Das AG Wuppertal hat offenbar seine Ansicht  bzgl. der Strafbarkeit des Schwarz-Surfens korrigiert und kommt nun in einem ablehnenden Eröffnungsbeschluss (Volltext s.u.) zum Ergebnis, dass eine Strafbarkeit nicht gegeben ist.

Dabei hatte das AG Wuppertal mit Teilen der Literatur mit einem Urteil aus dem Jahre 2007 (AG Wuppertal, Urteil vom 3. 4. 2007 – 22 Ds 70 Js 6906/06) noch die Auffassung vertreten, dass die Nutzung eines offenen WLAN durch Dritte nach §§ 89, 148 TKG, §§ 43 II Nr. 3, 44 BDSG strafbar sei. Dem war anschließend das AG Zeven gefolgt (s. dazu hier; Bericht über eine weitere “öffentliche Festnahme” hier).

Nun hat das AG Wuppertal auf die immer wieder geäußerte Kritik reagiert und seine Ansicht geändert:

Diese Ansicht überspannt jedoch den Schutz- und Strafbereich der hier in Betracht kommenden Strafvorschriften.

(im einzelnen s.u. sowie die Besprechung von Jens Ferner)

Damit läuft eine Rechtsfrage wieder auf ihre (richtige) Klärung zu. Vor allem könnte dies auch Auswirkungen auf das noch laufenden Ermittlungsverfahren gegen Google haben, wobei man allerdings nicht vergessen darf, dass in jenem Fall Daten tatsächlich gespeichert wurden, ohne dazu hier eine Bewertung vorzunehmen. Aber jedenfalls die beim Schwarz-Surfen üblicherweise automatisch zugewiesene IP-Adresse wird vom AG Wuppertal nicht mehr als “abgefangene Nachricht” nach § 89 TKG eingestuft.

Links:

• Beck-Blog

Update: Das Aktenzeichen lautet “26 Ds-10 Js 1977/08-282/08″, nicht wie ursprünglich angegeben “20 Ds-10 Js 1977/08-282/08″. Danke an RA Gramespacher (www.miur.de) für den Hinweis.

—

Volltext

AG Wuppertal, Beschl. v. 3.8.2010 – 26 Ds-10 Js 1977/08-282/08

Amtsgericht Wuppertal

Beschluss

In der Strafsache
gegen [...]
wegen Ausspähen von Daten

(Tenor:)

Der Antrag auf Eröffnung des Hauptverfahrens wird aus rechtlichen Gründen abgelehnt.
Die Kosten des Verfahrens und die notwendigen Auslagen des Angeschuldigten hat die Staatskasse zu tragen.

Gründe
Nach den Ergebnissen des vorbereitenden Verfahrens erscheint der Angeschuldigte einer Straftat nicht hinreichend verdächtig. Hinreichender Tatverdacht im Sinne des §203 StPO ist zu bejahen, wenn bei vorläufiger Tatbewertung auf Grundlage des Ermittlungsergebnisses die Verurteilung in einer Hauptverhandlung wahrscheinlich ist.

Dies ist vorliegend nicht der Fall. Eine Strafbarkeit des Angeschuldigten ist nicht ersichtlich. Vorgeworfen wird ihm, sich am 26.08.2008 und am 27.o8.2oo8 mit seinem Laptop mittels einer drahtlosen Netzwerkverbindung in das offene Funknetzwerk des Zeugen I. eingewählt zu haben, um ohne Erlaubnis und ohne Zahlung eines Entgeltes die Internetnutzung zu erlangen.
Dieses Verhalten ist jedoch nicht strafbar.

Es erfüllt weder den Tatbestand des unbefugten Abhörens von Nachrichten nach §89 I 1 TKG noch des unbefugten Abrufens oder Verschaffens personenbezogener Daten nach §§44, 43 II Nr.3 BDSG.

