Identifizierung von Urheberrechtsverletzern - IT
Transcription
Identifizierung von Urheberrechtsverletzern - IT
AUFSÄTZE Stefan Lutz Identifizierung von Urheberrechtsverletzern Zulässigkeit der Ermittlung von IP-Adressen durch Anti-Piracy Firmen Seit 2005 werden in Deutschland Filesharer von Computerspielherstellern, Musiklabels, Filmverleihern und Pornoproduzenten mit einer anwaltlichen Abmahnung kostenpflichtig in Anspruch genommen, sofern die Rechteinhaber feststellen oder feststellen lassen, dass durch die Teilnahme der Nutzer an Tauschbörsen und dem Tausch von urheberrechtlich geschützten Dateien, in ihre Verwertungsrechte – hier dem Recht auf öffentliche Zugänglichmachung gemäß § 19a UrhG - eingegriffen wird. Aufgrund der Situation in Deutschland, wonach der abmahnende Urheber nicht nur Schadensersatz für die entgangene Lizenz, sondern auch die volle Kompensation der ihm angeblich entstandenen Rechtsverfolgungskosten vom Abgemahnten erstattet verlangen kann, sprießen Jahr für Jahr mehr Kanzleien hervor, die dieses Geschäftsmodell der urheberrechtlichen Massenabmahnung für sich entdeckt haben. Auch erklären sich Jahr für Jahr mehr Rechteinhaber dazu bereit, die Verbreitung ihrer Werke oder Rechte in P2P-Programmen zu verfolgen.1 Der vorliegende Beitrag zeigt den derzeitigen Meinungsstand zur Zulässigkeit derartiger Datenverarbeitung in Rechtsprechung und Literatur auf. 1 Ausmaß der Sammlung von IP-Adressen 1 Um das Ausmaß der für die Abmahnungen von behaupteten Urheberrechtsverletzungen notwendigen Datenflut zu verdeutlichen, kann exemplarisch auf den Bericht Datenschutz und Datensicherheit 2010 der Deutschen Telekom2 Bezug genommen werden. Der größte deutsche Internetprovider teilt darin mit, dass im Jahr 2010 die Deutsche Telekom pro Monat einstweilige Anordnungen zur vorläufigen Speicherung von im Durchschnitt 200.000 IP-Adressen erhielt.3 Allein bei der Deutschen Telekom wurden im Jahr 2010 damit über 2.4 Millionen IP-Adressen beauskunftet. Der Branchenver1 Zum ständig wachsenden Umfang vgl. auch OLG Köln, Beschluss vom 20.5.2011 – 6 W 30/11, GRUR-RR 2011, 336. 2 Bericht Datenschutz und Datensicherheit 2010, abzurufen unter http:// www.e-paper.telekom.com/datenschutzbericht-2010/ , zuletzt abgerufen am 7.10.2011. 3 Bericht Datenschutz und Datensicherheit 2010, S. 11. RA Stefan Lutz Fachanwalt für Informationstechnologierecht E-Mail: [email protected] DuD • Datenschutz und Datensicherheit 1 | 2012 band eco geht von 300.000 IP-Adressen pro Monat für alle Provider aus,4 so dass die Anzahl der IP-Adressen bei 3.6 Millionen pro Jahr liegen dürfte. 1.1 Ermittlungsmethoden der Logfirmen Um die Abmahnungen an die Anschlussinhaber versenden zu können, muss der Anschlussinhaber zunächst seitens der Rechteinhaber ermittelt werden. Hierzu bedient sich der Rechteinhaber spezieller Ermittlungsfirmen, welche teils mit eigener Software, teils mit modifizierten P2P-Clients die Tauschbörsen nach den Werken ihrer Auftraggeber durchforsten und - im Falle eines Fundes - die IP-Adresse und den Zeitstempel der Urheberrechtsverletzung sowie den Hashwert der aufgefundenen Datei notieren.5 Zunächst wird dabei seitens der Ermittlungsfirmen der Hashwert einer urheberrechtlich geschützten Datei ermittelt und dieser zur automatisierten Ermittlung potenzieller Verletzer der Ermittlungssoftware übergeben. Diese sucht sodann automatisch und rund um die Uhr P2P-Netzwerke nach genau diesem Hashwert ab, um im Trefferfall das betroffene Werk, den Hashwert, die IP-Adresse und den Zeitstempel6 ebenfalls ohne menschliches Zutun in einer Datenbank zu speichern. Nach ungefähr fünf Ta4 Pressemitteilung eco Verband der deutschen Internetwirtschaft e.V. vom 31.5.2011, abzurufen unter http://www.eco.de/verband/202_9137.htm, zuletzt abgerufen am 7.10.2011. 5 Maaßen, MMR 2009, 511 (512); Nietsch, K&R 2011, 101 (102). 6 Nietsch, K&R 2011, 101 (102). 1 AUFSÄTZE gen der pausenlosen Überwachung, wird ein Ausdruck dieser Datenbank oder Excellisten an die Rechtsanwälte der Rechteinhaber zur Stellung eines Antrags bei Gericht nach § 101 Abs. 9 UrhG übermittelt. 1.2 Wirtschaftliches Interesse Bei dieser Ermittlung von IP-Adressen gehen die Firmen jedoch keineswegs altruistisch vor, sondern haben ein höchst eigenes wirtschaftliches Interesse an der möglichst hohen Anzahl von ermittelten IP-Adressen. Wie hoch die Vergütung für die Ermittlung einer einzigen IP-Adresse ist, ist eines der derzeit bestgehüteten Geheimnisse. So geht aus einem Urteil des AG Düsseldorf 7 hervor, dass die dortige Klägerin Ermittlungskosten in Höhe von 50,- € geltend gemacht hat, welche ihr entstanden sein sollen. Andere Rechteinhaber behaupten Zahlen von 75,- € pro ermittelter IP-Adresse.8 Dies würde bei 3.6 Millionen IP-Adressen einen Umsatz allein im Jahr 2010 von 180 – 270 Millionen € bedeuten. Es sind jedoch auch Fälle bekannt geworden, in denen die Dienstleister nicht pro IP-Adresse bezahlt, sondern prozentual an den von den Abgemahnten gezahlten Geldern beteiligt werden.9 2 Aktuelle Gerichtsentscheidungen Hinsichtlich der datenschutzrechtlichen Zulässigkeit der Arbeit der Dienstleister gibt es derzeit nur vereinzelte Rechtsprechung. Lediglich ein Urteil des schweizerischen Bundesgerichts, sowie zwei obergerichtliche Entscheidungen aus Deutschland sind bislang bekannt. So hat das schweizerische Bundesgericht in Lausanne es der Ermittlungsfirma Logistep untersagt,10 die durch