Das AG Wuppertal hat offenbar seine Ansicht  bzgl. der Strafbarkeit des Schwarz-Surfens korrigiert und kommt nun in einem ablehnenden Eröffnungsbeschluss (Volltext s.u.) zum Ergebnis, dass eine Strafbarkeit nicht gegeben ist.

Dabei hatte das AG Wuppertal mit Teilen der Literatur mit einem Urteil aus dem Jahre 2007 (AG Wuppertal, Urteil vom 3. 4. 2007 – 22 Ds 70 Js 6906/06) noch die Auffassung vertreten, dass die Nutzung eines offenen WLAN durch Dritte nach §§ 89, 148 TKG, §§ 43 II Nr. 3, 44 BDSG strafbar sei. Dem war anschließend das AG Zeven gefolgt (s. dazu hier; Bericht über eine weitere “öffentliche Festnahme” hier).

Nun hat das AG Wuppertal auf die immer wieder geäußerte Kritik reagiert und seine Ansicht geändert:

Diese Ansicht überspannt jedoch den Schutz- und Strafbereich der hier in Betracht kommenden Strafvorschriften.

(im einzelnen s.u. sowie die Besprechung von Jens Ferner)

Damit läuft eine Rechtsfrage wieder auf ihre (richtige) Klärung zu. Vor allem könnte dies auch Auswirkungen auf das noch laufenden Ermittlungsverfahren gegen Google haben, wobei man allerdings nicht vergessen darf, dass in jenem Fall Daten tatsächlich gespeichert wurden, ohne dazu hier eine Bewertung vorzunehmen. Aber jedenfalls die beim Schwarz-Surfen üblicherweise automatisch zugewiesene IP-Adresse wird vom AG Wuppertal nicht mehr als “abgefangene Nachricht” nach § 89 TKG eingestuft.

Links:

• Beck-Blog

Update: Das Aktenzeichen lautet “26 Ds-10 Js 1977/08-282/08″, nicht wie ursprünglich angegeben “20 Ds-10 Js 1977/08-282/08″. Danke an RA Gramespacher (www.miur.de) für den Hinweis.

—

Volltext

AG Wuppertal, Beschl. v. 3.8.2010 – 26 Ds-10 Js 1977/08-282/08

Amtsgericht Wuppertal

Beschluss

In der Strafsache
gegen [...]
wegen Ausspähen von Daten

(Tenor:)

Der Antrag auf Eröffnung des Hauptverfahrens wird aus rechtlichen Gründen abgelehnt.
Die Kosten des Verfahrens und die notwendigen Auslagen des Angeschuldigten hat die Staatskasse zu tragen.

Gründe
Nach den Ergebnissen des vorbereitenden Verfahrens erscheint der Angeschuldigte einer Straftat nicht hinreichend verdächtig. Hinreichender Tatverdacht im Sinne des §203 StPO ist zu bejahen, wenn bei vorläufiger Tatbewertung auf Grundlage des Ermittlungsergebnisses die Verurteilung in einer Hauptverhandlung wahrscheinlich ist.

Dies ist vorliegend nicht der Fall. Eine Strafbarkeit des Angeschuldigten ist nicht ersichtlich. Vorgeworfen wird ihm, sich am 26.08.2008 und am 27.o8.2oo8 mit seinem Laptop mittels einer drahtlosen Netzwerkverbindung in das offene Funknetzwerk des Zeugen I. eingewählt zu haben, um ohne Erlaubnis und ohne Zahlung eines Entgeltes die Internetnutzung zu erlangen.
Dieses Verhalten ist jedoch nicht strafbar.

Es erfüllt weder den Tatbestand des unbefugten Abhörens von Nachrichten nach §89 I 1 TKG noch des unbefugten Abrufens oder Verschaffens personenbezogener Daten nach §§44, 43 II Nr.3 BDSG.

Zwar wurde in der Entscheidung des Amtsgerichts Wuppertal vom 03.04.2010 (NStZ 2008, 161) ein solches Verhalten als strafbar gesehen. Danach sei der WLAN-Router eine elektrische Sende- und Empfangseinrichtung und damit eine Funkanlage im Sinne des §89 TKG. Die aufgrund der Internetnetzung abgehörte “Nachricht” sei in der Zuweisung einer IP-Adresse durch den Router zu sehen. Das Verhalten sei unbefugt, weil die IP-Adresse nicht für den Angeklagten bestimmt gewesen sei.

Zudem sei eine Strafbarkeit nach §44 i.V.m. §43 II Nr.3 BDSG gegeben, da durch Zugriff auf den Router personenbezogene Daten abgerufen würden. Da der Angeklagte des Nichtvorhandensein einer Flatrate des “Opfers” zumindestens billigend in Kauf nehme, handele er auch in Bereicherungs- bzw. Schädigungsabsicht.

Diese Ansicht überspannt jedoch den Schutz- und Strafbereich der hier in Betracht kommenden Strafvorschriften.