Zwar wurde in der Entscheidung des Amtsgerichts Wuppertal vom 03.04.2010 (NStZ 2008, 161) ein solches Verhalten als strafbar gesehen. Danach sei der WLAN-Router eine elektrische Sende- und Empfangseinrichtung und damit eine Funkanlage im Sinne des §89 TKG. Die aufgrund der Internetnetzung abgehörte “Nachricht” sei in der Zuweisung einer IP-Adresse durch den Router zu sehen. Das Verhalten sei unbefugt, weil die IP-Adresse nicht für den Angeklagten bestimmt gewesen sei.

Zudem sei eine Strafbarkeit nach §44 i.V.m. §43 II Nr.3 BDSG gegeben, da durch Zugriff auf den Router personenbezogene Daten abgerufen würden. Da der Angeklagte des Nichtvorhandensein einer Flatrate des “Opfers” zumindestens billigend in Kauf nehme, handele er auch in Bereicherungs- bzw. Schädigungsabsicht.

Diese Ansicht überspannt jedoch den Schutz- und Strafbereich der hier in Betracht kommenden Strafvorschriften.

Eine Strafbarkeit nach §89 S.1 TKG ist nicht gegeben. Als “Nachricht” kommt hier allenfalls die automatische Zuweisung einer IP-Adresse an den Computer in Betracht (so AG Wuppertal, NStZ 2008, 161). Hierbei ist aber bereits äußerst fraglich, ob die Zuweisung einer IP-Adresse eine “Nachricht” im Sinne dieser Vorschrift darstellt (vgl. Popp, jurisPR-ITR 16/2008 Anm.4). Dass der Angeschuldigte andere Nachrichten des Zeugen I. unbefugt empfangen haben könnte, lässt sich nach dem Ermittlungsergebnis gerade nicht feststellen (BL. 79 d.A.). Jedenfalls ist durch das vorgeworfene Nutzen des Internetzugangs kein “abhören” im Sinne des §89 TKG gegeben. Dies ergibt sich bereits aus dem Wortlaut der Vorschrift. Unter Abhören ist das unmittelbare Zuhören oder das Hörbarmachen für andere, aber auch das Zuschalten einer Aufnahmevorrichtung zu verstehen. Dies erfordert jedenfalls einen zwischen anderen Personen stattfindenden Kommunikationsvorgang, den der Täter als Dritter mithört (vgl. Bär MMR 2005, 434, 440). Es müsste ein bewusster und gezielter Empfang fremder Nachrichten und das bewusste und gezielte Wahrnehmen fremder Nachrichten durch den Täter gegeben sein, um von einem Abhören von Nachrichten sprechen zu können. Dies ist bei dem Nutzer eines fremden WLAN nicht der Fall.

Für einen solchen bewussten und gezielten Empfang von Nachrichten durch den Angeschuldigten gibt es keine Anhaltspunkte. Dem Angeschuldigten kam es ausweislich der Anklage und des Ermittlungsergebnisses nur darauf an, durch Einwählen in das Netzwerk des Zeugen dessen Internetzugang mitbenutzen zu können. Das dabei notwendige Empfangen der IP-Adresse stellt kein Abhören fremder Nachrichten dar, denn hierdurch wird die Vertraulichkeit fremder Kommunikation nicht angegriffen (vgl. Popp, jurisPR-ITR 16/2008 Anm.4). Die IP-Adresse ist im Übrigen auch für den Angeschuldigten bestimmt gewesen, da er der einzige Teilnehmer der Internetverbindung gewesen ist. Damit ist er nicht Mithörer eines fremden Datenaustauschs (vgl. Bär MMR 2005, 434, 440).

