Hamm GRUR-Prax 2011, 61). Einer gesetzlichen Grundlage bedarf die Annahme einer Pflicht zur Speicherung dynamischer IP-Adressen in Interesse der Inhaber gewerblicher Schutzrechte und Urheberrechte gerade vor dem Hintergrund des Urteils des Bundesverfassungsgerichts zur „Vorratsdatenspeicherung“. Es kommt dem Gesetzgeber zu, einen Ausgleich herzustellen zwischen den Interessen dieser Inhaber privater Rechte, die von Verfassung wegen zu schützen sind, und den datenschutzrechtlichen Belangen der Internetnutzer, die ihrerseits verfassungsrechtlich geschützt sind.
Die Klägerin hat ferner die Auffassung vertreten, dass eine Speicherung „zur Vermeidung der Störerhaftung“ erforderlich sei. Hierauf ist das Landgericht München mit keinem Wort eingegangen. Aber auch aus der „Vermeidung der Störerhaftung“ ließe sich ein solcher Anspruch nicht herleiten. Denn für jede Erhebung und Speicherung ist ein Erlaubnistatbestand erforderlich (§ 4 Abs. 1 BDSG). Ein solcher ist – wie das Gericht richtigerweise ausführt – nicht ersichtlich. Solange ein Dienst kostenlos angeboten wird, ist eine Erhebung von Bestandsdaten daher nicht erforderlich – und damit auch nicht gerechtfertigt. Ein Gericht, das eine solche Pflicht dennoch im Rahmen der Prüfungs- und Überwachungspflichten aus § 1004 BGB schafft, verpflichtet daher den Provider zu einer datenschutzwidrigen Erhebung und Speicherung von Daten. Dies haben z.B. das LG Leipzig und das OLG Düsseldorf so formuliert (LG Leipzig MMR 2004, 263; ebenso OLG Düsseldorf MMR 2006, 553, 556; OLG Düsseldorf MMR 2006, 618, 620; Strömer/Grootz, K&R 2006, 553, 556).
Weitere Anmerkungen und Näheres unter
1. Einleitung
Der EuGH hat kürzlich im Rahmen der Beantwortung einer Vorlagefrage Stellung zu der Frage genommen, ob ein Gericht einem Access Provider auferlegen kann, zur Verhinderung von Urheberrechtsverletzungen seiner Kunden bei Nutzung von Filesharing-Netzwerken ein Filtersystem einzurichten (EuGH, Urteil v. 24.11.2011, Az. C?70/10, Volltext hier). Ich hatte kurz über die Vorlage berichtet (s. hier).
Die Vorlagefrage Nr. 1 lautete dabei:
Können die Mitgliedstaaten aufgrund der Richtlinien 2001/29 und 2004/48 in Verbindung mit den Richtlinien 95/46, 2000/31 und 2002/58, ausgelegt im Licht der Art. 8 und 10 der Europäischen Konvention zum Schutz der Menschenrechte und Grundfreiheiten, dem nationalen Richter erlauben, in einem Verfahren zur Hauptsache allein aufgrund der Vorschrift, dass „[s]ie [die nationalen Gerichte] … ebenfalls eine Unterlassungsanordnung gegen Vermittler erlassen [können], deren Dienste von einem Dritten zur Verletzung eines Urheberrechts oder verwandter Rechte genutzt werden“, gegen einen Anbieter von Internetzugangsdiensten die Anordnung zu erlassen, auf eigene Kosten zeitlich unbegrenzt für sämtliche Kunden generell und präventiv ein Filtersystem für alle eingehenden und ausgehenden elektronischen Kommunikationen, die mittels seiner Dienste insbesondere unter Verwendung von „Peer-to-Peer“-Programmen durchgeleitet werden, einzurichten, um in seinem Netz den Austausch von Dateien zu identifizieren, die ein Werk der Musik, ein Filmwerk oder audiovisuelles Werk enthalten, an denen der Kläger Rechte zu haben behauptet, und dann die Übertragung dieser Werke entweder auf der Ebene des Abrufs oder bei der Übermittlung zu sperren?
Das Urteil ist im Hinblick auf die Praxis deutscher Gerichte, die im Rahmen der Störerhaftung Pflichten zur Verhinderung von Verletzungen aufzuerlegen, sehr aufschlussreich und gibt – wenn auch in relativ engem Rahmen – dieser Rechtsprechung Grenzen auf.
2. Rechtsrahmen
Zunächst ist zu bemerken, dass der EuGH für das Urteil die einschlägigen europäischen Richtlinien in Bezug nimmt:
3. Entscheidung
Nachfolgend die hervorzuhebenden Ausführungen des EuGH als Zitat:
Folglich müssen diese Regelungen u. a. Art. 15 Abs. 1 der Richtlinie 2000/31 beachten, wonach es nationalen Stellen untersagt ist, Maßnahmen zu erlassen, die einen Diensteanbieter verpflichten würden, die von ihm in seinem Netz übermittelten Informationen allgemein zu überwachen.
Insoweit hat der Gerichtshof bereits entschieden, dass ein solches Verbot sich u. a. auf innerstaatliche Maßnahmen erstreckt, die einen vermittelnden Dienstleister wie einen Provider verpflichten würden, sämtliche Daten jedes Einzelnen seiner Kunden aktiv zu überwachen, um jeder künftigen Verletzung von Rechten des geistigen Eigentums vorzubeugen. Im Übrigen wäre eine solche allgemeine Überwachungspflicht nicht mit Art. 3 der Richtlinie 2004/48 zu vereinbaren, wonach die Maßnahmen im Sinne dieser Richtlinie gerecht und verhältnismäßig sein müssen und nicht übermäßig kostspielig sein dürfen (vgl. Urteil L’Oréal u. a., Randnr. 139).