Eine Strafbarkeit nach §89 S.1 TKG ist nicht gegeben. Als “Nachricht” kommt hier allenfalls die automatische Zuweisung einer IP-Adresse an den Computer in Betracht (so AG Wuppertal, NStZ 2008, 161). Hierbei ist aber bereits äußerst fraglich, ob die Zuweisung einer IP-Adresse eine “Nachricht” im Sinne dieser Vorschrift darstellt (vgl. Popp, jurisPR-ITR 16/2008 Anm.4). Dass der Angeschuldigte andere Nachrichten des Zeugen I. unbefugt empfangen haben könnte, lässt sich nach dem Ermittlungsergebnis gerade nicht feststellen (BL. 79 d.A.). Jedenfalls ist durch das vorgeworfene Nutzen des Internetzugangs kein “abhören” im Sinne des §89 TKG gegeben. Dies ergibt sich bereits aus dem Wortlaut der Vorschrift. Unter Abhören ist das unmittelbare Zuhören oder das Hörbarmachen für andere, aber auch das Zuschalten einer Aufnahmevorrichtung zu verstehen. Dies erfordert jedenfalls einen zwischen anderen Personen stattfindenden Kommunikationsvorgang, den der Täter als Dritter mithört (vgl. Bär MMR 2005, 434, 440). Es müsste ein bewusster und gezielter Empfang fremder Nachrichten und das bewusste und gezielte Wahrnehmen fremder Nachrichten durch den Täter gegeben sein, um von einem Abhören von Nachrichten sprechen zu können. Dies ist bei dem Nutzer eines fremden WLAN nicht der Fall.

Für einen solchen bewussten und gezielten Empfang von Nachrichten durch den Angeschuldigten gibt es keine Anhaltspunkte. Dem Angeschuldigten kam es ausweislich der Anklage und des Ermittlungsergebnisses nur darauf an, durch Einwählen in das Netzwerk des Zeugen dessen Internetzugang mitbenutzen zu können. Das dabei notwendige Empfangen der IP-Adresse stellt kein Abhören fremder Nachrichten dar, denn hierdurch wird die Vertraulichkeit fremder Kommunikation nicht angegriffen (vgl. Popp, jurisPR-ITR 16/2008 Anm.4). Die IP-Adresse ist im Übrigen auch für den Angeschuldigten bestimmt gewesen, da er der einzige Teilnehmer der Internetverbindung gewesen ist. Damit ist er nicht Mithörer eines fremden Datenaustauschs (vgl. Bär MMR 2005, 434, 440).

Auch ist der Tatbestand des §44 I i.V.m. §43 II Nr.3 BDSG nicht erfüllt. Der Angeschuldigte hat ausweislich der Anklage und des Ermittlungsergebnisses keine personenbezogenen Daten abgerufen oder sich verschafft. In Betracht kommen auch hier allenfalls die IP-Daten. Die IP-Daten sind jedoch keine personenbezogenen Daten im Sinne des §3 I  BDSG (vgl. auch Popp, jurisPR-ITR 16/2008 Anm.4). Personenbezogene Daten sind hiernach alle Informationen über persönliche und sachliche Verhältnisse, die einer natürlichen Person zuzuordnen und nicht allgemein zugänglich sind.  Die IP-Adresse wird frei an den jeweiligen, das Netzwerk nutzenden Computer vergeben. Die Daten waren im Zeitpunkt des Empfangs durch den Angeschuldigten für diesen – als Nutzer des Computers der sich in das netzwerk einwählt – bestimmt und somit der Schutzbereich der Datendelikte nicht berührt (vgl. Popp, JurisPR-ITR 16/2008 Anm.4). Wer sich in ein WLAN einwählt, kann grds. nicht erkennen, wer der Betreiber des WLANs ist (MMR 2008, 632, 635). Dass dies bei dem Angeschuldigten  anders sein sollte, ist nicht ersichtlich und wäre nach dem derzeitigen Ermittlungsstand nicht nachweisbar (vgl. Aktenvermerk Bl. 79 d.A.).

Eine Strafbarkeit nach §202b StGB ist nicht gegeben, da die empfangenen IP-Daten für den Angeschuldigten als Nutzer des Netzwerks bestimmt sind (vgl. hierzu MMR 2008, 632, 634).

Moos und Gosche (RAe von DLA Piper, Vertreter im einschlägigen Verfahren vor LG und OLG Hamburg) haben in der CR einen Aufsatz über das sogenannte “Quick Freeze”-Verfahren, also die fortgesetzte Speicherung von IP-Adressen auf Zuruf veröffentlicht (CR 2010, 499-505).

Ausgangspunkt des Aufsatzes ist die divergierende Rechtsprechung zwischen (u.a.) OLG Hamburg (Pflicht zu Quick Freeze, kritisch dazu Schulze zur Wiesche, MMR 2009, 547; Maaßen, MMR 2009, 511; Hoffmann, NJW 2009, 2649 (2653); Moos, K&R 2010, 166, 172) und OLG Frankfurt (keine Verpflichtung zum Quick Freeze) sowie OLG Köln und OLG Karlsruhe (Quick Freeze möglich):

Die Gerichte sahen sich deshalb mit der Frage konfrontiert, ob aus § 101 Abs. 2 UrhG nicht nur ein Auskunftsanspruch des Rechteinhabers, sondern auch eine Verpflichtung der Access-Provider zur Datenspeicherung folgt, um eine spätere Beauskunftung nach § 101 Abs. 2 UrhG überhaupt zu ermöglichen.

