Posts Tagged ‘Datenschutz’

« Older Entries
Jan
13
2010

OLG Köln: Urt. v. 23.12.2009 – Az. 6 U 101/09 – Haftung des Internet-Anschlussinhabers für Rechtsverletzungen Dritter

Das OLG Köln hat am 23.12.2009 zur Störerhaftung des Internetanschlussinhabers geurteilt und ist dabei u.a. von einer sekundären Darlegungslast des Anschlussinhabers ausgegangen, der also die Identität des jeweiligen Nutzers offenbaren soll (Az. 6 U 101/09).

Tags: , , , , , , , , , , ,
Posted in Urteile und Beschlüsse | No Comments »

Dec
10
2009

Lesetipp: Rau/Behrens, Catch me if you can … Anonymisierungsdienste und die Haftung für mittelbare Rechtsverletzungen, K&R 2009, 766

Im aktuellen Heft der K&R ist ein Aufsatz von Marco Rau und Martin Behrens mit dem Titel “Rau/Behrens, Catch me if you can … Anonymisierungsdienste und die Haftung für mittelbare Rechtsverletzungen” (K&R 2009, 766) erschienen.

Die Autoren beschreiben zunächst technische Grundlagen von Anonymisierungsdiensten wie TOR und AN.ON (Test von Anonymisierungsdiensten hier). Anschließend untersuchen sie, ob Anonymisierungsdienste als Telekommunikations- oder Telemediendienste anzusehen sind, wobei sie im Ergebnis eine Differenzierung vornehmen: Teile des Dienstes seien als TK-Dienst, andere als Telemediendienst zu behandeln.

Anschließend wird betrachtet, ob Anonymisierungsdienste der Vorratsdatenspeicherung unterfallen, wobei sie auf die Unterschiede der europäischen Richtlinie und der deutschen Regelung in § 113a TKG hinweisen. Insbesondere bezweifeln die Rau und Behrens, dass die Vorratsdatenspeicherung geeignet und erforderlich ist und verweisen auf die ausstehende Entscheidung des BVerfG.

Schließlich untersuchen die Autoren das zivilrechtliche Haftungsregime. Dabei stellen sie insbesondere den Schwenk der BGH-Rechtsprechung von der Störerhaftung zur “Verletzung wettbewerbsrechtlicher Verkehrssicherungspflichten” heraus (s. insbesondere BGH – Jugendgefährdende Medien bei eBay (GRUR 2007, 890), dazu Meldung bei heise-online). Diese Rechtsprechung sei aber auf Anonymisierungsdienste nicht übertragbar. Stattdessen sei eine Haftung weiter nach den Grundsätzen der Störerhaftung zu beurteilen. Dabei sehen die Autoren Prüfungspflichten zwar grundsätzlich als problematisch, aber insbesondere Blockadelisten für IPs als zumutbar an.

Insgesamt ein lesenswerter Artikel. Was die Zumutbarkeit der Prüfungspflichten bei der Störerhaftung angeht, bleiben allerdings noch Fragen offen. Als zumutbare Pflicht sehen die Autoren Access Control Lists an. Im Artikel heißt es dazu:

“Als Filter ausgestaltete Prüfungspflichten erscheinen damit zumutbar. Die Ansiedlung bei den Diensteanbietern trägt dem Grundsatz Rechnung, dass derjenige, der in seinem Herrschaftsbereich eine Gefahrenquelle eröffnet, Vorkehrungen zum Schutz der Rechtsgüter Dritter treffen muss. Hierdurch wird derjenige verpflichtet, der die Risiken am besten beherrschen kann.”

Bezug nehmen die Autoren auf die Access Control Lists von Squid. Allerdings betreffen diese wohl nur die Zieladresse einer Kommunikation. Denn dem Rechtsinhaber ist nur die Adresse des Exit-Nodes bekannt, dieser kennt aber die IP-Adresse des Nutzers nicht. Damit dürfte es sich nur um eine Lösung handeln, die den Internetsperren vergleichbar ist und den Zugriff auf bestimmte Seiten verhindert. Damit können also Quellen von rechtswidrigen Inhalten im Internet blockiert werden. Es kann aber nicht verhindert werden, dass der Nutzer rechtswidrige Inhalte verbreitet.

Außerdem ziehen Rau und Behrens “Hinweis-, Informationssicherungs- und Auskunftspflichten” in Betracht. Zudem seien Auskunftspflichten für den Verletzten günstiger, die “eine Sicherung der zur Auskunft vorgesehenen Informationen voraussetzen”. Unklar ist, ob damit eine Pflicht zur Erhebung und Speicherung von Informationen einhergehen soll (was datenschutzrechtlich bedenklich wäre). Denn ohne Erhebung und Speicherung gibt es auch nichts zum Herausgeben.

Näher dazu

Tags: , , , , , , , , ,
Posted in Artikel etc. | 1 Comment »

Nov
09
2009

Berliner Datenschutzbeauftragter verbietet IP-Logging

Wie Daten-Speicherung.de berichtet, hat der Berliner Datenschutzbeauftragte dem Blogger Niggemeier untersagt, IP-Adressen seiner Nutzer ohne Einwilligung zu speichern.

Der Berliner Datenschutzbeauftragte sieht also – mit der wohl h.M. – IP-Adressen als personenbezogene Daten an. Diese Auffassung gilt natürlich auch gegenüber Bloggern.

Auf Daten-Speicherung.de finden sich weitere Hintergründe und eine Auseinandersetzung mit den Argumenten des Anwalts von Niggemeier.