diese auf schweizerischen Boden erhobenen IP-Adressen an deren Auftraggeber zu übermitteln. Weiterhin wurde der Firma Logistep aufgegeben, sämtliche erhobenen Daten zu löschen. Das Bundesgericht ging in dieser Entscheidung davon aus, dass IP-Adressen grundsätzlich als Personendaten i.S.d. Art. 3 lit. a des schweizerischen Datenschutzgesetzes (schweizDSG) zu qualifizieren sind.11 Dies treffe sowohl auf statische, als auch unter bestimmten Umständen auf dynamische IP-Adressen zu.12 Da Personendaten geschützt seien, darf nach Art. 12 Abs. 1 schweizDSG die Persönlichkeit der betroffenen Personen durch die Datenverarbeitung nicht widerrechtlich verletzt werden.13 Personendaten dürften insbesondere ohne Rechtfertigungsgrund weder ermittelt noch Dritten bekannt gegeben werden.14 Der Einsatz einer sogenannten „p2p-Monitorsoftware“ (Trackingsoftware) zur Erfassung von Daten für die Identifizierung der Nutzer von Filesharingsystemen und deren Weiterleitung an die Rechteinhaber ver7 AG Düsseldorf, Urteil vom 14.4.2010 – 57 C 15741/09 – abzurufen unter http://www.initiative-abmahnwahn.de/wp-content/uploads/2010/04/urteil_2010-04-14.pdf, zuletzt abgerufen am 7.10.2011. 8 Ossyra, „Millionengeschäft Abmahnung“ in Leipziger Volkszeitung vom 1.7.2011, S. 3. 9 Nach einem unbestätigten geleakten Vertrag einer Abmahnkanzlei mit dem Rechteinhaber, abzurufen unter http://pdfcast.org/pdf/schutt-waetke-baseprotect-service-contract, zuletzt abgerufen am 7.10.2011. 10 Vgl. Schweiz. BG, Urteil vom 8.9.2010 - 1C_285/2009, MMR 2011, 201 ff. 11 Schweiz. BG, a.a.O., MMR 2011, 201 (202). 12 Schweiz. BG, a.a.O., MMR 2011, 201 (202). 13 Schweiz. BG, a.a.O., MMR 2011, 201 (203). 14 Schweiz. BG, a.a.O., MMR 2011, 201 (203). 2 stoße gegen Art. 12 und 13 schweizDSG.15 Dabei habe das Bundesgericht die Interessen des Entwicklers der Monitorsoftware gegenüber denen der betroffenen Personen abgewogen und kam zu dem Entschluss, dass die Interessen der Ermittlungsfirma keine allgemeinen oder privaten, sondern eigene, wirtschaftliche zur Verfolgung eines Geschäftsmodells sind, welche nicht schwerer wiegen als die datenschutzrechtlichen Interessen der betroffenen Personen.16 Daher sei im Ergebnis die Ermittlung von Urheberrechtsverletzern durch private Drittfirmen in der Schweiz unzulässig. Diese Rechtsauffassung wurde jedoch vom OLG Hamburg17 nicht geteilt. Das OLG Hamburg ist der Auffassung, dass das heimliche Ermitteln von IP-Adressen möglicher Urheberrechtsverletzer nach deutschem Datenschutzrecht unbedenklich sei.18 Dies gelte auch dann, wenn das ermittelnde Unternehmen seinen Sitz in der Schweiz habe und dessen Dienstleistung durch das schweizerische Bundesgericht als unzulässig angesehen wurde.19 Zur Begründung führte das OLG Hamburg in dieser Entscheidung an, dass es sich bei IP-Adressen nicht um personenbezogene Daten handele, da bei den ermittelten IP-Adressen ein Personenbezug mit normalen Mitteln ohne weitere Zusatzinformationen nicht hergestellt werden könne.20 Zur Herstellung des Personenbezugs bedürfe es weiterer Daten, die erst auf Anforderung der Staatsanwaltschaft gemäß §§ 161 Abs. 1 S. 1, 163 StPO oder durch eine gerichtliche Herausgabeanordnung gegen den Provider nach § 101 Abs. 9 UrhG zugänglich werden.21 Folglich verstoße die Ermittlung von IP-Adressen durch Dritte nicht gegen deutsches Datenschutzrecht und sei mithin zulässig. In dieselbe Richtung tendiert auch das OLG München.22 Auch dieses OLG ist der Ansicht, dass es sich bei IP-Adressen nicht um personenbezogene Daten handele.23 Die Ermittlung der IP-Adresse an sich stelle noch keinen Eingriff in die Rechte derer Inhaber dar, da die IP-Adresse noch keinen Aufschluss über die Identität des jeweiligen Nutzers gebe.24 Dieser Personenbezug würde erst durch das Zusammenführen der IP-Adresse mit weiteren Angaben hergestellt werden.25 Da es sich bei der IP-Adresse nach Ansicht des OLG München um kein personenbezogenes Datum handelt, ist die Prüfung des OLG hier zu Ende und ein Datenschutzrechtsverstoß wurde verneint. Die beiden Entscheidungen des OLG Hamburg26 und des OLG München27 lassen jedoch die Frage aufkommen, ob deren rechtliche Beurteilung bei genauerer Betrachtung auch belastbar ist. Mittlerweile hat die Logistep AG nach dem Urteil des schweize15 Schweiz. BG, a.a.O., MMR 2011, 201 (203). 16 Schweiz. BG, a.a.O., MMR 2011, 201 (203). 17 OLG Hamburg, Beschluss vom 3.11.2010 – 5 W 126/10, MMR 2011, 281. 18 OLG Hamburg, a.a.O., MMR 2011, 281 (282). 19 OLG Hamburg, a.a.O., MMR 2011, 281 (282); das OLG Hamburg hierzu wörtlich „Auch für den hier angerufenen Senat bestehen keine Anhaltspunkte dafür, dass ein Beweisverwertungsverbot vorliegen könnte, nur weil zwischenzeitlich ein Schweizerisches Bundesgericht […] die Tätigkeit des Dienstleisters L nach dortigem Recht als datenschutzrechtswidrig beurteilt hat.“ Unter Bezug auf BGH, Urteil vom 12.5.2010 – I ZR 121/08 –, MMR 2010, 565. 20 OLG Hamburg, a.a.O., MMR 2011, 281 (282). 21 OLG Hamburg, a.a.O., MMR 2011, 281 (282). 22 OLG München, Beschluss vom 4.7.2011 – 6 W 496/11, BeckRS 2011, 19897. 23 OLG München, a.a.O., BeckRS 2011, 19897. 24 OLG München, a.a.O., BeckRS 2011, 19897. 25 OLG München, a.a.O., BeckRS 2011, 19897 unter Bezug auf BGH, Urteil vom 13.1.2011 - III ZR 146/10, ZUM-RD 2011, 151 Tz. 28. 26 OLG Hamburg, a.a.O., MMR 2011, 281. 