…
Somit würde eine solche präventive Überwachung eine aktive Beobachtung sämtlicher elektronischen Kommunikationen im Netz des betreffenden Providers erfordern und mithin jede zu übermittelnde Information und jeden dieses Netz nutzenden Kunden erfassen.
Angesichts des Vorstehenden ist festzustellen, dass die dem betroffenen Provider auferlegte Anordnung, das streitige Filtersystem einzurichten, ihn verpflichten würde, eine aktive Überwachung sämtlicher Daten, die alle seine Kunden betreffen, vorzunehmen, um jeder künftigen Verletzung von Rechten des geistigen Eigentums vorzubeugen. Daraus folgt, dass diese Anordnung den Provider zu einer allgemeinen Überwachung verpflichten würde, die nach Art. 15 Abs. 1 der Richtlinie 2000/31 verboten ist.
…
Deshalb würde eine solche Anordnung zu einer qualifizierten Beeinträchtigung der unternehmerischen Freiheit des Providers führen, da sie ihn verpflichten würde, ein kompliziertes, kostspieliges, auf Dauer angelegtes und allein auf seine Kosten betriebenes Informatiksystem einzurichten, was im Übrigen gegen die Voraussetzungen nach Art. 3 Abs. 1 der Richtlinie 2004/48 verstieße, wonach die Maßnahmen zur Durchsetzung der Rechte des geistigen Eigentums nicht unnötig kompliziert oder kostspielig sein dürfen.
Darüber hinaus würden sich die Wirkungen dieser Anordnung nicht auf den betroffenen Provider beschränken, weil das Filtersystem auch Grundrechte der Kunden dieses Providers beeinträchtigen kann, nämlich ihre durch die Art. 8 und 11 der Charta geschützten Rechte auf den Schutz personenbezogener Daten und auf freien Empfang oder freie Sendung von Informationen.
Zum einen steht nämlich fest, dass die Anordnung, das streitige Filtersystem einzurichten, eine systematische Prüfung aller Inhalte sowie die Sammlung und Identifizierung der IP-Adressen der Nutzer bedeuten würde, die die Sendung unzulässiger Inhalte in diesem Netz veranlasst haben, wobei es sich bei diesen Adressen um personenbezogene Daten handelt, da sie die genaue Identifizierung der Nutzer ermöglichen.
…
Denn es ist unbestritten, dass die Antwort auf die Frage der Zulässigkeit einer Übertragung auch von der Anwendung gesetzlicher Ausnahmen vom Urheberrecht abhängt, die von Mitgliedstaat zu Mitgliedstaat variieren. Ferner können bestimmte Werke in bestimmten Mitgliedstaaten gemeinfrei sein oder von den fraglichen Urhebern kostenlos ins Internet eingestellt worden sein.
4. Bewertung
Was lässt sich aus dem Urteil des EuGH ableiten – und wie wirkt sich dies für die Betreiber offener Netze aus?
a. Grundsätzliches
Man sollte bei der Lektüre des Urteils jeweils im Hinterkopf behalten, dass der EuGH allein auf die Vorlagefrage geantwortet hat. Die Vorlagefrage ist durch das vorlegende Gericht sehr eng formuliert worden, was sich insbesondere daran zeigt, dass die einzelnen Komponenten der Vorlagefrage durch ein „und“ verknüpft sind:
ein System der Filterung
– aller seine Dienste durchlaufenden elektronischen Kommunikationen insbesondere durch die Verwendung von „Peer-to-Peer“-Programmen,
– das unterschiedslos auf alle seine Kunden anwendbar ist,
– präventiv,
– auf ausschließlich seine eigenen Kosten und
– zeitlich unbegrenzt
Bricht man eine der Voraussetzungen aus der Vorlagefrage heraus (z.B. die Kostentragung des Access Providers), ist die Antwort (zumindest formell) wieder offen.
b. Abwägungsfragen
Trotz dieses engen Fokus zeigt das Urteil des EuGH doch deutlich, dass das Gericht aus unterschiedlichen Richtungen zu seinem Ergebnis gelangt ist. Zunächst sieht es Filterpflichten als Verstoß gegen das Verbot der allgemeinen Überwachungsplicht in Art. 15 E-Commerce-RL. Es weist dann darauf hin, dass der Schutz geistigen Eigentums nicht schrankenlos gewährleistet sei und daher mit gewissen Grenzen gewährt wird. Erst dann kommt die Erwägung, dass ein Filtersystem aufwändig und kostspielig sei und daher auch massiv in die Rechte der Access Provider eingreifen würde.
Zum anderen spielen nach der Auffassung des Gerichts die Grundrechte der betroffenen Kunden eine relevante Rolle.
Und letztlich bezieht das Gericht die Informationsfreiheit ein.
Nach Ansicht des Gerichts ist im Rahmen einer Abwägung dieser betrachteten Rechtspositionen eine Filterpflicht ein Verstoß gegen das „angemessene Gleichgewicht“.
c. Schlussfolgerungen
Die obige Aufzählung sollte vor allem verdeutlichen, dass es sich um eine relativ komplexe Abwägung handelt. Das Gericht geht nicht im Einzelnen auf die Gewichtung der jeweiligen Rechtspositionen ein, sondern bleibt knapp und eher oberflächlich. Daraus kann man den Schluss ziehen, dass die (konkret gestellte) Frage für das Gericht sehr eindeutig und leicht zu beantworten war. Denn hätte das Gericht dem Schutz der Rechtsinhaber trotz Schranken einen höheren Stellenwert eingeräumt, wäre es auf das Verhältnis der einzelnen Rechtspositionen zueinander vermutlich viel näher eingegangen und hätte eine umfassende (Einzel-)Abwägung vorgenommen. Zählt man die Pro- und Contra-Punkte (wie oben dargestellt) durch, würde es 3:1 für ein Verbot von Filterpflichten stehen.