Zur Problematik von IP-Adressen s. näher

Tags: , , , ,
Posted in Aktuelles | No Comments »

Aug
20
2009

ÖOGH: Keine Herausgabe von Kundendaten an Dritte

Der österreichische Oberste Gerichtshof (ÖOGH) hat vor einigen Tagen über ein Auskunftsbegehren der österreichischen Rechteverwertungsgesellschaft LSG und dem Provider Tele2 aufgrund der österreichischen Parallelnorm zum deutschen § 101 UrhG, nämlich § 87b ÖUrhG entschieden (ÖOGH, Urteil vom 14.7.2009, 4 Ob 41/09x).

Zur Vorgeschichte: Tele2 hatte die Herausgabe der Kundendaten aufgrund der Verwendung der IP-Adresse, die die LSG ermittelt hatte, verweigert. Während die Vorinstanzen der Klage auf Auskunft stattgaben, legte der ÖOGH die Frage zunächst dem Europäischen Gerichtshof (EuGH) vor (zum Urteil des EuGH siehe hier). Dieser entschied (ganz stark verkürzt), dass die nationalen Gesetzgeber einen Auskunftsanspruch normieren dürfen, wenn sie dabei die widerstreitenden Interessen in Ausgleich bringen.

Nach diesem Urteil hat nun der ÖOGH die Klage mit der Begründung abgewiesen, dass § 87b ÖUrhG den Auskunftsanspruch nicht rechtfertigt. Die Kundendaten würden durch eine rechtswidrige Verwendung von Verkehrsdaten gewonnen, ihre Herausgabe sei daher rechtswidrig.

Den Volltext kann man hier abrufen (Internet4jurists.at mit kurzer Besprechung), einen weiteren Bericht hat heise-online.

Hier ein paar interessante Auszüge aus dem Urteil:

“Beim hier strittigen Auskunftsanspruch stehen einander die Interessen der Urheber auf Durchsetzung ihrer Ausschließungs- und Verwertungsrechte und jene der Nutzer auf Schutz der sie betreffenden Daten und Wahrung ihrer Privatsphäre gegenüber. Beide Interessen sind grundrechtlich geschützt. Daher haben (schon) die Mitgliedstaaten bei der Umsetzung der für den hier strittigen Anspruch relevanten Richtlinien „die verschiedenen beteiligten Grundrechte miteinander zum Ausgleich zu bringen“ (EuGH C-557/07 – LSG/Tele2). Der Auftrag des EuGH richtet sich daher auf dieser Stufe an den Umsetzungsgesetzgeber, nicht (unmittelbar) an die Gerichte. Allerdings sind die Gerichte wegen des Vorrangs des Gemeinschaftsrechts berufen, die Gemeinschaftsrechtskonformität der Richtlinienumsetzung zu prüfen. [...]

5.3.2. Auf dieser Grundlage sind (zumindest) dynamische, dh nur für eine bestimmte Zeit zugewiesene IP-Adressen in die Kategorie der Zugangs- und damit der Verkehrsdaten einzuordnen. Dies ergibt sich schon aus den Erläuternden Bemerkungen zum TKG 2003 (128 BlgNR 22. GP, zu § 92): Danach könnten Kontaktdaten wie IP-Adressen sowohl unter den Begriff der Stamm- als auch unter jenen der Verkehrsdaten fallen; ersteres gelte aber nur dann, wenn es sich um eine vom Absender benötigte Kontaktadresse des Teilnehmers handle, „wie beispielsweise eine vom Betreiber bereitgestellte E-Mail-Adresse oder sonstige ähnliche dauerhafte Rufzeichen oder Kennungen“. Stammdaten sind daher zwar möglicherweise – was hier aber nicht abschließend zu entscheiden ist – statische IP-Adressen, keinesfalls aber dynamische, die jedenfalls in die Kategorie der Verkehrsdaten fallen (Einzinger/Schubert/Schwabl/ Wessely/Zykan, Wer ist 217.204.27.214?, MR 2005, 113 [116]; Helmreich, Auskunftspflicht des Access-Providers bei Urheberechtsverletzungen? ecolex 2005, 379; Parschalk/Otto/Weber/Zuser, Telekommunikationsrecht [2006] 206 FN 654; Wiebe, Auskunftsverpflichtung der Access Provider, Beilage zu MR 2005/4, 13 ff; Zanger/Schöll aaO § 92 Rz 51; anders [noch] Schanda, Auskunftsanspruch gegen Access-Provider über die IP-Adressen von Urheberrechtsverletzern, MR 2005, 18 [20 f], später jedoch als unerheblich offen lassend ders, Auskunftspflicht über Inhaber dynamischer IP-Adressen contra Verpflichtung zur Löschung von Verkehrsdaten, MR 2006, 213 [214]; differenzierend Stomper, Zur Auskunftspflicht von Internet-Providern, MR 2005, 118 [119]). [...]

5.4. Der einfache Weg, allein auf die Bekanntgabe von Stammdaten abzustellen und die Vorgänge bei deren Ermittlung völlig auszublenden, ist damit gemeinschaftsrechtlich nicht gangbar (ebenso zur vergleichbaren Problematik im Strafverfahren DSK GZ K213.000/0005-DSK/2006). Vielmehr ist anzunehmen, dass Art 6 der RL 2002/58/EG und dessen Umsetzung in § 99 TKG 2003 der – im vorliegenden Fall erforderlichen – Verarbeitung von Verkehrsdaten für die Erteilung der hier begehrten Auskunft entgegensteht. Denn nach Absatz 1 dieser Bestimmung sind
„Verkehrsdaten, die sich auf Teilnehmer und Nutzer beziehen und vom Betreiber eines öffentlichen Kommunikationsnetzes oder eines öffentlich zugänglichen Kommunikationsdienstes verarbeitet und gespeichert werden, [...] unbeschadet der Absätze 2, 3 und 5 des vorliegenden Artikels und des Artikels 15 Absatz 1 zu löschen oder zu anonymisieren, sobald sie für die Übertragung einer Nachricht nicht mehr benötigt werden.“ [...]