27 OLG München, a.a.O., BeckRS 2011, 19897. DuD • Datenschutz und Datensicherheit 1 | 2012 AUFSÄTZE rischen Bundesgerichts28 ihren Firmensitz nach Deutschland verlegt und ermittelt nunmehr neben einer Vielzahl von anderen Ermittlungsfirmen29 von deutschem Boden aus gegen Filesharingnutzer in Deutschland. fizierten urheberrechtlich geschützten Datei erhoben wird, stellt dies eine Aussage über einen Telekommunikationsvorgang dar. 3 Anwendbarkeit des BDSG Fraglich könnte allenfalls sein, ob diese Angaben einer bestimmten oder bestimmbaren Person im Sinne des BDSG zugeordnet werden können. In der Literatur und Rechtsprechung ist aufgrund der bloßen Zahlenfolge einer IP-Adresse33 ein Streit darüber entbrannt, ob dies angenommen werden kann. Hierbei haben sich zwei Meinungen herausgebildet. Nach § 1 Abs. 2 S. 1 Nr. 3 BDSG ist das Bundesdatenschutzgesetz dann anzuwenden, wenn eine nicht-öffentliche Stelle personenbezogene Daten erhebt, verarbeitet oder nutzt, sofern dies unter Einsatz von Datenverarbeitungsanlagen geschieht. Ausnahmetatbestände des § 1 Abs. 3, Abs. 4 und Abs. 5 BDSG sind nicht ersichtlich, so dass grundsätzlich das BDSG eröffnet ist, sofern es sich bei den IP-Adressen um personenbezogene Daten i.S.d. § 3 Abs. 1 BDSG handelt und diese unter Einsatz von Datenverarbeitungsanlagen seitens der Ermittlungsfirmen als nicht-öffentliche Stelle erhoben, verarbeitet oder genutzt werden. Die Ermittlungsfirmen sind zweifelsfrei als natürliche oder juristische Personen des Privatrechts als nicht-öffentliche Stelle i.S.d. BDSG zu behandeln. Auch die Definitionen des Erhebens, des Verarbeitens und Nutzens ergeben sich unmittelbar aus § 3 Abs. 3, Abs. 4 und Abs. 5 BDSG und liegen bei der Ermittlung, Speicherung und Übermittlung der IP-Adressen von Dienstleistungsunternehmen ohne weiteres vor. Da die IP-Adressen mittels Software automatisch erfasst und gespeichert und sodann zur weiteren automatisierten Verarbeitung übermittelt werden, liegt das Tatbestandsmerkmal des Einsatzes von Datenverarbeitungsanlagen vor. 4 Personenbezogenes Datum Weiterhin müsste es sich bei den erhobenen Daten, insbesondere bei der IP-Adresse, um ein personenbezogenes Datum handeln. Nach § 3 Abs. 1 BDSG sind personenbezogene Daten Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person. Einzelangaben im Sinne des BDSG ist jede Information, die sich auf eine bestimmte – einzelne – natürliche Person bezieht oder die geeignet ist, einen Bezug zu einer Person herzustellen.30 Die IP-Adresse ist eine Einzelangabe in diesem Sinne. Weiterhin muss es sich um Angaben über persönliche oder sachliche Verhältnisse einer Person handeln. Diese Formulierung macht deutlich, dass hiervon alle Informationen erfasst werden, die über die Bezugsperson etwas aussagen.31 Es muss sich um Daten handeln, welche Informationen über einen bestimmten Sachverhalt einer bestimmten oder bestimmbaren natürlichen Person enthalten. Die IP-Adresse allein ohne jeden weiteren Kontext hat diese Information über den Sachverhalt allein jedoch noch nicht.32 Da jedoch seitens der Ermittlungsfirmen die IP-Adresse zusammen mit dem Zeitstempel und der Angabe der identi28 Schweiz. BG, a.a.O., MMR 2011, 201. 29 Z.B. promedia GmbH, ipoque GmbH, Evidenzia GmbH & Co KG, Excubitor UG, Baseprotect UG, Guardaley Ltd., Media Protector GmbH u.a. 30 Dammann, in: Simits (Hrsg.), BDSG, § 3 Rn. 5; Gola/Schomerus, BDSG, § 3 Rn. 3; Karg, MMR-Aktuell 2011, 385811. 31 Dammann, in: Simits (Hrsg.): BDSG, § 3 Rn. 7; Gola/Schomerus, BDSG, § 3 Rn. 5 32 Dammann, in: Simits (Hrsg.): BDSG, § 3 Rn. 10; Gola/Schomerus, BDSG, § 3 Rn. 3 DuD • Datenschutz und Datensicherheit 1 | 2012 4.1 Einer bestimmten oder bestimmbaren natürlichen Person 4.1.1 Relativer Personenbezug Nach einer Auffassung soll die Personenbeziehbarkeit ausschließlich bei der verarbeitenden Stelle geprüft werden.34 Demnach komme es ausschließlich auf die Kenntnisse, Mittel und Möglichkeiten der speichernden Stelle an.35 Demnach sind die Kenntnisse und Fähigkeiten Dritter nicht in die Prüfung mit einzubeziehen.36 Nach dieser Ansicht wäre die IP-Adresse nicht personenbezogen, da es der Ermittlungsfirma selbst nicht möglich ist, einen Personenbezug herzustellen. Dies kann nur anhand der Daten des Access-Providers erfolgen.37 4.1.2 Objektiver Personenbezug Nach der Auffassung des objektiven Personenbezugs reicht allein die theoretische Möglichkeit der Herstellung eines Personenbezugs aus, damit ein personenbezogenes Datum im Sinne des § 3 Abs. 1 BDSG vorliege.38 Danach reicht es aus, wenn ein Dritter den Personenbezug herstellen kann.39 Da der Access-Provider 33 Eine IP-Adresse ist in 4 Oktette nach dem Muster 192.168.11.0 (für den internen Gebrauch) aufgeteilt 34 Schaffland/Wiltfang, BDSG Kommentar 2010, § 3 Rn. 17; Bergmann/Möhrle/Herb, Datenschutzrecht, Handkommentar, 41. Auflage, Stuttgart 2010, § 3 Rn. 16; Dammann, in: Simitis (Hrsg.), BDSG, § 3 Rn. 33, 35; Gola/Schomerus, BDSG, § 3 Rn. 10, 44; Roßnagel/Scholz, MMR 2000, 721 (723); Meyerdirks, MMR 2009, 8 (9); Krüger/Maucher, MMR 2011, 433 (436), Karg, MMR-Aktuell 2011, 315811 Ziffer 3. 35 Gola/Schomerus, BDSG, § 3 Rn. 10; Meyerdirks, MMR 2009, 8 (9); Krüger/ Maucher, MMR 2011, 433 (436), Karg, MMR-Aktuell 2011, 315811 Ziffer 3. 36 Gola/Schomerus, BDSG, § 3 Rn. 10; Meyerdirks, MMR 2009, 8 (9); Krüger/ Maucher, MMR 2011, 433 (436), Karg, MMR-Aktuell 2011, 315811 Ziffer 3. 