Für die Frage, ob ein sogenanntes Quick-Freeze (dazu s. LG München, Beschl. v. 20.8.2011 – 21 O 7841/11 und hier) zulässig wäre, hilft das Urteil aufgrund des engen Rahmens nicht unbedingt weiter. Die für eine solche Vorlagefrage abzuwägenden Rechte hat das Gericht allerdings klar herausgearbeitet.
d. Offene Netze
Das Gericht hatte vorliegend über einen „klassischen“ Access Provider zu entscheiden. Das Konzept der offenen Netze hatte es vermutlich nicht vor Augen. Es dürfte allerdings kaum mehr in Frage gestellt werden, dass es sich beim Betreiber eines offenen Netzes um einen Access Provider handelt (Mantz, Rechtsfragen offener Netze, 2008, S. 49 mwN). Damit ist das Urteil des EuGH vollständig auf offene Netze anzuwenden.
Der Betreiber eines offenen Netzes kann schließlich auch all die vom Gericht angeführten Rechtspositionen für sich verbuchen, insbesondere Informationsfreiheit, Rechte seiner Kunden und last but not least die Kostenlast, die bei Mini-Netzwerken natürlich einen besonders starken Eingriff bedeuten würde. Diesen Grundsatz stellt schließlich auch die TKÜV auf, die Access Provider mit weniger als 10.000 Nutzern freistellt (s. zur alten Fassung der TKÜV Mantz, Rechtsfragen offener Netze, 2008, S. 61 f.).
Die Klarheit der Abwägung spricht letztlich auch dafür, dass bereits weniger stark eingreifende Pflichten zumindest bei kleinen Providern eher als unzulässig einzustufen sein können.
Für die Betreiber von offenen Netzwerken ist damit zumindest soweit die Vorlagefrage reicht, Rechtsklarheit geschaffen worden.
5. Exkurs: Personenbezug von IP-Adressen
Für einige Diskussion hat die Frage gesorgt, ob der EuGH im Urteil en passant die Frage beantwortet hat, ob IP-Adressen Personenbezug aufweisen.
a. Relativ oder absolut?
Zur Erinnerung: Nach § 3 Abs. 1 BDSG sind personenbezogene Daten „Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person“.
Dabei ist in Rechtsprechung und Literatur umstritten, ob IP-Adressen „per se“ als personenbezogen zu betrachten sind (sogenannter „absoluter Personenbezug“) oder nur für denjenigen, der aufgrund des Zugriffs auf andere Daten, z.B. die Kundendatenbank eine Identifizierung vornehmen kann (sogenannter „relativer Personenbezug“), was zur Folge hätte, dass IP-Adressen für den Access Provider personenbezogen sind, für einen Dritten aber nicht. Die Diskussion hat vor allem in Deutschland aber teilweise keine so große Relevanz als über die Auskunftsansprüche der Enforcement-RL der Zugriff auf die zur Identifizierung nötigen Daten beim Access Provider unter geringen Voraussetzungen möglich ist, was die hunderttausendfach erteilten Auskunftsersuchen belegen.
b. Die Ausführungen des Gerichts
Im Urteil des EuGH spricht für einen absoluten Personenbezug (zunächst) der folgende Satz:
Zum einen steht nämlich fest, dass die Anordnung, das streitige Filtersystem einzurichten, eine systematische Prüfung aller Inhalte sowie die Sammlung und Identifizierung der IP-Adressen der Nutzer bedeuten würde, die die Sendung unzulässiger Inhalte in diesem Netz veranlasst haben, wobei es sich bei diesen Adressen um personenbezogene Daten handelt, da sie die genaue Identifizierung der Nutzer ermöglichen.
Die Diskussion mit Bezug auf das Urteil des EuGH (s. z.B. bei Rechtsanwalt Michael Seidlitz hier) stellt die Äußerung des EuGH in einen größeren Kontext und gestattet die Frage, ob der EuGH den Satz eventuell nur auf Nutzer des Access Providers Scarlet bezogen wissen wollte. Denn für diesen sind die Daten ohnehin (relativ) personenbezogen.
Der Generalanwalt des EuGH hatte diesbezüglich in seinem Schlussantrag formuliert (s. http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:62010C0070:DE:NOT):
75. Eine zweite Schwierigkeit besteht darin, zu bestimmen, ob es sich bei IP-Adressen um personenbezogene Daten handelt. Der Gerichtshof hatte sich bisher nur mit Fällen zu befassen, bei denen es um Daten ging, die mit IP-Adressen verbundene namentlich genannte Personen betrafen(56) . Er hatte hingegen noch nicht die Gelegenheit, zu prüfen, ob IP-Adressen als solche als personenbezogene Daten eingestuft werden können(57).
78. Somit können IP-Adressen als personenbezogene Daten eingestuft werden, soweit sich anhand ihrer eine Person identifizieren lässt, durch Verweis auf eine Kennung oder irgendein anderes Merkmal, das die Person kennzeichnet(63).
Vor diesem Hintergrund kann man zumindest davon ausgehen, dass der EuGH sich des Streits um den Personenbezug bewusst war, als er die Gründe formulierte.