Die Absätze 2, 3 und 5 gestatten in weiterer Folge die Verarbeitung (und damit die Speicherung) von Verkehrsdaten für bestimmte Zwecke. Aus diesem Regelungszusammenhang ist abzuleiten, dass eine Verarbeitung von – wenngleich unter Umständen nach den Absätzen 2, 3 und 5 rechtmäßig gespeicherten – Daten für andere Zwecke nicht zulässig ist. Denn die Löschungspflicht hat offenkundig den Zweck, eine unzulässige Nutzung der Daten zu verhindern. Dieser Zweck würde durch die Zulässigkeit der anderweitigen Nutzung rechtmäßig gespeicherter Daten unterlaufen, ohne dass dies durch die Wertung der jeweiligen Ausnahmebestimmungen gedeckt wäre. Zudem verstieße eine solche Auffassung gegen den datenschutzrechtlichen Grundsatz der strikten Zweckbindung, wonach Daten, die für einen bestimmten Zweck gespeichert wurden, auch nur für diesen Zweck verarbeitet werden dürfen (Art 6 Abs 1 lit c der RL 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr; zum österreichischen Datenschutzrecht zuletzt etwa VfGH G 147/06 = VfSlg 18146, Punkt 2.3.1).[...]

Diese Schlussfolgerung ergibt sich auch aus § 99 TKG 2003, der Art 6 der RL 2002/58/EG umsetzt. Nach Absatz 1 dieser Bestimmung dürfen Verkehrsdaten „außer in den gesetzlich geregelten Fällen nicht gespeichert werden und sind vom Betreiber nach Beendigung der Verbindung unverzüglich zu löschen oder zu anonymisieren.“

§ 99 Abs 1 TKG 2003 ist zwar formal strenger gefasst als Art 6 der RL 2002/58/EG, da er schon eine gesetzlich nicht vorgesehene Speicherung untersagt und nicht bloß eine Löschung anordnet. In der Sache dient diese Regelung aber demselben Zweck; sie soll ebenfalls das Anhäufen eines umfangreichen Datenbestands verhindern, der auch zu anderen als den gesetzlich vorgesehenen Zwecken genutzt (missbraucht) werden könnte. [...]

5.5.2. Eine allfällige Regelung hat jedoch nach Art 15 Abs 1 der RL 2002/58/EG durch „Rechtsvorschriften“ („legislative measures“ bzw „mesures législatives“) zu erfolgen. Konkret kann dabei „für eine begrenzte Zeit“ („limited period“ bzw „durée limitée“) eine Aufbewahrung von Verkehrsdaten vorgesehen werden. Das österreichische Recht genügt diesen Erfordernissen derzeit nicht. [...]

(a) Zunächst fehlt es an einer ausdrücklichen Regelung, wonach die Speicherung und Verarbeitung von Verkehrsdaten zum Zweck der Erteilung von Auskünften nach § 87b Abs 3 UrhG zulässig ist. Eine implizite Ableitung aus der urheberrechtlichen Bestimmung (so insb Schachter in Kucsko [Hrsg], urheber.recht [2008] 1273; Schanda, MR 2006, 215), ist nicht möglich. Denn zum einen lässt sich den Materialien der UrhG-Novellen 2003 und 2006 nicht entnehmen, dass dem Gesetzgeber die gemeinschaftsrechtliche Problematik der Verarbeitung von Verkehrsdaten überhaupt bewusst war. Insofern unterscheidet sich § 87b Abs 3 UrhG von der ausdrücklich auf die Verarbeitung von Verkehrsdaten Bezug nehmenden Regelung des § 101 Abs 9 dUrhG. Dennoch wird auch für diese Bestimmung die Auffassung vertreten, dass eine Auskunfterteilung an der fehlenden Zulässigkeit der Verarbeitung von Verkehrsdaten scheitern könnte (Dreier in Dreier/Schulze, Urheberrechtsgesetz3 § 101 Rz 37; Spindler, Zum Auskunftsanspruch gegen Verletzer und Dritte in Urheberrecht nach neuem Recht, ZUM 2008, 640 [646]; zweifelnd Czychowski/Nordemann, Vorratsdaten und Urheberrecht – Zulässige Nutzung gespeicherter Daten, NJW 2008, 3095 [3098], sowie Czychowski in Fromm/Nordemann [Hrsg], Urheberrecht10 [2008] § 101 Rz 61 ff; in der Rsp der Oberlandesgerichte hat sich diese Ansicht jedoch nicht durchgesetzt: OLG Zweibrücken 4 W 62/08 = MMR 2009, 45; OLG Köln 6 Wx 2/08 = GRUR-RR 2009, 9; OLG Frankfurt 11 W 21/09 [allerdings nur für Daten, die noch zu Verrechnungszwecken gespeichert sind]). Um so weniger kann ein bloß materiellrechtlicher Auskunftsanspruch als implizite Erlaubnis oder gar Verpflichtung zur Datenspeicherung verstanden werden. [...]