Auch ist der Tatbestand des §44 I i.V.m. §43 II Nr.3 BDSG nicht erfüllt. Der Angeschuldigte hat ausweislich der Anklage und des Ermittlungsergebnisses keine personenbezogenen Daten abgerufen oder sich verschafft. In Betracht kommen auch hier allenfalls die IP-Daten. Die IP-Daten sind jedoch keine personenbezogenen Daten im Sinne des §3 I  BDSG (vgl. auch Popp, jurisPR-ITR 16/2008 Anm.4). Personenbezogene Daten sind hiernach alle Informationen über persönliche und sachliche Verhältnisse, die einer natürlichen Person zuzuordnen und nicht allgemein zugänglich sind.  Die IP-Adresse wird frei an den jeweiligen, das Netzwerk nutzenden Computer vergeben. Die Daten waren im Zeitpunkt des Empfangs durch den Angeschuldigten für diesen – als Nutzer des Computers der sich in das netzwerk einwählt – bestimmt und somit der Schutzbereich der Datendelikte nicht berührt (vgl. Popp, JurisPR-ITR 16/2008 Anm.4). Wer sich in ein WLAN einwählt, kann grds. nicht erkennen, wer der Betreiber des WLANs ist (MMR 2008, 632, 635). Dass dies bei dem Angeschuldigten  anders sein sollte, ist nicht ersichtlich und wäre nach dem derzeitigen Ermittlungsstand nicht nachweisbar (vgl. Aktenvermerk Bl. 79 d.A.).

Eine Strafbarkeit nach §202b StGB ist nicht gegeben, da die empfangenen IP-Daten für den Angeschuldigten als Nutzer des Netzwerks bestimmt sind (vgl. hierzu MMR 2008, 632, 634).

Auf Telemedicus hat Adrian Schneider die datenschutzrechtliche Komponente zum neuen Vorfall analysiert, bei dem Google eingestanden hat, für Google Street View nicht nur die Daten eines WLAN sondern auch Nutzdaten aus den Netzen erfasst zu haben (dazu nähere Informationen bei heise-online).

Dabei kommt Adrian Schneider zu folgendem Ergebnis:

“Denn datenschutzrechtlich ist selbst in einem solch gravierenden Fall die Rechtslage nicht eindeutig. Die Aufsichtsbehörden müssten nachweisen, dass tatsächlich „personenbezogene Daten” durch Google erhoben wurden, um etwa ein Bußgeld gegen den Konzern verhängen zu können. Doch das wird bei reinen Datenfragmenten nur in seltenen Einzelfällen gelingen – wenn überhaupt.”

Allerdings muss man sich dabei auch die Möglichkeiten vor Augen führen, die Google mit den erhobenen Daten beabsichtigt hat: Google hat die Daten zum WLAN-Knoten (nicht die Nutzdaten) schließlich erhoben, um eine Karte von WLANs für ganz Deutschland zu erstellen. Diese nutzt Google (zumindest in anderen Ländern) bereits zur Geolokalisierung. Das hat zur Folge, dass Google auch in der Lage sein dürfte, die sehr genaue Position eines WLAN-Knotens festzustellen.

Für einen Personenbezug nach BDSG reicht es aber aus, dass die Person bestimmbar ist (zum Personenbezug von Geodaten s. Forgo/Krügel, MMR 2010, 17). Ausreichend dafür ist, dass mit nicht unverhältnismäßigem Aufwand ein Personenbezug herstellbar ist (Gola/Schomerus, § 3 BDSG Rn. 10, 44). Dies dürfte jedenfalls bei Ein-Personen-Haushalten der Fall sein. Sowohl die WLAN-Knoten-Informationen als auch die Nutzdaten können also möglicherweise (z.B. zusammen mit dem Telefonbuch, oder was auch immer Google zur Verfügung hat) auf eine Person bezogen werden. Damit unterfallen die gesamten Daten dem BDSG und sind rechtswidrig erhoben worden (eine Analyse für die separierten WLAN-Knoten-Informationen findet sich auch bei Telemedicus hier). Es ist auch kaum davon auszugehen, dass Google die Datenfragmente nicht mit Bezug zum erfassten WLAN gespeichert hat.

