Offene Netze und Recht

1. Einleitung

Der EuGH hat kürzlich im Rahmen der Beantwortung einer Vorlagefrage Stellung zu der Frage genommen, ob ein Gericht einem Access Provider auferlegen kann, zur Verhinderung von Urheberrechtsverletzungen seiner Kunden bei Nutzung von Filesharing-Netzwerken ein Filtersystem einzurichten (EuGH, Urteil v. 24.11.2011, Az. C?70/10, Volltext hier). Ich hatte kurz über die Vorlage berichtet (s. hier).

Die Vorlagefrage Nr. 1 lautete dabei:

Können die Mitgliedstaaten aufgrund der Richtlinien 2001/29 und 2004/48 in Verbindung mit den Richtlinien 95/46, 2000/31 und 2002/58, ausgelegt im Licht der Art. 8 und 10 der Europäischen Konvention zum Schutz der Menschenrechte und Grundfreiheiten, dem nationalen Richter erlauben, in einem Verfahren zur Hauptsache allein aufgrund der Vorschrift, dass „[s]ie [die nationalen Gerichte] … ebenfalls eine Unterlassungsanordnung gegen Vermittler erlassen [können], deren Dienste von einem Dritten zur Verletzung eines Urheberrechts oder verwandter Rechte genutzt werden“, gegen einen Anbieter von Internetzugangsdiensten die Anordnung zu erlassen, auf eigene Kosten zeitlich unbegrenzt für sämtliche Kunden generell und präventiv ein Filtersystem für alle eingehenden und ausgehenden elektronischen Kommunikationen, die mittels seiner Dienste insbesondere unter Verwendung von „Peer-to-Peer“-Programmen durchgeleitet werden, einzurichten, um in seinem Netz den Austausch von Dateien zu identifizieren, die ein Werk der Musik, ein Filmwerk oder audiovisuelles Werk enthalten, an denen der Kläger Rechte zu haben behauptet, und dann die Übertragung dieser Werke entweder auf der Ebene des Abrufs oder bei der Übermittlung zu sperren?

Das Urteil ist im Hinblick auf die Praxis deutscher Gerichte, die im Rahmen der Störerhaftung Pflichten zur Verhinderung von Verletzungen aufzuerlegen, sehr aufschlussreich und gibt – wenn auch in relativ engem Rahmen – dieser Rechtsprechung Grenzen auf.

2. Rechtsrahmen

Zunächst ist zu bemerken, dass der EuGH für das Urteil die einschlägigen europäischen Richtlinien in Bezug nimmt:

• E-Commerce-RL 2000/31/EG
• Urheberrechts-RL 2001/29/EG
• Enforcement-RL 2004/48/EG
• Datenschutz-RL 95/46/EG
• Datenschutz-RL für elektronische Kommunikation 2002/58/EG

3. Entscheidung

Nachfolgend die hervorzuhebenden Ausführungen des EuGH als Zitat:

Folglich müssen diese Regelungen u. a. Art. 15 Abs. 1 der Richtlinie 2000/31 beachten, wonach es nationalen Stellen untersagt ist, Maßnahmen zu erlassen, die einen Diensteanbieter verpflichten würden, die von ihm in seinem Netz übermittelten Informationen allgemein zu überwachen.

Insoweit hat der Gerichtshof bereits entschieden, dass ein solches Verbot sich u. a. auf innerstaatliche Maßnahmen erstreckt, die einen vermittelnden Dienstleister wie einen Provider verpflichten würden, sämtliche Daten jedes Einzelnen seiner Kunden aktiv zu überwachen, um jeder künftigen Verletzung von Rechten des geistigen Eigentums vorzubeugen. Im Übrigen wäre eine solche allgemeine Überwachungspflicht nicht mit Art. 3 der Richtlinie 2004/48 zu vereinbaren, wonach die Maßnahmen im Sinne dieser Richtlinie gerecht und verhältnismäßig sein müssen und nicht übermäßig kostspielig sein dürfen (vgl. Urteil L’Oréal u. a., Randnr. 139).

…

Somit würde eine solche präventive Überwachung eine aktive Beobachtung sämtlicher elektronischen Kommunikationen im Netz des betreffenden Providers erfordern und mithin jede zu übermittelnde Information und jeden dieses Netz nutzenden Kunden erfassen.

Angesichts des Vorstehenden ist festzustellen, dass die dem betroffenen Provider auferlegte Anordnung, das streitige Filtersystem einzurichten, ihn verpflichten würde, eine aktive Überwachung sämtlicher Daten, die alle seine Kunden betreffen, vorzunehmen, um jeder künftigen Verletzung von Rechten des geistigen Eigentums vorzubeugen. Daraus folgt, dass diese Anordnung den Provider zu einer allgemeinen Überwachung verpflichten würde, die nach Art. 15 Abs. 1 der Richtlinie 2000/31 verboten ist.

…

Deshalb würde eine solche Anordnung zu einer qualifizierten Beeinträchtigung der unternehmerischen Freiheit des Providers führen, da sie ihn verpflichten würde, ein kompliziertes, kostspieliges, auf Dauer angelegtes und allein auf seine Kosten betriebenes Informatiksystem einzurichten, was im Übrigen gegen die Voraussetzungen nach Art. 3 Abs. 1 der Richtlinie 2004/48 verstieße, wonach die Maßnahmen zur Durchsetzung der Rechte des geistigen Eigentums nicht unnötig kompliziert oder kostspielig sein dürfen.

Darüber hinaus würden sich die Wirkungen dieser Anordnung nicht auf den betroffenen Provider beschränken, weil das Filtersystem auch Grundrechte der Kunden dieses Providers beeinträchtigen kann, nämlich ihre durch die Art. 8 und 11 der Charta geschützten Rechte auf den Schutz personenbezogener Daten und auf freien Empfang oder freie Sendung von Informationen.

Zum einen steht nämlich fest, dass die Anordnung, das streitige Filtersystem einzurichten, eine systematische Prüfung aller Inhalte sowie die Sammlung und Identifizierung der IP-Adressen der Nutzer bedeuten würde, die die Sendung unzulässiger Inhalte in diesem Netz veranlasst haben, wobei es sich bei diesen Adressen um personenbezogene Daten handelt, da sie die genaue Identifizierung der Nutzer ermöglichen.