In der Folge legen die Autoren § 101 Abs. 9 UrhG nach Wortlaut, Systematik, Historie und Sinn und Zweck aus. Als letzten Punkt nehmen sie eine Auslegung anhand der zugrundeliegenden Richtlinie 2002/58/EG vor.

Anschließend gehen sie auch auf das WLAN-Urteil des BGH (Urt. v. 12.5.2010 – I ZR 121/08: Sommer unseres Lebens, s. dazu hier, hier, hier und hier; Übersicht der Besprechungen hier) ein und stellen die Frage, ob das Anordnungsverfahren nach § 101 Abs. 9 UrhG nun entbehrlich wird (ebenso Mantz, MMR 2010, 568; Hornung CR 2010, 461).

Dies wirft unmittelbar die Frage auf, ob künftig das richterliche Anordnungsverfahren nach § 101 Abs. 9 UrhG – und damit auch darauf gerichtete Datenspeicherungsverlangen auf Zuruf – evtl. obsolet sein könnten, da sich das Erfordernis der richterlichen Gestattung ja gerade auf die Verwendung von Verkehrsdaten gründet.

Weiter weisen sie die Auffassung des BGH zurück, dass IP-Adressen Bestands- und nicht Verkehrsdaten darstellen (ebenso kritisch Mantz, MMR 2010, 568 mwN; a.A. wohl Schaefer, ZUM 2010, 699):

Dies ist auch in der Sache unzutreffend. So sind etwa in § 113a Abs. 4 TKG als vom Anbieter von Internetzugangsdiensten zu speichernde Verkehrsdaten ausdrücklich die Internetprotokoll-Adresse sowie der Beginn und das Ende der Internetnutzung unter der zugewiesenen IP-Adresse nach Datum und Uhrzeit unter Angabe der zugrunde liegenden Zeitzone genannt. Auch wenn die Regelung zur Vorratsdatenspeicherung in der bisherigen Form als verfassungswidrig angesehen worden ist und in dieser Form deshalb derzeit keine Geltung beansprucht, spricht aufgrund auch dieser gesetzlichen Festlegung erheblich mehr dafür, dass IP-Adressen grundsätzlich Verkehrsdaten sind.

Die Ausführungen in der WLAN-Entscheidung des BGH sollten deshalb nach richtiger Lesart keine Auswirkungen auf die Verfahren nach § 101 Abs. 9 UrhG haben. Insofern ist auch zu berücksichtigen, dass die Vorschriften bezüglich der Auskunft über Name und Anschrift des hinter einer IP-Adresse stehenden Anschlussinhabers nach StPO (die Gegenstand der WLAN-Entscheidung waren) einerseits und UrhG andererseits einen signifikanten Wortlautunterschied aufweisen.

Anders als die StPO-Vorschriften erfordere § 101 Abs. 9 UrhG nämlich nur, dass “die Auskunft unter Verwendung von Verkehrsdaten erfolge.”

Wenn man allerdings der Gegenauffassung folge, so seien Internetprovider nach § 109 Abs. 2 UrhG bereits zur Auskunft verpflichtet und müssten das Verfahren nach § 101 Abs. 9 UrhG nicht mehr durchlaufen. Eine Folge, die der Gesetzgeber nach meiner Ansicht bei der Schaffung von § 101 Abs. 9 UrhG gerade ausschließen wollte. Andererseits konstatieren Moos/Gosche in der Folge, dass eine Auskunft an der fehlenden datenschutzrechtlichen Erlaubnisvorschrift scheitern müsste, da konsequenterweise § 95 TKG und nicht § 96 TKG Anwendung finde und damit die Verwendung der Bestandsdaten auf die Diensterbringung beschränkt sei.

Als Fazit heißt es daher:

Die Annahme einer Datenspeicherung auf Zuruf ohne vorherige richterliche Anordnung ist nur unter Missachtung aller herkömmlichen Auslegungsmethoden und damit unter Verbiegung der urheber- und datenschutzrechtlichen Vorschriften zu begründen. … Die Argumentation, dass sich der Richtervorbehalt in § 101 Abs. 9 UrhG lediglich auf die Auskunftserteilung beziehe und nicht auf die (vom Wortlaut der Vorschrift gar nicht erfasste) Datenspeicherung, stellt sich als „Rosinenpicken” dar …

Auf Telemedicus hat Adrian Schneider die datenschutzrechtliche Komponente zum neuen Vorfall analysiert, bei dem Google eingestanden hat, für Google Street View nicht nur die Daten eines WLAN sondern auch Nutzdaten aus den Netzen erfasst zu haben (dazu nähere Informationen bei heise-online).