37 OLG Hamburg, a.a.O., MMR 2011, 281; OLG München, a.a.O., BeckRS 2011, 19897; LG Wuppertal, Beschluss vom 19.10.2010 – 25 Qs 1977/08-177/10, MMR 2011, 65; AG München, Urteil vom 30.9.2008 – 133 C 5677/08, BeckRS 2008, 23037; Krüger/Maucher, MMR 2011, 433 (436). 38 Weichert, in: Däubler/Klebe/Wedde/Weichert, Kommentar BDSG, 3. Aufl., München 2010, § 3 Rn. 3; Pahlen-Brandt, DuD 2008, 34; Pahlen-Brandt, K&R 2008, 288 (291); Bohne, in: Wandtke/Bullinger, Praxiskommentar zum Urheberrecht, 3. Aufl., München 2009, § 101 Rn. 34; Arbeitskreis Medien, Orientierungshilfe zum Umgang mit personenbezogenen Daten bei Internetdiensten, 3.1 Zugangsanbieter (Access-Provider), abrufbar unter http://www.datenschutz.hessen.de/_ old_content/tb31/k25p03.htm zuletzt abgerufen am 20.10.2011; LG Berlin, Urteil vom 6.9.2007 – 23 S 3/07, MMR 2007, 799 m. Anm. Köcher; AG Berlin-Mitte, Urteil vom 27.3.2007 – 5 C 314/06, K&R 2007, 600; Artikel-29-Datenschutzgruppe, Stellungnahme 4/2007 zum Begriff „personenbezogene Daten“, S. 29 abrufbar unter http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2007/wp136_de.pdf zuletzt abgerufen am 20.10.2011; Artikel-29-Datenschutzgruppe, Stellungnahme 1/2008 zu Datenschutzfragen im Zusammenhang mit Suchmaschinen, S. 9 abrufbar unter http://ec.europa.eu/justica/policies/privacy/docs/wpdocs/2008/ wp148_de.pdf zuletzt abgerufen am 20.10.2011; VG Wiesbaden, Beschluss vom 27.2.2009 – 6 K 1045/08.WI, MMR 2009, 428 (432); Schweiz. BG, Urteil vom 27.5.2009 – A-3144/2008, MMR 2009, 797 (Ls.), Maaßen, GRUR-Prax 2010, 536. 39 Weichert, VuR 2009, 323 (325); Pahlen-Brandt, K&R 2008, 769; Meyerdirks, MMR 2009, 8 (9), Maaßen, GRUR-Prax 2010, 536. 3 AUFSÄTZE zweifellos den Personenbezug zum Anschlussinhaber herstellen kann, ist nach dieser Auffassung eine Bestimmbarkeit im Sinne des § 3 Abs. 1 BDSG gegeben. 4.2 Neue Rechtsprechung des BGH vom 13.1.2011 Während der Bundesgerichtshof in seinen früheren Entscheidungen davon ausgegangen ist, dass die IP-Adresse lediglich ein Bestandsdatum sei, hat er die Diskussion um den Personenbezug von IP-Adressen in einem aktuellen Urteil neu entfacht.40 In dieser Entscheidung ordnet der BGH die IP-Adresse entgegen dem Urteil des I. Zivilsenats (Sommer unseres Lebens)41 als Verkehrsdatum im Sinne der §§ 96 Abs. 1, 100 Abs. 1 Telekommunikationsgesetz (TKG) ein.42 Zwar lässt sich diesem Urteil keine konkrete Aussage des BGH zu dieser Frage entlocken, gleichwohl erkennt der BGH an, dass die Speicherung der IP-Adresse ein Eingriff in Grundrechte darstellt. Nach Auffassung des BGH sind hierbei das Fernmeldegeheimnis Art. 10 Abs. 1 Grundgesetz (GG) und zudem das Recht auf informationelle Selbstbestimmung Art. 1 Abs. 1 i.V.m. Art. 2 Abs. 1 GG als besondere Ausprägung des allgemeinen Persönlichkeitsrechts betroffen.43 Diese seien jedoch nach Auffassung des BGH nicht schwerwiegend.44 Wenn nun aber der Schutzbereich des Rechts auf informationelle Selbstbestimmung nach Auffassung des BGH eröffnet ist, so lässt dies nur den Schluss zu, dass IP-Adressen personenbezogene Daten im Sinne des § 3 Abs. 1 BDSG sind.45 Auch die Einordnung als Verkehrsdatum im Sinne der §§ 96 Abs. 1, 100 Abs. 1 TKG lässt auf einen Personenbezug schließen, da beide Normen im 2. Abschnitt des TKG „Datenschutz“ zu finden sind.46 4.3 Stellungnahme Der Auffassung des objektiven Personenbezugs ist zu folgen. Der alleinige Beweggrund und Inhalt des Geschäftsmodells der Ermittlung von IP-Adressen zur weiteren zivilrechtlichen Verfolgung liegt darin, die gewonnenen Daten zum Zwecke der Herstellung des Personenbezugs zu verkaufen. Eine Bestimmbarkeit liegt zudem vor, wenn die Identität des Betroffenen mit Hilfe eines Dritten festgestellt werden kann, wenn dieser rechtlich dazu verpflichtet ist und der Aufwand für die Inanspruchnahme der Hilfe nicht unverhältnismäßig ist. Durch die Möglichkeit eines Gestattungsverfahrens nach § 101 Abs. 9 UrhG ist es für den Rechteinhaber verhältnismäßig einfach, einen Personenbezug unter Zuhilfenahme des aufgrund des Gestattungsbeschlusses des Gerichts dazu rechtlich verpflichteten Dritten, dem Access Provider, herzustellen. Der Aufwand hierfür ist nach § 3 Abs. 6 BDSG zu messen. Demnach ist der Aufwand an Zeit, Kosten und Arbeitskraft zu berücksichtigen. Durch die weitestgehende Automatisierung des Verfahrens nach § 101 Abs. 9 UrhG – hier werden vorgefertigte Standardanträge lediglich um die Angaben der jeweiligen Rechteinhaber und deren Werke ergänzt – hält sich der Aufwand an Zeit und Arbeits40 BGH, MMR 2011, 341 m. Anm. Karg. 41 BGH, Urteil vom 12.5.2010 – I ZR 121/08, MMR 2010, 565 (567). 42 BGH, MMR 2011, 341. 43 BGH, MMR 2011, 341 m. Anm. Karg. 44 BGH, MMR 2011, 341 m. Anm. Karg. 45 Karg, MMR 2011, 345; Lorenz, JurisPR-ITR 15/2011 Anm. 2; a. A. Krüger/ Maucher, MMR 2011, 434 (436). 46 Lorenz, JurisPR-ITR 15/2011 Anm. 2. 