…

Denn es ist unbestritten, dass die Antwort auf die Frage der Zulässigkeit einer Übertragung auch von der Anwendung gesetzlicher Ausnahmen vom Urheberrecht abhängt, die von Mitgliedstaat zu Mitgliedstaat variieren. Ferner können bestimmte Werke in bestimmten Mitgliedstaaten gemeinfrei sein oder von den fraglichen Urhebern kostenlos ins Internet eingestellt worden sein.

4. Bewertung

Was lässt sich aus dem Urteil des EuGH ableiten – und wie wirkt sich dies für die Betreiber offener Netze aus?

a. Grundsätzliches

Man sollte bei der Lektüre des Urteils jeweils im Hinterkopf behalten, dass der EuGH allein auf die Vorlagefrage geantwortet hat. Die Vorlagefrage ist durch das vorlegende Gericht sehr eng formuliert worden, was sich insbesondere daran zeigt, dass die einzelnen Komponenten der Vorlagefrage durch ein “und” verknüpft sind:

ein System der Filterung

– aller seine Dienste durchlaufenden elektronischen Kommunikationen insbesondere durch die Verwendung von „Peer-to-Peer“-Programmen,

– das unterschiedslos auf alle seine Kunden anwendbar ist,

– präventiv,

– auf ausschließlich seine eigenen Kosten und

– zeitlich unbegrenzt

Bricht man eine der Voraussetzungen aus der Vorlagefrage heraus (z.B. die Kostentragung des Access Providers), ist die Antwort (zumindest formell) wieder offen.

b. Abwägungsfragen

Trotz dieses engen Fokus zeigt das Urteil des EuGH doch deutlich, dass das Gericht aus unterschiedlichen Richtungen zu seinem Ergebnis gelangt ist. Zunächst sieht es Filterpflichten als Verstoß gegen das Verbot der allgemeinen Überwachungsplicht in Art. 15 E-Commerce-RL. Es weist dann darauf hin, dass der Schutz geistigen Eigentums nicht schrankenlos gewährleistet sei und daher mit gewissen Grenzen gewährt wird. Erst dann kommt die Erwägung, dass ein Filtersystem aufwändig und kostspielig sei und daher auch massiv in die Rechte der Access Provider eingreifen würde.

Zum anderen spielen nach der Auffassung des Gerichts die Grundrechte der betroffenen Kunden eine relevante Rolle.

Und letztlich bezieht das Gericht die Informationsfreiheit ein.

Nach Ansicht des Gerichts ist im Rahmen einer Abwägung dieser betrachteten Rechtspositionen eine Filterpflicht ein Verstoß gegen das “angemessene Gleichgewicht”.

c. Schlussfolgerungen

Die obige Aufzählung sollte vor allem verdeutlichen, dass es sich um eine relativ komplexe Abwägung handelt. Das Gericht geht  nicht im Einzelnen auf die Gewichtung der jeweiligen Rechtspositionen ein, sondern bleibt knapp und eher oberflächlich. Daraus kann man den Schluss ziehen, dass die (konkret gestellte) Frage für das Gericht sehr eindeutig und leicht zu beantworten war. Denn hätte das Gericht dem Schutz der Rechtsinhaber trotz Schranken einen höheren Stellenwert eingeräumt, wäre es auf das Verhältnis der einzelnen Rechtspositionen zueinander vermutlich viel näher eingegangen und hätte eine umfassende (Einzel-)Abwägung vorgenommen. Zählt man die Pro- und Contra-Punkte (wie oben dargestellt) durch, würde es 3:1 für ein Verbot von Filterpflichten stehen.

Für die Frage, ob ein sogenanntes Quick-Freeze (dazu s. LG München, Beschl. v. 20.8.2011 – 21 O 7841/11 und hier) zulässig wäre, hilft das Urteil aufgrund des engen Rahmens nicht unbedingt weiter. Die für eine solche Vorlagefrage abzuwägenden Rechte hat das Gericht allerdings klar herausgearbeitet.

d. Offene Netze

Das Gericht hatte vorliegend über einen “klassischen” Access Provider zu entscheiden. Das Konzept der offenen Netze hatte es vermutlich nicht vor Augen. Es dürfte allerdings kaum mehr in Frage gestellt werden, dass es sich beim Betreiber eines offenen Netzes um einen Access Provider handelt (Mantz, Rechtsfragen offener Netze, 2008, S. 49 mwN). Damit ist das Urteil des EuGH vollständig auf offene Netze anzuwenden.

Der Betreiber eines offenen Netzes kann schließlich auch all die vom Gericht angeführten Rechtspositionen für sich verbuchen, insbesondere Informationsfreiheit, Rechte seiner Kunden und last but not least die Kostenlast, die bei Mini-Netzwerken natürlich einen besonders starken Eingriff bedeuten würde. Diesen Grundsatz stellt schließlich auch die TKÜV auf, die Access Provider mit weniger als 10.000 Nutzern freistellt (s. zur alten Fassung der TKÜV Mantz, Rechtsfragen offener Netze, 2008, S. 61 f.).

Die Klarheit der Abwägung spricht letztlich auch dafür, dass bereits weniger stark eingreifende Pflichten zumindest bei kleinen Providern eher als unzulässig einzustufen sein können.

Für die Betreiber von offenen Netzwerken ist damit zumindest soweit die Vorlagefrage reicht, Rechtsklarheit geschaffen worden.

5. Exkurs: Personenbezug von IP-Adressen

Für einige Diskussion hat die Frage gesorgt, ob der EuGH im Urteil en passant die Frage beantwortet hat, ob IP-Adressen Personenbezug aufweisen.

a. Relativ oder absolut?

Zur Erinnerung: Nach § 3 Abs. 1 BDSG sind personenbezogene Daten “Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person”.