Es stellt sich zunächst die Frage, welchen Bezugspunkt der EuGH hier verwendet hat. Er spricht von der Identifizierung derjenigen Nutzer, „die die Sendung unzulässiger Inhalte in diesem Netz veranlasst haben“. „In diesem Netz“, das ist das Netz des Access Providers Scarlet. In einem Filesharing-Netzwerk gibt es eine Vielzahl von Personen, die an der Übertragung teilnehmen. Beschränkt man dies gedanklich auf Quelle und Senke, sind beides Nutzer, die die Sendung „veranlasst haben“, unabhängig davon, welcher von beiden im Netz des Betreibers ist. Es könnte allerdings mehr dafür sprechen, dass der EuGH den Nutzer im Netz von Scarlet meinte, denn nur er kann dafür sorgen, dass der Filesharing-Verkehr tatsächlich im Netz von Scarlet landet – er wäre daher der „Veranlasser“.
Allerdings hätte der EuGH vor diesem Hintergrund zum Personenbezug im Grunde keinen Ton verlieren müssen. Denn dass Scarlet seine Nutzer zu jedem Zeitpunkt identifizieren kann, stand und steht außer Frage. Dafür werden nicht einmal die IP-Adressen benötigt. Im System von Scarlet erfolgt eine solche Identifizierung vermutlich viel eher über die Anschlussnummer oder sogar eine weiter Identifikationsnummer. Insofern könnte es sich auch eine gewollte Klarstellung durch den EuGH in Richtung eines absoluten Personenbezugs handeln.
Man sollte weiter nicht übersehen, dass der EuGH seine Ausführungen auf den ersten Blick offen formuliert hat. Die Argumentationslast dafür, dass das Urteil des EuGH nicht für die Theorie des absoluten Personenbezugs spricht, liegt daher auf Seiten der Vertreter der (engeren) relativen Theorie.
Heise-Online berichtet unter dem Titel „Mehr Infos aus IP-Adressen“ über das Tracking anhand von IP-Adressen.
Die Microsoft-Research-Methode geht aber noch deutlich weiter: Sie kann ermitteln, ob es sich bei der Adresse um den Arbeitsplatz eines Users, seinen Heim-PC oder seinen Reiselaptop handelt.
Im zugehörigen Artikel der Technology Review mit dem Titel „Der Trick mit dem Tracking“ wird das Verfahren näher erläutert:
Forscher bei Microsoft Research im Silicon Valley haben nun aber eine Methode entdeckt, bei der selbst ein Eintrag auf einem solchen „Do Not Track“-Verzeichnis nichts mehr hilft: Sie können Nutzer allein anhand ihrer Internet-Adresse (IP) durch das Netz verfolgen und ihren genauen Wohnort ermitteln. Zwar ist es schon lange möglich, aus einer einzelnen IP die Stadt des Nutzers festzustellen. Die Microsoft-Research-Methode geht aber noch deutlich weiter: Sie kann ermitteln, ob es sich bei der Adresse um den Arbeitsplatz eines Users, seinen Heim-PC oder seinen Reiselaptop handelt.
Dafür nutzten die Forscher statistische Modelle, die sie mithilfe von Log-Dateien von Software-Update- und E-Mail-Diensten aufgebaut haben. Die Quelle dieser Dateien gaben sie jedoch nicht preis. Das Datenmaterial analysierten die Wissenschaftler dann bezüglich verschiedener Indikatoren wie der Zeit des Online-Gehens oder Art des Rechners (Laptop oder stationärer PC). Laut Aussage der Forscher lässt sich die Vorgehensweise auch leicht auf Log-Dateien übertragen, die bei Providern und Suchmaschinen anfallen.
Der Artikel wirft auch kurz die datenschutzrechtliche Problematik dieses Verfahrens auf.
Für den deutschen Streit um den Personenbezug hat dies aber weitere Konsequenzen:
Unter den Schutz des BDSG fallen Daten, die personenbezogen oder personenbeziehbar sind, also alle Daten, die entweder zu einer Person gehören, oder aus denen sich ein Rückschluss auf die Person ziehen lässt.
In Rechtsprechung und Literatur ist die Frage, ob IP-Adressen personenbezogene Daten sind, stark umstritten. Eine klar hM lässt sich mittlerweile nicht mehr ausmachen, zumal einige Gerichte in letzter Zeit IP-Adressen als nicht personenbezogen angesehen haben(z.B. das OLG Hamburg, Beschl. v. 3.11.2010 – 5 W 126/10, s. auch hier).
Die Forschungsarbeit der Microsoft Research zeigt eindrücklich, dass diese Tendenz falsch ist. Denn die Forscher können mit den IP-Adressen jedenfalls mindestens sehr nah an die Person heran. Sie können darüber hinaus sogar feststellen, welchen Rechner diese benutzen. Mit entsprechenden Daten, die nicht nur den Provider, sondern offenbar auch anderen, z.B. Suchmaschinenbetreibern, vorliegen, kann also ein eindeutiger Personenbezug hergestellt werden.
Nach dem BDSG sind IP-Adressen damit personenbeziehbar und damit auch personenbezogen und unterfallen dem vollen Schutz des BDSG mit all seinen Konsequenzen.