4 kraft in Grenzen. Nach § 128e Abs. 1 Nr. 4 KostO beträgt die Gerichtsgebühr für einen Antrag nach § 101 Abs. 9 UrhG 200,- €,47 der Streitwert wird zumeist auf den Regelstreitwert von 3.000,€ festgesetzt,48 so dass Anwaltskosten in Höhe von 265,- € pro Antrag entstehen. Angesichts der Tatsache, dass häufig hunderte IP-Adressen in nur einem Gestattungsbeschluss zur Beauskunftung freigegeben werden, sind auch die Kosten vernachlässigbar. Folglich ist die IP-Adresse zusammen mit den weiteren Daten personenbeziehbar und damit personenbezogen im Sinne des § 3 Abs. 1 BDSG.49 5 Zulässigkeit nach dem BDSG Nach § 4 Abs. 1 BDSG ist eine Erhebung, Verarbeitung oder Nutzung der IP-Adresse nur zulässig, wenn es das BDSG oder eine andere Rechtsvorschrift dies erlaubt, oder der Betroffene eingewilligt hat. 5.1 Einwilligung des Betroffenen Um eine wirksame Einwilligung des Betroffenen im Sinne des BDSG annehmen zu können, muss diese nach § 4a Abs. 1 S. 1 BDSG auf der freien Entscheidung des Betroffenen beruhen. Auch ist er nach § 4a Abs. 1 S. 2 BDSG auf den vorgesehenen Zweck der Erhebung, Verarbeitung und Nutzung hinzuweisen. Nach § 4a Abs. 1 S. 3 BDSG bedarf es einer schriftlichen Einwilligung des Betroffenen, sofern nicht wegen besonderer Umstände eine andere Form angemessen ist. Da das Erheben der IP-Adresse durch die Ermittlungsfirmen heimlich geschieht, fehlt es an allen Tatbestandsvoraussetzungen für eine wirksame Einwilligung des Betroffenen. Eine zulässige Erhebung aufgrund einer Einwilligung des Betroffenen scheidet somit aus. 5.2. Zulässigkeit nach § 28 BDSG Soweit eine wirksame Einwilligung des Betroffenen ausscheidet, könnte eine Zulässigkeit der Ermittlung der IP-Adressen und Zusatzdaten nach § 28 BDSG in Betracht kommen. Mangels Begründung, Durchführung oder Beendigung eines rechtsgeschäftlichen oder rechtsgeschäftsähnlichen Schuldverhältnisses zwischen Ermittlungsfirma und Betroffenem kommen allenfalls § 28 Abs. 1 S. 1 Nr. 2 und § 28 Abs. 1 S. 1 Nr. 3 BDSG in Betracht. 5.2.1 § 28 Abs. 1 S. 1 Nr. 2 BDSG Hierzu wäre es erforderlich, dass das Ermitteln der Daten zur Wahrung berechtigter Interessen der verantwortlichen Stelle erforderlich ist und kein Grund zur Annahme besteht, dass schutzwürdige Interessen des Betroffenen am Ausschluss der Verarbeitung oder Nutzung der Daten überwiegen. 47 Spindler, in: Spindler/Schuster, Recht der elektronischen Medien, 2. Aufl., München 2011, § 101 Rn. 26; Überblick bei Hofmann, MMR 2009, 655 (660f.); Otten, GRUR-RR 2009, 369 (372). 48 Überblick bei Hofmann, MMR 2009, 655 (660f.); Otten, GRUR-RR 2009, 369 (372). 49 So auch ohne nähere Begründung EuGH, Urteil vom 24.11.2011, C-70/10 http://curia.europa.eu/juris/liste.jsf?language=de&num=C-70/10. DuD • Datenschutz und Datensicherheit 1 | 2012 AUFSÄTZE Dabei stellen berechtigte Interessen der verantwortlichen Stelle auch wirtschaftliche Interessen der Ermittlungsfirmen dar.50 Wie oben bereits ausgeführt erhält die Ermittlungsfirma für jeden ermittelten IP-Adressdatensatz einen Betrag in Höhe von 50,€ oder mehr. Folglich liegen eigene berechtigte - wirtschaftliche – Interessen der Unternehmen vor. Die Verwendung der erhobenen Daten unterliegt jedoch dem Vorbehalt der Interessenabwägung.51 Zwar beeinträchtigt nicht jede Verarbeitung oder Nutzung schutzwürdige Interessen des Betroffenen.52 In jedem Fall hat die verantwortliche Stelle jedoch eine Interessenabwägung vorzunehmen.53 Entscheidend für die Zulässigkeit der Erhebung und Nutzung der Daten nach § 28 Abs. 1 S. 1 Nr. 2 BDSG ist demnach, ob in jedem Einzelfall eine Abwägung zwischen dem Datenerhebungsinteresse und den schutzwürdigen Interessen der Betroffenen erfolgt.54 Soweit und solange die IP-Adressen mittels automatisierten, softwaregestützten Verfahrens erhoben werden, liegt eine solche Einzelfallabwägung indes nicht vor.55 Zudem überwiegen die schutzwürdigen Interessen des betroffenen Anschlussinhabers, da zum Zeitpunkt der Ermittlung der Ermittlungsfirma nicht bekannt ist, ob er als Verletzer oder Störer einer möglichen Urheberrechtsverletzung in Anspruch genommen werden kann. So ist es möglich, dass es sich bei dem ermittelten Anschlussinhaber um einen Betreiber eines WLAN-Hot-Spots oder Internetcafés handelt, welcher nicht Störer im Sinne des Urheberrechts ist.56 In jüngster Zeit wird die Frage der Störerhaftung auch im Hinblick auf mitbenutzende Ehegatten in Frage gestellt.57 Allein die Möglichkeit, die Datenerhebung könne zur Durchsetzung urheberrechtlicher Ansprüche notwendig sein, vermag einen automatisierten Eingriff einer privaten Stelle in das Recht auf informationelle Selbstbestimmung des Betroffenen nicht zu rechtfertigen.58 Mithin scheidet eine zulässige Ermittlung nach § 28 Abs. 1 S. 1 Nr. 2 BDSG aus. oder Nutzung gegenüber dem berechtigten Interesse der verantwortlichen Stelle überwiegt. Hierbei ist es bereits fraglich, ob IP-Adressen in Tauschbörsen aus allgemein zugänglichen Quellen stammen. Allgemein zugänglich sind die Daten dann, wenn sie sich sowohl in ihrer Zielsetzung als auch in der Veröffentlichungsform nach eignen, einem individuell nicht bestimmbaren Personenkreis Informationen zu vermitteln.59 Grundsätzlich sind daher auch Daten hierunter zu fassen, welche im Internet von jedermann mittels Suchmaschinen abgerufen werden können.60 Allerdings müssen die Daten dort mit Willen des Betroffenen oder legitim handelnder Dritter veröffentlich worden sein.61 Die IP-Adresse des Anschlussinhabers wird beim Aufbau einer Internetverbindung zwangsläufig und ohne dessen Zutun bekanntgegeben. Es ist daher fraglich, ob die Daten mit Willen des Betroffenen im Internet als allgemein zugänglich angesehen werden können. Selbst wenn man die Auffassung vertritt, dass IP-Adressen aus allgemein zugänglichen Quellen im Sinne des § 28 Abs. 1 S. 1 Nr. 3 BDSG stammen, so scheitert eine Zulässigkeit jedoch wieder an der nicht durchgeführten Einzelfallabwägung bei einer automatisierten Datenerfassung durch eine Software. 