Dabei ist in Rechtsprechung und Literatur umstritten, ob IP-Adressen “per se” als personenbezogen zu betrachten sind (sogenannter “absoluter Personenbezug”) oder nur für denjenigen, der aufgrund des Zugriffs auf andere Daten, z.B. die Kundendatenbank eine Identifizierung vornehmen kann (sogenannter “relativer Personenbezug”), was zur Folge hätte, dass IP-Adressen für den Access Provider personenbezogen sind, für einen Dritten aber nicht. Die Diskussion hat vor allem in Deutschland aber teilweise keine so große Relevanz als über die Auskunftsansprüche der Enforcement-RL der Zugriff auf die zur Identifizierung nötigen Daten beim Access Provider unter geringen Voraussetzungen möglich ist, was die hunderttausendfach erteilten Auskunftsersuchen belegen.

b. Die Ausführungen des Gerichts

Im Urteil des EuGH spricht für einen absoluten Personenbezug (zunächst) der folgende Satz:

Zum einen steht nämlich fest, dass die Anordnung, das streitige Filtersystem einzurichten, eine systematische Prüfung aller Inhalte sowie die Sammlung und Identifizierung der IP-Adressen der Nutzer bedeuten würde, die die Sendung unzulässiger Inhalte in diesem Netz veranlasst haben, wobei es sich bei diesen Adressen um personenbezogene Daten handelt, da sie die genaue Identifizierung der Nutzer ermöglichen.

Die Diskussion mit Bezug auf das Urteil des EuGH (s. z.B. bei Rechtsanwalt Michael Seidlitz hier) stellt die Äußerung des EuGH in einen größeren Kontext und gestattet die Frage, ob der EuGH den Satz eventuell nur auf Nutzer des Access Providers Scarlet bezogen wissen wollte. Denn für diesen sind die Daten ohnehin (relativ) personenbezogen.

Der Generalanwalt des EuGH hatte diesbezüglich in seinem Schlussantrag formuliert (s. http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:62010C0070:DE:NOT):

75. Eine zweite Schwierigkeit besteht darin, zu bestimmen, ob es sich bei IP-Adressen um personenbezogene Daten handelt. Der Gerichtshof hatte sich bisher nur mit Fällen zu befassen, bei denen es um Daten ging, die mit IP-Adressen verbundene namentlich genannte Personen betrafen(56) . Er hatte hingegen noch nicht die Gelegenheit, zu prüfen, ob IP-Adressen als solche als personenbezogene Daten eingestuft werden können(57).

78. Somit können IP-Adressen als personenbezogene Daten eingestuft werden, soweit sich anhand ihrer eine Person identifizieren lässt, durch Verweis auf eine Kennung oder irgendein anderes Merkmal, das die Person kennzeichnet(63).

Vor diesem Hintergrund kann man zumindest davon ausgehen, dass der EuGH sich des Streits um den Personenbezug bewusst war, als er die Gründe formulierte.

Es stellt sich zunächst die Frage, welchen Bezugspunkt der EuGH hier verwendet hat. Er spricht von der Identifizierung derjenigen Nutzer, “die die Sendung unzulässiger Inhalte in diesem Netz veranlasst haben”. “In diesem Netz”, das ist das Netz des Access Providers Scarlet. In einem Filesharing-Netzwerk gibt es eine Vielzahl von Personen, die an der Übertragung teilnehmen. Beschränkt man dies gedanklich auf Quelle und Senke, sind beides Nutzer, die die Sendung “veranlasst haben”, unabhängig davon, welcher von beiden im Netz des Betreibers ist. Es könnte allerdings mehr dafür sprechen, dass der EuGH den Nutzer im Netz von Scarlet meinte, denn nur er kann dafür sorgen, dass der Filesharing-Verkehr tatsächlich im Netz von Scarlet landet – er wäre daher der “Veranlasser”.

Allerdings hätte der EuGH vor diesem Hintergrund zum Personenbezug im Grunde keinen Ton verlieren müssen. Denn dass Scarlet seine Nutzer zu jedem Zeitpunkt identifizieren kann, stand und steht außer Frage. Dafür werden nicht einmal die IP-Adressen benötigt. Im System von Scarlet erfolgt eine solche Identifizierung vermutlich viel eher über die Anschlussnummer oder sogar eine weiter Identifikationsnummer. Insofern könnte es sich auch eine gewollte Klarstellung durch den EuGH in Richtung eines absoluten Personenbezugs handeln.

Man sollte weiter nicht übersehen, dass der EuGH seine Ausführungen auf den ersten Blick offen formuliert hat. Die Argumentationslast dafür, dass das Urteil des EuGH nicht für die Theorie des absoluten Personenbezugs spricht, liegt daher auf Seiten der Vertreter der (engeren) relativen Theorie.

Karg bespricht in der MMR 2011, S. 345 ff. das Urteil des III. Senat des BGH, in dem der Personenbezug von IP-Adressen und zusätzlich die Einordnung als Verkehrsdaten anerkannt wird:

Einen Absatz später verdeutlichte er, in welche Grundrechte durch die Speicherung der IP-Adresse eingegriffen wird bzw. welche durch das TKG geschützt werden. Seiner Auffassung nach sind das Fernmeldegeheimnis Art. 10 Absatz 1 GG und außerdem das Recht auf informationelle Selbstbestimmung Art. 1 Absatz 1 i.V.m. Art. 2 Absatz 1 GG als besondere Ausprägung des allgemeinen Persönlichkeitsrechts (BVerfG NJW 1984, NJW Jahr 1984 Seite 418, NJW Jahr 1984 Seite 421?f.) betroffen. Dies lässt letztlich nur den Schluss zu, IP-Adressen als personenbezogene Daten i.S.d. §?3 Absatz 1 BDSG anzusehen. Denn anderenfalls wäre zumindest der Schutzbereich des Rechts auf informationelle Selbstbestimmung nicht eröffnet.

IP-Adressen sind sensible Daten, deren Auswertung nur unter der aktiven Beteiligung der Judikative zulässig sein darf.

Heise-Online berichtet unter dem Titel “Mehr Infos aus IP-Adressen” über das Tracking anhand von IP-Adressen.

Die Microsoft-Research-Methode geht aber noch deutlich weiter: Sie kann ermitteln, ob es sich bei der Adresse um den Arbeitsplatz eines Users, seinen Heim-PC oder seinen Reiselaptop handelt.

Im zugehörigen Artikel der Technology Review mit dem Titel “Der Trick mit dem Tracking” wird das Verfahren näher erläutert:

Forscher bei Microsoft Research im Silicon Valley haben nun aber eine Methode entdeckt, bei der selbst ein Eintrag auf einem solchen “Do Not Track”-Verzeichnis nichts mehr hilft: Sie können Nutzer allein anhand ihrer Internet-Adresse (IP) durch das Netz verfolgen und ihren genauen Wohnort ermitteln. Zwar ist es schon lange möglich, aus einer einzelnen IP die Stadt des Nutzers festzustellen. Die Microsoft-Research-Methode geht aber noch deutlich weiter: Sie kann ermitteln, ob es sich bei der Adresse um den Arbeitsplatz eines Users, seinen Heim-PC oder seinen Reiselaptop handelt.