Gulli.com berichtet, dass die Café-Kette Woyton in Düsseldorf ihr kostenloses WLAN für Kunden schließt. Als Grunde werde angeführt, dass „Gäste unerlaubte Daten heruntergeladen haben und daraufhin eine Reihe von Abmahnungen bei den Wirten eingegangen sei.“
Mit diesem Schritt zeigt sich die (fast schon logische Folge) der Unsicherheit in den letzten Jahren, die durch das WLAN-Urteil des BGH (Urt. v. 12.5.2010 – I ZR 121/08: Sommer unseres Lebens) eher befördert als beendet wurde (s. dazu schon eingehend hier). Dabei wäre der Fall des Café-Betreibers der ideale Fall, um die Rechtsprechung des BGH (im positiven Sinne) auf die Probe zu stellen. Denn wo das WLAN-Urteil des BGH vage und unkonkret ist, da ist die vorangegangene Rechtsprechung, insb. die „Internetversteigerungs“-Rechtsprechung des BGH glasklar: Prüfungs- und Überwachungspflichten sind dann unzumutbar, wenn durch sie das Geschäftsmodell konkret gefährdet wird (BGH GRUR 1977, 114, 116 – VUS; BGH NJW 2004, 2158, 2159 – Schöner Wetten; BGH MMR 2004, 668, 671 – Internetversteigerung I;BGH MMR 2004, 668, 671 – Internetversteigerung I; BGH MMR 2007, 507 – Internetversteigerung II; BGH MMR 2008, 531 – Internetversteigerung III; BGH MMR 2007, 634 – Jugendgefährdende Medien bei eBay; Mantz, JurPC Web-Dok. 69/2009 mwN; Leupold/Glossner, in: Leupold/Glossner, MAH IT-Recht, 2008, Teil 2 Rn. 167). Und wenn keine Prüfungs- und Überwachungspflicht (mangels Zumutbarkeit) verletzt wurde, scheidet auch die Störerhaftung aus.
Im vorliegenden Fall ist die Café-Kette Woyton offenbar in ihrer (hoffentlich rechtlich beratenen) Abwägung zu dem Schluss gekommen, dass sie ihr bisheriges Geschäftsmodell nicht mehr fortführen kann, wenn sie die (nicht feststehenden) Anforderungen der Gerichte erfüllen will. Dabei hatte selbst das LG Hamburg noch vor kurzer Zeit festgestellt, dass die Anforderungen an einen Access Provider nicht zu hoch sein dürfen, zumal wenn sie umgehbar sind. Welche Maßnahmen Woyton erwogen hat, um Rechtsverletzungen zu verhindern, ist leider nicht bekannt.
Gulli berichtet weiter, dass „Experten raten, dass Gaststätten zumindest verlangen, dass surfende Gäste ihre E-Mail-Adresse hinterlegen“. Dies haben allerdings die Gerichte bisher noch nicht verlangt – und es dürfte auch keine rechtliche Grundlage für eine solche Forderung bestehen, da das Erheben der Email-Adresse durch den Café-Betreiber auf erhebliche datenschutzrechtliche Bedenken stößt (ausführlich dazu Mantz, Rechtsfragen offener Netze, Karlsruhe 2008, S. 261 ff., Download hier).
Das AG Wuppertal hat offenbar seine Ansicht bzgl. der Strafbarkeit des Schwarz-Surfens korrigiert und kommt nun in einem ablehnenden Eröffnungsbeschluss (Volltext s.u.) zum Ergebnis, dass eine Strafbarkeit nicht gegeben ist.
Dabei hatte das AG Wuppertal mit Teilen der Literatur mit einem Urteil aus dem Jahre 2007 (AG Wuppertal, Urteil vom 3. 4. 2007 – 22 Ds 70 Js 6906/06) noch die Auffassung vertreten, dass die Nutzung eines offenen WLAN durch Dritte nach §§ 89, 148 TKG, §§ 43 II Nr. 3, 44 BDSG strafbar sei. Dem war anschließend das AG Zeven gefolgt (s. dazu hier; Bericht über eine weitere „öffentliche Festnahme“ hier).
Nun hat das AG Wuppertal auf die immer wieder geäußerte Kritik reagiert und seine Ansicht geändert:
Diese Ansicht überspannt jedoch den Schutz- und Strafbereich der hier in Betracht kommenden Strafvorschriften.
(im einzelnen s.u. sowie die Besprechung von Jens Ferner)
Damit läuft eine Rechtsfrage wieder auf ihre (richtige) Klärung zu. Vor allem könnte dies auch Auswirkungen auf das noch laufenden Ermittlungsverfahren gegen Google haben, wobei man allerdings nicht vergessen darf, dass in jenem Fall Daten tatsächlich gespeichert wurden, ohne dazu hier eine Bewertung vorzunehmen. Aber jedenfalls die beim Schwarz-Surfen üblicherweise automatisch zugewiesene IP-Adresse wird vom AG Wuppertal nicht mehr als „abgefangene Nachricht“ nach § 89 TKG eingestuft.
Links:
Update: Das Aktenzeichen lautet „26 Ds-10 Js 1977/08-282/08“, nicht wie ursprünglich angegeben „20 Ds-10 Js 1977/08-282/08“. Danke an RA Gramespacher (www.miur.de) für den Hinweis.
—
AG Wuppertal, Beschl. v. 3.8.2010 – 26 Ds-10 Js 1977/08-282/08
Amtsgericht Wuppertal
Beschluss
In der Strafsache
gegen […]
wegen Ausspähen von Daten
(Tenor:)
Der Antrag auf Eröffnung des Hauptverfahrens wird aus rechtlichen Gründen abgelehnt.
Die Kosten des Verfahrens und die notwendigen Auslagen des Angeschuldigten hat die Staatskasse zu tragen.
Gründe
Nach den Ergebnissen des vorbereitenden Verfahrens erscheint der Angeschuldigte einer Straftat nicht hinreichend verdächtig. Hinreichender Tatverdacht im Sinne des §203 StPO ist zu bejahen, wenn bei vorläufiger Tatbewertung auf Grundlage des Ermittlungsergebnisses die Verurteilung in einer Hauptverhandlung wahrscheinlich ist.