Zum anderen kann die Annahme einer bloß impliziten Regelung dem gemeinschaftsrechtlichen Erfordernis einer Anordnung durch „Rechtsvorschrift“ nicht genügen. Durch diesen formellen Gesetzesvorbehalt soll offenkundig Rechtssicherheit geschaffen werden, die bei Annahme einer bloß impliziten Anordnung, wie auch das vorliegende Verfahren beweist, nicht gegeben ist. Dies schließt – anders als bei einer Auskunft über den Betreiber eines Mehrwertdienstes, die keine Verarbeitung von Verkehrsdaten erfordert (4 Ob 7/04i = SZ 2004/33) – auch eine Analogie zur Füllung einer planwidrigen Lücke im TKG 2003 aus.”

Tags: , , , , , , , , , , ,
Posted in Urteile und Beschlüsse | 1 Comment »

Jun
12
2009

Lesetipp: Datenschutz bei Google

In der MMR ist ein Aufsatz von Paul Voigt mit dem Titel “Datenschutz bei Google” (MMR 2009, 377) erschienen.

Der Autor untersucht hierbei die datenschutzrechtliche Relevanz der Erstellung von Profilen, die über die Verknüpfung von IP-Adressen und Cookies gespeichert werden. Dabei stellt er auch die Ansichten zum Personenbezug der IP-Adresse dar. Im Ergebnis geht er davon aus, dass jedenfalls bei Google aufgrund der Vielzahl personalisierter Dienste ein Personenbezug besteht oder hergestellt werden kann. Als Folge daraus sei die Speicherung über einen längeren Zeitraum als die reine Nutzungszeit nach § 12 Abs. 1 TMG datenschutz- und damit rechtswidrig.

Interessant finde ich die Einschränkung, die der Autor macht: Google sei nur bei anmeldepflichtigen Diensten in der Lage, Personenbezug herzustellen.

Schließlich liegt eine datenschutzrechtliche Relevanz im Regelfall nur dann vor, wenn der Nutzer ein Konto bei einem anmeldepflichtigen Google-Dienst hat. In allen anderen Fällen wäre bei IP-Adressen und Cookies nach dem oben Gesagten nicht von einem Personenbezug auszugehen.

Das ist meiner Auffassung nach zu eng. Denn in vielen Fällen kann Google über andere, frei verfügbare Informationen seine Profile mit ebensolchen Personeninformationen kombinieren (s. zur Lösbarkeit der Anonymität über Personenprofilgraphen hier) und damit Personenbezug herstellen. Im Fazit stellt der Autor doch darauf ab, dass die Gefährdung des Allgemeinen Persönlichkeitsrechts zu verhindern sei:

Das Datenschutzrecht soll aber das Allgemeine Persönlichkeitsrecht einfachrechtlich schützen. Verhindert werden soll nicht nur tatsächlicher Missbrauch, sondern bereits die Gefährdung des Rechts auf informationelle Selbstbestimmung.

Wenn man diesem Gedanken aber konsequent folgt, dann besteht wenigstens die Gefahr, dass Google auch bei den nicht anmeldepflichtigen Diensten Personenbezug herstellt – mit dem Ergebnis einer Rechtswidrigkeit der Speicherung.

Der Autor empfiehlt Google zur Lösung, seine Datensätze um “personenbeziehbare Daten zu entschlacken”, also im Grunde alles zu löschen, was eine Deanonymisierung nach § 3 Abs. 9 BDSG ermöglichen würde. Die technischen Schwierigkeiten für die Dienste von Google nimmt der Autor dabei in Kauf – in Anbetracht des rechtsverletzenden Verhaltens bei der Speicherung von Daten auch eine Selbstverständlichkeit.

S. auch:

Tags: , , , , ,
Posted in Artikel etc. | No Comments »

Jun
11
2009

BMJ: IP-Adresse ist personenbezogen

Daten-speicherung.de hat bereits Anfang Mai über ein Schreiben des Bundesministeriums der Justiz (BMJ) berichtet, in dem das BMJ sehr deutlich die Auffassung vertritt, dass IP-Adressen absoluten Personenbezug aufweisen – mit der wohl h.M. in der Rechtsprechung und der Literatur (dazu s. mit Nachweisen hier und hier, ferner bei Gabriel/Cornels, MMR 2008, Heft 11, S. XIV).

Durch die dabei erfolgende Registrierung der zugreifenden IP-Adresse und die sich anschließende Bestandsdatenauskunft nach den §§ 161, 163 StPO i. V. m. § 113 TKG können Name und Anschrift des jeweiligen Anschlussinhaber ermittelt werden. [...]

Die Homepageüberwachung führt zu einer Speicherung und Verwendung personenbeziehbarer und damit personenbezogener Daten im Sinne des § 3 Abs. 1 BDSG, mithin zu einem Eingriff in das Grundrecht auf informationelle Selbstbestimmung, der dem Gesetzesvorbehalt unterliegt. Darüber hinaus erscheint auch das durch Art. 5 Abs. 2 Satz 1 GG geschützte Recht, sich aus allgemein zugänglichen Quellen ungehindert zu unterrichten, beeinträchtigt.

Zu den weiteren Einzelheiten s. hier. S. auch weitere Meldungen zum Tag “IP-Adresse”

In der Literatur wird dieser Personenbezug in letzter Zeit teilweise bestritten (Eckhardt, K&R 2007, 602, 603; zuletzt Meyerdierks, MMR 2009, 8), auch das AG München folgt der Gegenauffassung. Eine Entscheidung des BGH in dieser Frage ist bisher nicht in Sicht.