Dafür nutzten die Forscher statistische Modelle, die sie mithilfe von Log-Dateien von Software-Update- und E-Mail-Diensten aufgebaut haben. Die Quelle dieser Dateien gaben sie jedoch nicht preis. Das Datenmaterial analysierten die Wissenschaftler dann bezüglich verschiedener Indikatoren wie der Zeit des Online-Gehens oder Art des Rechners (Laptop oder stationärer PC). Laut Aussage der Forscher lässt sich die Vorgehensweise auch leicht auf Log-Dateien übertragen, die bei Providern und Suchmaschinen anfallen.

Datenschutz

Der Artikel wirft auch kurz die datenschutzrechtliche Problematik dieses Verfahrens auf.

Für den deutschen Streit um den Personenbezug hat dies aber weitere Konsequenzen:

Unter den Schutz des BDSG fallen Daten, die personenbezogen oder personenbeziehbar sind, also alle Daten, die entweder zu einer Person gehören, oder aus denen sich ein Rückschluss auf die Person ziehen lässt.

Was ist mit IP-Adressen?

In Rechtsprechung und Literatur ist die Frage, ob IP-Adressen personenbezogene Daten sind, stark umstritten. Eine klar hM lässt sich mittlerweile nicht mehr ausmachen, zumal einige Gerichte in letzter Zeit IP-Adressen als nicht personenbezogen angesehen haben(z.B. das OLG Hamburg, Beschl. v. 3.11.2010 – 5 W 126/10, s. auch hier).

Die Forschungsarbeit der Microsoft Research zeigt eindrücklich, dass diese Tendenz falsch ist. Denn die Forscher können mit den IP-Adressen jedenfalls mindestens sehr nah an die Person heran. Sie können darüber hinaus sogar feststellen, welchen Rechner diese benutzen. Mit entsprechenden Daten, die nicht nur den Provider, sondern offenbar auch anderen, z.B. Suchmaschinenbetreibern, vorliegen, kann also ein eindeutiger Personenbezug hergestellt werden.

Ergebnis

Nach dem BDSG sind IP-Adressen damit personenbeziehbar und damit auch personenbezogen und unterfallen dem vollen Schutz des BDSG mit all seinen Konsequenzen.

Auf Telemedicus hat Adrian Schneider die datenschutzrechtliche Komponente zum neuen Vorfall analysiert, bei dem Google eingestanden hat, für Google Street View nicht nur die Daten eines WLAN sondern auch Nutzdaten aus den Netzen erfasst zu haben (dazu nähere Informationen bei heise-online).

Dabei kommt Adrian Schneider zu folgendem Ergebnis:

“Denn datenschutzrechtlich ist selbst in einem solch gravierenden Fall die Rechtslage nicht eindeutig. Die Aufsichtsbehörden müssten nachweisen, dass tatsächlich „personenbezogene Daten” durch Google erhoben wurden, um etwa ein Bußgeld gegen den Konzern verhängen zu können. Doch das wird bei reinen Datenfragmenten nur in seltenen Einzelfällen gelingen – wenn überhaupt.”

Allerdings muss man sich dabei auch die Möglichkeiten vor Augen führen, die Google mit den erhobenen Daten beabsichtigt hat: Google hat die Daten zum WLAN-Knoten (nicht die Nutzdaten) schließlich erhoben, um eine Karte von WLANs für ganz Deutschland zu erstellen. Diese nutzt Google (zumindest in anderen Ländern) bereits zur Geolokalisierung. Das hat zur Folge, dass Google auch in der Lage sein dürfte, die sehr genaue Position eines WLAN-Knotens festzustellen.

Für einen Personenbezug nach BDSG reicht es aber aus, dass die Person bestimmbar ist (zum Personenbezug von Geodaten s. Forgo/Krügel, MMR 2010, 17). Ausreichend dafür ist, dass mit nicht unverhältnismäßigem Aufwand ein Personenbezug herstellbar ist (Gola/Schomerus, § 3 BDSG Rn. 10, 44). Dies dürfte jedenfalls bei Ein-Personen-Haushalten der Fall sein. Sowohl die WLAN-Knoten-Informationen als auch die Nutzdaten können also möglicherweise (z.B. zusammen mit dem Telefonbuch, oder was auch immer Google zur Verfügung hat) auf eine Person bezogen werden. Damit unterfallen die gesamten Daten dem BDSG und sind rechtswidrig erhoben worden (eine Analyse für die separierten WLAN-Knoten-Informationen findet sich auch bei Telemedicus hier). Es ist auch kaum davon auszugehen, dass Google die Datenfragmente nicht mit Bezug zum erfassten WLAN gespeichert hat.

Die Datenschutzbehörden sollten sich also von Google erklären lassen, welche Verknüpfungsmöglichkeiten Google geplant hat und mit seinen Ressourcen realisieren könnte.

Noch eine allgemeine Bemerkung am Ende: Bei den technischen Möglichkeiten und Ressourcen, die Google hat, ist die Rechnung nach dem BDSG relativ einfach: Sobald Google ein Datum hat, das auf eine Person beziehbar ist (z.B. bei einem GMail-Account), sind alle Daten, die Google mit Rechenkraft oder unter Rückgriff auf andere Quellen eindeutig in Bezug zu diesem Datum setzen kann, personenbezogen.

Im Blog des AK Vorratsdatenspeicherung ist ein kurzer Beitrag als Antwort auf Härting, NJW-aktuell 3/2010, S. 10: „Spuren im Netz“, erschienen.
Darin belegt er erneut, dass die IP-Adresse ein personenbezogenes Datum ist, und setzt sich kurz mit der entgegenstehenden mM auseinander, der sich Härting angeschlossen hatte (s. zur IP-Adresse und Personenbezug ausführlich hier und hier und hier).
Weiter behandelt der Beitrag kurz das vom BGH statuierte Recht auf Anonymität (BGH NJW 2009, 2888, 2893; eingehend Mantz, Rechtsfragen offener Netze, 2008, S. 67 ff.).

Ein lesenswerter Beitrag, der auch in NJW-aktuell 11/2010, S. 18 erschienen ist.