Dabei kommt Adrian Schneider zu folgendem Ergebnis:

“Denn datenschutzrechtlich ist selbst in einem solch gravierenden Fall die Rechtslage nicht eindeutig. Die Aufsichtsbehörden müssten nachweisen, dass tatsächlich „personenbezogene Daten” durch Google erhoben wurden, um etwa ein Bußgeld gegen den Konzern verhängen zu können. Doch das wird bei reinen Datenfragmenten nur in seltenen Einzelfällen gelingen – wenn überhaupt.”

Allerdings muss man sich dabei auch die Möglichkeiten vor Augen führen, die Google mit den erhobenen Daten beabsichtigt hat: Google hat die Daten zum WLAN-Knoten (nicht die Nutzdaten) schließlich erhoben, um eine Karte von WLANs für ganz Deutschland zu erstellen. Diese nutzt Google (zumindest in anderen Ländern) bereits zur Geolokalisierung. Das hat zur Folge, dass Google auch in der Lage sein dürfte, die sehr genaue Position eines WLAN-Knotens festzustellen.

Für einen Personenbezug nach BDSG reicht es aber aus, dass die Person bestimmbar ist (zum Personenbezug von Geodaten s. Forgo/Krügel, MMR 2010, 17). Ausreichend dafür ist, dass mit nicht unverhältnismäßigem Aufwand ein Personenbezug herstellbar ist (Gola/Schomerus, § 3 BDSG Rn. 10, 44). Dies dürfte jedenfalls bei Ein-Personen-Haushalten der Fall sein. Sowohl die WLAN-Knoten-Informationen als auch die Nutzdaten können also möglicherweise (z.B. zusammen mit dem Telefonbuch, oder was auch immer Google zur Verfügung hat) auf eine Person bezogen werden. Damit unterfallen die gesamten Daten dem BDSG und sind rechtswidrig erhoben worden (eine Analyse für die separierten WLAN-Knoten-Informationen findet sich auch bei Telemedicus hier). Es ist auch kaum davon auszugehen, dass Google die Datenfragmente nicht mit Bezug zum erfassten WLAN gespeichert hat.

Die Datenschutzbehörden sollten sich also von Google erklären lassen, welche Verknüpfungsmöglichkeiten Google geplant hat und mit seinen Ressourcen realisieren könnte.

Noch eine allgemeine Bemerkung am Ende: Bei den technischen Möglichkeiten und Ressourcen, die Google hat, ist die Rechnung nach dem BDSG relativ einfach: Sobald Google ein Datum hat, das auf eine Person beziehbar ist (z.B. bei einem GMail-Account), sind alle Daten, die Google mit Rechenkraft oder unter Rückgriff auf andere Quellen eindeutig in Bezug zu diesem Datum setzen kann, personenbezogen.

IP-Notiz hat einen Beitrag zu den Auswirkungen des Urteils des BVerfG zur Zulässigkeit der Vorratsdatenspeicherung veröffentlicht. Denn teilweise wurde als Schlussfolgerung aus dem Urteil gezogen, dass auch die Daten (=IP-Adressen), die für die Ermittlung der Bestandsdaten von Filesharing-Nutzern verwendet werden, z.B. durch den Auskunftsanspruch nach § 101 UrhG (s. dazu hier), betroffen seien. Diese Auffassung habe ich im privaten Umkreis auch mehrfach gehört.

Der Beitrag bei IP-Notiz erläutert richtigerweise, dass dies nicht der Fall ist. Denn die Auskunft durch den Access Provider in Filesharingfällen erfolgt in aller Regel aufgrund von Daten, die nach §§ 96 ff. TKG zur Abrechnung oder zur Vermeidung von Missbrauch durch die Provider gespeichert werden (s. dazu Gietl/Mantz, CR 2008, 810, 812; zum Auskunftsanspruch ausführlich Welp, Auskunftspflicht von Access-Providern, 2009). Es handelt sich also (idealerweise) um vollkommen getrennte Datenpools (so auch die Ergebnisse einer Bitkom-Umfrage unter deutschen Providern, s. dazu hier).

Damit hat das Urteil des BVerfG auf Filesharing-Fälle keinerlei Auswirkung.

Links:

• http://www.ip-notiz.de/auswirkungen-der-bundesverfassungsgerichtsentscheidung-zur-vorratsdatenspeicherung-auf-tauschborsen-abmahnungen/2010/03/03/
• http://www.wb-law.de/news/it-telekommunikationsrecht/1428/gekippte-vorratsdatenspeicherung-und-filesharing-konsequenzen-des-bverfg-urteils/

Im Blog des AK Vorratsdatenspeicherung ist ein kurzer Beitrag als Antwort auf Härting, NJW-aktuell 3/2010, S. 10: „Spuren im Netz“, erschienen.
Darin belegt er erneut, dass die IP-Adresse ein personenbezogenes Datum ist, und setzt sich kurz mit der entgegenstehenden mM auseinander, der sich Härting angeschlossen hatte (s. zur IP-Adresse und Personenbezug ausführlich hier und hier und hier).
Weiter behandelt der Beitrag kurz das vom BGH statuierte Recht auf Anonymität (BGH NJW 2009, 2888, 2893; eingehend Mantz, Rechtsfragen offener Netze, 2008, S. 67 ff.).