Tags: , , ,
Posted in Aktuelles | No Comments »

Jun
08
2009

SchweizBVerwG: IP-Adresse ist personenbezogenes Datum

Das schweizerische Bundesverwaltungsgericht hat mit Urteil vom 27.05.2009 (Az.: A-3144/2008) entschieden, dass eine IP-Adresse als personenbeziehbares Datum dem Datenschutzrecht unterfällt. Bemerkenswert ist der Ansatz, den das SchweizBVerwG hierfür verfolgt:

Ob eine Person bestimmbar ist, muss anhand objektiver Kriterien im konkreten Fall beurteilt werden, wobei insbesondere auch die Möglichkeiten der Technik, wie zum Beispiel die beim Internet verfügbaren Suchwerkzeuge, mitzuberücksichtigen sind. Entscheidend ist nicht, ob derjenige, der die Daten bearbeitet, den für eine Identifizierung erforderlichen Aufwand betreiben kann oder will, sondern ob damit gerechnet werden muss, dass ein Dritter, der ein Interesse an diesen Angaben hat, bereit ist, eine Identifizierung vorzunehmen (BELSER, a.a.O., Rz. 6 zu Art. 3 DSG; DAVID ROSENTHAL, in: Rosenthal/Jöhri, Handkommentar zum Datenschutzgesetz, Zürich 2008, Rz. 24 f. zu Art. 3 DSG).

Damit wendet das SchweizBVerwG (richtigerweise) einen sehr weiten Ansatz an. Denn es lässt ausreichen, dass ein Dritter mit diesem Datum einen Personenbezug herstellen kann.

Bei IP-Adressen handelt es sich um technische Informationen, die eine eindeutige Identifizierung eines Rechners zulassen. Dabei können statische IP-Adressen, die einem Rechner fest zugeteilt sind, wie die Beklagte in ihrer Duplik selber darlegt, vergleichbar einer Telefonnummer als Personendaten qualifiziert werden. Im Ergebnis muss dasselbe aber auch für dynamische IP-Adressen gelten: Zwar können weder die Beklagte noch die Urheberrechtsinhaber selber die hinter einer IP-Adresse stehende Person bestimmen. Der Provider muss diese Information nur im Zusammenhang mit der Verfolgung von Straftaten und nur gegenüber Behörden offenlegen. Die Person ist daher lediglich anhand der IP-Adresse nicht bestimmbar (ROSENTHAL, a.a.O., Rz. 27 zu Art. 3 DSG). Wird jedoch eine Straftat verübt, ändert sich die Situation. Nicht nur steigt das Interesse an der Bestimmung der Person hinter der IP-Adresse, mit der Einleitung einer Strafuntersuchung erhält der Urheberrechtsinhaber auch indirekt das Mittel in die Hand, die Person zu identifizieren. Dadurch werden die betreffenden Aufzeichnungen automatisch zu Personendaten auch bezüglich der so ermittelbaren bzw. ermittelten Person und nicht mehr nur des registrierten Inhabers der IP-Adresse (ROSENTHAL, a.a.O., Rz. 27 zu Art. 3 DSG). Wie die Praxis zeigt, sind gerade Urheberrechtsinhaber bereit, strafrechtlich vorzugehen, um die Identifizierung der Daten von Internetnutzern zu erwirken. Sie können, objektiv betrachtet, ein konkretes Interesse an der entsprechenden Information für sich beanspruchen. Daher ist auch damit zu rechnen, dass ein in seinen Rechten verletzter Urheberrechtsinhaber den nötigen Aufwand auf sich nimmt, diese Daten zu identifizieren. Ob sodann ein Strafverfahren zum gewünschten Erfolg führt oder allenfalls im konkreten Fall vorzeitig eingestellt wird, ändert dagegen nichts an der grundsätzlichen Bestimmbarkeit der Daten. In diesem Sinne erachtet auch die Datenschutzgruppe der Europäischen Union dynamische IP-Adressen als personenbezogene Daten gemäss Art. 2 Bst. a der Richtlinie 95/46/EG, deren Definition von Personendaten sehr ähnlich ist mit derjenigen in Art. 3 Bst. a DSG.

IP-Adressen sind folglich entgegen der Ansicht der Beklagten als Personendaten im Sinne des DSG anzusehen.

Das SchweizBVerwG formuliert dies in sehr angenehmer Deutlichkeit. Es ist damit auf einer Linie mit der h.M. in der deutschen Literatur und Rechtsprechung (s. dazu mit weiteren Nachweisen hier und hier).

Das Urteil im Volltext hier (PDF, 152 kb).

S. dazu auch:

Tags: , , , ,
Posted in Urteile und Beschlüsse | No Comments »

Jun
05
2009

OLG Frankfurt: Keine Herausgabe von Daten, die aufgrund Vorratsdatenspeicherung gespeichert wurden (Update)

Das OLG Frankfurt hat zur Frage entschieden, ob der Provider, der Daten nur auf Vorrat und nicht für andere Zwecke speichert, diese bei einem Herausgabeverlangen nach § 101 UrhG herausgeben muss (OLG Frankfurt, Beschluss v. 12.05.2009 – 11 W 21/09 – Update: Volltext hier). Es hat dies abgelehnt.