Wie Daten-Speicherung.de berichtet, hat der Berliner Datenschutzbeauftragte dem Blogger Niggemeier untersagt, IP-Adressen seiner Nutzer ohne Einwilligung zu speichern.

Der Berliner Datenschutzbeauftragte sieht also – mit der wohl h.M. – IP-Adressen als personenbezogene Daten an. Diese Auffassung gilt natürlich auch gegenüber Bloggern.

Auf Daten-Speicherung.de finden sich weitere Hintergründe und eine Auseinandersetzung mit den Argumenten des Anwalts von Niggemeier.

Zur Problematik von IP-Adressen s. näher

• hier
• IP-Adressen-Recht

LG Hamburg, Urt. v. 11.03.2009 – 308 O 75/09 – Vorhalten von Verkehrsdaten “auf Zuruf”

Leitsätze und Volltext finden sich in der JurPC, Web-Dok. 124/2009.

Wieder einmal ein Urteil, das an der (Rechts-)Wirklichkeit vorbei geht. Insbesondere die Figur eines “gesetzlichen Schuldverhältnisses” zwischen Access Provider und Rechtsinhaber, aufgrund dessen gespeichert werden soll, ist überhaupt nicht gesetzlich begründbar. Ganz im Gegenteil: Nach meiner Auffassung resultiert diese Ansicht gerade in einer Umkehr der gesetzlichen Regelungen in TKG und BDSG, nach denen eine Speicherung nur aufgrund einer gesetzlichen Grundlage und nicht aufgrund eines wie auch immer gearteten gesetzlichen Schuldverhältnisses gespeichert werden darf (zur fehlenden Verpflichtung zur Erhebung von Daten bei Access Providern, die ähnlich der Pflicht zur Datenspeicherung zu bewerten ist s. auch eingehend Mantz, Rechtsfragen offener Netze, S. 273 ff., Download hier). Selbst wenn man ein solches gesetzliches Schuldverhältnis annehmen würde, würde die Speicherung vermutlich trotzdem unter dem Vorbehalt der Einwilligung nach §§ 4, 4a BDSG stehen, denn ein “gesetzliches Schuldverhältnis” ist noch lange keine “gesetzliche Regelung” i.S.d. § 4 BDSG.

S. dazu auch:

• Maaßen, MMR 2009, 511
• Eingehend bei Daten-Speicherung.de
• Blog von Stefan-Lutz: “Die Entscheidung ist so lesenswert wie lebensfremd. Es bleibt zu hoffen, dass das Hanseatische Oberlandesgericht diese Entscheidung wieder aufhebt. Ob Berufung gegen das Urteil eingelegt wurde ist bislang nicht bekannt.”

Auszug aus dem Urteil:

a) Der Auskunftsanspruch nach § 101 Abs. 2 UrhG und damit das gesetzliche Schuldverhältnis zwischen dem Verletzten und dem Provider als Grundlage der Pflicht der Antragsgegnerin zur Vorhaltung der Verbindungsdaten über das Verbindungsende hinaus entsteht bereits mit der rechtsverletzenden Verbindung über eine von dem Provider einem Kunden zugewiesene IP-Adresse und sie konkretisiert sich auch für den Provider mit der Kenntniserlangung von der Verletzung; so dass dieser von dem Zeitpunkt an verpflichtet ist, entsprechend der vorstehenden Ausführungen die Daten für eine Auskunft vorzuhalten, um der Auskunftspflicht auch nachkommen zu können. Dass die Zulässigkeit der Verwendung der Verkehrsdaten – und damit die Überprüfung aller Anspruchsvoraussetzungen – einem Richtervorbehalt unterliegt, ändert daran nichts. Denn dadurch soll einerseits der besonderen Schutzbedürftigkeit von Verkehrsdaten bei der Verwendung gegenüber Dritten im Zusammenhang mit der Auskunft Rechnung getragen werden und andererseits sollen Internet-Provider und Telekommunikationsunternehmen von Anspruchsprüfung entlastet werden (BT-Drucks. 16/5048, S. 40). Eine konstitutive Bedeutung für das Entstehen des Auskunftsschuldverhältnisses kommt dem Verfahren nach § 101 Abs. 9 UrhG damit nicht zu.

b) Die begehrte Vorhaltung der Verkehrsdaten ist datenschutzrechtlich zulässig. Zwar sind Verkehrsdaten grundsätzlich gemäß § 96 Abs. 2 Satz 2 TKG nach Beendigung einer Verbindung zu löschen. Hier besteht aber eine Ermächtigung zur weiteren Vorhaltung der Daten zum Zwecke der Auskunft gemäß § 96 Abs. 2 Satz 1 TKG i.V.m. § 101 Abs. 2, 9 UrhG.

aa) Die datenschutzrechtlichen Regeln des Telekommunikationsgesetzes (TKG) sind grundsätzlich anwendbar, da die Antragsgegnerin einen reinen Zugangsdienst anbietet (vgl. § 1 Abs. 1 Telemediengesetz). Ferner stellt nach Auffassung der Kammer nicht nur die dynamische IP-Adresse als solche ein Verkehrsdatum im Sinne von § 3 Nr. 30 TKG dar, sondern auch die Verknüpfung der dynamischen IP-Adresse (zu einem bestimmten Zeitpunkt) mit Namen und Adressen der Kunden (Bestandsdaten) unterfällt den Regeln über Verkehrsdaten (siehe hierzu Fromm/Nordemann/Czychowski, a.a.O., § 101 Rn. 66).