Ein lesenswerter Beitrag, der auch in NJW-aktuell 11/2010, S. 18 erschienen ist.

Das OLG Köln hat am 23.12.2009 zur Störerhaftung des Internetanschlussinhabers geurteilt und ist dabei u.a. von einer sekundären Darlegungslast des Anschlussinhabers ausgegangen, der also die Identität des jeweiligen Nutzers offenbaren soll (Az. 6 U 101/09).

• Leitsätze bei Medien Internet und Recht
• Volltext bei justiz.nrw.de
• Besprechung bei klawText
• Besprechung von RA Solmecke bei W&B Anwälte
• Notiz bei urheberrecht.org
• Meldung bei Golem
• Update: RA Solmecke hat eine weitergehende Besprechung verfasst (hier).
• Volltext bei JurPC

Im aktuellen Heft der K&R ist ein Aufsatz von Marco Rau und Martin Behrens mit dem Titel “Catch me if you can … Anonymisierungsdienste und die Haftung für mittelbare Rechtsverletzungen” (K&R 2009, 766) erschienen.

Die Autoren beschreiben zunächst technische Grundlagen von Anonymisierungsdiensten wie TOR und AN.ON (Test von Anonymisierungsdiensten hier). Anschließend untersuchen sie, ob Anonymisierungsdienste als Telekommunikations- oder Telemediendienste anzusehen sind, wobei sie im Ergebnis eine Differenzierung vornehmen: Teile des Dienstes seien als TK-Dienst, andere als Telemediendienst zu behandeln.

Anschließend wird betrachtet, ob Anonymisierungsdienste der Vorratsdatenspeicherung unterfallen, wobei sie auf die Unterschiede der europäischen Richtlinie und der deutschen Regelung in § 113a TKG hinweisen. Insbesondere bezweifeln Rau und Behrens, dass die Vorratsdatenspeicherung geeignet und erforderlich ist und verweisen auf die ausstehende Entscheidung des BVerfG.

Schließlich untersuchen die Autoren das zivilrechtliche Haftungsregime. Dabei stellen sie insbesondere den Schwenk der BGH-Rechtsprechung von der Störerhaftung zur “Verletzung wettbewerbsrechtlicher Verkehrssicherungspflichten” heraus (s. insbesondere BGH – Jugendgefährdende Medien bei eBay (GRUR 2007, 890), dazu Meldung bei heise-online). Diese Rechtsprechung sei aber auf Anonymisierungsdienste nicht übertragbar. Stattdessen sei eine Haftung weiter nach den Grundsätzen der Störerhaftung zu beurteilen. Dabei sehen die Autoren Prüfungspflichten zwar grundsätzlich als problematisch, aber insbesondere Blockadelisten für IPs als zumutbar an.

Insgesamt ein lesenswerter Artikel. Was die Zumutbarkeit der Prüfungspflichten bei der Störerhaftung angeht, bleiben allerdings noch Fragen offen. Als zumutbare Pflicht sehen die Autoren Access Control Lists an. Im Artikel heißt es dazu:

“Als Filter ausgestaltete Prüfungspflichten erscheinen damit zumutbar. Die Ansiedlung bei den Diensteanbietern trägt dem Grundsatz Rechnung, dass derjenige, der in seinem Herrschaftsbereich eine Gefahrenquelle eröffnet, Vorkehrungen zum Schutz der Rechtsgüter Dritter treffen muss. Hierdurch wird derjenige verpflichtet, der die Risiken am besten beherrschen kann.”

Bezug nehmen die Autoren auf die Access Control Lists von Squid. Allerdings betreffen diese wohl nur die Zieladresse einer Kommunikation. Denn dem Rechtsinhaber ist nur die Adresse des Exit-Nodes bekannt, dieser kennt aber die IP-Adresse des Nutzers nicht. Damit dürfte es sich nur um eine Lösung handeln, die den Internetsperren vergleichbar ist und den Zugriff auf bestimmte Seiten verhindert. Damit können also Quellen von rechtswidrigen Inhalten im Internet blockiert werden. Es kann aber nicht verhindert werden, dass der Nutzer rechtswidrige Inhalte verbreitet.

Außerdem ziehen Rau und Behrens “Hinweis-, Informationssicherungs- und Auskunftspflichten” in Betracht. Zudem seien Auskunftspflichten für den Verletzten günstiger, die “eine Sicherung der zur Auskunft vorgesehenen Informationen voraussetzen”. Unklar ist, ob damit eine Pflicht zur Erhebung und Speicherung von Informationen einhergehen soll (was datenschutzrechtlich bedenklich wäre). Denn ohne Erhebung und Speicherung gibt es auch nichts zum Herausgeben.

Näher dazu

• Test Anonymisierungsdienste
• Recht auf Anonymität (Mantz, Rechtsfragen offener Netze, S. 67 ff.)
• Dossier zur Anonymisierungssoftware TOR im Kontext Zensur, TR 7/2009

Wie Daten-Speicherung.de berichtet, hat der Berliner Datenschutzbeauftragte dem Blogger Niggemeier untersagt, IP-Adressen seiner Nutzer ohne Einwilligung zu speichern.