Als Grund führte das OLG Frankfurt an, dass § 101 UrhG keine Rechtsgrundlage für die Herausgabe von Daten, die nur aufgrund der Vorratsdatenspeicherung gespeichert sind, darstellt (so schon Mantz/Gietl, MMR 2008, 606, 608; Gietl/Mantz, CR 2008, 810, 812; Hoeren, NJW 2008, 3099, 3101; Redeker, ITRB 2009, 112, 113; a.A. Czychowski/Nordemann, NJW 2008, 3095). Dies ist nur konsequent. Denn die Herausgabe von Daten, die der Vorratsdatenspeicherung unterliegen, darf nur für ganz enge und spezielle Zwecke erfolgen, die den Zielen der Vorratsdatenspeicherungsrichtlinie sowie des Umsetzungsgesetzes unterliegen. Art. 1 Abs. 1 VSRL formuliert diese strenge Zweckbindung der Daten. Die Herausgabe an private Dritte ist hiervon nicht gedeckt.  Erwägungsgrund 25 der VSRL lautet: „Diese Richtlinie berührt nicht das Recht der Mitgliedstaaten, Rechtsvorschriften über den Zugang zu und die Nutzung von Daten durch von ihnen benannte nationale Behörden zu erlassen.“ Im Umkehrschluss daraus ist gerade Privaten gegenüber die Herausgabe nicht erlaubt. In logischer Folge ist auch nach § 113b TKG die Herausgabe der Daten nicht zulässig.

Dabei ist zu beachten, dass die deutsche Gesetzgebung schon deutlich über die europäischen Vorgaben hinausgeht – einer der Punkte, an denen das BVerfG bei einer Überprüfung ansetzen kann (BVerfG, Beschl. v. 11.3.2008 – 1 BvR 256/08, Rn. 136).

Wenn die Herausgabe auch für andere Zwecke erlaubt würde, würde dies nicht nur einen klaren Verstoß gegen die gesetzgeberische Intention bedeuten, sondern auch einen deutlichen Eingriff in die Grundrechte der Nutzer, der kaum zu rechtfertigen wäre. Nicht zuletzt deshalb hat das BVerfG in seinen einstweiligen Anordnungen (s. nur BVerfG v. 11.3.2008 – 1 BvR 256/08) die Herausgabe der Daten vorläufig stark eingeschränkt.

Grundsätzlich sind daher die Befugnisse, auf die Daten zuzugreifen, sehr eng auszulegen. Eine Aufweichung durch andere einfach-gesetzliche Erlaubnistatbestände würde den Grundrechtseingriff, den schon der europäische Gesetzgeber sieht, nur noch verstärkt.

Bisher noch nicht entschieden ist die Frage, wie der Provider die Daten zur Vorratsdatenspeicherung zu speichern hat, also ob dies getrennt von den Daten, die er aus anderen Gründen (nach §§ 97 ff. TKG) speichert erfolgen muss (so Gietl/Mantz, CR 2008, 810, 812), oder ob Daten nach Ablauf der zulässigen Speicherung nach anderen Normen nur als “gesperrt” markiert werden müssen (so wohl Redeker, ITRB 2009, 112, 113). Auch hier gilt meines Erachtens, dass der eklatante Grundrechtseingriff zu einer sehr rigiden Auslegung führen muss. Sofern also technische Maßnahmen den Schutz vor Zugriffen Dritter verbessern können, sind diese auch zu ergreifen.

Insgesamt hat das OLG Frankfurt mit diesem Beschluss eine folgerichtige und dennoch sehr wichtige Entscheidung gefällt.

Update:

Mittlerweile ist der Volltext verfügbar. Dazu noch ein paar Anmerkungen:

1. Vorwegnahme der Hauptsache

Das OLG Frankfurt ist dem OLG Köln (s. dazu hier und Mantz, K&R 2009, 21) dahingehend gefolgt, dass eine endgültige Verurteilung des Antragsgegners zur Herausgabe der Daten eine Vorwegnahme der Hauptsache darstellen würde. Dementsprechend hätte nur die Auferlegung der weiteren Speicherung bis zum Abschluss des Hauptverfahrens verlangt werden können. Im Ergebnis kommt es aufgrund der abweisenden Entscheidung des OLG Frankfurt aber nicht darauf an.

Als einstweilige Anordnung könnte die Entscheidung auch keinen Bestand haben, weil sie die Entscheidung in der Hauptsache vorwegnähme (OLG Köln, Beschluss vom 21.10.2008, 6 Wx 2/08, MMR 2008, 820).

2. Gewerbliches Ausmaß

Nach Ansicht des OLG Frankfurt liegt ein gewerbliches Ausmaß im vorliegenden Fall vor. Es handelte sich um die Verbreitung eines Pornofilms, der erst kurz vorher erschienen war.

Damit schließt sich das OLG Frankfurt dem OLG Köln an (s. dazu ebenfalls hier und Mantz, K&R 2009, 21).

Eine Rechtsverletzung in gewerblichem Ausmaß ist jedenfalls dann gegeben, wenn wie hier eine vollständige Film-DVD mit einer Laufzeit von 150 Minuten, die im Oktober 2008 veröffentlicht worden ist, wenig später am 12.1.2009 im Internet öffentlich zugänglich gemacht wird. Dies entspricht dem Willen des Gesetzgebers. Nach der Beschlussempfehlung und dem Bericht des Rechtsausschusses, dem der Gesetzgeber gefolgt ist, kommt eine Rechtsverletzung “in gewerblichem Ausmaß” unter anderem dann in Betracht, wenn eine besonders umfangreiche Datei, wie ein vollständiger Kinofilm oder ein Musikalbum oder Hörbuch, kurz nach ihrer Veröffentlichung im Internet angeboten wird (BT-Drucks. 16/8783, S. 50). Dieser klar geäußerte Wille des Gesetzgebers ist im Gesetzeswortlaut hinreichend zum Ausdruck gekommen und daher, weil sich auch aus systematischen Erwägungen nichts anderes ergibt, für die Auslegung der Vorschrift maßgeblich (ebenso OLG Köln, Beschluss v. 09.02.2009, 6 W 182/08, zitiert nach Juris Rn. 10 m.w.N.).