bb) Nach § 96 Abs. 2 Satz 1 TKG dürfen diese Daten über das Ende der Verbindung hinaus verwendet werden, soweit sie zum Aufbau weiterer Verbindungen oder für die in den §§ 97, 99, 100und 101 TKG genannten oder für die durch andere gesetzliche Vorschriften begründeten Zwecke erforderlich sind. Bei der Auskunftserteilung nach § 101 Abs. 2 i.V.m. Abs. 9 UrhG handelt es sich um einen solchen durch eine andere gesetzliche Vorschrift begründeten Zweck. Dementsprechend enthält § 101 Abs. 10 UrhG auch den aufgrund des Zitiergebots des Artikel 19 Abs. 1 Satz 2 GG erforderlichen ausdrücklichen Hinweis, dass durch § 101 Abs. 2 in Verbindung mit Abs. 9 das Fernmeldegeheimnis (Art. 10 GG) eingeschränkt wird. Dieses Verständnis der Regelungen des § 101 UrhG wird bestätigt durch die Begründung des Regierungsentwurfs zum Gesetz zur Verbesserung der Durchsetzung der Rechte des geistigen Eigentums zur Parallelvorschrift des § 140b PatG (BT-Drucksache 16/5048 Seite 39 f). Dort wird zunächst dargestellt, dass die Verkehrsdaten nach bisheriger Rechtslage aufgrund des einfachgesetzlich (§ 88 TKG) und verfassungsrechtlich (Art. 10 Absatz 1 GG) geschützten Fernmeldegeheimnisses trotz bestehenden Bedürfnisses von Rechtsinhabern keinen zivilrechtlichen Auskunftsanspruch gegen einen Accessprovider ermöglichten. Die Regelung des Absatzes 9 mit dem Richtervorbehalt wird dann als Lösung dargestellt, die allen beteiligten Interessen am besten gerecht wird, wobei abschließend ausdrücklich auf die damit verbundene Einschränkung des Fernmeldegeheimnisses hingewiesen wird.

cc) Soweit § 96 Abs. 2 Satz 1 TKG dem Wortlaut nach nur bereits nach § 96 Abs. 1 TKG für eigene Zwecke gespeicherte Verkehrsdaten erfasst, steht das der weiteren Vorhaltung nicht entgegen.

Wenn die Verwendung von für eigene Zwecke gespeicherter Daten für die Beauskunftung nach § 96 Abs. 2 Satz 1 TKG i.V.m. § 101 Abs. 2 i.V.m. Abs. 9 UrhG datenschutzrechtlich zulässig ist, dann muss dies erst recht für solche Daten gelten, die zwar nicht schon für eigene Zwecke vorgehalten werden, die aber zur Erfüllung der gesetzlichen Auskunftspflicht erhoben werden. Dies gilt insbesondere auch deshalb, weil die Speicherung der Daten gegenüber der Verwendung der Daten für eigene Zwecke des Access-Providers für sich genommen eine deutlich geringere datenschutzrechtliche Relevanz hat (vgl. BVerfG MMR 2008, 303, 304: „Ein besonders schwerwiegender und irreparabler Nachteil […] liegt in der Datenspeicherung allein nicht.“).

Dabei ist weiter zu berücksichtigen, dass eine kurzzeitige Speicherung für eigene Zwecke nach § 96 Abs. 2 Satz 1 TKG nach Auffassung der Kammer ohnehin generell zulässig ist (so zutreffend auch AG Bonn MMR 2008, 203). Demgemäß speichern mehrere Diensteanbieter die Daten noch sieben Tage nach Verbindungsende. Es kann nicht zu Lasten der Auskunftsberechtigten gehen, dass die Antragsgegnerin von dieser zulässigen Möglichkeit keinen Gebrauch macht.

Im übrigen verkennt die Antragsgegnerin bei ihrer Argumentation, dass die Verbindungsdaten im Zeitpunkt des weiteren Speicherbegehrens auf Zuruf bereits während der laufenden rechtverletzenden Verbindung jedenfalls für technische Zwecke, nämlich zur Aufrechterhaltung der Verbindung, rechtmäßig für eigene Zwecke vorgehalten werden.

dd) Das Recht auf informationelle Selbstbestimmung der betroffenen Kunden der Antragsgegnerin steht nicht entgegen. Dieses Recht steht hier in einem Spannungsverhältnis mit dem Eigentumsrecht der Rechteinhaber (Fromm/Nordemann/Czychowski, a.a.O., § 101 Rn. 71). Das Urheberrecht ist als geistiges Eigentum gemäß Art. 14 GG geschützt. Diese Eigentumsposition darf den Rechteinhabern nicht dadurch faktisch entzogen werden, dass sie sich mangels Kenntnis der konkreten Verletzer nicht gegen Rechtsverletzungen im Internet zur Wehr setzen können. Das Recht auf informationelle Selbstbestimmung der betroffenen Nutzer, denen die IP-Adresse jeweils zugeordnet wird, muss demgegenüber zurücktreten. Dies folgt zum einen daraus, dass die Verwendungsmöglichkeiten der Information, wem eine IP-Adresse zu einem bestimmten Zeitpunkt zugewiesen worden ist, sehr beschränkt sind. Zum anderen macht derjenige, der seinen Anschluss der Öffentlichkeit zugänglich macht, auch die ihm für diesen Zeitraum zugewiesene IP-Adresse öffentlich, so dass sein Schutzbedürfnis auch aus diesem Grund als gering zu bewerten ist (OLG Köln, GRUR-RR 2009, 9, 10 f. – Ganz anders ).

ee) Eine ausufernde Speicherung von Verkehrsdaten wird über das Erfordernis einer „offensichtlichen Rechtsverletzung“ verhindert.

ff) Eine weitergehende datenschutzrechtliche Ermächtigung zur Speicherung der Verkehrsdaten ist entgegen der Ansicht der Antragsgegnerin nicht erforderlich. Aus § 111 TKG und § 113 a TKG folgt nicht, dass Diensteanbieter nur aufgrund einer besonderen gesetzlichen Anordnung zur Speicherung von Verkehrsdaten zwecks Erfüllung gesetzlich normierter Auskunftsansprüche Dritter verpflichtet sind. Beide Regelungen betreffen nämlich Auskünfte gegenüber Behörden und nicht gegenüber Privaten. Im Verhältnis zwischen Staat und Diensteanbieter muss eine öffentlichrechtliche Pflicht zur Speicherung aufgrund des Vorbehalts des Gesetzes erst durch Gesetz geschaffen werden. Vorliegend besteht aber eine zivilrechtliche Speicherpflicht bereits aus dem gesetzlichen Schuldverhältnis des § 101 Abs. 2 UrhG. Aus diesem Grund sind auch die von der Antragsgegnerin zitierten Erwägungen des Bundesverwaltungsgerichts (Urteil vom 22.10.2003, Az.: 6 C 23.02, MMR 2004, 114 ff.) auf die hier zu beurteilende Fallgestaltung nicht unmittelbar anwendbar. So hat das Bundesverwaltungsgericht seine Entscheidung zu § 90 Abs. 1 TKG a.F., der eine Pflicht der Diensteanbieter zur Führung von Kundendateien vorsah, maßgeblich darauf gestützt, dass § 90 Abs. 1 TKG a.F. gerade nicht das Verhältnis der Diensteanbieter zu ihren Kunden anspreche, sondern die Beziehung zwischen dem Diensteanbieter und dem Staat (MMR 2004, 114, 116).