Der Berliner Datenschutzbeauftragte sieht also – mit der wohl h.M. – IP-Adressen als personenbezogene Daten an. Diese Auffassung gilt natürlich auch gegenüber Bloggern.

Auf Daten-Speicherung.de finden sich weitere Hintergründe und eine Auseinandersetzung mit den Argumenten des Anwalts von Niggemeier.

Zur Problematik von IP-Adressen s. näher

• hier
• IP-Adressen-Recht

Der österreichische Oberste Gerichtshof (ÖOGH) hat vor einigen Tagen über ein Auskunftsbegehren der österreichischen Rechteverwertungsgesellschaft LSG und dem Provider Tele2 aufgrund der österreichischen Parallelnorm zum deutschen § 101 UrhG, nämlich § 87b ÖUrhG entschieden (ÖOGH, Urteil vom 14.7.2009, 4 Ob 41/09x).

Zur Vorgeschichte: Tele2 hatte die Herausgabe der Kundendaten aufgrund der Verwendung der IP-Adresse, die die LSG ermittelt hatte, verweigert. Während die Vorinstanzen der Klage auf Auskunft stattgaben, legte der ÖOGH die Frage zunächst dem Europäischen Gerichtshof (EuGH) vor (zum Urteil des EuGH siehe hier). Dieser entschied (ganz stark verkürzt), dass die nationalen Gesetzgeber einen Auskunftsanspruch normieren dürfen, wenn sie dabei die widerstreitenden Interessen in Ausgleich bringen.

Nach diesem Urteil hat nun der ÖOGH die Klage mit der Begründung abgewiesen, dass § 87b ÖUrhG den Auskunftsanspruch nicht rechtfertigt. Die Kundendaten würden durch eine rechtswidrige Verwendung von Verkehrsdaten gewonnen, ihre Herausgabe sei daher rechtswidrig.

Den Volltext kann man hier abrufen (Internet4jurists.at mit kurzer Besprechung), einen weiteren Bericht hat heise-online.

Hier ein paar interessante Auszüge aus dem Urteil:

“Beim hier strittigen Auskunftsanspruch stehen einander die Interessen der Urheber auf Durchsetzung ihrer Ausschließungs- und Verwertungsrechte und jene der Nutzer auf Schutz der sie betreffenden Daten und Wahrung ihrer Privatsphäre gegenüber. Beide Interessen sind grundrechtlich geschützt. Daher haben (schon) die Mitgliedstaaten bei der Umsetzung der für den hier strittigen Anspruch relevanten Richtlinien „die verschiedenen beteiligten Grundrechte miteinander zum Ausgleich zu bringen“ (EuGH C-557/07 – LSG/Tele2). Der Auftrag des EuGH richtet sich daher auf dieser Stufe an den Umsetzungsgesetzgeber, nicht (unmittelbar) an die Gerichte. Allerdings sind die Gerichte wegen des Vorrangs des Gemeinschaftsrechts berufen, die Gemeinschaftsrechtskonformität der Richtlinienumsetzung zu prüfen. [...]

5.3.2. Auf dieser Grundlage sind (zumindest) dynamische, dh nur für eine bestimmte Zeit zugewiesene IP-Adressen in die Kategorie der Zugangs- und damit der Verkehrsdaten einzuordnen. Dies ergibt sich schon aus den Erläuternden Bemerkungen zum TKG 2003 (128 BlgNR 22. GP, zu § 92): Danach könnten Kontaktdaten wie IP-Adressen sowohl unter den Begriff der Stamm- als auch unter jenen der Verkehrsdaten fallen; ersteres gelte aber nur dann, wenn es sich um eine vom Absender benötigte Kontaktadresse des Teilnehmers handle, „wie beispielsweise eine vom Betreiber bereitgestellte E-Mail-Adresse oder sonstige ähnliche dauerhafte Rufzeichen oder Kennungen“. Stammdaten sind daher zwar möglicherweise – was hier aber nicht abschließend zu entscheiden ist – statische IP-Adressen, keinesfalls aber dynamische, die jedenfalls in die Kategorie der Verkehrsdaten fallen (Einzinger/Schubert/Schwabl/ Wessely/Zykan, Wer ist 217.204.27.214?, MR 2005, 113 [116]; Helmreich, Auskunftspflicht des Access-Providers bei Urheberechtsverletzungen? ecolex 2005, 379; Parschalk/Otto/Weber/Zuser, Telekommunikationsrecht [2006] 206 FN 654; Wiebe, Auskunftsverpflichtung der Access Provider, Beilage zu MR 2005/4, 13 ff; Zanger/Schöll aaO § 92 Rz 51; anders [noch] Schanda, Auskunftsanspruch gegen Access-Provider über die IP-Adressen von Urheberrechtsverletzern, MR 2005, 18 [20 f], später jedoch als unerheblich offen lassend ders, Auskunftspflicht über Inhaber dynamischer IP-Adressen contra Verpflichtung zur Löschung von Verkehrsdaten, MR 2006, 213 [214]; differenzierend Stomper, Zur Auskunftspflicht von Internet-Providern, MR 2005, 118 [119]). [...]