5.2.2 § 28 Abs. 1 S. 1 Nr. 3 BDSG 5.4.1. § 29 Abs. 1 S. 1 Nr. 1 BDSG Möglich wäre eine zulässige Erhebung und Nutzung der Daten nach § 28 Abs. 1 S. 1 Nr. 3 BDSG, wenn die Daten – hier die IP-Adresse – allgemein zugänglich sind und das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Verarbeitung Für die Zulässigkeit nach dieser Norm wäre es erforderlich, dass kein Grund zur Annahme besteht, dass der Betroffene ein schutzwürdiges Interesse an dem Ausschluss der Erhebung, Speicherung oder Veränderung hat. Weil sich der Wortlaut von § 29 Abs. 1 S. 1 Nr. 1 BDSG von dem des § 28 Abs. 1 S. 1 Nr. 2 BDSG unterscheidet könnte man zu der Auffassung gelangen, dass hier eine Einzelfallabwägung nicht notwendig wäre.62 Es wird daher diskutiert, ob der Gesetzgeber möglicherweise davon ausging, dass eine solche Abwägung bei § 29 BDSG entweder nicht notwendig oder aber nicht möglich sei.63 Struktur und Wortlaut von § 29 Abs. 1 S. 1 Nr. 1 BDSG bringe zum Ausdruck, dass der Gesetzgeber die geschäftsmäßige Speicherung von personenbezogenen Daten grundsätzlich billigen würde.64 Daher sei eine Abwägung im Einzelfall nicht notwendig. Zudem bestünden keinerlei 50 Simitis, in: Simitis (Hrsg.), BDSG, § 28 Rn. 104; Gola/Schomerus, BDSG, § 28 Rn. 24; Schaffland/Wiltfang, BDSG, § 28 Rn. 85. 51 Simitis, in: Simitis (Hrsg.), BDSG, § 28 Rn. 125; Gola/Schomerus, BDSG, § 28 Rn. 24. 52 Simitis, in: Simitis (Hrsg.), BDSG, § 28 Rn. 125; Ganßauge, Datenverarbeitung und –nutzung von Kreditwürdigkeitsdaten durch fremdnützige Verarbeiter: mit einer Darstellung der Rechtstatsachen bei der SCHUFA und der Organisation Creditreform, Schriften Zum Recht des Informationsverkehrs und der Informationstechnik 11, Berlin 1995, S. 167. 53 Simitis, in: Simitis (Hrsg.), BDSG, § 28 Rn. 125; Gola/Schomerus, BDSG, § 28 27; BGH, Urteil vom 16.9.1985 – II ZR 275/84, NJW 1986, 188 (190). 54 Maaßen, MMR 2009, 511 (513); Gola/Schomerus, BDSG, § 28 Rn. 24, 27. 55 Maaßen, MMR 2009, 511 (513); Körner-Dammann, NJW 1992, 1543 (1544), wonach dort ebenfalls keine Einzelfallprüfung vorgenommen wird, sofern eine komplette Patientendatei übergeben wird.; Bergmann/Möhrle/Herb, Datenschutzrecht, § 28 Rn. 110 unter Bezugnahme auf BGH, Urteil vom 15.12.1983 – III ZR 207/82, NJW 1984, 1889 (1890) wo die konkrete Einzelfallprüfung akzentuiert wird. 56 OLG Köln, Beschluss vom 21.10.2008 - 6 Wx 2/08, MMR 2008, 820 (821); LG Köln, Urteil vom 31.08.2011 - 28 O 362/10, BeckRS 2011, 22073. 57 OLG Köln, a.a.O., MMR 2011, 396 (397). 58 Maaßen, MMR 2009, 511 (513); im Ergebnis auch Simitis, in: Simitis (Hrsg.), BDSG § 28 Rn. 135. DuD • Datenschutz und Datensicherheit 1 | 2012 5.3 Zwischenergebnis Die Erhebung, Speicherung und Nutzung der ermittelten Daten ist daher weder nach § 28 Abs. 1 S. 1 Nr. 2, noch nach § 28 Abs. 1 S. 1 Nr. 3 BDSG zulässig. 5.4 Zulässigkeit nach § 29 BDSG Da die Daten geschäftsmäßig zum Zwecke der Übermittlung an die Rechteinhaber erhoben und genutzt werden, könnte sich eine Zulässigkeit zudem möglicherweise aus § 29 Abs. 1 S. 1 Nr. 1 oder § 29 Abs. 1 S. 1 Nr. 2 BDSG ergeben. 59 BVerfGE 27, 71 (83); BVerfGE 27, 104 (108); BVerfGE 33, 52 (65); BVerfGE 103, 44 (60). 60 Gola/Schomerus, BDSG, § 28 Rn. 33a; Simitis, in: Simitis (Hrsg.), BDSG § 28, Rn. 151. 61 Gola/Schomerus, BDSG, § 28 Rn. 33a; Wedde, in: Däubler/Klebe/Wedde/ Weichert, BDSG, § 28 Rn. 56. 62 Ehmann, in: Simits (Hrsg.), BDSG, § 28 Rn. 155 ff. m.w.N.; Gola/Schomerus, BDSG, § 29 Rn. 10. 63 Ehmann, in: Simits (Hrsg.), BDSG, § 28 Rn. 156. 64 Auernhammer, BDSG, Kommentar, 3. Aufl., Köln 1993, § 29 Rn. 10. 5 AUFSÄTZE rechtliche Beziehungen zwischen Betroffenem und verantwortlicher Stelle, so dass eine Abwägung am fehlenden notwendigen Abwägungsmateriel unmöglich sein könnte.65 Diese Auffassung verkennt indes, dass sich das grundsätzliche Gebot einer Interessenabwägung im Einzelfall bereits daraus ergibt, dass ohne eine solche zwischen § 29 Abs. 1 S. 1 Nr. 1 BDSG und § 29 Abs. 1 S. 1 Nr. 2 BDSG ein Wertungswiderspruch besteht.66 Nach dem Wortlaut des § 29 Abs. 1 S. 1 Nr. 2 BDSG („überwiegt“) bedarf es einer solchen Interessenabwägung im Einzelfall. Wenn dies im Falle des § 29 Abs. 1 S. 1 Nr. 1 BDSG nun nicht gelten sollte, so wären im Ergebnis die Daten der Betroffenen, welche aus allgemein zugänglichen Quellen stammen, stärker geschützt als solche Daten, denen diese Eigenschaft fehlt.67 Besteht daher auch nur ein Grund zur Annahme, dass der Betroffene ein schutzwürdiges Interesse an dem Ausschluss der Erhebung, Speicherung oder Veränderung hat, so ist stets eine Interessenabwägung im Einzelfall vorzunehmen.68 Dass der Anschlussinhaber ein schutzwürdiges Interesse an der Geheimhaltung seiner Kommunikationsdaten hat, wurde bereits oben ausgeführt. Ebenso wurde bereits erörtert, dass aufgrund der automatisierten, softwaregestützten Ermittlung keine Einzelfallabwägung vorgenommen wird, so dass im Ergebnis eine Zulässigkeit nach § 29 Abs. 1 S. 1 Nr. 1 BDSG zu verneinen ist. 5.4.2 § 29 Abs. 1 S. 1 Nr. 2 BDSG Nach dieser Norm wäre die Ermittlung zulässig, wenn die Daten aus allgemein zugänglichen Quellen entnommen werden können und ein schutzwürdiges Interesse an dem Ausschluss der Erhebung, Speicherung oder Veränderung des Betroffenen offensichtlich nicht überwiegt. Bei den ermittelten Daten handelt es sich - wie oben dargestellt - bereits nicht um Daten aus allgemein zugänglichen Quellen. Zudem bedarf es einer Einzelfallabwägung, welche aufgrund der Art der Ermittlung ebenfalls nicht vorgenommen wird, so dass beide Voraussetzungen für eine zulässige Erhebung der fraglichen Daten nach § 29 Abs. 1 S. 1 Nr. 2 BDSG nicht in Betracht kommt. 