gg) Dem Gesetzgebungsverfahren zu § 101 Abs. 2, Abs. 9 UrhG kann auch nicht entnommen werden, dass eine Speicherpflicht dem Willen des Gesetzgebers widerspricht. Der Rechtsausschuss hat lediglich eine Verwendung von allein nach § 113 a TKG gespeicherten Daten im Rahmen von Bestandsdatenauskünften abgelehnt und insofern klargestellt, dass die Verwendung von diesen gespeicherten Daten grundsätzlich auf die Erteilung von Auskünften für hoheitliche Zwecke beschränkt bleiben soll (BT-Drucks. 16/6979, S. 46). Ausschließlich in diesem Zusammenhang ist auch der Verweis der Rechteinhaber auf ein Vorgehen nach § 406 e StPO i.V.m. §§ 161, 163 StPO i.V.m. § 113 TKG (BT-Drucks. 16/6979, S. 46) zu sehen. Die Frage, ob sich eine Berechtigung zur Speicherung auch aus anderen Normen als § 113 a TKG ergeben kann, wird demgegenüber vom Rechtsausschuss nicht erörtert.

hh) Schließlich steht die Speicherung der Daten selbst – anders als die Übermittlung der Daten – nicht unter dem Richtervorbehalt des § 101 Abs. 9 UrhG. Der Richtervorbehalt bezieht sich nach der insoweit klaren Regelung des § 101 Abs. 9 Satz 1 UrhG auf die Verwendung der Verkehrsdaten für die Auskunft nach § 101 Abs. 2 UrhG. Das setzt, wie die Antragsgegnerin an anderer Stelle zutreffend argumentiert, vielmehr das Vorhandensein der Verkehrsdaten voraus, also deren Speicherung, dessen Sicherung für das Auskunftsverfahren gerade Gegenstand dieses Verfahrens ist.

ii) § 96 Abs. 2 Satz 1 TKG i.V.m. §§ 101 Abs. 2, Abs. 9 UrhG stellt somit eine datenschutzrechtliche Ermächtigungsgrundlage zur Speicherung der für die Auskunft nötigten Verkehrsdaten dar.

In der aktuellen MMR (Heft 8 ) ist ein sehr interessanter Aufsatz von Stefan Maaßen mit dem Titel “Urheberrechtlicher Auskunftsanspruch und Vorratsdatenspeicherung” erschienen.

Auf den urheberrechtlichen Auskunftsanspruch (hier) und die Problematik der Vorratsdatenspeicherung (hier) wurde schon des öfteren in diesem Blog hingewiesen.

Maaßen analysiert zunächst den aktuellen Stand der Rechtsprechung und weist auf die unterschiedlichen von den Gerichten angelegten Maßstäbe hin (dazu s. auch schon hier; ferner Mantz, K&R 2009, 21 m.w.N.; weitere Aufsätze zum Thema hier).

• Datenschutzrecht

Anschließend geht der Autor auf die datenschutzrechtliche Problematik ein.

“Entscheidend ist insoweit, dass in jedem Einzelfall eine Abwägung zwischen dem Datenerhebungsinteresse und den schutzwürdigen Belangen des Betroffenen zu erfolgen hat. Die Praxis der Rechteinhaber, die IP-Adressen in einem automatisierten, softwaregestützten Verfahren zu erheben, genügt diesen Anforderungen schon deswegen nicht, weil eine Einzelfallabwägung nicht erfolgt. I.Ü. dürften die schutzwürdigen Belange des Dritten überwiegen. Denn zum Zeitpunkt der Erhebung ist nicht bekannt, ob der Anschlussinhaber als Verletzer oder Störer einer Urheberrechtsverletzung in Anspruch genommen werden kann. So ist denkbar, dass es sich bei dem Anschlussinhaber um den Betreiber eines Hot Spots oder den Inhaber eines unbefugt genutzten nicht-öffentlichen Internetzugangs handelt, die nicht Störer i.S.d. Urheberrechts sind. Die bloße Möglichkeit, dass die Datenerhebung zur Durchsetzung urheberrechtlicher Ansprüche erforderlich ist, vermag einen von privater Stelle initiierten und automatisiert durchgeführten Eingriff in das Recht auf informationelle Selbstbestimmung des betroffenen Anschlussinhabers jedenfalls nach gegenwärtiger Gesetzeslage nicht zu rechtfertigen und könnte sogar ein zivilprozessuales Beweisverwertungsverbot zur Folge haben.”

• Vorratsdatenspeicherung

Zudem schließt sich der Autor der wohl mittlerweile h.M. an, dass eine Herausgabe von Daten, die nur für die Vorratsdatenspeicherung und zu keinem anderen Zweck (insb. nicht § 96 TKG wg. einer Flatrate) gespeichert wurden, *nicht* herausgegeben werden dürfen.

“Wenn der Provider keine auch nur kurzfristige Speicherung von Verkehrsdaten für eigene Zwecke vornimmt, sondern allein seiner Pflicht zur Vorratsdatenspeicherung aus § 113a TKG nachkommt, ist die Erfüllung des urheberrechtlichen Auskunftsanspruchs rechtlich unmöglich.”

S. zu dieser Thematik auch Gietl/Mantz, CR 2008, 810; Jenny, CR 2008, 82; Hoeren, NJW 2008, 3099.

• Speicherung auf Zuruf (LG Hamburg)

Interessant sind weiter die Ausführungen zu einem Urteil des LG Hamburg zur Speicheranordnung zum Zweck späterer Auskunftserteilung (LG Hamburg, Urteil vom 11.03.2009 – 308 O 75/09, JurPC Web-Dok. 124/2009). Dieses hatte eine Verpflichtung des Provider zur Speicherung “auf Zuruf” angenommen und mit einem gesetzlichen Schuldverhältnis begründet, das durch die rechtsverletzende Inanspruchnahme des Providers zwischen Rechteinhaber und Provider entstehen soll. Nach meiner Auffassung resultiert diese Ansicht gerade in einer Umkehr der gesetzlichen Regelungen in TKG und BDSG, nach denen eine Speicherung nur aufgrund einer gesetzlichen Grundlage und nicht aufgrund eines wie auch immer gearteten gesetzlichen Schuldverhältnisses gespeichert werden darf (zur fehlenden Verpflichtung zur Erhebung von Daten bei Access Providern, die ähnlich der Pflicht zur Datenspeicherung zu bewerten ist s. auch eingehend Mantz, Rechtsfragen offener Netze, S. 273 ff., Download hier). Selbst wenn man ein solches gesetzliches Schuldverhältnis annehmen würde, würde die Speicherung vermutlich trotzdem unter dem Vorbehalt der Einwilligung nach §§ 4, 4a BDSG stehen, denn ein “gesetzliches Schuldverhältnis” ist noch lange keine “gesetzliche Regelung” i.S.d. § 4 BDSG.
Maaßen steht dieser Lösung des LG Hamburg ebenfalls kritisch gegenüber und bezweifelt weiter, ob eine Umsetzung dieses “Hamburger Modells” überhaupt verfassungsrechtlich zulässig wäre.