Dies ist vorliegend nicht der Fall. Eine Strafbarkeit des Angeschuldigten ist nicht ersichtlich. Vorgeworfen wird ihm, sich am 26.08.2008 und am 27.o8.2oo8 mit seinem Laptop mittels einer drahtlosen Netzwerkverbindung in das offene Funknetzwerk des Zeugen I. eingewählt zu haben, um ohne Erlaubnis und ohne Zahlung eines Entgeltes die Internetnutzung zu erlangen.
Dieses Verhalten ist jedoch nicht strafbar.
Es erfüllt weder den Tatbestand des unbefugten Abhörens von Nachrichten nach §89 I 1 TKG noch des unbefugten Abrufens oder Verschaffens personenbezogener Daten nach §§44, 43 II Nr.3 BDSG.
Zwar wurde in der Entscheidung des Amtsgerichts Wuppertal vom 03.04.2010 (NStZ 2008, 161) ein solches Verhalten als strafbar gesehen. Danach sei der WLAN-Router eine elektrische Sende- und Empfangseinrichtung und damit eine Funkanlage im Sinne des §89 TKG. Die aufgrund der Internetnetzung abgehörte “Nachricht” sei in der Zuweisung einer IP-Adresse durch den Router zu sehen. Das Verhalten sei unbefugt, weil die IP-Adresse nicht für den Angeklagten bestimmt gewesen sei.
Zudem sei eine Strafbarkeit nach §44 i.V.m. §43 II Nr.3 BDSG gegeben, da durch Zugriff auf den Router personenbezogene Daten abgerufen würden. Da der Angeklagte des Nichtvorhandensein einer Flatrate des “Opfers” zumindestens billigend in Kauf nehme, handele er auch in Bereicherungs- bzw. Schädigungsabsicht.
Diese Ansicht überspannt jedoch den Schutz- und Strafbereich der hier in Betracht kommenden Strafvorschriften.
Eine Strafbarkeit nach §89 S.1 TKG ist nicht gegeben. Als “Nachricht” kommt hier allenfalls die automatische Zuweisung einer IP-Adresse an den Computer in Betracht (so AG Wuppertal, NStZ 2008, 161). Hierbei ist aber bereits äußerst fraglich, ob die Zuweisung einer IP-Adresse eine “Nachricht” im Sinne dieser Vorschrift darstellt (vgl. Popp, jurisPR-ITR 16/2008 Anm.4). Dass der Angeschuldigte andere Nachrichten des Zeugen I. unbefugt empfangen haben könnte, lässt sich nach dem Ermittlungsergebnis gerade nicht feststellen (BL. 79 d.A.). Jedenfalls ist durch das vorgeworfene Nutzen des Internetzugangs kein “abhören” im Sinne des §89 TKG gegeben. Dies ergibt sich bereits aus dem Wortlaut der Vorschrift. Unter Abhören ist das unmittelbare Zuhören oder das Hörbarmachen für andere, aber auch das Zuschalten einer Aufnahmevorrichtung zu verstehen. Dies erfordert jedenfalls einen zwischen anderen Personen stattfindenden Kommunikationsvorgang, den der Täter als Dritter mithört (vgl. Bär MMR 2005, 434, 440). Es müsste ein bewusster und gezielter Empfang fremder Nachrichten und das bewusste und gezielte Wahrnehmen fremder Nachrichten durch den Täter gegeben sein, um von einem Abhören von Nachrichten sprechen zu können. Dies ist bei dem Nutzer eines fremden WLAN nicht der Fall.
Für einen solchen bewussten und gezielten Empfang von Nachrichten durch den Angeschuldigten gibt es keine Anhaltspunkte. Dem Angeschuldigten kam es ausweislich der Anklage und des Ermittlungsergebnisses nur darauf an, durch Einwählen in das Netzwerk des Zeugen dessen Internetzugang mitbenutzen zu können. Das dabei notwendige Empfangen der IP-Adresse stellt kein Abhören fremder Nachrichten dar, denn hierdurch wird die Vertraulichkeit fremder Kommunikation nicht angegriffen (vgl. Popp, jurisPR-ITR 16/2008 Anm.4). Die IP-Adresse ist im Übrigen auch für den Angeschuldigten bestimmt gewesen, da er der einzige Teilnehmer der Internetverbindung gewesen ist. Damit ist er nicht Mithörer eines fremden Datenaustauschs (vgl. Bär MMR 2005, 434, 440).
Auch ist der Tatbestand des §44 I i.V.m. §43 II Nr.3 BDSG nicht erfüllt. Der Angeschuldigte hat ausweislich der Anklage und des Ermittlungsergebnisses keine personenbezogenen Daten abgerufen oder sich verschafft. In Betracht kommen auch hier allenfalls die IP-Daten. Die IP-Daten sind jedoch keine personenbezogenen Daten im Sinne des §3 I BDSG (vgl. auch Popp, jurisPR-ITR 16/2008 Anm.4). Personenbezogene Daten sind hiernach alle Informationen über persönliche und sachliche Verhältnisse, die einer natürlichen Person zuzuordnen und nicht allgemein zugänglich sind. Die IP-Adresse wird frei an den jeweiligen, das Netzwerk nutzenden Computer vergeben. Die Daten waren im Zeitpunkt des Empfangs durch den Angeschuldigten für diesen – als Nutzer des Computers der sich in das netzwerk einwählt – bestimmt und somit der Schutzbereich der Datendelikte nicht berührt (vgl. Popp, JurisPR-ITR 16/2008 Anm.4). Wer sich in ein WLAN einwählt, kann grds. nicht erkennen, wer der Betreiber des WLANs ist (MMR 2008, 632, 635). Dass dies bei dem Angeschuldigten anders sein sollte, ist nicht ersichtlich und wäre nach dem derzeitigen Ermittlungsstand nicht nachweisbar (vgl. Aktenvermerk Bl. 79 d.A.).