5.4. Der einfache Weg, allein auf die Bekanntgabe von Stammdaten abzustellen und die Vorgänge bei deren Ermittlung völlig auszublenden, ist damit gemeinschaftsrechtlich nicht gangbar (ebenso zur vergleichbaren Problematik im Strafverfahren DSK GZ K213.000/0005-DSK/2006). Vielmehr ist anzunehmen, dass Art 6 der RL 2002/58/EG und dessen Umsetzung in § 99 TKG 2003 der – im vorliegenden Fall erforderlichen – Verarbeitung von Verkehrsdaten für die Erteilung der hier begehrten Auskunft entgegensteht. Denn nach Absatz 1 dieser Bestimmung sind
„Verkehrsdaten, die sich auf Teilnehmer und Nutzer beziehen und vom Betreiber eines öffentlichen Kommunikationsnetzes oder eines öffentlich zugänglichen Kommunikationsdienstes verarbeitet und gespeichert werden, [...] unbeschadet der Absätze 2, 3 und 5 des vorliegenden Artikels und des Artikels 15 Absatz 1 zu löschen oder zu anonymisieren, sobald sie für die Übertragung einer Nachricht nicht mehr benötigt werden.“ [...]

Die Absätze 2, 3 und 5 gestatten in weiterer Folge die Verarbeitung (und damit die Speicherung) von Verkehrsdaten für bestimmte Zwecke. Aus diesem Regelungszusammenhang ist abzuleiten, dass eine Verarbeitung von – wenngleich unter Umständen nach den Absätzen 2, 3 und 5 rechtmäßig gespeicherten – Daten für andere Zwecke nicht zulässig ist. Denn die Löschungspflicht hat offenkundig den Zweck, eine unzulässige Nutzung der Daten zu verhindern. Dieser Zweck würde durch die Zulässigkeit der anderweitigen Nutzung rechtmäßig gespeicherter Daten unterlaufen, ohne dass dies durch die Wertung der jeweiligen Ausnahmebestimmungen gedeckt wäre. Zudem verstieße eine solche Auffassung gegen den datenschutzrechtlichen Grundsatz der strikten Zweckbindung, wonach Daten, die für einen bestimmten Zweck gespeichert wurden, auch nur für diesen Zweck verarbeitet werden dürfen (Art 6 Abs 1 lit c der RL 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr; zum österreichischen Datenschutzrecht zuletzt etwa VfGH G 147/06 = VfSlg 18146, Punkt 2.3.1).[...]

Diese Schlussfolgerung ergibt sich auch aus § 99 TKG 2003, der Art 6 der RL 2002/58/EG umsetzt. Nach Absatz 1 dieser Bestimmung dürfen Verkehrsdaten „außer in den gesetzlich geregelten Fällen nicht gespeichert werden und sind vom Betreiber nach Beendigung der Verbindung unverzüglich zu löschen oder zu anonymisieren.“

§ 99 Abs 1 TKG 2003 ist zwar formal strenger gefasst als Art 6 der RL 2002/58/EG, da er schon eine gesetzlich nicht vorgesehene Speicherung untersagt und nicht bloß eine Löschung anordnet. In der Sache dient diese Regelung aber demselben Zweck; sie soll ebenfalls das Anhäufen eines umfangreichen Datenbestands verhindern, der auch zu anderen als den gesetzlich vorgesehenen Zwecken genutzt (missbraucht) werden könnte. [...]

5.5.2. Eine allfällige Regelung hat jedoch nach Art 15 Abs 1 der RL 2002/58/EG durch „Rechtsvorschriften“ („legislative measures“ bzw „mesures législatives“) zu erfolgen. Konkret kann dabei „für eine begrenzte Zeit“ („limited period“ bzw „durée limitée“) eine Aufbewahrung von Verkehrsdaten vorgesehen werden. Das österreichische Recht genügt diesen Erfordernissen derzeit nicht. [...]