• Schluss

Im Fazit schließlich verweist Maaßen darauf, dass ohne eine gesetzliche Regelung nichts geht.

“Um den berechtigten Interessen der Rechteinhaber an einer effektiven Durchsetzung ihrer Ansprüche Rechnung zu tragen, sind gesetzliche Vorgaben erforderlich, welche den Umgang mit IP-Adressen auf eine tragfähige datenschutzrechtliche Grundlage stellen. Eine Ausweitung des § 113b TKG dürfte aus verfassungsrechtlichen Gründen als Lösung ausscheiden.”

In der MMR ist ein Aufsatz von Paul Voigt mit dem Titel “Datenschutz bei Google” (MMR 2009, 377) erschienen.

Der Autor untersucht hierbei die datenschutzrechtliche Relevanz der Erstellung von Profilen, die über die Verknüpfung von IP-Adressen und Cookies gespeichert werden. Dabei stellt er auch die Ansichten zum Personenbezug der IP-Adresse dar. Im Ergebnis geht er davon aus, dass jedenfalls bei Google aufgrund der Vielzahl personalisierter Dienste ein Personenbezug besteht oder hergestellt werden kann. Als Folge daraus sei die Speicherung über einen längeren Zeitraum als die reine Nutzungszeit nach § 12 Abs. 1 TMG datenschutz- und damit rechtswidrig.

Interessant finde ich die Einschränkung, die der Autor macht: Google sei nur bei anmeldepflichtigen Diensten in der Lage, Personenbezug herzustellen.

Schließlich liegt eine datenschutzrechtliche Relevanz im Regelfall nur dann vor, wenn der Nutzer ein Konto bei einem anmeldepflichtigen Google-Dienst hat. In allen anderen Fällen wäre bei IP-Adressen und Cookies nach dem oben Gesagten nicht von einem Personenbezug auszugehen.

Das ist meiner Auffassung nach zu eng. Denn in vielen Fällen kann Google über andere, frei verfügbare Informationen seine Profile mit ebensolchen Personeninformationen kombinieren (s. zur Lösbarkeit der Anonymität über Personenprofilgraphen hier) und damit Personenbezug herstellen. Im Fazit stellt der Autor doch darauf ab, dass die Gefährdung des Allgemeinen Persönlichkeitsrechts zu verhindern sei:

Das Datenschutzrecht soll aber das Allgemeine Persönlichkeitsrecht einfachrechtlich schützen. Verhindert werden soll nicht nur tatsächlicher Missbrauch, sondern bereits die Gefährdung des Rechts auf informationelle Selbstbestimmung.

Wenn man diesem Gedanken aber konsequent folgt, dann besteht wenigstens die Gefahr, dass Google auch bei den nicht anmeldepflichtigen Diensten Personenbezug herstellt – mit dem Ergebnis einer Rechtswidrigkeit der Speicherung.

Der Autor empfiehlt Google zur Lösung, seine Datensätze um “personenbeziehbare Daten zu entschlacken”, also im Grunde alles zu löschen, was eine Deanonymisierung nach § 3 Abs. 9 BDSG ermöglichen würde. Die technischen Schwierigkeiten für die Dienste von Google nimmt der Autor dabei in Kauf – in Anbetracht des rechtsverletzenden Verhaltens bei der Speicherung von Daten auch eine Selbstverständlichkeit.

S. auch:

• Steidle/Pordesch, Im Netz von Google. Web-Tracking und Datenschutz, DuD 2008, 324
• “Vorsicht, Google!” in der NZZ Folio
• Lesetipp: Gabriel, Cornels: Webtracking und Datenschutz – ein „hidden problem“, MMR 2008, Heft 11, XIV
• Privatsphärenschutz in Soziale-Netzwerke- Plattformen

Daten-speicherung.de hat bereits Anfang Mai über ein Schreiben des Bundesministeriums der Justiz (BMJ) berichtet, in dem das BMJ sehr deutlich die Auffassung vertritt, dass IP-Adressen absoluten Personenbezug aufweisen – mit der wohl h.M. in der Rechtsprechung und der Literatur (dazu s. mit Nachweisen hier und hier, ferner bei Gabriel/Cornels, MMR 2008, Heft 11, S. XIV).

Durch die dabei erfolgende Registrierung der zugreifenden IP-Adresse und die sich anschließende Bestandsdatenauskunft nach den §§ 161, 163 StPO i. V. m. § 113 TKG können Name und Anschrift des jeweiligen Anschlussinhaber ermittelt werden. [...]

Die Homepageüberwachung führt zu einer Speicherung und Verwendung personenbeziehbarer und damit personenbezogener Daten im Sinne des § 3 Abs. 1 BDSG, mithin zu einem Eingriff in das Grundrecht auf informationelle Selbstbestimmung, der dem Gesetzesvorbehalt unterliegt. Darüber hinaus erscheint auch das durch Art. 5 Abs. 2 Satz 1 GG geschützte Recht, sich aus allgemein zugänglichen Quellen ungehindert zu unterrichten, beeinträchtigt.

Zu den weiteren Einzelheiten s. hier. S. auch weitere Meldungen zum Tag “IP-Adresse”

In der Literatur wird dieser Personenbezug in letzter Zeit teilweise bestritten (Eckhardt, K&R 2007, 602, 603; zuletzt Meyerdierks, MMR 2009, 8), auch das AG München folgt der Gegenauffassung. Eine Entscheidung des BGH in dieser Frage ist bisher nicht in Sicht.