Eine Strafbarkeit nach §202b StGB ist nicht gegeben, da die empfangenen IP-Daten für den Angeschuldigten als Nutzer des Netzwerks bestimmt sind (vgl. hierzu MMR 2008, 632, 634).
Moos und Gosche (RAe von DLA Piper, Vertreter im einschlägigen Verfahren vor LG und OLG Hamburg) haben in der CR einen Aufsatz über das sogenannte „Quick Freeze“-Verfahren, also die fortgesetzte Speicherung von IP-Adressen auf Zuruf veröffentlicht (CR 2010, 499-505).
Ausgangspunkt des Aufsatzes ist die divergierende Rechtsprechung zwischen (u.a.) OLG Hamburg (Pflicht zu Quick Freeze, kritisch dazu Schulze zur Wiesche, MMR 2009, 547; Maaßen, MMR 2009, 511; Hoffmann, NJW 2009, 2649 (2653); Moos, K&R 2010, 166, 172) und OLG Frankfurt (keine Verpflichtung zum Quick Freeze) sowie OLG Köln und OLG Karlsruhe (Quick Freeze möglich):
Die Gerichte sahen sich deshalb mit der Frage konfrontiert, ob aus § 101 Abs. 2 UrhG nicht nur ein Auskunftsanspruch des Rechteinhabers, sondern auch eine Verpflichtung der Access-Provider zur Datenspeicherung folgt, um eine spätere Beauskunftung nach § 101 Abs. 2 UrhG überhaupt zu ermöglichen.
In der Folge legen die Autoren § 101 Abs. 9 UrhG nach Wortlaut, Systematik, Historie und Sinn und Zweck aus. Als letzten Punkt nehmen sie eine Auslegung anhand der zugrundeliegenden Richtlinie 2002/58/EG vor.
Anschließend gehen sie auch auf das WLAN-Urteil des BGH (Urt. v. 12.5.2010 – I ZR 121/08: Sommer unseres Lebens, s. dazu hier, hier, hier und hier; Übersicht der Besprechungen hier) ein und stellen die Frage, ob das Anordnungsverfahren nach § 101 Abs. 9 UrhG nun entbehrlich wird (ebenso Mantz, MMR 2010, 568; Hornung CR 2010, 461).
Dies wirft unmittelbar die Frage auf, ob künftig das richterliche Anordnungsverfahren nach § 101 Abs. 9 UrhG – und damit auch darauf gerichtete Datenspeicherungsverlangen auf Zuruf – evtl. obsolet sein könnten, da sich das Erfordernis der richterlichen Gestattung ja gerade auf die Verwendung von Verkehrsdaten gründet.
Weiter weisen sie die Auffassung des BGH zurück, dass IP-Adressen Bestands- und nicht Verkehrsdaten darstellen (ebenso kritisch Mantz, MMR 2010, 568 mwN; a.A. wohl Schaefer, ZUM 2010, 699):
Dies ist auch in der Sache unzutreffend. So sind etwa in § 113a Abs. 4 TKG als vom Anbieter von Internetzugangsdiensten zu speichernde Verkehrsdaten ausdrücklich die Internetprotokoll-Adresse sowie der Beginn und das Ende der Internetnutzung unter der zugewiesenen IP-Adresse nach Datum und Uhrzeit unter Angabe der zugrunde liegenden Zeitzone genannt. Auch wenn die Regelung zur Vorratsdatenspeicherung in der bisherigen Form als verfassungswidrig angesehen worden ist und in dieser Form deshalb derzeit keine Geltung beansprucht, spricht aufgrund auch dieser gesetzlichen Festlegung erheblich mehr dafür, dass IP-Adressen grundsätzlich Verkehrsdaten sind.
Die Ausführungen in der WLAN-Entscheidung des BGH sollten deshalb nach richtiger Lesart keine Auswirkungen auf die Verfahren nach § 101 Abs. 9 UrhG haben. Insofern ist auch zu berücksichtigen, dass die Vorschriften bezüglich der Auskunft über Name und Anschrift des hinter einer IP-Adresse stehenden Anschlussinhabers nach StPO (die Gegenstand der WLAN-Entscheidung waren) einerseits und UrhG andererseits einen signifikanten Wortlautunterschied aufweisen.
Anders als die StPO-Vorschriften erfordere § 101 Abs. 9 UrhG nämlich nur, dass „die Auskunft unter Verwendung von Verkehrsdaten erfolge.“
Wenn man allerdings der Gegenauffassung folge, so seien Internetprovider nach § 109 Abs. 2 UrhG bereits zur Auskunft verpflichtet und müssten das Verfahren nach § 101 Abs. 9 UrhG nicht mehr durchlaufen. Eine Folge, die der Gesetzgeber nach meiner Ansicht bei der Schaffung von § 101 Abs. 9 UrhG gerade ausschließen wollte. Andererseits konstatieren Moos/Gosche in der Folge, dass eine Auskunft an der fehlenden datenschutzrechtlichen Erlaubnisvorschrift scheitern müsste, da konsequenterweise § 95 TKG und nicht § 96 TKG Anwendung finde und damit die Verwendung der Bestandsdaten auf die Diensterbringung beschränkt sei.