Der Gesetzgeber hat zum Ausdruck gebracht, dass er einen Gleichlauf des deutschen Urheberrechtsgesetzes mit der Richtlinie zur Durchsetzung der Rechte des geistigen Eigentums (2004/48/EG – nachfolgend: Richtlinie) wollte (siehe BT-Drucks. 16/8783, S. 50). Nach dem Erwägungsgrund 14 der Richtlinie zeichnen sich in gewerblichem Ausmaß vorgenommene Rechtsverletzungen dadurch aus, dass sie zwecks Erlangung eines unmittelbaren oder mittelbaren wirtschaftlichen oder kommerziellen Vorteils vorgenommen werden, so dass Handlungen, die in gutem Glauben von Endverbrauchern vorgenommen werden, in der Regel nicht erfasst sind. Gerade vor diesem Hintergrund hat der deutsche Gesetzgeber in § 101 Abs. 1 S. 2 UrhG durch objektive Kriterien die Voraussetzungen konkretisiert, bei deren Vorliegen in der Regel zugleich ein gewerbliches Ausmaß nach dem Verständnis der Richtlinie zu bejahen ist (BT-Drucks. 16/8783, S. 50). Da sich – worauf der Bundesrat in seiner Stellungnahme hingewiesen hatte (BT-Drucks. 16/5048 S. 59) – der Umfang der Rechtsverletzung bei den Internet-Tauschbörsen vor Erteilung der Auskunft nicht feststellen lässt, hat der Gesetzgeber klargestellt, dass sich das gewerbliche Ausmaß auch aus der Schwere der beim Rechtsinhaber eingetretenen einzelnen Rechtsverletzung ergeben kann.

Es reicht danach aus, dass die Rechtsverletzung ein Ausmaß aufweist, wie dies üblicherweise mit einer auf einem gewerblichen Handeln beruhenden Rechtsverletzung verbunden ist (OLG Köln, Beschluss v. 09.02.2009, 6 W 182/08, zitiert nach Juris Rn. 11). Verletzungshandlungen, die lediglich einzelne, vergleichsweise kleine Dateien betreffen, tragen die Annahme eines gewerblichen Ausmaßes nicht (vgl. Bohne in Wandtke/Bullinger, Urheberrecht, 3. Auflage, § 101 Rn. 19). Eine Rechtsverletzung im gewerblichen Ausmaß liegt jedoch vor, wenn eine umfangreiche Datei in eine Internet-Tauschbörse zum kostenlosen Herunterladen eingestellt wird. Das Anbieten in einer Tauschbörse ermöglicht die Verbreitung dieser Datei in einer unbestimmten Vielzahl von Fällen. Wer ein aktuell auf dem Markt befindliches, umfangreiches urheberrechtlich geschütztes Werk anbietet, dem ist dabei nach der Lebenserfahrung auch bekannt, dass er hierzu nicht berechtigt ist, so dass er nicht in gutem Glauben handelt (ebenso OLG Köln, Beschluss v. 09.02.2009, 6 W 182/08, zitiert nach Juris Rn. 14). Wer sich an einer Tauschbörse mit dem Angebot eines urheberrechtlich geschützten Werks beteiligt, wird zudem nach der Lebenserfahrung regelmäßig zugleich in der Absicht handeln, selbst kostenlos widerrechtlich angebotene Werke herunterzuladen und dadurch einen wirtschaftlichen Vorteil zu erlangen (ebenso OLG Köln, Beschluss v. 09.02.2009, 6 W 182/08, zitiert nach Juris Rn. 13).

3. Keine Verwendung der Daten aus der Vorratsdatenspeicherung

Wie oben schon gezeigt, dürfen die Daten, die aufgrund der Vorratsdatenspeicherung gespeichert werden, jedenfalls nicht herausgegeben werden:

Die Gestattung gemäß § 101 Abs. 9 UrhG schafft zwar die datenschutzrechtliche Grundlage dafür, dass die Beschwerdeführerin berechtigt ist, die von der Antragstellerin begehrten Daten nicht zu löschen. Dass § 101 Abs. 9 UrhG nach dem Willen des Gesetzgebers auch eine datenschutzrechtliche Erlaubnis enthält, ergibt sich aus der Gesetzesbegründung zur Parallelvorschrift § 140 b PatG (BT-Drucks. 16/5048, S. 40). § 101 Abs. 9 Satz 9 UrhG stellt klar, dass die einschlägigen Datenschutzregelungen nur außerhalb des Anwendungsbereichs dieser Vorschriften uneingeschränkt gelten. § 101 Abs. 9 UrhG bildet einen Erlaubnistatbestand jedoch nur für die gemäß § 96 TKG gespeicherten Verkehrsdaten, nicht für die allein auf Grund der Speicherungsverpflichtung nach § 113a TKG gespeicherten Daten. § 113a Abs. 4 Nr. 1 TKG, der die Richtlinie zur Vorratsdatenspeicherung umsetzt, verpflichtet zwar seit 1. 1. 2009 zur Speicherung der IP Adressen für sechs Monate. Diese Daten dürfen die Diensteanbieter nach §§ 113b S. 1 Halbs. 2, 113 TKG zwar auch verwenden, um staatlichen Stellen zu bestimmten hoheitlichen Zwecken Auskunft über den Anschlussinhaber zu erteilen. Die Daten dürfen jedoch nicht für eine Auskunft an Private für deren Rechtsverfolgung genutzt werden (Kitz, NJW 2008, 2374, 2376; Hoeren, NJW 2008, 3099, 3101; Jüngel/Geißler, MMR 2008, 787, 791/792; Dreier/Schulze, UrhG, 3. Aufl., § 101 Rn. 37). Der Bundestag hat den Vorschlag des Bundesrats, auch insoweit die Nutzung der gespeicherten Daten zu ermöglichen, ausdrücklich abgelehnt (vgl. BT-Dr 16/6979, S. 48).