5.5 Zwischenergebnis Da bereits die Ermittlung (Erhebung, Speicherung und Nutzung der Daten) nach § 29 Abs. 1 BDSG ausscheidet, kommt auch eine zulässige Übermittlung der Daten an den Rechteinhaber nach § 29 Abs. 2 BDSG nicht in Betracht. Mithin stehen keine Erlaubnisnormen im Sinne des BDSG zur Verfügung. 6 Grundsatz der Direkterhebung nach § 4 Abs. 2 BDSG Selbst wenn man die §§ 28, 29 BDSG als Erlaubnisnormen für die heimliche Ermittlung der IP-Adressen ansehen würde, so könnte die Zulässigkeit dennoch am Grundsatz der Direkterhebung 65 Ehmann, in: Simits (Hrsg.), BDSG, § 29 Rn. 156. 66 Ehmann, in: Simits (Hrsg.), BDSG, § 29 Rn. 160; im Ergebnis auch Gola/ Schomerus, BDSG, § 29 Rn. 10. 67 Ehmann, in: Simits (Hrsg.), BDSG, § 29 Rn. 160; im Ergebnis auch Gola/ Schomerus, BDSG, § 29 Rn. 10. 68 Gola/Schomerus, BDSG, § 29, Rn. 11; Ehmann, in: Simitis (Hrsg.), BDSG, § 29 Rn. 160. 6 nach § 4 Abs. 2 BDSG scheitern. Dies bedeutet, dass die Daten direkt bei Betroffenen zu erheben sind und dass der Betroffene dran mitwirkt, um vom Erhebungsvorgang Kenntnis zu erlangen.69 Dabei kann die Mitwirkung sowohl aktiv als auch passiv durch eine ausdrückliche, bewusste Duldung der Erhebung der Daten bestehen.70 Beim Betroffenen selbst sind diese Daten daher nur dann erhoben, wenn dieser über Art und Umfang der Preisgabe seiner Daten bewusst entscheiden kann.71 Eine heimliche Erhebung ist daher unzulässig.72 Eine solche Erhebung hinter dem Rücken und ohne Mitwirkung des Betroffenen wäre nur dann erlaubt, wenn eine Rechtsvorschrift dies zwingend voraussetzen oder vorsehen würde (§ 4 Abs. 2 S. 2 Nr. 1 BDSG). Eine solche ist jedoch nicht erkennbar.73 Auch liegt keine offene Datenerhebung bei einem Dritten vor.74 Weitere Ausnahmen nach § 4 Abs. 2 S. 2 Nr. 2 BDSG liegen ebenfalls nicht vor und würden zudem bei der nach § 4 Abs. 2 S. 2 Nr. 2 BDSG erforderlichen Abwägung im Einzelfall aufgrund der oben dargestellten Gründe der automatisierten, softwaregestützten Ermittlung scheitern. Ein Verstoß gegen § 4 Abs. 2 BDSG bedeutet indes nicht, dass eine ansonsten zulässige Datenerhebung nach §§ 28, 29 BDSG unzulässig wäre. Dies ergibt sich daraus, dass § 4 Abs. 2 BDSG nicht als eigenständige Erlaubnisnorm im Sinne des § 4 Abs. 1 BDSG anzusehen ist. Sofern man eine Zulässigkeit der Erhebung nach §§ 28, 29 BDSG bejaht, muss ein Verstoß gegen § 4 Abs.2 BDSG jedoch im Rahmen der Einzelfallabwägung zugunsten der schutzwürdigen Interessen der Betroffenen berücksichtig werden.75 Sofern das Ergebnis dieser Prüfung lautet, dass die berechtigten Interessen des von den Rechteinhabern beauftragten Ermittlungsunternehmens stets überwiegen, so hätte dies jedoch zur Folge, dass ein ständiger Verstoß dieser Unternehmen gegen § 4 Abs. 2 BDSG ohne Konsequenzen bliebe.76 Andererseits wäre bei einem anderen Ergebnis die zivil- und strafrechtliche Ahndung von Urheberrechtsverletzungen in Tauschbörsen erheblich erschwert und zumindest mittels automatischer Softwareermittlung nicht möglich.77 Da beide Ergebnisse unbefriedigend sind, oblag es dem Gesetzgeber eine Erlaubnisnorm im BDSG oder im UrhG zu schaffen, die es den Urheberrechtsinhabern ermöglicht, in datenschutzrechtlich unbedenklicher Weise an die IP-Adressen potenzieller Urheberrechtsverletzer zu gelangen.78 Die Bundesregierung hatte die Bedenken des Bundesrates jedoch dadurch zerstreut, dass sie die Auffassung vertrat, dass derjenige, der über das Internet kommuniziere auch wisse, dass er 69 Sokol, in Simits (Hrsg.), BDSG, § 4 Rn. 20; Weichert, in: Däubler/Klebe/Wedde/Weichert, BDSG, § 4 Rn. 5; Auernhammer, BDSG, § 13 Rn. 12. 70 Sokol, in: Simitis (Hrsg.), BDSG, § 4 Rn. 23; Gola/Schomerus, BDSG, § 4 Rn. 21. 71 Gola/Schomerus, BDSG, § 4 Rn. 21; Sokol, in: Simitis (Hrsg.), BDSG, § 4 Rn. 23. 72 Gola/Schomerus, BDSG, § 4 Rn. 21; Bohne, in: Wandtke/Bullinger, UrhG, § 101 Rn. 34. 73 4. Tätigkeitsbericht des Innenministeriums BaWü, 2007, S 98, abzurufen unter http://www.baden-wuerttemberg.datenschutz.de/lfd/tb/imtbs/im2007. zip, zuletzt abgerufen am 21.10.2011; BT-Drs. 16/5048, S. 57; Bohne, in: Wandtke/ Bullinger, UrhG, § 101 Rn. 34. 74 4. Tätigkeitsbericht des Innenministeriums BaWü, 2007, S. 98; s. Fn. 72; BTDrs. 16/5048, S. 57. 75 4. Tätigkeitsbericht Innenministerium BaWü, 2007, S. 98.; s. Fn. 72. 76 4. Tätigkeitsbericht Innenministerium BaWü, 2007, S. 98.; s. Fn. 72. 77 BT-Drs. 16/5048, S. 57; Überblick bei Dreier, in: Dreier/Schulze, UrhG, 3. Aufl., München 2008, § 101 Rn. 37. 78 BT-Drs. 16/5048, S. 57; Überblick bei Dreier, in: Dreier/Schulze, UrhG, § 101 Rn. 37. DuD • Datenschutz und Datensicherheit 1 | 2012 AUFSÄTZE seine IP-Adresse offenbare.79 Zudem würden die Kommunikationsdaten nach Auffassung der Bundesregierung ohnehin beim Kommunikationspartner gespeichert werden, so dass dieser keine spezielle Software dazu benötige und daher die Daten unter Mitwirkung des Betroffenen erhoben würden.80 Demnach hat es der Gesetzgeber trotz Wissens um die Problematik der heimlichen Ermittlung bewusst unterlassen, eine Erlaubnisnorm entweder im BDSG oder im UrhG zu schaffen, so dass derzeit weiterhin keine solche Norm besteht. Die Auffassung der Bundesregierung überzeugt bereits aus dem Grunde nicht, dass selbst bei einem – wohl nur passiv möglichen – Mitwirken des Anschlussinhabers an der Erhebung der Daten es