(a) Zunächst fehlt es an einer ausdrücklichen Regelung, wonach die Speicherung und Verarbeitung von Verkehrsdaten zum Zweck der Erteilung von Auskünften nach § 87b Abs 3 UrhG zulässig ist. Eine implizite Ableitung aus der urheberrechtlichen Bestimmung (so insb Schachter in Kucsko [Hrsg], urheber.recht [2008] 1273; Schanda, MR 2006, 215), ist nicht möglich. Denn zum einen lässt sich den Materialien der UrhG-Novellen 2003 und 2006 nicht entnehmen, dass dem Gesetzgeber die gemeinschaftsrechtliche Problematik der Verarbeitung von Verkehrsdaten überhaupt bewusst war. Insofern unterscheidet sich § 87b Abs 3 UrhG von der ausdrücklich auf die Verarbeitung von Verkehrsdaten Bezug nehmenden Regelung des § 101 Abs 9 dUrhG. Dennoch wird auch für diese Bestimmung die Auffassung vertreten, dass eine Auskunfterteilung an der fehlenden Zulässigkeit der Verarbeitung von Verkehrsdaten scheitern könnte (Dreier in Dreier/Schulze, Urheberrechtsgesetz3 § 101 Rz 37; Spindler, Zum Auskunftsanspruch gegen Verletzer und Dritte in Urheberrecht nach neuem Recht, ZUM 2008, 640 [646]; zweifelnd Czychowski/Nordemann, Vorratsdaten und Urheberrecht – Zulässige Nutzung gespeicherter Daten, NJW 2008, 3095 [3098], sowie Czychowski in Fromm/Nordemann [Hrsg], Urheberrecht10 [2008] § 101 Rz 61 ff; in der Rsp der Oberlandesgerichte hat sich diese Ansicht jedoch nicht durchgesetzt: OLG Zweibrücken 4 W 62/08 = MMR 2009, 45; OLG Köln 6 Wx 2/08 = GRUR-RR 2009, 9; OLG Frankfurt 11 W 21/09 [allerdings nur für Daten, die noch zu Verrechnungszwecken gespeichert sind]). Um so weniger kann ein bloß materiellrechtlicher Auskunftsanspruch als implizite Erlaubnis oder gar Verpflichtung zur Datenspeicherung verstanden werden. [...]

Zum anderen kann die Annahme einer bloß impliziten Regelung dem gemeinschaftsrechtlichen Erfordernis einer Anordnung durch „Rechtsvorschrift“ nicht genügen. Durch diesen formellen Gesetzesvorbehalt soll offenkundig Rechtssicherheit geschaffen werden, die bei Annahme einer bloß impliziten Anordnung, wie auch das vorliegende Verfahren beweist, nicht gegeben ist. Dies schließt – anders als bei einer Auskunft über den Betreiber eines Mehrwertdienstes, die keine Verarbeitung von Verkehrsdaten erfordert (4 Ob 7/04i = SZ 2004/33) – auch eine Analogie zur Füllung einer planwidrigen Lücke im TKG 2003 aus.”

In der MMR ist ein Aufsatz von Paul Voigt mit dem Titel “Datenschutz bei Google” (MMR 2009, 377) erschienen.

Der Autor untersucht hierbei die datenschutzrechtliche Relevanz der Erstellung von Profilen, die über die Verknüpfung von IP-Adressen und Cookies gespeichert werden. Dabei stellt er auch die Ansichten zum Personenbezug der IP-Adresse dar. Im Ergebnis geht er davon aus, dass jedenfalls bei Google aufgrund der Vielzahl personalisierter Dienste ein Personenbezug besteht oder hergestellt werden kann. Als Folge daraus sei die Speicherung über einen längeren Zeitraum als die reine Nutzungszeit nach § 12 Abs. 1 TMG datenschutz- und damit rechtswidrig.

Interessant finde ich die Einschränkung, die der Autor macht: Google sei nur bei anmeldepflichtigen Diensten in der Lage, Personenbezug herzustellen.

Schließlich liegt eine datenschutzrechtliche Relevanz im Regelfall nur dann vor, wenn der Nutzer ein Konto bei einem anmeldepflichtigen Google-Dienst hat. In allen anderen Fällen wäre bei IP-Adressen und Cookies nach dem oben Gesagten nicht von einem Personenbezug auszugehen.

Das ist meiner Auffassung nach zu eng. Denn in vielen Fällen kann Google über andere, frei verfügbare Informationen seine Profile mit ebensolchen Personeninformationen kombinieren (s. zur Lösbarkeit der Anonymität über Personenprofilgraphen hier) und damit Personenbezug herstellen. Im Fazit stellt der Autor doch darauf ab, dass die Gefährdung des Allgemeinen Persönlichkeitsrechts zu verhindern sei:

Das Datenschutzrecht soll aber das Allgemeine Persönlichkeitsrecht einfachrechtlich schützen. Verhindert werden soll nicht nur tatsächlicher Missbrauch, sondern bereits die Gefährdung des Rechts auf informationelle Selbstbestimmung.

Wenn man diesem Gedanken aber konsequent folgt, dann besteht wenigstens die Gefahr, dass Google auch bei den nicht anmeldepflichtigen Diensten Personenbezug herstellt – mit dem Ergebnis einer Rechtswidrigkeit der Speicherung.

Der Autor empfiehlt Google zur Lösung, seine Datensätze um “personenbeziehbare Daten zu entschlacken”, also im Grunde alles zu löschen, was eine Deanonymisierung nach § 3 Abs. 9 BDSG ermöglichen würde. Die technischen Schwierigkeiten für die Dienste von Google nimmt der Autor dabei in Kauf – in Anbetracht des rechtsverletzenden Verhaltens bei der Speicherung von Daten auch eine Selbstverständlichkeit.

S. auch:

• Steidle/Pordesch, Im Netz von Google. Web-Tracking und Datenschutz, DuD 2008, 324
• “Vorsicht, Google!” in der NZZ Folio
• Lesetipp: Gabriel, Cornels: Webtracking und Datenschutz – ein „hidden problem“, MMR 2008, Heft 11, XIV
• Privatsphärenschutz in Soziale-Netzwerke- Plattformen