Die Datenschutzbehörden sollten sich also von Google erklären lassen, welche Verknüpfungsmöglichkeiten Google geplant hat und mit seinen Ressourcen realisieren könnte.

Noch eine allgemeine Bemerkung am Ende: Bei den technischen Möglichkeiten und Ressourcen, die Google hat, ist die Rechnung nach dem BDSG relativ einfach: Sobald Google ein Datum hat, das auf eine Person beziehbar ist (z.B. bei einem GMail-Account), sind alle Daten, die Google mit Rechenkraft oder unter Rückgriff auf andere Quellen eindeutig in Bezug zu diesem Datum setzen kann, personenbezogen.

In der MMR ist ein Aufsatz von Paul Voigt mit dem Titel “Datenschutz bei Google” (MMR 2009, 377) erschienen.

Der Autor untersucht hierbei die datenschutzrechtliche Relevanz der Erstellung von Profilen, die über die Verknüpfung von IP-Adressen und Cookies gespeichert werden. Dabei stellt er auch die Ansichten zum Personenbezug der IP-Adresse dar. Im Ergebnis geht er davon aus, dass jedenfalls bei Google aufgrund der Vielzahl personalisierter Dienste ein Personenbezug besteht oder hergestellt werden kann. Als Folge daraus sei die Speicherung über einen längeren Zeitraum als die reine Nutzungszeit nach § 12 Abs. 1 TMG datenschutz- und damit rechtswidrig.

Interessant finde ich die Einschränkung, die der Autor macht: Google sei nur bei anmeldepflichtigen Diensten in der Lage, Personenbezug herzustellen.

Schließlich liegt eine datenschutzrechtliche Relevanz im Regelfall nur dann vor, wenn der Nutzer ein Konto bei einem anmeldepflichtigen Google-Dienst hat. In allen anderen Fällen wäre bei IP-Adressen und Cookies nach dem oben Gesagten nicht von einem Personenbezug auszugehen.

Das ist meiner Auffassung nach zu eng. Denn in vielen Fällen kann Google über andere, frei verfügbare Informationen seine Profile mit ebensolchen Personeninformationen kombinieren (s. zur Lösbarkeit der Anonymität über Personenprofilgraphen hier) und damit Personenbezug herstellen. Im Fazit stellt der Autor doch darauf ab, dass die Gefährdung des Allgemeinen Persönlichkeitsrechts zu verhindern sei:

Das Datenschutzrecht soll aber das Allgemeine Persönlichkeitsrecht einfachrechtlich schützen. Verhindert werden soll nicht nur tatsächlicher Missbrauch, sondern bereits die Gefährdung des Rechts auf informationelle Selbstbestimmung.

Wenn man diesem Gedanken aber konsequent folgt, dann besteht wenigstens die Gefahr, dass Google auch bei den nicht anmeldepflichtigen Diensten Personenbezug herstellt – mit dem Ergebnis einer Rechtswidrigkeit der Speicherung.

Der Autor empfiehlt Google zur Lösung, seine Datensätze um “personenbeziehbare Daten zu entschlacken”, also im Grunde alles zu löschen, was eine Deanonymisierung nach § 3 Abs. 9 BDSG ermöglichen würde. Die technischen Schwierigkeiten für die Dienste von Google nimmt der Autor dabei in Kauf – in Anbetracht des rechtsverletzenden Verhaltens bei der Speicherung von Daten auch eine Selbstverständlichkeit.

S. auch:

• Steidle/Pordesch, Im Netz von Google. Web-Tracking und Datenschutz, DuD 2008, 324
• “Vorsicht, Google!” in der NZZ Folio
• Lesetipp: Gabriel, Cornels: Webtracking und Datenschutz – ein „hidden problem“, MMR 2008, Heft 11, XIV
• Privatsphärenschutz in Soziale-Netzwerke- Plattformen