noch immer an der Kenntnis des Betroffenen von dem Erhebungsvorgang mittels spezieller Ermittlungssoftware fehlt. Zudem stellt wie oben dargestellt § 4 Abs. 2 BDSG keine eigenständige Erlaubnisnorm im Sinne des § 4 Abs. 1 BDSG dar. Des Weiteren ist es bei Filesharingfällen auch denkbar, dass nicht der Betroffene, mithin der Anschlussinhaber selbst, an der Erhebung der Daten mitwirkt, sondern dass ein Familienangehöriger oder sonstiger Dritter ohne Kenntnis des Anschlussinhabers den Anschluss benutzt und die Daten des Anschlussinhabers ohne dessen Zutun anderen öffentlich zugänglich macht. Folglich scheitert eine heimliche Ermittlung auch im Falle einer unterstellten Zulässigkeit der Erhebung nach §§ 28, 29 BDSG an dem Verstoß gegen den Grundsatz der Direkterhebung gemäß § 4 Abs. 2 BDSG und zudem an der nicht erfolgten Einzelfallabwägung bei einer automatischen Ermittlung durch eine Software. 7 Erlaubt durch andere Rechtsvorschrift Soweit eine Zulässigkeit nach dem BDSG nicht vorliegt ist fraglich, ob möglicherweise eine andere Rechtsvorschrift im Sinne des § 4 Abs. 1 BDSG dies erlaubt. Unter einer solchen Rechtsvorschrift sind alle materiellen Rechtsnormen mit unmittelbarer Außenwirkung zu verstehen, mithin Gesetze und Rechtsverordnungen.81 In Betracht kommen daher insbesondere das Telekommunikationsgesetz (TKG), das Telemediengesetz (TMG) sowie das Urhebergesetz (UrhG). 7.1 Erlaubnis nach dem TKG Nach §§ 96 Abs. 1, 100 Abs. 1 TKG dürfen Diensteanbieter unter gewissen Umständen Verkehrsdaten speichern. Um in den Genuss dieser Vorschriften zu gelangen, müsste das Unternehmen als Diensteanbieter im Sinne des § 3 Nr. 6 a) und b) TKG zu qualifizieren sein. Danach ist jeder Diensteanbieter, der ganz oder teilweise geschäftsmäßig Telekommunikationsdienste erbringt oder an der Erbringung solcher Dienste mitwirkt. Nach § 3 Nr. 10 TKG handelt es sich dabei um das nachhaltige Angebot von Telekommunikation für Dritte mit und ohne Gewinnerzielungsabsicht. Da die Ermittlungsfirmen jedoch keine Telekommunikation für Dritte anbieten, sondern vielmehr selber Teilnehmer eines Kommunikationsvorgangs sind, sind sie nicht als Diensteanbie79 BT-Drs. 16/5048, S. 63; so auch Zombik, ZUM 2006, 450 (454); Überblick bei Dreier, in: Dreier/Schulze, UrhG, § 101 Rn. 37. 80 BT-Drs. 16/5048, S. 63 f.; Überblick bei Dreier, in: Dreier/Schulze, UrhG, § 101 Rn. 37. 81 Sokol, in: Simitis (Hrsg.), BDSG, § 4 Rn. 9; Gola/Schomerus, BDSG, § 4 Rn. 7. DuD • Datenschutz und Datensicherheit 1 | 2012 ter im Sinne des TKG anzusehen. Mithin scheidet eine Erlaubnis nach §§ 96 Abs. 1, 100 Abs. 1 TKG aus. 7.2 Erlaubnis nach TMG Nach § 15 Abs. 1 TMG wäre es einem Diensteanbieter ebenfalls erlaubt, personenbezogene Daten eines Nutzers unter engen Grenzen zu erheben und zu verwenden, sofern dies erforderlich ist, um die Inanspruchnahme von Telemedien zu ermöglichen oder abzurechnen. Auch hier stellt sich daher zunächst die Frage, ob die Ermittlungsfirma Diensteanbieter im Sinne des TMG sein kann. Nach § 2 S. 1 Nr. 1 TMG ist Diensteanbieter jede natürliche oder juristische Person, die eigene oder fremde Telemedien zur Nutzung bereithält oder den Zugang zur Nutzung vermittelt. P2P-Netzwerke stellen jedoch weder eigene Telemedien für die Ermittlungsfirmen dar, noch werden diese von den Ermittlungsfirmen zur Nutzung bereitgehalten. Allenfalls wären die Unternehmen selber Nutzer fremder Telemedien, was jedoch eine Eigenschaft als Diensteanbieter ausschließt. Mithin scheidet auch eine Erlaubnis nach § 15 Abs. 1 TMG aus. 7.3 Erlaubnis nach dem UrhG Dem UrhG ist keine Erlaubnisnorm zur Erhebung und Speicherung von Verkehrsdaten im Sinne des § 101 Abs. 9 S. 1 UrhG zu entnehmen, so dass eine Erlaubnis nach dem UrhG ebenfalls ausscheidet. 8 Ergebnis So bedauerlich es für die Rechteinhaber und die Ermittlungsfirmen auch ist, so steht ihnen zumindest derzeit keine datenschutzrechtlich unbedenkliche Möglichkeit einer automatisierten softwaregestützten Ermittlung von IP-Adressen nebst den weiteren Daten, wie Größe der getauschten Datei, Hashwerte der Datei etc. zur Verfügung. Eine Ermittlung nach §§ 28, 29 BDSG scheitert spätestens an der nicht vorgenommenen Einzelfallabwägung zwischen den Rechten der Urheberrechts- oder Nutzungsrechtsinhaber bzw. dem wirtschaftlichen Interesse der Ermittlungsfirma und den Grundrechten des Betroffenen auf informationelle Selbstbestimmung und dem Fernmeldegeheimnis. Der Gesetzgeber hätte im Rahmen des Gesetzgebungsverfahrens des Gesetzes zur Verbesserung der Durchsetzung von Rechten des geistigen Eigentums eine Erlaubnisnorm entweder im BDSG oder im UrhG verankern können, um es den Rechteinhabern zu ermöglichen, datenschutzrechtlich unbedenklich an die IP-Adressen potenzieller Urheberrechtsverletzer zu gelangen. Dies hat er jedoch trotz Bedenken des Bundesrates nicht getan und stattdessen die Auffassung vertreten, dass die Erhebung unter – einer nicht näher begründeten - Mitwirkung des Betroffenen im Sinne des § 4 Abs. 2 BDSG geschehe und daher datenschutzrechtlich erlaubt sei. § 4 Abs. 2 BDSG stellt jedoch keine eigenständige Erlaubnisnorm im Sinne des § 4 Abs. 1 BDSG dar, so dass es weiterhin keine geeignete Rechtsvorschrift zur heimlichen Ermittlung von IP-Adressen zur Identifizierung des Verletzers von Urheberrechten gibt und die derzeitigen automatisch durchgeführten Ermittlungen datenschutzrechtlich als unzulässig zu bewerten sind. 7