Zu diesem Komplex s. auch:

  • Spies, Beck-Blog
  • Mantz/Gietl, MMR 2008, 606, 608 (Anm. zu OLG Frankfurt, Urteil vom 1.7.2008 – 11 U 52/07)
  • Gietl/Mantz, CR 2008, 810, 812
  • Redeker, ITRB 2009, 112
  • Hoeren, NJW 2008, 3099
  • Czychowski/Nordemann, NJW 2008, 3095
  • heise-online
  • Maaßen, MMR 2009, 511

(via Beck-Blog)

Tags: , , , , , ,
Posted in Urteile und Beschlüsse | No Comments »

Jun
04
2009

Lesetipp: Gabriel, Cornels: Webtracking und Datenschutz – ein „hidden problem“, MMR 2008, Heft 11, XIV

Schon in Heft 11 der MMR 2008, auf S. XIV, ist ein kurzer Übersichtsaufsatz von Gabriel und Cornels erschienen, in dem die Positionen zum Personenbezug von IP-Adressen nochmal aufgearbeitet und gegenübergestellt werden.

Dabei stellen Gabriel und Cornels noch einmal heraus, dass die Gerichte teilweise auch die Herstellung eines Personenbezuges über die Datenbanken der Access Provider für ausreichend erachten – eine Möglichkeit, die über § 101 UrhG oder § 406e StPO realisierbar und damit nicht von der Hand zu weisen ist (dazu s. schon hier und bei Datenschutzbeauftragter Online).

Sehr interessant ist auch das Fazit, in dem die Autoren aufgrund der Nichtunterscheidbarkeit von statischen und dynamischen IP-Adressen beim Host Provider (und nur für den bestreiten manche den Personenbezug) für eine Gleichstellung und damit die Annahme eines Personenbezuges eintreten:

Festzuhalten bleibt, dass in der Lit. nicht abschließend geklärt ist, inwieweit IP-Adressen personenbezogene Daten sind. Die derzeitige Rspr. ist unergiebig und uneinheitlich, höchstrichterliche Rspr. zu diesem Problem fehlt. Gerade die Brisanz dieser Frage verlangt jedoch noch einer zumindest einheitlichen Rspr. Wenn statische IP-Adressen allerdings personenbezogene Daten sind, müsste dies i.E. auch für dynamische IP-Adressen gelten, zumindest solange beide Arten technisch gar nicht voneinander unterschieden werden können, bevor sie gespeichert werden (Roßnagel, Hdb. Datenschutzrecht, S. 1299 Fußn. 140; Gundermann, K&R 2000, 227; Ihde, CR 2000, 413).

Tags: , ,
Posted in Aktuelles | No Comments »

May
27
2009

Nachbereitung Wireless Community Weekend 2009 und Folien online

Und schon ist das Wireless Community Weekend (WCW) 2009 wieder vorbei. Von meiner Seite noch einmal vielen Dank an alle. Wieder eine Superatmosphäre, ein sehr spannendes und gleichzeitig sehr entspanntes Wochenende (ja, das geht). Es hat viel Spaß gemacht und bei so guten Vorzeichen werde ich nächstes Jahr sicher wieder dabei sein.
Wer nachlesen und/oder nachhören will, was auf dem WCW 2009 passiert ist, s. im Wiki hier, außerdem den Live-Radio-Beitrag von Radio Corax vom WCW hier (OGG, ca. 120min, ca 200 MB, das Interview mit mir findet sich auch hier).
Ich danke auch für die spannende Diskussion zum Thema “Update Recht”, die Folien mit dem Titel “Update Recht – Entwicklung des Rechts offener Netze 2008/2009″ dazu sind ebenfalls online (hier, die Folien wurden im Hinblick auf die Dateigröße (nur) im Design geändert). Wie gewohnt, ging der Vortrag natürlich nicht um 18h los, sondern ca. 19.45h, also quasi pünktlich. Aufgrund der intensiven Teilnahme und Diskussion ist außerdem aus einem geplanten 30-Minuten-Vortrag (plus reservierte 10 Minuten für Fragen) ein Vortrag von fast zwei Stunden geworden. In diesem Sinne können die Folien natürlich nur als grobe Leitlinie dienen.

Die Diskussion hat wieder einmal gezeigt, dass die Gesetzeslage und die technische Realität in vielen Punkten überhaupt nicht zusammenpassen. Dies zeigt sich ganz extrem an offenen Netzen, in denen ganz unterschiedliche technische Konstellation realisiert werden, die sich zudem schnell ändern können. Speziell Vorratsdatenspeicherung ist in offenen Netzen in aller Regel vollkommen sinnlos und trotzdem besteht hier sehr große Rechtsunsicherheit.

Tags: , , , , , , , , , , , , , , ,
Posted in Aktuelles | 1 Comment »

« Older Entries
Creative Commons Attribution-ShareAlike 3.0 Germany
This work by http://www.retosphere.de/offenenetze is licensed under a Creative Commons Attribution-ShareAlike 3.0 Germany.