Als Fazit heißt es daher:
Die Annahme einer Datenspeicherung auf Zuruf ohne vorherige richterliche Anordnung ist nur unter Missachtung aller herkömmlichen Auslegungsmethoden und damit unter Verbiegung der urheber- und datenschutzrechtlichen Vorschriften zu begründen. … Die Argumentation, dass sich der Richtervorbehalt in § 101 Abs. 9 UrhG lediglich auf die Auskunftserteilung beziehe und nicht auf die (vom Wortlaut der Vorschrift gar nicht erfasste) Datenspeicherung, stellt sich als „Rosinenpicken” dar …
Auf Telemedicus hat Adrian Schneider die datenschutzrechtliche Komponente zum neuen Vorfall analysiert, bei dem Google eingestanden hat, für Google Street View nicht nur die Daten eines WLAN sondern auch Nutzdaten aus den Netzen erfasst zu haben (dazu nähere Informationen bei heise-online).
Dabei kommt Adrian Schneider zu folgendem Ergebnis:
„Denn datenschutzrechtlich ist selbst in einem solch gravierenden Fall die Rechtslage nicht eindeutig. Die Aufsichtsbehörden müssten nachweisen, dass tatsächlich „personenbezogene Daten” durch Google erhoben wurden, um etwa ein Bußgeld gegen den Konzern verhängen zu können. Doch das wird bei reinen Datenfragmenten nur in seltenen Einzelfällen gelingen – wenn überhaupt.“
Allerdings muss man sich dabei auch die Möglichkeiten vor Augen führen, die Google mit den erhobenen Daten beabsichtigt hat: Google hat die Daten zum WLAN-Knoten (nicht die Nutzdaten) schließlich erhoben, um eine Karte von WLANs für ganz Deutschland zu erstellen. Diese nutzt Google (zumindest in anderen Ländern) bereits zur Geolokalisierung. Das hat zur Folge, dass Google auch in der Lage sein dürfte, die sehr genaue Position eines WLAN-Knotens festzustellen.
Für einen Personenbezug nach BDSG reicht es aber aus, dass die Person bestimmbar ist (zum Personenbezug von Geodaten s. Forgo/Krügel, MMR 2010, 17). Ausreichend dafür ist, dass mit nicht unverhältnismäßigem Aufwand ein Personenbezug herstellbar ist (Gola/Schomerus, § 3 BDSG Rn. 10, 44). Dies dürfte jedenfalls bei Ein-Personen-Haushalten der Fall sein. Sowohl die WLAN-Knoten-Informationen als auch die Nutzdaten können also möglicherweise (z.B. zusammen mit dem Telefonbuch, oder was auch immer Google zur Verfügung hat) auf eine Person bezogen werden. Damit unterfallen die gesamten Daten dem BDSG und sind rechtswidrig erhoben worden (eine Analyse für die separierten WLAN-Knoten-Informationen findet sich auch bei Telemedicus hier). Es ist auch kaum davon auszugehen, dass Google die Datenfragmente nicht mit Bezug zum erfassten WLAN gespeichert hat.
Die Datenschutzbehörden sollten sich also von Google erklären lassen, welche Verknüpfungsmöglichkeiten Google geplant hat und mit seinen Ressourcen realisieren könnte.
Noch eine allgemeine Bemerkung am Ende: Bei den technischen Möglichkeiten und Ressourcen, die Google hat, ist die Rechnung nach dem BDSG relativ einfach: Sobald Google ein Datum hat, das auf eine Person beziehbar ist (z.B. bei einem GMail-Account), sind alle Daten, die Google mit Rechenkraft oder unter Rückgriff auf andere Quellen eindeutig in Bezug zu diesem Datum setzen kann, personenbezogen.
IP-Notiz hat einen Beitrag zu den Auswirkungen des Urteils des BVerfG zur Zulässigkeit der Vorratsdatenspeicherung veröffentlicht. Denn teilweise wurde als Schlussfolgerung aus dem Urteil gezogen, dass auch die Daten (=IP-Adressen), die für die Ermittlung der Bestandsdaten von Filesharing-Nutzern verwendet werden, z.B. durch den Auskunftsanspruch nach § 101 UrhG (s. dazu hier), betroffen seien. Diese Auffassung habe ich im privaten Umkreis auch mehrfach gehört.
Der Beitrag bei IP-Notiz erläutert richtigerweise, dass dies nicht der Fall ist. Denn die Auskunft durch den Access Provider in Filesharingfällen erfolgt in aller Regel aufgrund von Daten, die nach §§ 96 ff. TKG zur Abrechnung oder zur Vermeidung von Missbrauch durch die Provider gespeichert werden (s. dazu Gietl/Mantz, CR 2008, 810, 812; zum Auskunftsanspruch ausführlich Welp, Auskunftspflicht von Access-Providern, 2009). Es handelt sich also (idealerweise) um vollkommen getrennte Datenpools (so auch die Ergebnisse einer Bitkom-Umfrage unter deutschen Providern, s. dazu hier).
Damit hat das Urteil des BVerfG auf Filesharing-Fälle keinerlei Auswirkung.
Links:
Im Blog des AK Vorratsdatenspeicherung ist ein kurzer Beitrag als Antwort auf Härting, NJW-aktuell 3/2010, S. 10: „Spuren im Netz“, erschienen.
Darin belegt er erneut, dass die IP-Adresse ein personenbezogenes Datum ist, und setzt sich kurz mit der entgegenstehenden mM auseinander, der sich Härting angeschlossen hatte (s. zur IP-Adresse und Personenbezug ausführlich hier und hier und hier).
Weiter behandelt der Beitrag kurz das vom BGH statuierte Recht auf Anonymität (BGH NJW 2009, 2888, 2893; eingehend Mantz, Rechtsfragen offener Netze, 2008, S. 67 ff.).
Ein lesenswerter Beitrag, der auch in NJW-aktuell 11/2010, S. 18 erschienen ist.